Как сохранить финансовые тайны бизнеса

Цели: защитить конфиденциальную информацию, снизить риск разглашения или потери закрытых сведений о компании.

Как действовать: определить, какие документы относятся к коммерческой тайне, разграничить права доступа к секретным данным, разработать политику по информационной безопасности бизнеса.

Сохранение коммерческой тайны – головная боль топ-менеджеров многих российских компаний. Ее разглашение сулит массу проблем, начиная с потери ключевых клиентов и активов и заканчивая ухудшением отношений с инвесторами и кредиторами.

Казалось бы, все просто – важные документы нужно хранить в недоступном месте и беречь от посягательств конкурентов, но в реальности наибольшую угрозу для бизнеса представляет не враг извне, а собственные работники предприятия. Их халатность и неосмотрительность нередко становится причиной утечки данных или потери важных документов. При этом главная ошибка, которую допускают многие руководители, заключается в отсутствии системного подхода к защите информации. Чтобы подобного не произошло в вашей компании, важно следовать нескольким простым правилам. Их соблюдение не потребует от сотрудников предприятия значительных усилий, но поможет в борьбе с инсайдом и другими угрозами.

Определить перечень конфиденциальной информации

Чтобы снизить риски разглашения конфиденциальной информации компании, для начала следует оценить масштаб угроз и потерь от огласки (утраты) тех или иных сведений (документов). Такие подсчеты, пусть даже очень приблизительные, помогут финансовому директору убедить собственников бизнеса не скупиться на информационную безопасность.

Предупреждение

Не все документы компании можно считать конфиденциальными. Перечень сведений, которые не могут относиться к коммерческой тайне, приводится в статье 5 закона от 29.07.04 № 98-ФЗ «О коммерческой тайне».

На втором этапе необходимо определить, какие именно данные относятся к коммерческой тайне. При этом очень важно, чтобы перечень не содержал абстракций вроде «все документы финансового департамента», «информация о ценах» и тому подобных, а включал названия конкретных документов, представленных в электронном или бумажном виде. Данный список необходимо довести до сведения сотрудников финансовой службы.

Следующий шаг – обозначить места хранения и обработки важных для компании данных. Например, указать, где должны храниться черновики договоров с контр­агентами и при каких обстоятельствах разрешается выносить их из кабинета юриста. В некоторых случаях имеет смысл нанести на документы гриф «Коммерческая тайна» или «Секретно» и заказать для них сейф, ключи от которого будут храниться у ответственного руководителя.

Кроме того, необходимо составить список служащих, работающих с закрытой информацией, а также специалистов предприятия, которым она может передаваться для выполнения служебных обязанностей.

Разграничить права доступа

Всех сотрудников компании можно условно разбить на четыре группы: руководители высшего звена (владелец предприятия, президент, генеральный директор, финансовый директор), руководители среднего звена (начальники подразделений и дочерних предприятий), линейные менеджеры (специалисты отделов), а также обслуживающий и технический персонал (грузчики, уборщицы). Очевидно, что все категории работников должны обладать разными объемами информации. Например, руководители «дочек» получают доступ лишь к тем данным, которые непосредственно касаются вверенных им компаний, а рядовые специалисты отделов владеют только той информацией, которая необходима им для выполнения профессиональных обязанностей.

Установить наиболее вероятные каналы утечки секретных данных

Одним из самых распространенных каналов утечки конфиденциальной информации остается интернет (см. диаграмму). По данным SecurIT, на него в 2011 году приходилось около 44 процентов всех инцидентов, связанных с промышленным шпионажем и разглашением секретных сведений. При работе в «глобальной пау­тине» очень велика вероятность подцепить программу-шпион, например клавиатурный считыватель (keylogger), которая фиксирует все нажатия на клавиатуру и направляет эти данные своему разработчику. Кроме того, нельзя исключать риска хакерских атак. Чтобы этого не случилось, на всех рабочих компьютерах нужно установить антивирус и антишпион, а также ограничить права доступа в интернет для сотрудников финансовой службы. Это правило распространяется и на финансового директора компании. Для работы в интернете лучше заказать отдельный компьютер.

