Конфедециальность в ИТ-бизнесе

Автор работы: Пользователь скрыл имя, 27 Октября 2013 в 19:57, реферат

Краткое описание

Основная идея при охране конфиденциальной информации проста – защищая ценную для вас информацию, вы не даете возможность потенциальным конкурентам узнать о ней и использовать ее в коммерческих целях.
Соблюдение режима коммерческой тайны должно быть неотъемлемой частью мер по защите интеллектуальной собственности не только в ИТ-компаниях, но и в тех компаниях, где используется программное обеспечение, бизнес-процессы, дающие конкурентные преимущества на рынках. Особенно это важно для тех компаний, в которых внедрено уникальное программное обеспечение или программное обеспечение, сопровождающее критически важные бизнес-процессы. Необходимо иметь в виду, что довольно большая часть условий, создающих предпосылки и возможность неправомерного пользования конфиденциальной информацией, возникает из-за элементарных недоработок менеджеров компаний и их сотрудников.

Содержимое работы - 1 файл

Конфиденциальность в ИТ-бизнесе.docx

— 45.23 Кб (Скачать файл)

 

Практика показывает, что  данный вопрос лучше решать коллегиально. Без помощи владельцев бизнес-процессов  при определении перечня информации, составляющей коммерческую тайну, не обойтись. Поэтому будет серьезной ошибкой, если формирование перечня будет  возложено только на службу безопасности или юридический отдел. Для разработки перечня сведений необходимо создать  рабочую группу из наиболее квалифицированных  и компетентных специалистов ключевых подразделений компании.

 

В группу желательно включить:

 

специалиста, владеющего финансовыми  вопросами;

специалиста, полностью представляющего  работу компании, ее особенности;

юрисконсульта;

специалистов, обладающих всеми  сведениями о конкретных проектах, ИТ- разработках, программных продуктах, их функциональности, методологии их разработки.

Результатом работы рабочей  группы должен стать перечень сведений, составляющих коммерческую тайну компании, который оформляется в локальном  документе «Перечень сведений, составляющих коммерческую тайну» Это документ необходимо утвердить уполномоченным органом  или должностным лицом компании. Вполне естественно, что по мере необходимости  этот перечень должен пересматриваться, изменяться и дополняться.

 

Перечень доводится до структурных подразделений и  их сотрудников для использования  в работе. Вновь принимаемые на работу сотрудники должны расписаться  в том, что ознакомлены с перечнем сведений. Факт ознакомления можно  зафиксировать в приказе о  приеме на работу, в соглашении о  конфиденциальности с ИТ-специалистом или в одном из разделов трудового  договора.

 

9.2.7.2. Что следует охранять

К конфиденциальной информации в сфере разработки программного обеспечения может относиться:

 

все программные объектные  коды, не распространяемые публично, исходные коды, альфа- и бета-версии программных  продуктов компании;

методология программирования, техники дизайна, способы оптимизации  работы программного обеспечения;

техническая документация, спецификации;

используемые в программном  обеспечении алгоритмы, формулы;

планы на новые услуги и  программные продукты, данные о заказчиках компании, доходы и затраты компании по каждому проекту и в целом  по компании;

идеи, которые дают вашей  компании конкурентные преимущества и  тем самым не позволяют компаниям-конкурентам  стартовать раньше вас с новым  интересным проектом;

информацию о разрабатываемом  новом программном обеспечении, его функциональности от компаний-конкурентов;

бизнес-процессы, которые  оптимизируют ту или иную область  деятельности вашей компании.

Следует учесть и другие факторы. Например, компания может применять  широко известные методы автоматизации  производства, технологические приемы и т.п. и при этом достигать  высокой прибыли. Несмотря на общедоступность  таких данных, сам факт их применения может являться коммерческой тайной.

 

Не рекомендуется использовать отнесение каких-либо сведений к  категории коммерческой тайны в  целях уклонения от уплаты налогов, сокрытия фактов нанесения ущерба здоровью людей, а также других противозаконных  действий.

 

9.2.7.3. Какие сведения не  могут быть коммерческой тайной

По большому счету, решать вопрос о том, какую информацию признавать конфиденциальной, дело самого владельца  информации. Вместе с тем вольности  компаний ограничены нормами законодательства. В Беларуси режим коммерческой тайны  не может быть установлен в отношении  следующих документов и сведений:

 

учредительные документы, а  также документы, дающие право на занятие предпринимательской деятельностью  и отдельными видами хозяйственной  деятельности;

сведения по установленным  формам отчетности о финансово-хозяйственной  деятельности и иные данные, необходимые  для проверки правильности исчисления и уплаты налогов и других обязательных платежей;

документы о платежеспособности;

сведения о численности  и составе работающих, их заработной плате и условиях труда, а также  о наличии свободных рабочих  мест.

