Захист конфіденційної інформації в IT компанії

У діяльності IT компаній поняття «конфіденційність» може мати багато граней, а тому питання захисту конфіденційності також є багатогранним. В процесі діяльності Вашої компанії важливо не допустити розголошення унікальної клієнтської бази або злому серверів, може виникнути необхідність зберігати в таємниці інформацію про проект, який тільки розробляється, але який підірве ринок і т.д. Тому розуміння шляхів і способів захисту конфіденційної інформації Вашої компанії є одним з запорук її успішної діяльності.

Навіщо серйозно підходити до питання захисту конфіденційної інформації?

Збереження внутрішньої інформації IT компанії в таємниці вигідно для кожного бізнесу через декілька досить очевидних причин:

  1. Конкурентна перевага: ще Ротшильди сказали, що той, хто володіє інформацією – володіє світом. Якщо у Вас з’явилася ідея революційного проекту або неймовірного технологічного рішення, Ви точно не захочете, щоб про нього дізналися Ваші конкуренти. Зберігати в таємниці інформацію про проекти, корпоративній культурі, методиках підбору персоналу і т.д. – означає завжди мати туза в рукаві.

  2. Цінність конфіденційної інформації: особливо у випадку з IT компаніями, вартість інформації або даних, якими вони володіють (клієнтська база, унікальний софт, алгоритми роботи і т.д.) може у багато разів перевищувати вартість їх матеріальних активів (офісне приміщення, обладнання , техніка і т.д.). У разі розголошення клієнтської бази або інформації про проект втрати компанії в моменті можуть бути колосальними, не кажучи про втрати в перспективі.
  3. Робота з іноземними клієнтами: в своїй більшості, клієнти вітчизняних IT компаній знаходяться за кордоном – США, Європа, Великобританія і т.д. З одного боку, зарубіжні контрагенти цінують, коли бізнес ведеться чітко, правильно, надійно і в повній відповідності з законом (що включає в себе налагоджені механізми захисту інформації). З іншого боку, при роботі з іноземними клієнтами ви отримуєте в розпорядження їх секрети, їх інформацію, а тому стаєте відповідальними вже не тільки перед самими собою, а й перед клієнтами. Тому для спокійного сну вночі потрібно мати надійну систему захисту.
  4. Вимоги законодавства: банальна, але через це не менш важлива причина – вимоги законодавства. Законодавство кожної країни встановлює свої власні, але незмінно жорсткі та конкретні зобов’язання щодо захисту конфіденційної інформації і персональних даних. Якщо Ваша компанія не буде їх дотримуватися – Ви легко можете потрапити до суду, де зустрітись як з представниками держорганів, так і з клієнтом / замовником, з конфіденційною інформацією якого трапилася неприємність.

Як IT компаніям захищати конфіденційну інформацію?

Перш за все, Вам слід визначити, що ж в компанії є саме цією конфіденційною інформацією. У кожній компанії є як стандартні категорії такої інформації (наприклад, розмір заробітної плати, умови роботи, побудова бізнес-процесів і т.д.), так і спеціальні категорії, які залежать від діяльності компанії (наприклад, для тих, хто орендує приміщення – система паролів та доступів; для тих, хто займається розміщенням онлайн-реклами – алгоритми пошуку Паблішерів та рекламодавців і т.д.).

Як тільки Ви визначилися і склали вичерпний перелік інформації, яка є конфіденційною, Вам потрібно вдатися до другого виду захисту, які повинні здійснюватися нерозривно один від одного.

Перший вид захисту – документальний. Він полягає в необхідності закріпити всі Ваші принципи, рішення, правила, способи захисту і т.д. на папері. Це повинно включати в себе наступні дії:

