Михаил Емельянников, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(1)
()
Опубликовано в:

Вы много говорите о необходимости и важности введения режима коммерческой тайны. В связи с этим возникает два вопроса. Первый из них, как убедить руководство в необходимости внедрения DLP?

Михаил Емельянников

Убеждение руководства ‒ это не самая главная задача. Самая главная задача – это разъяснение руководству последствий разглашение значимой для организации информации. В этом отношении очень важным представляется анализ судебной практики ‒а ее становится в нашей стране всё больше ‒ которая позволяет сделать вывод, что невыполнение установленных законом мер не позволит в последующем возместить понесенные потери и привлечь виновных к ответственности. Организации, деятельность которых основывается на инновациях, в итоге обнаруживают, что все деньги они вкладывали впустую, их конкуренты получают при миграции персонала или при получении доступа к информации существенные конкурентные преимущества, и никто не может защитить их интересы. К сожалению, наше законодательство построено таким образом, что, не выполнив набор формальных требований при введении режима коммерческой тайны, отстоять свою позицию в суде будет очень сложно.

Второй вопрос: какие работы нужно проводить с персоналом для защиты корпоративной информации?

Ни один проект, связанный с введение ограниченного доступа к информации на предприятии не будет успешным, если каждый работник не понимает, для чего это делается и как это влияет на его конкретную позицию . Если организация зарабатывает на инновациях, а эти инновации постоянно воруют конкуренты, то для работника это должно означать одно: он не получит тех денег, на которые рассчитывал, потому что предприятие не получит соответствующей прибыли. Поэтому заниматься надо абсолютно со всеми категориями персонала от топ-менеджера до рядового работника и все они должны понимать, что это не бессмысленный набор требований, который нужен только службе безопасности, а прямая защита их активов и соответственно обеспечение их доходов.

А кто этим должен заниматься: служба персонала, отдел безопасности или какая-то группа специалистов?

Вопрос охраны объектов интеллектуальной собственности не может решить в одиночку ни одна служба и ни одно самостоятельное подразделение. Обязательно нужен коллегиальный орган, который предусмотрен международными стандартами по управлению информационной безопасностью. Дело в том, что в системе охраны объектов интеллектуальной собственности у каждого подразделения есть своё чёткое предназначение. Юристы должны обосновать правомерность применения тех или иных назначений, безопасники ‒ организовать контроль за их выполнением, айтишники ‒ организовать безопасность в информационной системе. Особую роль в этом процессе играют бизнес-подразделения. В их обязанности входит выполнение самой сложной работы: во-первых, категоризировать информацию, определив ту, которая нуждается в защите, во- вторых, реализовать требования режима, которые позволят предотвратить утечки информации. Еще раз повторю: ни одно подразделение самостоятельно это задачу не решит!

Какое событие в сфере информационной безопасности вы считаете самыми значимыми за прошедший год?

Самое значимое событие ‒ это разработка документов, регулирующих безопасность платёжной системы. Эта тема осталась недооценённой специалистами, потому что вроде бы касается только банков. На самом деле она затрагивает абсолютно любого гражданина , потому что теперь банкам придётся компенсировать потери, понесенные их клиентами, в случае если транзакция была мошеннической, неправомерной и т.д. Изменения в законодательстве затрагивают и организации, которые работают с платёжными системами, например, принимают безналичные платежи, а это магазины, отели, авиакомпании, ‒ все организации, где можно расплатиться карточкой. Вопрос, как будет строиться безопасность платёжной системы, в конечном итоге, вопрос национальной и личной безопасности.

Второй бомбой в этом году может стать принятие изменений в кодекс административных правонарушений, увеличивающих в сотни раз штрафы за невыполнение закона о «Персональных данных». Эти нововведения могут очень сильно изменить ситуацию на рынке, потому что штраф в 600 тыс. рублей и последующий штраф в 800 тыс. рублей для большинства представителей малого и среднего бизнеса будет обозначать клиническую смерть бизнеса. В том, что изменения будут приняты нет никакого сомнения: президент дал поручение министру связи довести поправки до конца. Это будет вторым важным событием, которое повлияет на каждое российское юридическое лицо.

Какой вопрос в сфере ИБ, по вашему мнению, остаётся самым спорным?

Проблем на самом деле очень много по причине того, что наше законодательство очень кусочное, и законы плохо стыкуются между собой. То же невыполнение формальных требований, связанных с обработкой персональных данных, говорит о том, что оператор зачастую несет ответственность не за нарушение прав субъекта, а за невыполнение формальных требований, которые к правам субъекта не имеют никакого отношения.

Или коммерческая тайна: если строго следовать российскому законодательству, то организации, желающие защитить свои коммерческие секреты, должны получать лицензии ФСБ и ФСТЭК. Странность ситуации заключается в том, что процесс защиты информации ‒ дело собственника. Из-за этих недостатков в законодательстве очень часто возникают риски, связанные с регуляторным воздействием, когда мы видим, что прокуратура привлекает предприятие к ответственности за отсутствие согласия со стороны работника на обработку его персональных данных. Это проблема всей страны,и, к сожалению, перспектив гармонизации законодательства не предвидится.

 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя e.v.rodygin

По первому ответу. 

Какие средства автоматизации учета активов и их оценки можете порекомендовать?

up
2 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.