Утечка коммерческой информации и мероприятия по ее устранению и ограничению
Возможные каналы утечки информации и мероприятия по их устранению и ограничению. Технические средства охраны. Права работодателя при отсутствии и наличии трудового договора с работником. Охрана коммерческой тайны в гражданско-правовых отношениях.
Рубрика | Менеджмент и трудовые отношения |
Вид | реферат |
Язык | русский |
Дата добавления | 22.02.2011 |
Размер файла | 25,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
РЕФЕРАТ
на тему:
«Утечка коммерческой информации и мероприятия по ее устранению и ограничению»
1. Каналы утечки информации и мероприятия по их устранению и ограничению
Создание защищенной системы - задача комплексная, и решается она путем применения программно-технических методов и средств, а также с помощью организационных мероприятий. Конкретные средства защиты информации реализуют только типовые функции по ее защите, реальная же защитная система строится исходя из возможных угроз и выбранной политики безопасности.
Ниже приводится обобщенный перечень угроз и предлагается перечень мероприятий по защите данных.
Компонент АС |
Возможные угрозы безопасности информации |
Рекомендуемые мероприятия по защите |
|
Защищаемые помещения |
1. Радиозакладки 2. Утечка информации по техническим каналам (акустический, виброакустический, акустоэлектрический, ПЭМИН, визуально-оптический) |
1. Проверка помещений на закладки 2. Проверка помещений на соответствие требованиям СТР-К 3. Аттестация помещений |
|
Система электропитания и заземления |
1. Утечка информации по цепям электропитания и заземления 2. Вывод из строя СВТ воздействием ЭМИ |
1. Размещение трансформаторных подстанций в пределах контролируемой зоны 2. Установка контура заземления в пределах контролируемой зоны 3. Установка фильтров на вводах первичного электропитания |
|
Кабельная система и пассивное оборудование сети передачи данных |
1. ПЭМИН 2. Информационные наводки за счет параллельного пробега с техническими коммуникациями ВТСС 3. Несанкционированное подключение к кабельной магистрали и кроссам |
1. Проверка соответствия ПЭМИН размерам контролируемой зоны 2. Экранирование магистральных линий 3. Прокладка кабельной системы в коробах 4. Физическая защита технических помещений и ограничение доступа к кроссам 5. Линейное зашумление линий ВТСС 6. Оптоволокно |
|
Активное сетевое оборудование сети передачи данных |
1. ПЭМИН 2. Несанкционированное подключение к портам оборудования 3. Перехват трафика 4. Отключение электропитания 5. Отказы и сбои аппаратуры |
1. Получение предписания на эксплуатацию 2. Размещение в экранированных приборных стойках 3. Физическая защита помещений и ограничение доступа к оборудованию 4. Аудит ПО рабочих станций и серверов, защита ПО от несанкционированного изменения 5. Применение устройств бесперебойного электропитания 6. Резервирование оборудования и ЗИП |
|
Средства ВТ (серверы, рабочие станции) |
1. ПЭМИН 2. Доступ к информации путем использования несанкционированного ПО 3. Отключение электропитания 4. Несанкционированный доступ к серверам и рабочему месту администратора безопасности 5. Отказы и сбои аппаратуры |
1. Получение предписания на эксплуатацию 2. Применение сертифицированных ФСТЭК программно-аппаратных комплексов защиты от НСД 3. Применение устройств бесперебойного электропитания 4. Физическая защита помещений и ограничение доступа к оборудованию 5. Резервирование оборудования и ЗИП 6. Пространственное зашумление |
|
Системное программное обеспечение |
1. Нарушение целостности ПО путем использования несанкционированного ПО 2. Ошибки администратора 3. Ошибки пользователя |
1. Применение сертифицированных ФСТЭК программно-аппаратных комплексов защиты от НСД 2. Применение ПО защиты от вирусов 3. Резервное копирование 4. Контроль со стороны администратора безопасности 5. Обучение пользователей |
|
Прикладное программное обеспечение |
1. Нарушение целостности ПО путем использования несанкционированного ПО 2. Ошибки администратора 3. Ошибки пользователя |
1. Применение сертифицированных ФСТЭК программно-аппаратных комплексов защиты от НСД 2. Применение ПО защиты от вирусов 3. Резервное копирование 4. Контроль со стороны администратора безопасности 5. Обучение пользователей |
|
Данные |
НСД к данным (хищение, уничтожение, изменение) |
1. Применение сертифицированных ФСТЭК программно-аппаратных комплексов защиты от НСД 2. Применение ПО защиты от вирусов 3. Резервное копирование 4. Контроль со стороны администратора безопасности |
