Защита конфиденциальной информации компании
Вопросы защиты конфиденциальной информации актуальны для каждой современной компании в связи большими объёмами ежедневно обрабатываемых данных, которые должны быть застрахованы от утечки, потери и мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Подобная информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации.
Какие данные компании нуждаются в защите?
Конечно же, гриф конфиденциальности целесообразен не для всех данных.
Наибольшую ценность информация приобретает в том случае, когда она носит конфиденциальный характер и играет определяющую роль в системе функционирования организации, а именно:
- данные, содержащие результаты маркетинговых исследований, изучения конкурентов и потребителей;
- важные финансовые и технические данные;
- производственная документация секретного характера;
- данные, выработанные в ходе деловых встреч и переговоров, которые должны храниться втайне от третьих лиц, что просто необходимо для создания доверительных отношений с предполагаемыми партнерами по бизнесу;
- ноу-хау компании;
- клиентская база;
- персональные данные сотрудников и пр.
Как защитить информацию?
Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников.
Неважно, с какой именно стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков правового, организационного и технического характера:
- определение перечня активов, подлежащих защите;
- разработка документации, регламентирующей и ограничивающей доступ к данным компании;
- определение круга лиц, которым будет доступна конфиденциальная информация (список лиц лучше составить по должностям, а не по конкретным лицам - так проще предоставлять доступ к коммерческой тайне. Лицо, которому предоставлен доступ, в свою очередь, должно взять на себя письменное обязательство по сохранению информации);
- урегулирование отношений по использованию информации работниками и контрагентами (самый простой способ - включать соответствующие положения в трудовые договоры и договоры с контрагентами);
- определение процедур реагирования;
- оценка рисков информационной безопасности;
- внедрение технических средств по защите данных (аппаратные и программные средства, позволяющие криптографически защищать системы передачи данных; видео- и фототехника и пр.).
В ряде случаев необходимо получить согласие на обработку персональных данных от лиц, которые обращаются в вашу организацию. Например, его нужно взять у кандидатов на вакантные должности, которые приходят на собеседования. Если у компании есть интернет-сайт, через который вы получаете персональные данные (например, посредством формы обратной связи или подписки на новости), необходимо опубликовать на нем политику обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить доступ к указанному документу.