Защита информации и конфиденциальность в ИТ

Конфиденциальность в ИТ является весьма злободневной темой на сегодняшний день. Причем понятия конфиденциальности практически у каждого из представителей современного бизнеса существуют собственные. Безусловно, касаясь вопросов российского и белорусского законодательства, правильнее будет применять понятие «коммерческая тайна». Однако, поскольку в ИТ-компаниях все чаще применяется данный термин – именно «конфиденциальность»,  мы также будем пользоваться им. Для чего вообще требуется охранять конфиденциальную информацию? Может быть, в этом и вовсе не имеется никакого смысла?

Основная идея защиты конфиденциальных данных весьма и весьма проста: если вы защищаете ценную для вас информацию – вам удается сохранить конкурентное преимущество. На лестнице компаний-конкурентов вы всегда будете занимать первую ступень. Если же создаваемые вами проекты требуют от вас выхода на рынок в самый последний момент, то у вас появится время, которое позволит вам занять определенную нишу – к примеру, если вы занимаетесь разработкой мобильных либо же финансовых приложений.
 
Следующей причиной является то, что на просторах СНГ  фактически в каждой стране действует законодательство о коммерческой тайне. И для того, чтобы это условие сохранялось, необходимо внедрение соответствующего режима. Работает коммерческая тайна только в том случае, если вы предприняли определенные меры внутри компании. Это касается России, Украины, Казахстана, Молдовы и, естественно, Беларуси.

Еще одной причиной, согласно которой необходимо принимать меры по защите конфиденциальной информации, является сотрудничество с зарубежными партнерами. В нашей стране практически 70% ИТ-компаний работают на                зарубежный рынок, и заказчиками их выступают европейские и американские предприятия. В каждом из случаев заключения контракта с иностранным заказчиком, компания-разработчик берет на себя обязательство перед данным предприятием о сохранении конфиденциальности в отношении той разработки, в которой она участвует. Соответственно, если вы не свяжете своих сотрудников такими же релевантными соглашениями, то будете как минимум, нарушать обязательства перед вашим контрагентом. По максимуму – данная информация уйдет из компании вместе с одним из сотрудников и появится в другой. А вы потеряете клиентов.

Какую информацию в IT-компании есть смысл охранять? В первую очередь, конечно, исходные коды. Они обязательно должны попасть в список конфиденциальной информации. Помимо этого, политики конфиденциальности должны затрагивать бета-версии программных продуктов, методологию программирования, технику дизайна, техническую документацию, а также все спецификации, которые подписываются в рамках проектов. Это могут быть как контрактные спецификации, так и проектные спецификации, которые хранятся внутри системы разработчика программного обеспечения. Если вы применяете какие-то уникальные методологии, разработали внутренние системы по созданию программного обеспечения – их также необходимо включать в список конфиденциальной информации.

Особое внимание следует уделять защите идей – в отличие от авторского права, охранять которое невозможно, коммерческая тайна как раз позволяет это сделать. Если вы путем мозгового штурма создаете ряд новых разработок – мобильных приложений или компьютерных игр – и этот брейнсторминг каким-либо образом документируется, это тоже необходимо отразить в качестве конфиденциальной информации и охранять ее.

Очень актуальной информацией является логическое построение бизнес-процессов. Звучать это может достаточно размыто, однако на самом деле построение в компании бизнес-процессов по разработке программного обеспечения во многих случаях позволяет создать уникальное конкурентное преимущество данной компании. Компания может достаточно грамотно выстроить политику бизнес-рекрутинга, а также рекламных мероприятий, проведения собеседований. Все эти процессы являются достаточно уникальными и позволяют с легкостью подыскивать новых компетентных специалистов. Их также обязательно необходимо включать в список конфиденциальной информации.