|
Персонал |
1. Хищение сменных носителей 2. Хищение бумажных копий документов 3. НСД к информации в ЛВС 4. Неумышленные ошибки пользователя 5. Ошибки администрирования АС 6. Компрометация паролей доступа и ключей шифрования |
1. Учет и соответствующее хранение сменных носителей 2. Отключение НГМД 3. Учет и соответствующее хранение бумажных носителей 4. Установка печатающих устройств в режимных помещениях 5. Применение сертифицированных ФСТЭК программно-аппаратных комплексов защиты от НСД 6. Обучение пользователей 7. Разработка и внедрение нормативных документов и инструкций 8. Разделение функций администрирования и контроля между системными администраторами и администраторами безопасности 9. Организация и поддержание системы генерации паролей 10. Организация скрытого контроля за работой персонала |
2. Технические средства охраны
Применение технических средств охраны (таких, как ограждения, запоры, сигнализации и пр.) важно в качестве меры против краж коммерческой тайны по двум причинам. Наиболее очевидная состоит в том, что надежные технические средства безопасности сокращают возможности краж материальных носителей информации. Другая причина состоит в том, что законодательство об охране коммерческой тайны возлагает на правообладателя всю заботу о ее сохранении. Поэтому к защите закона придется прибегать, только когда меры охраны нарушены.
Шифрование относится к числу наилучших мер хранения секретной информации. С помощью современных методов шифрования можно создавать практически не разгадываемые коды. Все большее количество секретной информации хранится в компьютерах. Компьютерные программы могут использоваться как для шифрования, так и для дешифровки данных без каких-либо серьезных затрат. Шифрование данных особенно важно при их передаче из одного места в другое, поскольку уязвимость для вторжения особенно высока именно в процессе передачи информации. Кроме того, достоинством шифрования, несомненно, является и то, что оно отвечает требованию закона о принятии правообладателем «разумных мер для обеспечения секретности» как необходимого условия правовой охраны коммерческой тайны.
В настоящее время возникло некоторое противоречие между стремлением правительств иметь доступ к информации о возможных преступниках, в особенности в делах о международном терроризме, и стремлением бизнеса обеспечить высокий уровень охраны для своей действительно секретной информации. Правительство может либо запретить использование высокоэффективных методов шифрования, либо потребовать передачи компетентным органам шифровальных ключей (своего рода «депонирования ключа») с тем, чтобы иметь доступ к шифру в случае необходимости. Различия в правилах и ограничениях по шифрованию компьютерной информации могут создать определенные трудности в деловых международных контактах бизнесменов в плане обеспечения конфиденциальности их общения.
3. Права работодателя при отсутствии трудового договора с работником
В случае когда взаимоотношения между работодателем и работником не оформлены трудовым договором, в котором особо оговариваются обязанности последнего по сохранению коммерческой тайны, права работодателя приобретают нечеткий характер.
По законодательству ряда стран работодатель в такой ситуации имеет возможность доказывать существование подразумевающейся обязанности работника сохранять коммерческую тайну, что вытекает из самой природы трудовых отношений, порождающей обязанность по соблюдению лояльности и сохранению конфиденциальности. Но даже в этих странах права работодателя ограниченны и неопределенны. Ограничения, в частности, связаны с тем, что в соответствии с законодательством, регулирующим вопросы охраны коммерческой тайны, ничто не мешает бывшему работнику немедленно начать работать на конкурента.
Неопределенность прав работодателя особенно проявляется в вопросе о пределах действия законодательства об охране коммерческой тайны. Например, нет ответа на вопрос, может или нет бывший работник на новом месте привлекать старых клиентов из числа тех, кого он знал по старому месту работы.
Российское гражданское и трудовое право не содержат положений, закрепляющих или по крайней мере позволяющих вывести общую обязанность работников по сохранению в секрете сведений, составляющих коммерческую тайну их работодателей, если только такая обязанность прямо не принята на себя работниками при их приеме на работу или в последующем.