Вместе с тем некоторые  сведения из этого списка исключений уже не отвечают сложившейся деловой  практике. Например, сегодня практически  в каждой компании существует формальный или неформальный запрет на разглашение  информации о заработной плате. Более  того, зачастую в трудовые контракты  работников включаются условия, запрещающие  им разглашать сведения, относящиеся  к размеру и условиям оплаты их труда. С другой стороны, бывают исключения, когда сотруднику необходимо раскрыть информацию о доходах, например, при  получении визы для поездки за рубеж или получения кредита  в банке. Эти случаи необходимо также  регулировать в соглашениях о  конфиденциальности с сотрудниками.

 

9.2.7.4. Разработка положения  о коммерческой тайне

Далее должен быть разработан документ, регламентирующий порядок  обращения с документами и  учет лиц, получивших доступ к информации, составляющей коммерческую тайну, нанесение  на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая  тайна».

 

Данное положение разрабатывается  в составе той же группы, которая  занималась формированием перечня  сведений, составляющих коммерческую тайну.

 

Примерная структура положения  по защите коммерческой тайны может  выглядеть следующим образом:

 

общие положения;

конфиденциальная информация;

ответственность за разглашение  конфиденциальной информации;

система доступа сотрудников  к сведениям, составляющим конфиденциальную информацию;

круг лиц, имеющих право  давать разрешение на доступ к конфиденциальной информации;

порядок оформления разрешения на доступ к конфиденциальной информации;

порядок подготовки и издание  конфиденциальных документов;

делопроизводство с документами, содержащими конфиденциальную информацию;

приложения.

Правила, устанавливаемые  данным положением, не должны быть затратными в материальном выражении. Также  на совершение необходимых процедур не должно уходить много времени, которое лучше с пользой тратить  на производственные активности. Этот документ должен пройти аудит производственных подразделений с тем, чтобы его  требования не создавали проблем  для эффективной работы компании.

 

9.2.7.5. Маркирование конфиденциальных  документов грифом «Коммерческая  тайна»

Законодательство требует  определить порядок нанесения на все носители информации, составляющей коммерческую тайну, непременного их атрибута – ограничительного грифа. При этом какие-либо оригинальности типа «Внимание: секретно», «Очень строго секретно»  или просто «КТ» использоваться не должны. Только гриф «Коммерческая  тайна», да еще с указанием обладателя этой информации (для юридических  лиц – полное наименование и место  нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

 

Также рекомендуется маркировать  документы (бумажные и электронные), содержащие конфиденциальную информацию, путем проставления грифа конфиденциальности в правом верхнем углу титульного листа.

 

Маркировка конфиденциальных документов осуществляется ответственным  за их подготовку или ответственным  за работу с данными документами. Маркировка сообщений электронной  почты осуществляется пользователем, выполняющим отправку (распространение) данных сообщений. О порядке оформления таких надписей и их содержании вы сможете узнать в подразделе «Уведомление о конфиденциальной информации в  документах и электронных сообщениях».

 

В документах, содержащих конфиденциальную информацию и передаваемых третьей  стороне, на обороте титульного листа  в обязательном порядке должна быть сделана пометка с требованием  сохранять конфиденциальный характер этого документа.

 

9.3. Корпоративные правила  по охране конфиденциальной информации

9.3.1. Использование паролей  доступа

Пароль можно сравнить с зубной щеткой, о которой говорят: «Используйте ее каждый день, меняйте  регулярно, не делитесь ею с друзьями». И системный администратор, и  конкретный пользователь должны совместно  заботиться об этой «зубной щетке», то есть контролировать и выполнять  инструкции, связанные с идентификацией пользователей.

 

Существует ряд правил, которые рекомендуется соблюдать  при использовании паролей доступа:

 

должно быть технически невозможно установить один из 10 ранее набранных  паролей;

не следует использовать для входа только логин без  введения пароля. Соблюдение этого  правила необходимо вменить в  обязанности системному администратору;

не сохраняйте пароли, которые  вам достались при покупке  устройства от поставщика. Заменяйте  их на новые;

не вводите пароль в  то время, когда кто-либо находится  рядом с вами;

не храните свой пароль на онлайн-ресурсах и не посылайте  его по электронной почте.

