Активировать демодоступ >>

Юрист компании

Круче ФСБ. Как юрист может наладить информационную безопасность в компании

9 октября 2019
1019
Средний балл: 0 из 5
Ведущий редактор

Известный банк потерял данные о своих клиентах — сведения утекли в сеть. Теперь ему грозят штрафы от госорганов и иски от потребителей. Чтобы обезопасить от этого компанию, юрист может наладить информационную безопасность. В статье мы рассказали, как это сделать.

Круче ФСБ. Как юрист может наладить информационную безопасность в компании

Юристам доступно множество документов компании, которые не должны попасть к посторонним. Ведь утечка информации может привести к печальным последствиям: данные используют мошенники или конкуренты, а общество будут ждут штрафы и иски. Чтобы обезопасить сведения, придумайте систему контроля для работников. Если ограничите некоторым из них доступ к данным, их передачу, наладите процессы, то коллеги не смогут специально или случайно навредить. Вместе с Борисом Едидиным, партнером юридической компании «ЭБР», членом Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России мы рассказали в статье, как и что делать.

Новая программа в Высшей школе Юрист компании — «Правовая защита компании 2020». Лекторы расскажут о главных изменениях в работе юристов, дадут практические советы и помогут найти компромисс между требованиями закона и бизнеса. Обучение индивидуальное: по итогам вступительного теста уберем из программы темы, в которых вы и так профи.

Откуда исходит угроза

Количество угроз постоянно растет. Однако, существуют постоянные причины, из-за которых регулярно нарушается информационная безопасность.

Халатность персонала. Рядовые сотрудники компании несут потенциальную угрозу информационной безопасности. Чаще всего виновата халатность и неосведомленность. Например, менеджер может открыть электронное письмо с рекламой какого-либо выгодного предложения или замаскированное под сообщение госоргана и заразить компьютер вирусом.

Многие сотрудники берут работу на дом или в командировку. Для этого они могут копировать конфиденциальные документы или сведения на флешку или используют облачные хранилища, например Google Диск. Эти данные могут утечь в интернет, если, например, не настроить права доступа. Кроме того, регулярно сотрудники отправляют важные данные не на тот e-mail.


Как онлайн-сервисы по работе и хранению документов портят жизнь юриста


Нелицензионные программы. Экономия на программном обеспечении может сыграть не в пользу компании. Пиратские программы не обновляются и не получают поддержку от разработчиков. Кроме того, при покупке они уже могут содержать вредоносные вирусы.

DDoS-атаки. Цель таких атак — создать поток ложных запросов от сотен якобы пользователей, чтобы ухудшить работу сайта, системы или сервиса компании. У подобного метода воздействия есть и еще одна функция — отвлечь внимание от других действий. Например, от кражи денег со счетов. То есть, пока системные администраторы разбираются, почему ресурс компании не работает, мошенники незаметно крадут ее электронные деньги. 

В последнее время участились случаи утечки данных из компаний. Только на прошлой неделе стало известно о распространении данных о клиентах Сбербанка и оператора связи Билайн. Наиболее вероятные последствия этих событий: усиление внимания государственных органов к соблюдению требований, касающихся работы с информацией, а также необходимость дополнительной оценки реализуемых мер в области информационной безопасности внутри компаний.

На уровне любых компаний, независимо от их размера, следует критично оценить состояние работы в области обеспечения информационной безопасности тщательно и системно заниматься разработкой и реализацией политик организаций в этой сфере.

Борис Едидин, партнер юридической компании «ЭБР», член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России

Вирус. Это по-прежнему одна из самых страшных угроз для информационной безопасности компании. Вирусы способны не только красть данные, но и удалять , управлять ими. Например, с помощью вируса недоброжелатели могут подключиться к интернет-банку компании и совершить от ее имени финансовые операции.

Инсайдеры. Ими могут быть обычные нарушители — люди, которые играют на рабочем компьютере и совершают покупки через интернет, а также руководители среднего и высшего звена, которые злоупотребляют своими полномочиями. Например, сами устанавливают на рабочий компьютер программы. Есть среди инсайдеров и те сотрудники компании, которые специально в нее трудоустроились, чтобы красть информацию, например, для конкурента.

Особое место среди инсайдеров играют уволенные и обиженные сотрудники. Покидая компанию, они могут забрать, например, базу клиентов или документы по крупной и секретной сделке.


Проверка электронной почты сотрудников. Как контролировать переписку на законных основаниях


Правоохранительные органы. В случае подозрения со стороны правоохранительных и контролирующих органов в компании могут провести осмотр. В ходе мероприятия полиция изымает компьютеры или жесткие диски. Тогда работа встает, а за сохранность данных никто не отвечает.

Что может сделать юрист для защиты компании

Средств информационной защиты много: физические и базовые, резервное копирование и план аварийного восстановления данных, шифрование.  Из перечисленного юрист может помочь с физическими средствами защиты информации, то есть продумать систему контроля над работой сотрудников. Если ограничите доступ к данным и их передаче, регламентируете бизнес-процессы, то работникам будет сложно специально или случайно навредить компании.

