политика чистого стола и чистого экрана образец
Режим коммерческой тайны: заставь NDA работать
Самый охраняемый коммерческий секрет в мире — формула рецепта “Coca-Cola” в США. Компании удается хранить его более 100 лет. Можно ли достичь такого результата охраны коммерческой тайны (КТ) в Украине. Как не переживать, что сотрудник передаст базу клиентов конкурентам, разгласит коммерческую информацию, или нарушит подписанный NDА.
Команда Icon Partners рекомендует эффективный механизм решения этой проблемы — введение режима коммерческой тайны в компании.
#Кейс “Coca-Cola”
Одна из провальных попыток похищения коммерческой тайны “Coca-Cola” закончилась громким разбирательством в 2006 году. Трое сотрудников похитили и предложили прямому конкуренту “Pepsi” — рассказать о разработке дизайна и рецепте новой колы с ванильным вкусом за 1,5 миллиона долларов. Они получили от 2 до 8 лет лишения свободы.
В этот же день акции “Coca-Cola” на бирже упали — яркий пример, как сильно влияет КТ на репутацию компании. США защищают коммерческую тайну кодексом “Uniform Trade Secret”.
#Одним NDA сыт не будешь
В Украине несколько способов сделать так, чтобы NDA работал и еще больше, чтобы не работал. Распространенное заблуждение — компании достаточно подписать с сотрудниками соглашение о неразглашении коммерческой тайны и спать спокойно, не беспокоясь о возможной утечке информации.
В судебном реестре зафиксирован лишь один кейс, когда удалось защитить конфиденциальную информацию (не забывайте, что любая коммерческая тайна является конфиденциальной информацией, но не любая конфиденциальная информация может быть коммерческой тайной) с помощью NDA — решение от 20.05.2020 по делу № 757/17647/19-ц. На личных страницах в Facebook и LinkedІn ответчик рассказал, что клиенты владеют компанией на Кипре. Кроме увольнения, ему пришлось выплатить штраф 10.000$. Однако случай сложно считать показательным — адвокат ответчика не явился, и решение никто не обжаловал.
Противоположных ситуаций гораздо больше. В 2019 году владелец “BINARY STYDIO LLC” подал иск в Запорожский суд о взыскании 20.000$ США за разглашение коммерческой тайны бывшим работником. В удовлетворении требований истцу отказали, поскольку он неправильно подал электронные доказательства и осуществлял давление на оппонента. Ответчик объяснялся на английском языке, которым плохо владеет, и допускал ошибки, переписывая текст с листа владельца компании (например, «Explоnation of facts» вместо правильного «Explanation of facts»).
Чтобы NDA работал, рекомендуем не просто прописывать условия на “бумажках”, но и прибегать к реальным мерам. Наглядным является украинский кейс ООО “Эргон-Электрик” против ООО “ТВК Вектор-ВС”. Истец провел экспертизы по нарушению положения, с помощью киберполиции изъял носители, которые доказывали вину оппонента. Антимонопольный комитет оштрафовал ответчика на 365.000 тысяч гривен.
#MUST HAVE для Украины
Чтобы иметь доказательства в суде, нужно следовать следующим рекомендациям.
Закон о коммерческой тайне в Украине отсутствует, есть отдельные статьи в Гражданском и Хозяйственном кодексе. Но это не значит, что предприниматели уязвимы. Список локальных актов, которые “must have” в национальном бизнесе:
#Политика чистого стола и политика чистого экрана
Суд берет во внимание не наличие локальных актов, а реализацию на практике. Ориентируются компании на международный стандарт информационной безопасности ISO/IEC 27001.
Для сохранения коммерческой тайны и конфиденциальной информации рекомендуем использовать “политику чистого экрана” и “политику чистого стола”:
#СОВЕТ: пора выбросить железные сейфы
Как доказать владение и использование КТ в определенный момент, если вы всегда держали ее в секрете? Распространенная рекомендация — предоставлять шкаф с ключом, чтобы ограничить доступ посторонних. В 21 веке советуем цифровые сейфы, популярные в Европе.