В этой связи отсутствие в трудовом договоре с работником особой оговорки о сохранении коммерческой тайны, равно как и иным образом оформленного обязательства работника о соблюдении конфиденциальности, по российскому законодательству исключает как применение к работникам, распространившим такие сведения, каких-либо санкций, так и предъявление претензий к третьим лицам, получившим от работников подобные сведения.
4. Права работодателя при наличии трудового договора с работником
Наличие заключенного трудового контракта между работодателем и работником открывает возможность более широкого и четкого его использования для охраны коммерческой тайны по сравнению со специальным законодательством, применяемым в этой области.
В ряде стран, например в США, большинство компаний, владеющих важными секретами, требует от своих работников в момент поступления на работу подписывать не просто трудовой договор, но и приложения к нему, специально регулирующие обязательства о неразглашении коммерческой тайны. Как правило, в такие контракты включается очень широкое ее определение и формулируется совершенно четкое обязательство работника не раскрывать ставшие известными ему сведения как во время работы в компании, так и в течение определенного периода после ухода из нее. Это называется договором о неразглашении. Кроме того, в договор могут включаться условия, на определенный период времени запрещающие работнику после его ухода наниматься к конкуренту, это так называемое Соглашение об ограничении конкурирующей деятельности.
В Российской Федерации практика включения в трудовые договоры специальной оговорки о неразглашении (конфиденциальности) начала складываться в конце 80-х годов прошлого века, т.е. еще до того, как в законе было закреплено само понятие коммерческой тайны и внесены соответствующие изменения в трудовое законодательство. Последнее произошло лишь в 1998 г. в результате принятия Закона РФ от 6 мая 1998 г. «О внесении изменений и дополнений в ст. 15 КЗоТ РФ», который допустил включение в трудовой договор условий о неразглашении работником сведений, составляющих коммерческую тайну, ставших известными ему в связи с исполнением своих должностных обязанностей.
Действующее трудовое законодательство позволяет работодателю обязать работника не разглашать сведения, составляющие коммерческую тайну, включив соответствующее условие в содержание трудового договора (ст. 57 ТК РФ). В случае нарушения этого условия к работнику может применяться как материальная, так и дисциплинарная ответственность (вопросы ответственности будут рассмотрены ниже).
Ст. 11 ФЗ «О коммерческой тайне» закрепляет условия, которые работодатель обязан выполнить для того, чтобы обеспечить конфиденциальность информации. Работодатель обязан ознакомить под расписку с перечнем информации, составляющей коммерческую тайну, работника, доступ которого к такой информации необходим для выполнения им своих трудовых обязанностей. Для этого ему прежде всего придется принять локальный акт, содержащий перечень информации, составляющей коммерческую тайну, обладателями которой являются сам работодатель и его контрагенты. Указанная информация в силу указания Гражданского кодекса РФ и ФЗ «О коммерческой тайне» должна обладать действительной или потенциальной коммерческой ценностью в силу неизвестности ее третьим лицам. При составлении такого перечня следует иметь в виду, что некоторые сведения по прямому указанию закона не могут быть отнесены к сведениям, составляющим коммерческую тайну (что также рассматривалось ранее).
Кроме того, работодатель должен ознакомить работника под расписку с установленным в организации режимом коммерческой тайны и с мерами ответственности за его нарушение. Режим коммерческой тайны - это правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности. Введение режима коммерческой тайны является одним из дефинитивных признаков информации, составляющей коммерческую тайну. Вопросы установления режима коммерческой тайны рассматривались ранее.
Кроме того, работник должен быть предупрежден под расписку об ответственности за разглашение сведений, составляющих коммерческую тайну. Так, нарушение режима коммерческой тайны может повлечь дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. Кроме того, трудовым законодательством предусмотрено применение к работнику, разгласившему коммерческую тайну, материальной ответственности.
Наконец, в обязанности работодателя входит создание работнику необходимых условий для соблюдения им установленного режима коммерческой тайны. Организация труда работника и создание необходимых условий для исполнения им своей трудовой функции является обязанностью работодателя. В этой связи работодатель должен обеспечить работника необходимым оборудованием, инструментами, технической документацией и иными средствами, необходимыми для работы с информацией, составляющей коммерческую тайну.
