Идея под защитой

Как сохранить конфиденциальность на этапе производства нового продукта.

Юрист Института проблем предпринимательства Александр Лардугин.

Любой новый продукт — прежде всего информация, то есть сведения о новой технологии, изделии, бизнес–идее, которые способны приносить прибыль. Такой актив требует защиты от хищения, порчи и несанкционированного раскрытия. Поэтому ценная информация признается ее владельцем конфиденциальной, это значит, что тот, кому она была доверена, обязан сохранять ее в тайне, не передавать третьим лицам без согласия владельца.

Для сохранения конфиденциальности следует ответить на три вопроса: что защищаем, от кого защищаем и как защищаем. Объекты для защиты можно условно поделить по носителям информации на электронные или бумажные носители, электронные документы и физических лиц. Указанные носители нуждаются в защите от внешних (хакерские атаки), и внутренних угроз (недобросовестные инсайдеры, халатные сотрудники). Типичными сценариями утечки конфиденциальной информации являются ее случайная публикация в общем доступе, утеря либо кража ее носителей, взлом корпоративной сети, разглашение со стороны партнеров или контрагентов.

Государство гарантирует защиту интересов владельца конфиденциальной информации, если в отношении нее будет установлен режим коммерческой тайны. Для этого недостаточно проставить гриф «тайна» на документах. Чтобы бороться с недобросовестными конкурентами, привлечь к ответственности злоумышленников и претендовать на охрану своих прав на продукт, владелец должен защитить конфиденциальность информации с помощью комплекса организационных и технических мер.

Построение системы

Закона, содержащего исчерпывающие указания, как построить систему информационной безопасности, нет, так же как и жестких требований к мерам по защите информации. Главное — чтобы несанкционированный доступ к ней был ограничен.

Общепринятым методическим документом по защите конфиденциальной информации является серия международных стандартов ISO 27000. Это пошаговое руководство, как и что делать для организации и поддержания защиты информации на предприятии. В России локализацией ISO 27000 является ГОСТ Р ИСО / МЭК 17799–2005. Стандарты доступны для понимания неспециалистами, содержат набор действий, которые подходят для предприятия любого уровня, от стартапа из трех человек до межрегионального холдинга, и выполнимы в короткие сроки.

Последовательность работы по созданию системы информационной безопасности можно представить следующим образом: сначала инвентаризация информации, т. е. определение, какая информация есть в наличии, маршрута ее движения, тех, кто имеет к ней доступ; затем классификация информации по степени ценности и доступности; после этого разработка моделей угроз и возможных нарушителей; по результатам этих этапов определение целей и задач системы безопасности и исходя из них - разработка и внедрение основных документов.

Для полноценной работы политики безопасности потребуется разработка ряда вспомогательных документов, регулирующих такие вопросы, как порядок допуска к конфиденциальной информации и учет допущенных работников, пропускной и внутриобъектный режимы, требования к обращению с конфиденциальными документами, план действий при атаке на конфиденциальную информацию, регламент передачи данной информации третьим лицам.

Лояльность защищает

Основная рекомендация: система информационной безопасности - это не набор формальных бумажек и условных правил, она строится с учетом реальных требований и пожеланий к защите информации на предприятии, а также имеющихся в наличии кадровых, материальных и технических ресурсов. Для того чтобы система обеспечивала защиту, она должна постоянно функционировать, проходить регулярные проверки и совершенствоваться. Также следует избегать распространенной ошибки – установки запретов, противоречащих российскому законодательству, например запрета работникам на устройство в конкурирующие компании после увольнения.

Не стоит ограничиваться только режимом конфиденциальности, одновременно стоит применять методы патентной защиты, помнить, что информация - результат работы конкретных людей, соответственно, их могут просто переманить конку ренты, по этому работодатель должен поддерживать лояльность ключевых для выпуска и реализации продукта работников.