Закрыть [x]

Перейти на мобильную версию

Александр Севостьянов, «Трубная Металлургическая Компания»: Технические аспекты защиты данных

Александр Севостьянов, «Трубная Металлургическая Компания»: Технические аспекты защиты данных 19.07.2018

Защита коммерческой тайны компании (далее КТ) – один из основных критериев сохранения лидерства на рынке. Она имеет множество нюансов и проблем. Среди последних лидируют:

  • устаревшее законодательство. Закон о защите данных издали в 2004 году. С тех пор в него вносили изменения всего шесть раз. Эти изменения не соответствовали потребностям IT-сферы. В результате она ушла далеко вперед, и нормативное регулирование не отвечает современным реалиям;

  • нежелание сотрудников соблюдать ограничения, которые накладывает режим защиты КТ. Их сопротивление может быть очень активным, и к нему надо всегда быть готовым;

  • сложность передачи КТ партнеру, который не имеет опыта администрирования режимов безопасности. Пример такой ситуации: вы передаете секретную информацию организации, которая не понимает ее сути;

  • отсутствие на рынке профильных решений по автоматизации режима КТ в полном объеме. До сих пор нет ни одного ПО, которое могло бы полностью автоматизировать этот режим: начиная с перечня информации, составляющей КТ, и заканчивая установкой грифа на документах;

  • выполнение требований статьи 10 Федерального закона «О коммерческой тайне» N98-ФЗ. Соблюдение данной статьи требует привлечения дорогостоящих специалистов и перестройки бизнес-процессов. Но сейчас практически нет людей, которые могут грамотно перевести все процессы в один инфраструктурный ландшафт компании.

IT-безопасность режима защиты коммерческой тайны основывается на окончательно оформленном правовом бизнес-процессе. Режим должен отражать все требования N98-ФЗ в IT-инфраструктуре компании. В этой статье мы подробно рассмотрим эти требования и варианты их исполнения.

Ключевые требования статьи 10 Федерального закона «О коммерческой тайне» N98-ФЗ

Какие же ключевые требования десятой статьи нужно отразить в IT-ландшафте? Всю суть можно выразить в пяти пунктах, которые составляют ядро режима защиты КТ:

  • определение перечня КТ;

  • ограничение доступа к КТ за счет установления порядка обращения с информацией;

  • учет лиц, имеющих доступ к КТ, и лиц, которым ее передавали;

  • регулирование отношений по использованию КТ работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

  • нанесение грифа «Коммерческая тайна».

Обо всем по порядку.

Определение перечня коммерческой тайны

Перечень КТ – строго формализованный документ, который содержит конкретные типы информации и ее оценочную стоимость. Его утверждает генеральный директор. Перечень желательно периодически пересматривать. Обычно он занимает около трех-четырех листов. В каждой графе, помимо стоимости, необходимо указывать срок, когда заканчивается ограничение на конкретный тип информации.

Как правило, в перечень включают следующую информацию:

  • планы развития организации, проекты (файлы единоличного исполнительного органа, подразделений планирования, маркетинга, проектного офиса);

  • секреты производства (конструкторская/чертежная электронная документация графического дизайна и векторной графики, формулы и расчеты научных/производственных подразделений);

  • эксклюзивные методы оказания услуг/продаж (файлы сбытовых подразделений и маркетинга);

  • результаты внутренних проверок и аудитов.

Электронную версию перечня следует опубликовать на внутреннем информационном ресурсе компании в разделе «Безопасность». Ознакомиться с этим списком должны даже те сотрудники, которые не имеют доступа к КТ.

Ограничение доступа к коммерческой тайне

Ограничение доступа к коммерческой тайне за счет установления порядка обращения с информацией – основа режима защиты КТ. Информация, составляющая коммерческую тайну (ИКТ) – гибрид НПА (нормативно-правовой акт) на «бумаге» и IT-технологий. Такая конструкция сложна для восприятия, особенно для сотрудников из IT. Если в компании нет никакого норматива регулирования, то дальнейшая реализация в IT-ландшафте бессмысленна. Необходим симбиоз штатных средств администрирования и защиты информации на базе Windows с приобретенными специально для учета СЭДО и ПО обеспечения безопасности и контроля ИКТ. Такое сочетание на прикладном уровне позволяет соблюсти требования десятого ФЗ «О коммерческой тайне».

Учет лиц

Учет лиц, которые имеют доступ к КТ, или которым ее предоставили, должен быть двойным: на бумаге и в электронном виде. Оборот документов с грифом постоянно растет. Руководство не любит изучать документы с планшета и всегда требует их в бумажном виде.

Что касается технической реализации учета лиц, то наиболее эффективно использовать отделенную от общего документооборота СЭДО («Директум», «DocVision», «Wss.Docs», «Ефрат» и тому подобные). Также подойдут самостоятельно написанные системы. Главное, чтобы их основной функцией была регистрация документооборота. Не следует вести учет общими средствами Outlook и Exchange, так как у сервисов Microsoft нет подходящей для этого функции.

Регулирование отношений по использованию КТ работниками

Регулировать использование коммерческой тайны работниками просто. Для этого достаточно подписать дополнительное соглашение или внести пункт о сохранности КТ в трудовые договоры. Подписывать их необходимо даже с теми сотрудниками, которые не имеют доступа к коммерческой тайне. Позже кого-нибудь из них могут повысить до руководящей должности, и придется заново составлять договор, чтобы обеспечить сохранность информации. Такой подход неправильный, нагружает персонал и занимает лишнее время. В ТМК несколько лет назад заново составили все договоры и подписали их даже с мастерами и работниками цеха.