Допуск работника к сведениям, составляющим коммерческую тайну, осуществляется с его согласия, за исключением случая, когда выполнение им своих трудовых обязанностей с необходимостью предполагает работу с информацией, составляющей коммерческую тайну. В данном случае необходимо различать две возможные ситуации.
Если работник отказывается от включения в трудовой договор условия о неразглашении коммерческой тайны и оформления допуска к сведениям, составляющим коммерческую тайну, при приеме на работу, предполагающую доступ к таким сведениям, то работодатель может отказать ему в заключении трудового договора.
Несколько сложнее решается этот вопрос, если необходимость оформления допуска к коммерческой тайне возникла после заключения трудового договора. Работодатель обладает правом относить те или иные сведения к информации, составляющей коммерческую тайну и вводить в отношении нее режим коммерческой тайны. В этой связи может возникнуть ситуация, когда необходимо внести соответствующие изменения в трудовой договор с работником и предусмотреть в нем условие о неразглашении коммерческой тайны. Между тем, согласно ст. 57 Трудового кодекса РФ, любые условия трудового договора могут быть изменены только по соглашению сторон и в письменной форме. Но как быть в той ситуации, когда работник отказывается от изменения трудового договора? На наш взгляд, в таком случае следует руководствоваться ст. 73 ТК РФ, которая допускает изменение определенных сторонами существенных условий трудового договора в одностороннем порядке по инициативе работодателя без изменения трудовой функции по причинам, связанным с изменением организационных или технологических условий труда. На наш взгляд, введение режима коммерческой тайны вполне может рассматриваться как изменение организационных условий труда. Трудовое законодательство обязывает работодателя уведомить работника о введении указанных изменений в письменной форме не позднее чем за два месяца до их введения.
Если работник не согласен на продолжение работы в новых условиях, то работодатель обязан в письменной форме предложить ему иную имеющуюся в организации работу, соответствующую его квалификации и состоянию здоровья, а при отсутствии такой работы - вакантную нижестоящую должность или нижеоплачиваемую работу. При отсутствии указанной работы, а также в случае отказа работника от предложенной работы трудовой договор прекращается в соответствии с п. 7 ст. 77 Трудового кодекса.
Законодательно закреплены обязанности работника в связи с охраной конфиденциальности информации, составляющей коммерческую тайну.
Прежде всего, к таким обязанностям относится соблюдение установленного работодателем режима коммерческой тайны, т.е. правовых, организационных, технических и иных мер по ее охране. Такие меры предусматриваются локальным актом работодателя, имеющим обязательный характер для работника. Нарушение режима коммерческой тайны может рассматриваться как дисциплинарный проступок и является основанием для применения к работнику дисциплинарного взыскания. Вместе с тем следует отличать нарушение режима коммерческой тайны от разглашения сведений, составляющих коммерческую тайну. На наш взгляд, несоблюдение режима коммерческой тайны, даже если в результате этого соответствующая информация стала известной третьим лицам, не может являться основанием для увольнения работника по пп. «в» п. 6 ст. 81 ТК РФ, т.е. за разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.
В этой связи разграничивается обязанности работника по соблюдению режима коммерческой тайны и неразглашению информации, составляющей коммерческую тайну. Под разглашением сведений, составляющих коммерческую тайну, следует понимать сообщение указанных сведений третьему лицу в любой форме (в т.ч. опубликование в СМИ или размещение на сайте и т.п.). Запрещается не только разглашать информацию, составляющую коммерческую тайну, без согласия работодателя, но и использовать ее в личных целях. Имеется в виду использование такой информации без передачи ее третьим лицам как с целью извлечения выгоды, так и по другим личным мотивам (например, с целью «отомстить работодателю», причинить ему вред).
Обязательство не разглашать информацию, составляющую коммерческую тайну, которая стала известной лицу в связи с исполнением им своих трудовых обязанностей, не прекращается и при расторжении трудового договора. Закон закрепляет обязанность работника не разглашать указанную информацию в течение трех лет после прекращения трудового договора. Кроме того, стороны в период срока действия трудового договора могут заключить соглашение и установить больший или меньший срок, в течение которого работник обязан не разглашать информацию, составляющую коммерческую тайну. При прекращении или расторжении трудового договора работник должен передать работодателю имеющиеся у него материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
В случае разглашения работником информации, составляющей коммерческую тайну, Законом закрепляет обязанность по возмещению ущерба, причиненного работодателю. Материальная ответственность работника рассмотрена в соответствующей главе.
