Об охране корпоративной информации

28 января 2020

Об охране корпоративной информации
28 января – Международный день защиты персональных данных. Впервые вопрос о защите персональных данных был поставлен в 1981 году. 28 января 1981-го Совет Европы открыл для подписания Конвенцию «О защите лиц в связи с автоматизированной обработкой персональных данных». Также приватность личной информации охраняется статьей 8 Европейской конвенции по правам человека, а в России – Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Основными принципами обработки и защиты персональных данных, которые были предложены Конвенцией, стали законность и добросовестность получения и обработки персональных данных, а также их хранение для определенных и законных целей; запрет на использование вопреки этим принципам. Помимо защиты личной информации важна и охрана корпоративных данных. Рассказываем о пяти универсальных пунктах. 1. Разграничение доступа к информации. Первое и наиболее важное действие – разграничение доступа таким образом, чтобы каждый сотрудник владел только той информацией, которая требуется ему для работы. А в случае, если её будет недостаточно – мог обратиться за помощью к коллеге. 2. Условия в трудовом договоре. Если сотрудник будет использовать для работы личный смартфон, то возможно прописать условия в трудовом договоре и должностной инструкции. Важна грамотная формулировка. Например: «Работник имеет право использовать личные устройства для выполнения рабочих задач при соблюдении следующих условий…». Сами условия прописываются дополнительным соглашением или приложением к основному трудовому договору. 3. Подписание соглашения о неразглашении (NDA – non-disclosure agreement). Этот документ регламентирует доступ частного лица к закрытой информации компании. Заключаться такое соглашение может как с сотрудником компании, так и с подрядчиком (его сотрудником) или исполнителем работ. Человек, получивший от компании данные для работы, не только воздерживается от разглашения, но и принимает все меры против их утечки по любой причине. В случае возникновения такой ситуации, ответственность может быть практически любой, вплоть до покрытия убытков компании. 4. Инструкции для сотрудников. Инструктаж необходим в том случае, если сотрудник не понимает ценности данных компании и своей ответственности за их сохранность. В этом случае, стоит повторно (даже, если было подписано соглашение о неразглашении) рассказать о мерах по защите данных и указать на ответственность за пренебрежение ими, а также ответить на вопросы. 5. Техническая сторона информационной безопасности. Когда все сотрудники осведомлены о том, как нужно работать с корпоративными данными, имеет смысл приступить к настройке средств их охраны. Например, комплексной системы информационной безопасности, которая защищает офисную сеть, удаленные устройства сотрудников (ноутбуки, планшеты и другие). Задумайтесь и о мерах контроля доступа в офисные помещения: пропускном режиме, мониторинге локальной сети, организации видеонаблюдения и прочих сторонах обеспечения безопасности внутри компании. В каких случаях эта система может не работать? * NDA редко работает на Российском рынке – доказать вину сотрудника практически невозможно. * Вы не имеете права доступа к личному оборудованию ваших сотрудников даже если они используют его в рабочих целях. * Халатное отношение к правилам и нормам безопасности и нелояльность сотрудников. Отношение к данным компании заложено в корпоративной культуре. Безопасность информации начинается со сфер подбора кадров и документооборота, качественной системы информационной безопасности и человеческих отношений. Их взаимодействие обеспечивает не только сохранение информации на компьютере, но и внутри всей системы компании.