Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Информация, которую необходимо контролировать «изнутри»

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(8)
()
Опубликовано в:

При внедрении DLP часто возникает такой вопрос: а какую именно информацию надо защищать? Эксперты рекомендуют опираться на следующий список классов наиболее уязвимой информации:

Информация, составляющая коммерческую тайну

Это объект интеллектуальной собственности, неизвестный третьим лицам на законном основании, к которому нет свободного доступа, и в отношении которого обладатель ввел режим коммерческой тайны. Он составляет секрет производства или коммерческую тайну. Здесь следует обратить внимание на два момента: «нет доступа на законном основании». Значит надо ограничить доступ, надо создать разрешительную систему доступа и контролировать её реализацию. Второй момент: «в отношении которого обладатель установил режим коммерческой тайны». Проблема в том, что большинство обладателей не понимают, что такое режим, как он устанавливается, выполнение каких мер он требует, и в каких случаях можно доказать выполнение этой нормы закона. Бытует ошибочное мнение, что информация, находящаяся в режиме коммерческой тайны и ограниченная с точки зрения возможности доступа к ней в информационной системе, автоматически подпадает под правовую защиту государственных институтов. Это не так! Суд будет защищать права только тех компаний, которые выполнили формальные требования 1 части 10 статьи закона «О коммерческой тайне».

Персональные данные

Существует целый ряд компаний, объектом интеллектуальной деятельности которых в первую очередь являются персональные данные (банки, страховые, туристические компании и т.д). Они собирают, систематизируют и принимают в отношении этих данных решения. Кроме того, что персональные данные – основной инструмент бизнеса таких компаний, для них это ещё и коммерческая тайна: ведь за персональные данные в тюрьму не посадишь и убытки не возместишь.

Инсайдерская информация

Абсолютно новый для России класс информации, эффективно защитить которую способны только DLP-системы.  Государство обязало все организации, подпадающие под требования федерального закона принять меры к выявлению незаконных действий инсайдеров и предоставлять об этом информацию органам мониторинга. Как правильно реализовать это требование? Как в огромном массиве информации, которая исходит, скажем, от финансового брокера банка в течение дня во вне, найти ту, которая рассматривается законом, как манипулирование рынком? Нижний порог штрафа за нарушение этого вида тайны, меж тем, определяется российским законодательством в 500 тыс. рублей.

Врачебная тайна в МИС

Это колоссальная проблема. Россия вступает в ту стадию, в которой находится большинство стран мира: из всех видов информации на медицинскую информацию самый высокий спрос. У нас к этой проблеме добавляется еще и российская специфика: малоэффективная бесплатная медицина, отчаявшиеся люди, продвижение платных медуслуг, БАДов, чёрные риелторы, представители ритуальных агентств. Всё это порождает ситуацию, когда информация бесконтрольно продаётся в очень больших количествах. Большинству бесплатных ЛПУ не по карману контролировать ее циркуляцию.

Служебная тайна органов государственной власти и местного самоуправления

Эта информация есть, и, одновременно, её нет. С одной стороны: закон «О служебной тайне» окончательно отвергнут Думой по требованию Правительства. А раз закона нет ‒ нет и тайны. С другой стороны, ситуация с индексированием информации на сайтах госорганов при создании системы межведомственного информационного обмена говорит о том, что через пару лет проблема утечки информации станет просто бичом органов власти в нашей стране. Совершено не понимая особенности функционирования информационных систем, создания и управления сайтами госорганы провоцируют колоссальные утечки информации в своих информационных системах.
Российское законодательство определяет около 50 видов тайн, подлежащих защите. Универсального ответа на вопрос, какой именно вид информации нужно контролировать на данном конкретном предприятии не существует: в каждом отдельном случае при внедрении DLP-системы необходимо решать этот вопрос совместно с заказчиком.

Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя anvolkov

"какую именно информацию надо защищать с точки зрения реализации исключительного права на интеллектуальную собственность"

При всем уважении, но ни одна из перечисленных ниже категорий не имеет отношения к "исключительному праву на интеллектуальную собственность". Ну а то, что написано про коммерческую тайну - вообще не поддается критике. Начнем с того, что "коммерческая тайна" - это режим, а не объект. И как объект может "составлять коммерческую тайну или секрет производства", если по-закону "информация, составляющая коммерческую тайну" = "секрет производства" (ст. 3 п. 2 98-ФЗ), и для него следует смотреть гл. 75 ч. 4 ГК РФ "Право на секрет производства"... Аккуратнее надо быть с терминологией.

up
33 users have voted.
Аватар пользователя mezp11@gmail.com

Алексей, согласен, с терминологией надо осторожно. Но и Вы не совсем точны или излишне строги. Конечно, не "КТ", а "ИКТ". Но ИКТ - как раз объект интеллектуальной собственности и нематриальный актив. Статья 1225 ГК: "Результатами интеллектуальной деятельности (интеллектуальной собственностью) юридических лиц, которым предоставляется правовая охрана являются: ... 12) секреты производства (ноу-хау)". И, как Вы справедливо пишите, ИКТ=СП=ноу-хау. То, что ИКТ называют КТ - обычный жаргон, думаю, Вы и сами им пользуютесь. Наконец, ст.257 НК РФ "В целях настоящей главы нематериальными активами признаются приобретенные и (или) созданные налогоплательщиком результаты интеллектуальной деятельности и иные объекты интеллектуальной собственности (исключительные права на них), используемые в производстве продукции (выполнении работ, оказании услуг)". Так что <ни одна из перечисленных ниже категорий не имеет отношения к "исключительному праву на интеллектуальную собственность"> Вы немного погорячились. Кстати, полно решений судов, признающих базы данных клиентов (персональные данные) ИКТ, а значит - и объектом интеллектуальной собственности.

up
29 users have voted.
Аватар пользователя anvolkov

Возможно, и погорячился. Но Вы же знаете, что включают в перечень ИКТ, и какой процент этого составляют реальные "секреты производства". Относительно баз клиентов - это старая песня, называется она "противоборство тайн". Закон о коммерческой тайне пора давным-давно менять.

up
28 users have voted.
Аватар пользователя mezp11@gmail.com

Все в этой системе надо менять. Но надежд мало.

up
31 user has voted.
Аватар пользователя anvolkov

Так вроде были в этом плане какие-то подвижки? Типа "собирайте предложения"... Или "бобик сдох" ?

up
30 users have voted.
Аватар пользователя Сергей Хайрук

Алексей, не троллинга ради, но дела. Думаю, Наталья уже обращалась к Вам с этой просьбой, но все же... Было бы безумно интересно узнать, что Вы, как практик, работающий по ту сторону, думаете о применении и применимости законодательства. То бишь, что действительно стоит учитывать из множества законов, подзаконных актов и пр., а чем можно пренебречь? А может, у Вас какие-то другие темы имеются, которыми Вы сможете с нами поделиться?

up
34 users have voted.
Аватар пользователя anvolkov

Сергей, да, обращалась. Тем много - но к сожалению я, как "практик" (хотя я и не очень люблю этот термин - это моя работа) существенно ограничен в раскрытии своего опыта, Вы понимаете. Соблюсти баланс интересов - весьма непростая задача, требующая больше всего времени и концентрации. Я обещал подумать - буду думать, как это сделать.

up
36 users have voted.
Аватар пользователя e.v.rodygin

Эксперт в первую очередь должен классифицировать информацию, которая обрабатывается у клиента. Дальше принимается решение.

up
32 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.