WIPO PROOF — нотариальная услуга всемирной организации права интеллектуальной собственности. Отпечаток даты и времени создают на специальном цифровом файле — токене. Токены «WIPO PROOF» хранятся на серверах в Швейцарии с высоким уровнем безопасности. Появились в мае 2020 года и признаются в ста странах. Еще один популярный способ — i-DEPOT, разработанный в Бенилюксе. Сейф не подлежит никаким территориальным ограничениям. Стоимость — €37 за 5 лет или €53 за 10 лет.
#GOLDEN RULE
Помните, для бизнеса нет ничего дороже информационных активов. Пока вы думаете, охранять информацию или нет, другие игроки рынка переманивают ваши кадры, используют сведения и зарабатывают на этом деньги. Сегодня под строжайшим секретом содержат: список книг-бестселлеров “New York Time”, соус биг-мак меню McDonald’s, алгоритм поиска Google — перечислять можно бесконечно.
Многомиллиардные корпорации начинали с маленькой идеи, но грамотных решений: выстроили надежную защиту и создали условия для сохранности своих технологий и подходов.
Физическая безопасность
Похитители личных данных и информации часто просматривают мусор, что называется нырянием в мусорные контейнеры, чтобы найти конфиденциальную или конфиденциальную информацию, которая не была должным образом утилизирована. Всегда утилизируйте эти документы, измельчив их или уничтожив иным образом. Имейте в виду, что копии конфиденциальных документов также необходимо будет измельчить или уничтожить для защиты данных на рабочем месте. Воры также могут искать выброшенные USB-накопители, компакт-диски и другие физические носители, которые также следует надлежащим образом уничтожить перед тем, как выбросить. Если вас беспокоит, как с этим справиться на работе, проверьте политику управления мультимедиа вашей организации.
Когда вы покидаете общую зону собрания или конференц-зал, обязательно сотрите все белые доски перед тем, как уйти, и никогда не выбрасывайте конфиденциальную информацию в мусор в общих зонах встреч. Утилизируйте его в соответствии с политикой безопасности нашей организации. Всегда собирайте оставшиеся бумажные копии презентаций или графиков, чтобы они не попали в недружественные руки.
Будьте осторожны с различными методами физической безопасности, которые преступники используют изнутри при нападении на организации. Например, преступник может использовать просроченный пропуск, чтобы обмануть охранника или получить доступ к запертой комнате. В крупных организациях наглый преступник может попытаться слиться с толпой, возвращающейся с обеда, и получить несанкционированный доступ в здание. Это называется «опозданием». Убирайте документы, содержащие конфиденциальную информацию, когда вы покидаете рабочее место. Используйте политику «чистого стола», чтобы гарантировать, что ничего, что может причинить вред, если подвергнуть его воздействию, не осталось под открытым небом. Выходите из системы, когда делаете перерыв или уезжаете на день.
Когда вы покидаете свое рабочее место незащищенным и без присмотра, злоумышленник или злоумышленник может получить доступ к вашему столу и увидеть конфиденциальные документы, о которых вы оставили лежать. Чтобы сделать снимок документа, сделать его фотокопию или сразу украсть, требуется всего несколько секунд, что может поставить под угрозу безопасность организации. Используйте концепцию «чистого стола», не оставляя конфиденциальные документы открытыми на вашем столе. Запирайте свои конфиденциальные документы в картотеке или сейфе всякий раз, когда вы покидаете это место. Всегда следуйте политике контроля документов вашей организации для всех печатных материалов.
Печатные копии документов, которые не используются и больше не нужно хранить, следует при необходимости измельчить в соответствии с политикой хранения записей организации. Практикуйте концепцию «чистого стола» и никогда не оставляйте документы на столе без присмотра. Храните их в надежном запирающемся ящике стола картотеки.
Когда вы находитесь вдали от рабочего места, заблокируйте конфиденциальную информацию на своем столе или в картотеке и используйте защищенную паролем хранитель экрана.
Общие зоны для встреч могут быть уязвимы для внутренних угроз. Не приносите конфиденциальную информацию в общие зоны для встреч, например в конференц-залы. Приносите только те данные, которые вам нужны для каждой встречи, чтобы снизить вероятность подверженности риску. После встречи соберите оставленные документы для надлежащей утилизации.
Чем больше у вас вещей на столе, тем больше вероятность того, что у вас есть важные или конфиденциальные данные, которые не хранятся должным образом. Убедитесь, что ваш стол убирается в конце каждого дня, чтобы обеспечить безопасность конфиденциальных документов.