Законом предусмотрена ответственность «бывшего работника» за разглашение информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, установленного специальным соглашением с работодателем, а при отсутствии такого соглашения - в течение трех лет после прекращения трудового договора. Обратим внимание, что законодатель в данном случае говорит уже не о возмещении ущерба, а о возмещении убытков. Согласно ст. 15 ГК РФ, под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Таким образом, «бывший работник» в случае разглашения коммерческой тайны обязан будет возместить не только реальный ущерб, но и упущенную выгоду, поскольку после прекращения трудового договора ответственность за разглашение коммерческой тайны будет наступать в порядке, предусмотренном не трудовым, а гражданским законодательством.
ФЗ «О коммерческой тайне» закреплены обстоятельства, освобождающие работника от ответственности за разглашение коммерческой тайны: непреодолимая сила, крайняя необходимость и неисполнение работодателем обязанности по обеспечению режима коммерческой тайны. Нужно отметить, что ст. 239 ТК РФ также предусматривает ряд обстоятельств, исключающих материальную ответственность работника.
Под непреодолимой силой принято понимать чрезвычайное и непредотвратимое в данных условиях обстоятельство, в силу которого был причинен ущерб. Традиционно к таким обстоятельствам принято относить различного рода стихийные бедствия, аварии, катастрофы и т.п.
Под крайней необходимостью понимают необходимость устранения опасности, непосредственно угрожающей личности и правам данного лица или других лиц, а также охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и если причиненный вред является менее значительным, чем предотвращенный вред. Например, допустимо причинение любого ущерба имуществу для предотвращения угрозы жизни или здоровью людей.
Кроме того, работник не будет нести ответственность за разглашение сведений, составляющих коммерческую тайну в случае нарушения работодателем своих обязанностей по обеспечению режима коммерческой тайны (подробно об этих обязанностях мы говорили выше).
Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны. Подобная ситуация может иметь место, например, в случае отнесения к сведениям, составляющим коммерческую тайну, информации, в отношении которой не может быть установлен режим коммерческой тайны. Кроме того, не следует забывать, что информация, составляющая коммерческую тайну должна обладать действительной или потенциальной ценностью в силу неизвестности ее третьим лицам, что также ограничивает усмотрение работодателя в части отнесения сведений к информации, составляющей коммерческую тайну. Порядок обжалования работником незаконного установления режима коммерческой тайны регламентируется трудовым и гражданско-процессуальным законодательством.
Дела по спорам, возникшим из трудовых правоотношений, подведомственны судам общей юрисдикции. Решая вопрос о подсудности дела, следует иметь в виду, что, исходя из содержания пункта 6 части 1 ст. 23 ГПК РФ, мировой судья рассматривает в качестве суда первой инстанции все дела, возникшие из трудовых отношений, за исключением дел о восстановлении на работе и дел о признании забастовки незаконной независимо от цены иска. Соответственно, работник может обжаловать незаконное установление в отношении него режима коммерческой тайны мировому судье.
5. Охрана коммерческой тайны в гражданско-правовых отношениях
утечка информация охрана тайна
Вопрос об охране коммерческой тайны в гражданско-правовых договорных отношениях не менее актуален, чем в трудовых отношениях, особенно тогда, когда дело касается различных технических новшеств, результатов научных исследований и различного рода проектов. Применительно к отдельным гражданско-правовым договорам данный вопрос в основном решен самим законодателем. Так, в соответствии со ст. 762, 766, 771, 1032 ГК обязанности по обеспечению конфиденциальности сведений, касающихся предметов таких договоров, как договор подряда на выполнение проектных и изыскательских работ, договор на выполнение научно-исследовательских, опытно-конструкторских и технологических работ и договор коммерческой концессии (франчайзинга), прямо возложены на одну или на обе стороны этих договоров. Но и в этих случаях целесообразно дополнительно и достаточно определенно оговаривать в договоре объем сведений, признаваемых конфиденциальными, а также предусматривать особые санкции, например штраф, применяемые за нарушение данной обязанности.