Еще одним требованием является неизвестность третьим лицам. На законном основании к конфиденциальной информации не должно быть свободного доступа заинтересованным субъектам. Существует регистр юридических лиц. При этом вы с легкостью можете получить за деньги  информацию о любом из них. Подобного рода информация является общедоступной и не может быть отнесена к коммерческой тайне. Информация не должна представлять собой государственный секрет. Согласно существующему в нашей стране закону «О государственных секретах», брать информацию для своего списка из подобных источников не представляется возможным. Помимо этого, информация не должна наносить ущерб государственным интересам. К подобной информации, к примеру, относятся сведения о нерациональном природопользовании, чрезмерном загрязнении окружающей среды, несоблюдении техники безопасности.
 
Чтобы тайна оставалась тайной

Для того, чтобы вы могли привлечь кого-либо к ответственности за разглашение конфиденциальной информации, необходимо пройти определенные этапы внутри самой компании. Они также достаточно хорошо прописаны в законодательстве и, как правило, отражаются в положении «О коммерческой тайне», которое должно быть разработано в каждой из компаний.

Наиболее актуальной мерой является формирование перечня сведений, которые составляют коммерческую тайну. Это и есть тот список, в который должны быть включены все сведения, считающиеся руководством компании конфиденциальными. Правильным вариантом оформления подобного документа является создание рабочей группы, куда может входить кто-то из службы безопасности, юрист, а также группа поддержки ИТ-инфраструктуры и обязательно кто-либо из производственного подразделения. Только в случае комплексной работы подобной группы происходит формирование правильного списка, который является специфичным для каждой из компаний.

Следующим требованием является порядок доступа к конфиденциальной информации, учет лиц и организация контроля, а также возложение ответственности за разглашение конфиденциальной информации. Все это по пунктам прописывается в соглашении о коммерческой тайне. Однако зачастую, во время формирования подобного положения, сотрудники сталкиваются с требованием по маркированию документов: никакой другой гриф, кроме «коммерческая тайна» ставить на них не разрешается. Именно поэтому для документов, содержащих коммерческую тайну, приходится делать обособленный документооборот. В ИТ-компании провести подобную меру достаточно сложно, поскольку наличия документов в бумажном виде практически нет – вследствие электронного документооборота.

Тем не менее, положение о коммерческой тайне должно быть принято, иначе в отсутствие данных требований, отлаженная система попросту не будет работать. Поэтому, в качестве вынужденного шага, рабочей группой должно быть отработано данное положение, взяты и включены в него основные законодательные императивы.

Данный документ может применим и в качестве доказательной базы для суда: в случае утечек конфиденциальной информации, судья изучит документы, включенные в перечень приложения о коммерческой тайне. В суде это позволит доказать, что конкретное лицо похитило у вас конфиденциальную информацию. Обязательно следует указывать и то, что не только бумажный, но и электронный документооборот является подчиняющимся положению о коммерческой тайне.
Не всегда сотрудники работают на условиях трудового договора и связаны законодательством через положение и требования. Есть подрядчики, есть контрактеры, фрилансеры, которых IT-компании очень часто привлекают для работы над проектами. На них, к сожалению, не распространяются все эти положения. Для них необходимо выстраивать отдельную юридическую цепочку обязательств по недопущению разглашения конфиденциальной информации.

Как правило, часть из этих обязательств попадает в договор подряда, договор консультанта. И хорошая практика – заключение отдельного соглашения с этим фрилансером и субподрядчиком о неразглашении конфиденциальной информации.
Отдельную категорию составляют посетители предприятия. Ими могут стать и студенты-практиканты. Официального оформления в качестве стажеров у них может и не быть, однако определенное время на территории компании они проводят. С ними также должно быть подписано соглашение о неразглашении конфиденциальной информации, поскольку данная категория лиц обладает доступом к информационным системам и документам.