Убедитесь, что ваш домашний компьютер находится в прохладной и сухой части дома. В идеале ваш компьютер должен быть приподнят над полом, чтобы избежать скопления пыли и грязи внутри него.
Любая область, для доступа к которой требуется уровень допуска, например значок или ключ-карта, должна быть защищена от вторжения. Вы всегда должны быть уверены, что надежно закрываете за собой дверь, даже если вы собираетесь входить и выходить быстро. За то время, пока вы входите и выходите, кто-то другой может сделать то же самое.
Оставление дверей или окон открытыми может дать злоумышленникам доступ к ценным физическим и информационным активам и может создать угрозу безопасности сотрудников. Закройте и заприте открытые двери и окна, затем сообщите подробности руководству или отделу безопасности.
Когда вы находитесь на публике и говорите по мобильному телефону, вас может подслушивать любой. Не обсуждайте конфиденциальную информацию, например информацию о рабочем месте или информацию, позволяющую установить личность, пока вы находитесь на публике. Кто-то может собрать от вас достаточно информации, чтобы войти в одну из ваших учетных записей или даже украсть вашу личность.
Наличие ценных предметов рядом с окнами облегчает вору их быстрый захват и может сделать вас мишенью. Все окна, выходящие на улицу, должны быть закрыты жалюзи или шторами, а ценные вещи не должны приближаться к этим окнам. Убедитесь, что ваши окна всегда закрыты и заперты, когда вас нет рядом.
Если вам нужно сообщить кому-либо по телефону какую-либо конфиденциальную или конфиденциальную информацию, сначала убедитесь, что вас не могут подслушать. Никогда не обсуждайте конфиденциальные данные организации или личную конфиденциальную информацию в общественных местах.
При обнаружении пожара сначала включите сигнал тревоги, чтобы уведомить руководство и персонал о риске для безопасности и начать процедуры эвакуации. Если это безопасно, воспользуйтесь огнетушителем, следуя предписанным процедурам, чтобы попытаться потушить огонь.
Большинству из нас знакома идея о том, что файлы cookie помогают идентифицировать нас рекламодателям и владельцам веб-сайтов при посещении веб-сайтов. Однако тип вашего компьютера, модель, операционная система и даже версия используемого вами веб-браузера также известны каждому посещаемому вами сайту. Эти объединенные данные приводят к другому методу идентификации вас и типов информации, к которой вы получаете доступ. Посещайте только те веб-сайты, в которых у вас есть законная потребность, когда вы выполняете работу для своей организации.
Хотя персональный маршрутизатор Wi-Fi может показаться удобным, он может представлять серьезную угрозу безопасности в бизнес-среде. Вместо того, чтобы пытаться установить собственный персональный маршрутизатор Wi-Fi, спросите в службе поддержки, нужен ли вам доступ к Wi-Fi. Организации проектируют и настраивают свою беспроводную среду в соответствии с конкретными бизнес-потребностями и придерживаются политики безопасности.
Политика информационной безопасности компании
Пример политики
Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.
Политика информационной безопасности (Пример)
Краткое изложение политики
Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Введение
Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.
Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Область действия
Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.
Цели информационной безопасности
1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
3. Сохранение целостности материалов бухгалтерского учета.
4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.
Принципы информационной безопасности
1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.
2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.
3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.
4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.
5. Отчеты о состоянии информационной безопасности должны быть доступны.
6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.
7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.
8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.
Сферы ответственности
1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.
2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.
3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.
4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.
Ключевые результаты
1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.
2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг
Связанные политики
Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:
1. Политика системы менеджмента информационной безопасности (СМИБ);
2. Политика контроля доступа;
3. Политика чистого стола и чистого экрана;
4. Политика неразрешенного программного обеспечения;
5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;
6. Политика, касающаяся мобильного кода;
7. Политика резервного копирования;
8. Политика, касающаяся обмена информацией между организациями;
9. Политика, касающаяся допустимого использования электронных средств связи;
10. Политика сохранения записей;
11. Политика использования сетевых служб;
12. Политика, касающаяся мобильных вычислений и связи;
13. Политика дистанционной работы;
14. Политика использования криптографического контроля;
15. Политика соответствия;
16. Политика лицензирования программного обеспечения;
17. Политика удаления программного обеспечения;
18. Политика защиты и секретности данных.