  1. Складання і підписання угоди про нерозголошення конфіденційної інформації (NDA) з кожним із співробітників, клієнтів, інвесторів, постачальників, підрядників, контрагентів і т.д. Для душевного спокою, NDA варто підписувати навіть зі стажерами і відвідувачами, так як вони теж можуть, випадково чи ні, отримати доступ до конфіденційної інформації.
  2. Складання Положення компанії про захист конфіденційності. Вимога до наявності такого документа найчастіше встановлюється законодавством для компаній, які працюють зі співробітниками за трудовими договорами. У той же час, для компаній, які працюють за схемою договорів з підрядниками, складання такого документа також може бути вигідним. З кожного співробітника має бути письмове зобов’язання, в якому співробітник вказує, що ознайомився з текстом Положення і зобов’язується не порушувати його норми.
  3. Складання внутрішніх процедур поводження з конфіденційною інформацією. Ці документи будуть суто внутрішніми документами IT компанії. Вони повинні регламентувати порядок і правила доступу до конфіденційної інформації; її пересилання; доступу до неї третіх осіб; перелік співробітників, яким дозволено доступ до тієї чи іншої інформації; алгоритм дії в разі порушення захисту конфіденційної інформації і т.д.Для складання цих документів IT компанії слід звернутися до профільної юридичній фірмі, яка б проконсультувала компанію з цього питання, провела аналіз її рівня захисти конфіденційної інформації і склала необхідні документи.

Другий вид захисту – технічний. Він полягає в необхідності реалізувати на ділі всі Ваші рішення і плани. Це повинно включати в себе наступні дії:

  1. Визначити, хто має доступ до конфіденційної інформації на даний момент. Це дозволить Вам зрозуміти, в якому масштабі потрібно впроваджувати захисні алгоритми, які місця в питанні захисту є найбільш уразливими і т.д. Одним з найпоширеніших підходів є рішення не давати повного доступу до конфіденційної інформації нікому, в тому числі – IT-фахівцям.
  2. Встановити контролює ПО. Завжди важлива не тільки оцінка ризиків, але і подальший моніторинг. Тому після аналізу ситуації з доступом до конфіденційної інформації необхідно контролювати, хто і як користується, пересилає, змінює, доповнює, видаляє, переглядає і т.д. цю інформацію. Також, у разі будь-якого порушення системи захисту така інформація і аналітика буде на вагу золота.
  3. Внутрішня система для роботи і спілкування співробітників. Створення корпоративного таск-менеджера і чат-системи між співробітниками добре тим, що, по-перше, це дозволяє на 99% забезпечити оборот і передачу конфіденційної інформації тільки всередині таких корпоративних систем, а не через відкриті джерела (наприклад, Telegram, Facebook і т . Д.), а по-друге, збирати дані про будь-які операції з конфіденційною інформацією на випадок можливого порушення її захисту.
  4. Паролі. Переконайтеся, що доступ до всього знаходиться під захистом. Криптографічне шифрування ПК, паролі доступу до папок з конфіденційною інформацією, особисті паролі доступу в корпоративну систему для кожного співробітника і т.д. – все це є очевидно необхідним, а також дозволяє збирати дані про доступ до конфіденційної інформації, які можуть стати в нагоді для аналітики.
  5. Система захисту від кібератак. Така система базово може включати в себе превентивні засоби захисту, процедуру резервного копіювання конфіденційної інформації, прописаний алгоритм дії в разі кібератаки або іншого порушення захисту конфіденційної інформації і т.д.

Окремі заходи можуть знадобитись IT компаніям, які знімають великі офіси. Для таких компаній розумним буде встановити обов’язкову рівневу систему доступу до приміщень (вхід-відділи-кабінети), мати систему відеоспостереження, службу охорони, захищену Wi-Fi мережу і т.д.

Підсумки

Загалом, захист конфіденційної інформації – це не питання п’яти хвилин. Це можна порівняти з підтриманням спортивної форми: цим потрібно займатися постійно, методично і з розумом, а навіть найкоротша перерва може призвести якщо не до незворотніх наслідків, то до досить серйозних втрат.

Також, не варто забувати, що це повинно бути комплексним процесом. Підписання з усіма співробітниками договору без впровадження реальних механізмів забезпечення конфіденційності або навпаки – розробка та впровадження хорошої системи і алгоритмів захисту інформації, працюючи без документів «під чесне слово» – будь-який з таких варіантів не буде працювати. Машина без двигуна, за великим рахунком, марна, як і двигун – без машини.

Тому дбайте про конфіденційність і будьте зразковою IT компанією.

Первинна консультація по ІТ праву у твоєму кейсі. Не зволікай ;)Твоє запитання ІТ юристам


Отримуй сповіщення про нові статті :)