Поскольку правила о большинстве гражданско-правовых договоров подобной обязанности не содержат, о ней может идти речь лишь тогда, когда условие о сохранении конфиденциальности прямо включено в договор. В договорной практике последних лет это обычно и делается, хотя нередко чисто автоматически, а подчас и без какой-либо к тому необходимости.
Иногда, однако, вопросы сохранения конфиденциальности возникают еще на этапе проведения переговоров о заключении договора. Например, при заключении лицензионных договоров или договоров франчайзинга потенциальным лицензиатам или пользователям демонстрируются те технические новшества и связанные с ними секреты производства, которые составляют объект предоставляемых по этим договорам прав. Переговоры могут и не завершиться заключением соответствующих договоров, а сведения, составляющие коммерческую тайну, становятся известными лицам, которые могут воспользоваться ими в своих интересах. Чтобы этого не произошло, необходимо подписание особого соглашения о сохранении в секрете всех сведений, к которым потенциальный контрагент получает доступ в ходе переговоров. Игнорирование данной рекомендации уже не раз оборачивалось для российских предпринимателей неблагоприятными последствиями.
Следует подчеркнуть, что при надлежащем оформлении обязанности договорного контрагента (потенциального контрагента) по сохранению конфиденциальности последний будет нести ответственность перед правообладателем за любые действия своих конкретных работников, разгласивших конфиденциальные сведения, которые стали им известны в связи с исполнением служебных обязанностей. В соответствии с господствующей доктриной, подкрепленной действующим российским законодательством, поведение работников, связанное с их должностными обязанностями (пусть даже последние при этом нарушены), рассматривается как поведение самого юридического лица. Приняв на себя обязанность по сохранению конфиденциальности, юридическое лицо должно самостоятельно позаботиться как о надлежащем оформлении соответствующих отношений со своими работниками, так и о создании реальных условий для выполнения этих обязанностей (подбор работников, упорядочение документооборота и т.п.). Поэтому независимо от квалификации действий самих работников за поведение последних должен отвечать их работодатель.
6. Организация службы информационной безопасности
По мере развития любой отечественной компании и роста стоимости ее информационных активов в той же мере развивается и служба информационной безопасности. При этом стратегия и тактика работы этой службы становится не только одной из основных функций высшего менеджмента компании, но и ее конкурентным преимуществом. Успех политики информационной безопасности компании зависит, конечно, от организационных и технических решений в области защиты информации. Но эффективности кадровых решений - вот что дает настоящие конкурентные преимущества. Или не дает. Давайте рассмотрим, каким уровнем компетентности должны обладать специалисты современной службы информационной безопасности российской компании, и как он влияет на сумму конкурентных преимуществ компании.
Сегодня ведущие отечественные компании создают две ключевые позиции, отвечающие за информационную безопасность (ИБ):
· CISO (Chief Information Security Officer) - директор по информационной безопасности, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной происходящим в ней бизнес-процессам.
· BISO (Business Information Security Officer) - менеджер / специалист службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.
Согласно Gartner Research 2001 в компаниях, входящих в список Global 2000, наблюдается несколько тенденций.
Одна из них - вывод CISO из структуры отдела ИТ/автоматизации в подчиненность первому лицу компании (изменение статуса). Причина в том, что директор по информационным технологиям/ автоматизации (CIO) и директор по информационной безопасности (CISO) имеют разные конфликтующие интересы. CIO отвечает за работоспособность и оперативность работы КИС. В то же время CISO заботится о целостности и безопасности КИС с точки зрения непрерывности или устойчивости бизнеса. Иными словами, компаниям придется находить баланс между стремлением к наиболее быстрым способам доставки информации и помехами, создаваемыми дополнительным контролем. Поэтому, как отмечает Gartner Research 2001, CIO и CISO должны быть независимыми друг от друга, и оба подчиняться первому лицу компании.
Другая тенденция (в некоторых компаниях) - слияние департаментов информационной и физической безопасности в связи с тем, что у них есть некоторые общие функции: например, защита перспективных планов развития компании, решение задач контроля и управления доступом, защита активов компании и пр.
Наиболее продвинутые в отношении ИБ и управления рисками компании инвестируют средства в позицию CPO (Chief Privacy Officer), русский аналог - заместитель директора по безопасности. В этом случае CISO будет подчинен CPO.