Помимо этого, зачастую компании зачастую пользуются консультационными услугами и проходят аудит. Перед тем, как вами будет заключен договор об оказании услуг, необходимо договориться с руководством данных организаций о том, что разглашение корпоративной информации и доступ ней третьим лицам, за исключением юриста, который непосредственно будет работать с вами, будет караться штрафом. Учитывая то, что аудиторы получают практически всю финансовую информацию, они связаны законодательством об аудите. Тем не менее, необходимо оговорить все вопросы конфиденциальности информации, прежде чем давать им доступ к корпоративным базам данных.

Существует такая банальная категория, как поставщики, представители которой зачастую находятся в помещении компании и контролировать их при этом достаточно сложно.  В подобных случаях также должно быть составлено в простой и понятной форме соглашение не только с фирмой-поставщиком, но и с конкретными работниками.

Весьма внимательными нужно быть и с потенциальными инвесторами. Казалось бы, о своей компании вам необходимо рассказать все и раскрыть данные в лучшем свете. Однако, как известно, далеко не все инвестиционные переговоры, в конце концов, заканчиваются инвестициями. Между тем, уровень и глубина предоставляемой информации должны быть весьма серьезными. Тем не менее, какими бы полубогами – толстосумами они не казались, соответствующее соглашение необходимо заключать и с ними. Даже если они не предлагают этого сами – а предлагать инвесторы и не должны – это должна быть полностью ваша инициатива. Все это может быть отменно проиллюстрировано на примере произошедшего недавно случая: команда молодых людей презентовала инвестору собственный проект. Это был сайт, который должен был служить поддержкой ИТ-компаниям в ведении бухгалтерии. Инвесторы с виду проявляли крайнюю заинтересованность в проекте. В итоге через несколько месяцев на просторах Рунета появился полный клон данного сайта.

Итог вышесказанного достаточно прост: если вы собираетесь участвовать с собственным проектом в каком-то конкурсе, где собираются инвесторы, эксперты – в целом, большое количество публики – и вы этим экспертам должны давать информации больше, чем на стандартной презентации, настоятельно рекомендуем вам убедиться, что организаторы конкурса подписали с инвесторами и экспертами соглашение о неразглашении конфиденциальной информации. Хорошей  практикой окажется, если вам покажут это соглашение. Потому что ваша идея может оказаться очень интересной.

Необходимо более подробно остановить свое внимание на ситуациях, когда уже подписано предварительное соглашение с заказчиком того или иного проекта. Контракт уже готов, с вами заключено предварительное соглашение о неразглашении во время переговоров. Причем, как правило, подобные соглашения заключаются еще до подписания самого контракта. Однако, как показывает практика, большинство зарубежных заказчиков – американских, европейских – весьма слабо верит в то, что в Беларуси существует законодательное положение о коммерческой тайне. По данным зарубежных исследований, законодательство по защите интеллектуальной собственности в Беларуси находится на достаточно высоком уровне. Но, тем не менее, при этом иностранные заказчики не считают достоверным качество закона.

В данном случае, как правило, отечественные ИТ-компании предлагают заказчикам заключать соглашения о неразглашении в юрисдикции той страны, в которой у них находится штаб-квартира. Собственных юристов у них вполне достаточно, они полностью доверяют как своим победам, так и поражениям. Поэтому на уровне компаний соглашения, как правило, заключаются в юрисдикции той страны, где находятся заказчики, причем с каждым из сотрудников, который вовлечен в проект. Подобным образом, заказчик отметает риски того, что во время разработки может произойти утечка информации, важной для него. Если же это европейская компания, то существует ряд дополнительных ограничений, которые предусмотрены заказчиками из Европы, передающими на аутсорсинг разработки третьим странам.  Разработана директива Евросоюза, которая предусматривает законодательные ограничения для компаний и стран-членов ЕС в сфере персональных данных.