диаграмма. Основные каналы утечки конфиденциальной информации компаний в 2011 году, %

Отключенные от сети компьютеры также нуждаются в защите от несанкционированного доступа. Самый простой совет – закрыть доступ к технике паролем, не известным даже сотрудникам IT-службы, и обновлять его не реже одного раза в месяц. Съемные накопители, в свою очередь, остаются едва ли не главным источником всех бед компаний. Потери или кражи сотрудниками флэшек и дисков с конфиденциальной информацией сегодня не редкость. Чтобы избежать проблем в будущем, стоит сразу решить, кому из служащих компании в соответствии с занимаемой должностью можно открыть на рабочем компьютере USB-порт и прочие устройства для подключения внешних накопителей информации, а кому нет.

Отдельного внимания заслуживают бумажные копии документов. Говоря об информационной безопасности, топ-менеджеры о них нередко забывают. Между тем, согласно исследованиям SecurIT в 2011 году, в 7,4 процента случаев секреты предприятий становятся достоянием конкурентов и общественности из-за халатного отношения к бумажной документации. Как этого избежать? Во-первых, составить список ответственных за хранение документов (первички, отчетов) специалистов финансовой службы. В противном случае проконтролировать, кто из них и когда взял документы, невозможно. Можно, например, завести специальную учетную книгу и указывать в ней подобные сведения. Во-вторых, не использовать общий принтер для распечатки не предназначенных для посторонних глаз сведений. В-третьих, пропускать всю выбрасываемую бумагу через шредер. В-четвертых, выходя из кабинета, пусть даже на несколько минут, закрывать его на ключ.

Разработать политику информационной безопасности

Как свидетельствует практика, даже очень подробного перечня закрытых сведений для защиты секретов фирмы недостаточно, поэтому компании, заботящейся о своей информационной безопасности, не обойтись без соответствующего положения. Споры о том, кто именно должен участвовать в его разработке, не утихают до сих пор и единого мнения в этом вопросе не существует. В каждом конкретном случае все зависит от масштабов деятельности компании, количества сотрудников и других факторов. Главное, не перекладывать эту обязанность исключительно на плечи ИТ-специалистов. В идеале политика безопасности должна стать результатом совместного творчества главного финансиста, коммерческого директора, начальника ИТ-службы и руководителей функциональных подразделений и дочерних компаний. С разработанным положением необходимо ознакомить всех служащих предприятия (под роспись).

Предусмотреть штрафы за нарушения в работе с закрытой информацией

Чтобы уберечь важные данные от посторонних, одних регламентов недостаточно. Любые внутренние правила время от времени нарушаются, особенно если за это не предусмотрены штрафные санкции. Ответственность за несоблюдение установленных регламентов лучше прописать и в должностных инструкциях работников, и в трудовом договоре. Кроме того, на многих предприятиях с сотрудниками в обязательном порядке подписывается дополнительное соглашение о неразглашении конфиденциальной информации. Причем оно действует не только в период действия трудового договора, но и в течение трех–пяти лет после увольнения.

Кроме того, не лишним будет провести разъяснительные работы и объяснить подчиненным, чем обернется для них невнимательное отношение к секретам компании. Например, штрафами или дисциплинарной ответственностью. Согласно статье 243 Трудового кодекса (ТК), за разглашение конфиденциальных сведений работник несет материальную ответственность в полном размере причиненного ущерба. В соответствии со статьей 81 ТК работодатель имеет право его уволить.

Также стоит акцентировать внимание подчиненных и на том, что компания может привлечь виновного к административной и уголовной ответственности. Ведь согласно российскому законодательству, если работника уличили в преднамеренном сборе информации, ему грозит штраф или до трех лет лишения свободы (ст. 183 УК РФ). Правда, учитывая, что вопрос ответственности за разглашение коммерческой тайны в российском законодательстве проработан очень плохо, на судебные разбирательства могут уйти годы. И в этом случае нет гарантии, что работодателю удастся доказать вину служащего и компенсировать свои потери.

Еще по теме

Промышленный шпионаж. Ж. Бержье. М.: Вузовская книга, 2011.

Компьютерное мошенничество. Битва байтов. Джозеф Т. Уэллс. М.: Маросейка, 2010.

Политики безопасности компании при работе в Интернет. С. А. Петренко, В. А. Курбатов. М.: ДМК Пресс, 2010.