Можно спрогнозировать, что рынком будут востребованы специалисты по ИБ с мощной технической и управленческой составляющей, что традиционно является проблемой для российского рынка труда.
К аналогичным выводам пришли аналитики консалтинговой компании КПМГ, отметив, что в наиболее благополучных с точки зрения ИБ компаниях эта функция входит в компетенцию высшего руководства. Согласно исследованию КПМГ, почти в половине организаций ответственность за ИБ была определена на уровне совета директоров, что наиболее характерно для финансового сектора. Непосредственное участие топ-менеджмента организации необходимо для постановки правильных целей в области ИБ. Руководство должно обеспечить функцию безопасности надлежащим уровнем инвестирования и ресурсов, а также оценивать ее эффективность.
Если поиск компетентного специалиста на позицию BISO - вопрос сложный, но вполне решаемый (во всяком случае, на московском и петербургском рынках труда), то поиск CISO, по всей видимости, является самой настоящей проблемой по причине несформированности профиля компетенции и отсутствия подготовленных специалистов.
Действительно, главная задача CISO - это оценка и управление технологическими, производственными и иными рисками компании в срезе информационной безопасности. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать риски и управлять ими в соответствии с целями и задачами компании и уровнем ее развития. Свою специфику также вносит сфера деятельности компании, ее размер и стоимость информационных активов.
CISO, по-видимому, будет входить в верхний эшелон управления компанией, чтобы иметь возможность сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий, возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров. Дело в том, что потребности бизнеса систематически «входят в клинч» с потребностями безопасности. CISO должен быть способен «переводить с русского на русский», то есть с технического на тот язык, который могут понять руководители бизнеса. В дополнение к солидному образованию и опыту в области защиты информации CISO, несомненно, должен обладать стратегическим складом ума, фундаментальными познаниями в управлении предприятием и лояльностью к компании. Для этого недостаточно только технического / технологического образования, также как и только «защитного». Есть два пути замещения вакантной позиции CISO.
· Один заключается в заполнении этой позиции аудиторами или аналитиками в области безопасности. Проблема в том, что хороший аналитик и хороший управленец - не одно и то же. Это люди с принципиально разным складом ума, структурой мотивации и компетентностью. Проще говоря, им нравится и они умеют разное. Для совмещения «двух в одном» профессионала аналитика в этом случае нужно значительно «подращивать» и укреплять по менеджерской составляющей.
· Второй путь - привлечение готового или почти готового специалиста из числа своих же сотрудников. В этом случае профессиональная компетенция будет усилена еще и знанием конкретного производства.
В настоящее время существуют три наиболее серьезных системы сертификации специалистов по защите информации.
По данным Gartner Research, среди компаний, составляющих Global 2000, предпочтения в области сертификации распределяются следующим образом:
· сертификацию CISSP (компания ISC2) - при приеме на работу или аттестации персонала требуют 40% компаний;
· сертификат SANS - 15% компаний;
· другие (MCSE, CISA, ABCP, внутренняя сертификация) - 25%.
Валидной отечественной сертификации пока не существует.
По мнению аналитиков, CISO должны быть способны выполнять следующие функции:
· разработку политики в области ИБ, включая регламенты, стандарты, руководства;
· разработку принципов классификации информационных потоков и управления ими с точки зрения безопасности;
· анализ рисков, их оценку;
· обеспечение персонала всех подразделений руководствами по исполнению политики безопасности, организацию соответствующего обучения и инструктирования;
· консультирование менеджеров компании и исполнительского персонала в пределах их компетенции по вопросам информационных рисков и защиты от них;
· согласование всех политик и регламентов для их успешного внедрения на всех уровнях компании;
· работу в составе рабочих групп или экспертных советов, оценивающих риски при внедрении новых технологий, модернизации производства, формировании планов технического обновления или иных изменениях в бизнесе, включение аспектов ИБ в самые ранние этапы данных проектов;
· совместная работа со службой безопасности в части, касающейся их обоих, например в функционировании пропускной системы;
· участие вместе с топ-менеджментом в управлении кризисом или внештатной ситуацией в области защиты информации в случае возникновения таковых;
· обеспечение высшего менеджмента компании регулярными обзорами состояния информационной безопасности, отчетами о внедрении политики безопасности;
· информационную поддержку топ-менеджеров в вопросах изменения законодательства, технических новшеств, имеющих отношение к сфере информационной безопасности.