Если организация делает финансовое предложение для заказчика подобного уровня – к примеру, в области страхования или телекома – очень часто используются персональные данные жителей ЕС. Соответственно, данная директива обязывает компании во время заказов на разработки в «третьих странах» подписывать стандартные контрактные условия. Существует своеобразное разделение стран, исходя из основных критериев безопасности: так называемые «черный» и «белый» списки. Беларусь, естественно, находится в первом. Поэтому будьте готовы, что помимо заключения контракта на разработку, вас обязуют подписать дополнительное соглашение о неразглашении коммерческой тайны. На 80% оно типовое, на 20% обладает спецификой по части информации, подлежащей защите, а также уровню доступа сотрудников к этим данным.

Как правило, к подобным приложениям нередко добавляются еще и требования необходимости выделенного периметра. Это может быть многостраничное приложение, в котором европейский заказчик будет описывать собственные требования к технической инфраструктуре, к параметрам физической безопасности, к информационной защите, которая должна соблюдаться во время ведения этого ИТ-проекта. Что же касается параметров физической безопасности, как правило, для обеспечения их требуется выделенный периметр. Это отдельная комната, в которой создаются специальные условия по сигнализации, по видеонаблюдению, по круглосуточной охране. Некоторые заказчики уделяют настолько повышенное внимание условиям неразглашения, что даже средства мобильной связи заставляют оставлять на входе. Подобный периметр может быть создан заранее, когда компания еще только получает заказ на разработку – при участии в тендере это может стать значимым конкурентным преимуществом. Если вы указываете в тендере, что имеете в наличии закрытый этаж с ограниченным доступом, то это послужит дополнительной мотивацией для заказчика.

Функциональная система доступа должна предполагать возможность ограничвать доступ по времени, фамилии и периметру. К примеру, существует обслуживающий персонал, который обладает правами доступа только в определенные помещения. Хорошей практикой при этом может стать, если после шести вечера доступ закрывается автоматически. При этом разработку и внедрение систем автономного доступа необходимо соизмерять с финансовыми вложениями. Зачастую могут предлагаться достаточно «тяжелые» решения, при реализации которых необходимо учитывать их степень важности. Характерный пример приводят специалисты компании Epam System: перед тем, как установить систему ограничения доступа, специалисты по информационной безопасности определили, сколько и чего в компании украли. Как оказалось – два портсигара, один ноутбук и персональный компьютер, которые вынесли студенты, бывшие на практике. То есть, если за пятнадцать лет существования компании было украдено на 2000 долларов, существует ли смысл тратить полмиллиона их на систему дополнительного контроля? Здесь, скорее, важными окажутся требования заказчика. Причем, с учетом того, что воруют в основном, информацию – «железо» уже давно не входит в список интересов потенциальных похитителей.

Правильно уволить: основные аспекты.

В коммерческих организациях увольняются все – рано или поздно, наступает «день икс», когда работник решает обратить свой взор в сторону более подходящего места. Никто не может дать вам клятвы, что будет трудиться на вас всю оставшуюся жизнь. Ил же сотрудник уходит по своей инициативе, или же его квалификация не устраивает работодателя – в любом случае, им приходится расставаться. С позиции неразглашения конфиденциальной информации, наиболее выгодный вариант – когда сотрудник уходит самостоятельно. Если же вы решаете работника уволить, тогда конфликтная ситуация – налицо, и вам необходимо принимать куда более внушительные меры касаемо того, чтобы сохранить конфиденциальную информацию. Если человек увольняется из компании, в которой проработал определенное количество лет, хорошей практикой будет провести с ним увольнительное интервью.

Кто же должен проводить подобное интервью? Однозначно, не ресурсный менеджер, который сам может послужить косвенной причиной для увольнения. И не человек из службы безопасности, поскольку вряд ли он сможет создать во время беседы доверительную атмосферу. Скорее всего, это будет специалист кадровой службы. В HR-резерве зачастую работают профессиональные психологи, они могут располагать собеседника к себе таким образом, что он может рассказать много нового о компании, в которой трудился. Полученная информация в виде эскалации может попасть на стол к руководству – и в этом нет совершенно ничего плохого. Далее – обязательно необходимо добиваться возврата материальных ценностей, которые выдавались сотруднику в служебное пользование: это могут быть флешки, проектная документация, мобильный телефон, компьютер. Необходимо убедиться, чтобы всё это было сдано. В целях минимизации рисков увольнения других сотрудников, в ходе интервью очень важно обсудить причину ухода человека из компании. Если же работник увольняется по инициативе работодателя, наиболее важным здесь будет не спровоцировать конфликтную ситуацию.