9.3.2. Рекомендации по выбору  пароля

Существует ряд рекомендаций по выбору паролей доступа:

 

не вводите пароли с  именами или фамилиями ваших  родственников и тем более  своими данными. Также нежелательно использовать названия автомобилей, домашних животных. Впрочем, если вашу собаку зовут  Зуикаку, а не Тузик, то вряд ли взломщик догадается о таком пароле;

вводите длинные пароли, не менее 6–8 символов;

вводите смешанные пароли, состоящие из цифр и букв, не используйте  при этом номера вашего домашнего  или мобильного телефонов;

используйте разные пароли для  разных рабочих станций или устройств;

используете специальные  символы типа: # или $;

используйте бессмысленные  слова типа «абырвалг».

При этом, на наш взгляд, не стоит менять пароли очень часто  и слишком усложнять содержание пароля. Как взломщику легче всего  проникнуть в дверь, которая у  вас называется корпоративной сетью? Разумеется, воспользовавшись тем же ключом, который используете вы. Зачастую в компаниях требуют вводить пароли с большим количеством символов, с обязательством их неповторения, использования множества цифр, заглавных и незаглавных букв.

 

К чему могут привести такие  чересчур сложные правила и процедуры  выбора пароля? Человек не робот  и не может запоминать сложные  комбинации цифр типа «UkL#56Divin!JHGky26». В  этой ситуации большая часть сотрудников  начнет записывать пароли в мобильные  телефоны, записные книжки, блокноты и  т.д. В результате такой политики вы вскоре увидите, как на мониторах  или прямо на письменном столе  начнут появляться приклеенные стикеры, на которых будут записаны пароли.

 

9.3.3. Системы хранения паролей

В наше информационно-коммуникационное время приходится запоминать множество  паролей. Вам потребуется пароль для электронной почты, локальных  сетей, для домашней странички и  доступа к FTP, пароли в Интернете, аккаунты на форумах и веб-сайтах и т.д. Этот список бесконечен. Кроме  того, необходимо использовать разные пароли для каждой учетной записи. Ведь если вы используете только один пароль и везде его применяете, то у вас могут возникнуть проблемы. Когда вы начинаете понимать, что  паролей в вашей жизни становиться  много, на помощь приходят системы управления и хранения паролей.

 

Такие системы помогут  вам управлять вашими паролями и  сохранят их в безопасности. Вы сможете  поместить все ваши пароли в одну базу данных, которая надежно закрыта  единственным мастер-паролем или  ключевым файлом. В этом случае вам  необходимо запомнить только один мастер-пароль или выбрать ключевой файл, чтобы  управлять всей базой данных. Базы данных находятся в зашифрованном  виде с применением безопасных алгоритмов шифрования. Один из таких менеджеров управления паролями на условиях свободной  лицензии – KeePass.

 

9.3.4. Рейтинг худших паролей

Многие пользователи сети Интернет предпочитают не заморачиваться сложными паролями. Эксперты по кибербезопасности  составили реальный рейтинг плохих паролей, неспособных защитить личную информацию даже от начинающего хакера.

 

Возглавляет этот список слово password. Судя по всему, выбирающие его  пользователи слишком буквально  понимают запрос ввести пароль во время  входа в защищенные сервисы.

 

Обратите внимание на этот список жертв хакеров и найдите  время выбрать себе пароль позамысловатее.

 

password

123456

3.12345678

qwerty

abc123

monkey

1234567

letmein

trustno1

dragon

baseball

111111

iloveyou

master

sunshine

ashley

bailey

passw0rd

shadow

123123

654321

superman

qazwsx

michael

football

9.4. Обязательства сотрудников  о конфиденциальности в ИТ-сфере

Несмотря на то что теперь практически каждый сотрудник в  сфере информационных технологий при  поступлении на работу берет на себя обязательства о неразглашении  конфиденциальной информации, законодательное  регулирование соответствующих  вопросов вряд ли можно признать удовлетворительным.

 

В практике бизнеса в США  и Западной Европы соглашения о конфиденциальности не только получили значительное распространение, но и обоснованно считаются весьма эффективным правовым механизмом защиты интересов обладателя коммерческой тайны.

 

Поскольку информация, защищаемая в режиме коммерческой тайны, может  быть разглашена сотрудниками, консультантами ИТ-компаний либо конкурентами или  контрагентами с нарушением требований законодательства о недобросовестной конкуренции, особую актуальность приобретают  способы защиты такой информации.

Информация о работе Конфедециальность в ИТ-бизнесе