Позволим себе несколько советов, которые могут помочь российским компаниям подготовить своего CISO.
1. CISO - это не башня из слоновой кости. С первых дней появления CISO в составе совета директоров ему придется находить общий язык с огромным количеством людей, выполняющих самые разные функции.
2. Открытость, с одной стороны, и избирательные коммуникации, с другой. Позиция предполагает следующую модель поведения: много слушаю, много собираю информации, много синтезирую - мало говорю.
3. Возможно, есть смысл в административном помощнике в связи с высокой информационной загруженностью.
4. Позиция предполагает большую повседневную работу по информированию, разъяснению огромному количеству людей принципов построения системы ИБ и их личной роли в ее нормальном функционировании. Если CISO не нравится заниматься этим, вряд ли он/она будет очень успешен.
5. CISO не должен бояться слышать регулярное «нет» в ответ на свои предложения и требования, во всяком случае, на первых порах.
6. CISO сам должен быть хорошим менеджером и коммуникатором - его работа не может быть выполнена им в одиночку.
Список литературы
1. Гражданский кодекс РФ (часть 1, 2). - М.: ИНФРА-М, 2008.
2. Гражданский кодекс РФ. Часть 1. Текст, комментарии, алфавитно-предметный указатель /под ред. О.М. Козарь, А.Л. Маковского, С.А. Хохлова. - М.: Спарк, 1996.
3. Владимирский - Буданов М.Ф. Обзор истории русского права. - Ростов-на-Дону, 2005.
4. Ершова И.В., Иванова Т.М. Предпринимательское право: Учебное пособие. - М.: Юриспруденция, 2008.
5. Предпринимательское право: Учебник для вузов/ Под. ред. Н.М. Коршунова, Н.Д. Эриашвили. - М.: ЮНИТИ, 2007.
Размещено на Allbest.ru
Подобные документы
Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
дипломная работа [1,4 M], добавлен 23.10.2013Характеристика главного объекта экономической разведки (промышленного шпионажа) - коммерческой тайны, которая является формой реализации права собственника на экономическую и информационную безопасность своих интересов. Методы защиты коммерческой тайны.
реферат [1,2 M], добавлен 10.06.2010Понятие трудового права. Отличия трудового договора от гражданско-правового договора. Документы, предъявляемые при заключении трудового договора. Гарантии для работника при заключении им трудового договора. Содержание трудового договора.
контрольная работа [34,8 K], добавлен 11.09.2006Классификация информации в зависимости от цели ее освоения по различным критериям. Засекречивание информации на предприятии и его законодательное основание, определение коммерческой тайны. Организационно-правовые формы засекречивания госинформации.
реферат [21,2 K], добавлен 24.07.2009Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.
дипломная работа [167,4 K], добавлен 25.11.2010Основания для расторжения трудового договора по инициативе работодателя. Прогул и иные виновные однократные действия работника. Расторжение трудового договора в связи с неудовлетворительным результатом испытания и сокращением численности работников.
курсовая работа [50,4 K], добавлен 15.02.2015Сущность коммерческой деятельности предприятия по сбыту. Внутренняя и внешняя среда предприятия. Анализ коммерческой деятельности по сбыту КСУП "Тепличное". Мероприятия по активизации коммерческой деятельности по сбыту производимой продукции АПК.
дипломная работа [547,4 K], добавлен 12.12.2007Основания расторжения трудового договора по инициативе работодателя. Сокращение численности или штата работников организации. Несоответствие работника занимаемой должности или выполняемой работе. Смена собственника имущества организации.
реферат [27,9 K], добавлен 11.02.2007Индивидуальный договор. Коллективный договор. Правила внутреннего распорядка. Охрана труда женщин. Охрана труда несовершеннолетних. Нормы трудового права. Возникновение и существование трудовых правоотношений. Личность работника и работодателя.
реферат [13,4 K], добавлен 13.10.2006Сущность трудового договора. Понятие трудового договора и его характеристика в современный период. Стороны и содержание трудового договора. Порядок заключения трудового договора. Основные формы и виды трудового договора.
реферат [33,2 K], добавлен 28.07.2007