Все эти политики подкрепляют:
· идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;
· обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.
Политика информационной безопасности компании
Содержание
o 1.1. Цель и назначение настоящей Политики
o 1.2. Область применения настоящей Политики
· 2. Требования и рекомендации
o 2.1. Ответственность за информационные активы
o 2.2. Контроль доступа к информационным системам
§ 2.2.1. Общие положения
§ 2.2.2. Доступ третьих лиц к системам Компании
§ 2.2.3. Удаленный доступ
§ 2.2.4. Доступ к сети Интернет
o 2.3. Защита оборудования
§ 2.3.1. Аппаратное обеспечение
§ 2.3.2. Программное обеспечение
o 2.4. Рекомендуемые правила пользования электронной почтой
o 2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
o 2.6. Помещения с техническими средствами информационной безопасности
o 2.7. Управление сетью
o 2.7.1. Защита и сохранность данных
o 2.8. Разработка систем и управление внесением изменений
Общие положения
Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином «сотрудник» понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
Политика чистого стола и чистого экрана
a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;
b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;
c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;
d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;
e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.
a) уязвимая или критическая деловая информация, например, на бумаге или на электронном носителе, должна быть заперта (в идеале, в сейфе, в шкафу или в других формах надежной мебели), если она не требуется, особенно когда все ушли из офиса;
b) компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы или с запирающим механизмом экрана или клавиатуры, управляемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;
c) пункты работы с входящей и исходящей почтой и факсы без присмотра должны быть защищены;
d) неразрешенное использование фотокопировальных устройств и другой техники воспроизведения (например, сканеры, цифровые камеры), должно предотвращаться;
e) документы, содержащие важную или секретную информацию, должны удаляться с принтеров немедленно.
Управление доступом в сеть
Доступ как к внутренним, так и к внешним сетевым услугам должен управляться:
соответствующие интерфейсы между сетью организации и другими сетями;
применение соответствующих механизмов аутентификации пользователей и оборудования;
управление доступом пользователей к информационным услугам.
Политика в отношении использования сетевых услуг
Пользователям должен быть предоставлен доступом только к разрешенным им услугам.
Политика должна описывать:
· сети и сетевые услуги, к которым разрешен доступ;
· процедуры выдачи разрешения на доступ;
· административные средства и процедуры для защиты доступа к сети;
· средства, используемые для доступа к сетям и сетевым услугам.
Аутентификация удаленных пользователей
Аутентификация удаленных пользователей может быть достигнута путем использования, например, методов, основанных на криптографии, аппаратных маркеров или протоколов с запросом и подтверждением. Можно использовать выделенные линии связи.
Аутентификация узлов сети криптографическими методами, например, основанными на машинных сертификатах может послужить в качестве альтернативного средства аутентификации групп удаленных пользователей, если они подключены к безопасному, совместно используемому компьютерному комплексу
Идентификация оборудования в сетях
Автоматическая идентификация оборудования должна быть рассмотрена как средство аутентификации подключений с конкретных мест и оборудования.
Идентификация оборудования может использоваться, если важно, чтобы подключение могло быть инициировано только с определенного места или оборудования.
Можно рассмотреть физическую защиту оборудования для того, чтобы поддержать защиту идентификатора оборудования.
Защита удаленных диагностических и конфигурационных портов
Физический и логический доступ к диагностическим и конфигурационным портам должен контролироваться и управляться.
Ненужные порты должны быть заблокированы или удалены
Разделение в сетях
Большие сети лучше разделять на отдельные логические домены, например, домены внутренней сети организации и домены внешней сети, каждый из которых защищен определенным периметром безопасности.
Специальные средства управления могут использоваться для разграничения во внутренней сети систем общего доступа, внутренних сетей и критических активов.
Средства для разделения
· Шлюз между 2мя доменами, настроенный на фильтрацию трафика между доменами и блокировку неразрешенного доступа в соответствии с политикой управления доступом (брандмауэр).
· VPN для групп пользователей
· Организация доменов управлением потоком данных в сети, используя возможности маршрутизации/коммутации, такие как список контроля доступа.
Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.