В организации также нужно прописывать порядок о внесении в договоры с контрагентами соглашения о конфиденциальности. Необходимо создать шаблоны подобного договора и в них указать те же пункты, что и в трудовых договорах. Эти шаблоны нужно передать в подразделения, которые работают с контрагентами. Если у вас не будет шаблона, контрагент пришлет вам свой на его условиях. Такой подход может быть невыгоден для вашей компании. Использовать его стоит только в случае сотрудничества с крупными компаниями, которые вам платят.

Варианты защиты ИКТ, которую передают контрагентам техническими средствами

В условиях старого режима защиты КТ до сих пор существует требование везде фиксировать передачу данных на бумаге. Такой подход привел к тому, что на CD/DVD/Flash-носители клеят номера. Я видел подобное даже в крупных холдингах. Единственный адекватный вариант защиты в данном случае – Flash-носители с паролем. Они сейчас в большом ассортименте. Например, я использую DatAshur – британскую разработку с качественной криптографией.

Также для передачи данных можно использовать фиксированную пересылку запароленных или зашифрованных данных. Вы просто ставите пароль на архив и отправляете получателю.

Многие компании используют также корпоративные файлообменники. Права доступа на них можно настраивать так, что скачать файл сможет только обладатель ссылки на него. В ТМК тоже создали подобный ресурс. Мы используем его в работе с контрагентами при передаче больших файлов с грифом. Такой подход избавляет от передачи данных на материальных носителях.

Неплохим решением будет передавать файлы в единой защищенной криптографической среде. Сейчас лучшее ПО такого типа – Perimetrix. Он создает в IT-инфраструктуре защищенные области, которые связаны между собой шифрованными каналами. Его используют в основном в компаниях, которые занимаются высокоточным 3D-моделированием сложных технических изделий. Perimetrix позволяет перемещать большие объемы данных в среде, в которой находится много компаний-контрагентов. Более того – он не позволяет поместить туда лишний негрифованный файл или что-то несанкционированно скачать. Единственный его минус – жесткая привязка к Java вплоть до номера обновления. Если его нет, или Java обновили – ничего не будет работать. Но в будущем производитель должен устранить эту недоработку.

Нанесение грифа «Коммерческая тайна»

Как уже говорилось выше, многие компании до сих пор используют наклейки на материальных носителях для нанесения грифа «Коммерческая тайна». Но такой подход неэффективен, так как они могут отклеиваться. Сейчас появилась возможность лазерной гравировки. Можно купить лазер, и служба безопасности компании будет заниматься нанесением грифов.

Если говорить об электронных файлах, то есть два варианта. Первый – создать отдельные бланки с неизменяемыми колонтитулами средствами Microsoft Office или отдельно приобретенного СЭДО.

Второй вариант – нанесение грифа средствами отдельной СЭДО на формируемый документ. Такой вариант наиболее предпочтителен. Единственная проблема – работа с файлами AutoCad, куда зашить гриф очень тяжело.

Мы выяснили основные требования десятой статьи и варианты их исполнения. Далее мы рассмотрим способы контроля за соблюдением режима защиты информации.

Контроль за соблюдением режима КТ

Во всех компаниях для соблюдения режима КТ необходимо устанавливать двойной контроль: за оборотом бумажных конфиденциальных документов и за движением ИКТ в электронном виде по ТКС (телекоммуникационные каналы связи). Стоит отметить, что по закону у компании даже нет обязанности защищать информацию техническими средствами – это только ее право. Но защищать придется в любом случае.

Для контроля соблюдения правил наиболее эффективны:

  • использование специального ПО для выявления и предотвращения утечек конфиденциальной информации (DLP);

  • административный надзор за «бумагой».

На мой взгляд, будущее защиты коммерческой тайны стоит за комбинацией средств DLP и UEBA – поведенческого анализа пользователей. DLP показывает то, что реально происходит в информационном контуре компании. Если коммерческую тайну хранят в электронном формате, приобрести DLP необходимо, так как нужно контролировать все каналы связи. ПО такого типа не только покажет реальную картину перемещения данных, но и послужит источником информации для экономистов.

Во многих компаниях режим защиты КТ пока еще находится на примитивном уровне, но соблюдение перечисленных требований позволит выйти на качественно новый уровень и сократить трудозатраты.

Александр Севостьянов, начальник отдела защиты информации «Трубной металлургической компании»

ТМК – крупнейший производитель стальных труб в России. Компания входит в тройку глобальных лидеров трубного бизнеса и с 2009 года занимает первое место в мире по объемам отгрузки трубной продукции.

Общий объем отгрузки в 2015 году составил 3,9 млн тонн.

ТМК объединяет более 30 предприятий, расположенных в России, США, Канаде, Румынии, Омане и Казахстане и обладает самыми большими в мире мощностями по производству всего спектра стальных труб. Наибольшую долю в структуре продаж компании занимают нарезные нефтегазовые трубы (OCTG).

У ТМК прочные рыночные позиции в сегменте бесшовных труб OCTG.

По итогам 2015 года доля компании на мировом рынке этого вида продукции составила 9%.

ТМК – лидер на российском трубном рынке: на ее долю приходится 25% всего рынка стальных труб и 65% рынка бесшовных OCTG. Компания сосредоточена на обеспечении потребностей мировой нефтегазовой отрасли, доля которой в структуре потребителей компании составляет 78%.

В число клиентов ТМК входят ведущие нефтегазовые компании, среди которых «Роснефть», «Сургутнефтегаз», «Газпром», «Транснефть», «ЛУКОЙЛ», Shell и другие.



Комментарии