Соответственно, готовиться к подобному исходу необходимо заранее. И заниматься этим должна так называемая маневремнная группа. Это ресурсные менеджеры, юристы, служба поддержки ИТ-инфраструктуры. В этой ситуации все должны действовать слаженно. Зачастую в сложных ситуациях на кону может стоять определенная компенсация при увольнении, чтобы максимально сгладить неприятные моменты. К примеру, работнику выплачивают три оклада, а он взамен подписывает заявление об увольнении. Вокруг подобных ситуаций может возникать множество спорных моментов. Для этого необходимо, чтобы появился своеобразный «медиатор» - человек, обладающий в компании авторитетом, который может должным образом провести подобные переговоры. 

Хорошей практикой для того, чтобы расставить все точки над подписанием заявления и выплатой компенсации, являются так называемые увольнительные обязательства. Это обязательство, которое подписывается отдельно: в нем сотрудник берет на себя обязательства не разглашать конфиденциальную информацию, а также не допускать публичных негативных высказываний в сторону тех или иных аспектов прежнего места работы. сотруднику необходимо напомнить все те обязательства и проекты, в которых он принимал участие, приложив к нему перечень конфиденциальной информации. На фоне этого ответственного шага, который заставляет человека брать на себя определенные обязательства, можно задуматься и о выплате компенсации. Зачастую эта мера срабатывает необходимым образом, и люди легче идут на подписание необходимой документации. Они получают компенсацию, и, морально удовлетворенные, уходят в другие компании.
Что же делать, если работник уже уволился, но риски разглашения всё равно остаются? К примеру, если это рекрутер, то он может воспользоваться базой данных сотрудников и далее начнет заниматься переманиванием работников у вас. В подобных ситуациях важно работать на упреждение: если сотрудник на новом месте работы продолжает заниматься тем, что ему не положено, хорошей практикой станет отправление ему официального письма с требованиями о неразглашении. Психологически этот метод имеет очень сильное воздействие.

В вежливой форме вы поясняете человеку обязательства, которые он брал на себя во время оформления на работу. Рынок ИТ – весьма дефицитный в плане кадров, и это уже сугубо личное дело руководителя, готов ли он играть в военные действия на этом плацдарме. Отдельный вопрос – можно ли уволить за разглашение? В законе «О коммерческой тайне» уже будут прописаны основания для увольнения сотрудника в случае разглашения им конфиденциальной информации. Официально это положение еще не оформлено – поэтому увольнять нельзя. Что же руководитель может позволить себе законодательно? Если это должностное лицо – директор или руководитель, то ему в помощь будет статья 47 ТК РБ, Это «однократное грубое нарушение трудовых обязанностей» руководителем организации, его заместителем, или же главным бухгалтером. Соответственно, с руководителями легче. Для всех остальных можно посоветоваться воспользоваться пунктом 2 статьи 47 Трудового кодекса РБ. Чтобы задействовать этот пункт, в трудовом договоре обязательно необходимо указать, что разглашение конфиденциальной информации представляет собой именно грубое нарушение – для того, чтобы потом было легко установить корреляцию в суде.

В целом, конфиденциальность информации в сфере высоких технологий представляет собой достаточно гибкий инструмент. И пользоваться им необходимо с учетом всех правил и распоряжений, которые диктует не только современное законодательство, но и внутренний деловой распорядок в компании.
Гринёв Сергей Олегович, по материалам конференции ЗАО "Инфопарк"