Создайте перечень конфиденциальных документов и данных. Определите сведения, которые нужно контролировать, чтобы обеспечить информационную безопасность. Для этого составьте перечень конфиденциальных данных, но его должен утвердить генеральный директор, а затем закрепить во внутреннем нормативном документе.


Локальные акты помогут защитить коммерческую тайну компании


Юрист также должен составить регламенты, которые регулируют информационную безопасность. Это могут быть «Положение о коммерческой тайне», «Регламент работы со сведениями конфиденциального характера». Документы нужно предоставить для ознакомления всем сотрудникам компании.

При подготовке политик в сфере информационной безопасности рекомендуется ориентироваться на международный стандарт ISO 17799:2005. Фактически реализация такой политики, является неотъемлемым элементом управления рисками организации и должна разрабатываться в комплексе с иными стратегическими документами.

На первый взгляд, документ носит узко прикладной характер, на практике он должен быть согласован и с политиками в области обработки персональных данных, и со стратегией работы с персоналом, и с документами, касающимися ведения документооборота, комплексной безопасности и т.д.

Все документы организации в этой части должны быть согласны между собой, иметь единую терминологию и систему оценки возможных угроз. В целом правильное и полное определение источников и моделей угроз, является залогом построения качественной системы информационной безопасности. Надо понимать, что в современном мире угрозы могут быть связаны не только с атаками хакеров и взломами компьютеров через интернет. Угрозу информационной безопасности могут представлять и сотрудники самой организации, в случае разглашения данных, их использования в противоправных целях, в ущерб интересам клиентов или компании. Стандарты открытости компании, вопросы обеспечения достоверности распространяемой информации, мониторинга информационного пространства – это в современном мире важнейшие направления противодействия угрозам компании и управления ее рисками.

Фактически при подготовке документов необходимо проанализировать все процессы в компании, а также все возникающие и связанные с ее деятельностью «информационные потоки» и на этом основании построить систему управления рисками.

Борис Едидин, партнер юридической компании «ЭБР», член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России

Совместно с кадровой службой или отдельно руководителями каждого подразделения обсудите, кто из сотрудников может иметь постоянный доступ к секретным данным, а кто нет. Для таких коллег создайте порядок подачи запросов на предоставление сведений.

Кроме списка тех, кто имеет постоянный доступ к секретной информации, отдельно сделайте перечень работников, которые отвечают за электронные ключи. Их нужно под подпись ознакомить с порядком работы с электронной подписью.


Работник разгласил коммерческую тайну. Что поможет работодателю доказать законность увольнения


Организуйте работу персонала с секретной информацией. Юристу придется переработать много информации о сотрудниках с их начальниками. Это необходимо сделать, чтобы для каждого сотрудника установить права доступа в системе.

Во многих компаниях налажен электронный документооборот. Вместе с тем, конфиденциальная информация хранится на сервере в свободном доступе для каждого работника. То есть доступ к ней есть даже у сотрудников, кому она не нужна.

Вместе с руководителями определите список сотрудников, кому реально нужен доступ к сведениям. Затем попросите специалистов IT-службы закрыть доступ к конфиденциальным сведениям на сервере. Далее доступ необходимо предоставлять сотрудникам из списков, которые предоставили начальники отделов.


Уровень информационных угроз требует не только определения ответственных должностных лиц в области информационной безопасности в организации, но и введение специальных уполномоченных. Ключевую роль в этой сфере должны играть, помимо собственно специалистов в области безопасности – относительно новые лица в компаниях CDO и DPO, а также комплаенс специалисты.

Все документы по информационной безопасности должны быть консолидированы в рамках принятой в организации политики, доступны работникам. При этом эффективная реализации политики невозможна без специального обучения сотрудников, проведения тестов и проверок. Помимо этого, необходима постоянная работа по мониторингу состояния информационной безопасности, и обновлению разработанных документов.

Борис Едидин, партнер юридической компании «ЭБР», член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России

Важные документы Excel, Word, PowerPoint закройте паролями. Это поможет снизить риск того, что любой желающий зайдет и изменит, например, договор с важным контрагентом. Доступ к документу необходимо предоставлять только уполномоченным сотрудникам.

Утвердите в компании положение, которое запрещает копирование данных на карты памяти, телефоны, планшеты. Также поставьте запрет на использование в рабочее время личной почты и мессенджеров на компьютере.

logo
×
Ой! Это только для зарегистрированных юристов!

Образцы документов для юротдела Потратьте минуту на регистрацию, чтобы скачать файл и получить полный доступ к любым шаблонам документов для юротдела. Все образцы на нашем сайте составлены инхаусами крупных компаний и сотрудниками топовых юридических фирм. На этой неделе специальный подарок: сборник образцов, которые нельзя скачать в интернете. Подготовлен юристами для юристов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
скачать файл и получить подарок
Зарегистрироваться
×
Скорее получите документ!

Этот документ доступен только юристам, который зарегистрированы на law.ru. Введите свой логин и пароль, или пройдите короткую регистрацию.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
или войти через соцсети
Получить документ
×
Стоп, снято!

Смотрите видео после быстрой регистрации. Мы заботимся о качестве контента, поэтому вынуждены ограничивать доступ к лучшим материалам.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Это займет всего минуту
Зарегистрироваться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.