Юридические компании

Авторизация

Логин:
Пароль:
  
Регистрация
Забыли свой пароль?

Консультация
юриста on-line

Вопрос юристу на "Status-Quo"


поиск юриста

Юристы и адвокаты

Кибербезопасность в частном секторе. Как защитить данные компании?

Кибербезопасность в частном секторе. Как защитить данные компании? 18.10.2018

Кибербезопасность в частном секторе. Как защитить данные компании?

В последнее время больше всего внимания уделяется проблемам защиты информации в компаниях. Это вполне логично, ведь события последних 4-х лет дают четкое понимание, что риски воздействия и вмешательства хакеров в жизнедеятельность физических и юридических лиц значительно увеличились. Чаще всего последствиями масштабных кибератак является нарушение или прекращение на время деятельности компании, разглашение персональных данных, конфиденциальной информации или коммерческой тайны, вызывает многочисленные финансовые и репутационные убытки.

Иностранные хакеры неоднократно влияли на процесс нормального функционирования многих общественно важных предприятий и государственных органов. Ярким примером этого явления служит остановка работы многих электростанций в 2015 и блокировки работы сайта ведущего железнодорожного перевозчика к 2016 г.г. Однако деятельность хакеров направлена ​​не только на компании государственного значения. Также в зоне риска находятся компании-представители малого и среднего бизнеса, которые обычно или недостаточно уделяют внимания защите информации, либо не имеют финансовой возможности обеспечения технической безопасности данных. Именно такие компании более легкой целью для хакеров.

Законодательное регулирование. Что предлагается?

В течение длительного времени в нашей стране не существовало законодательства, регулировали бы вопросы обеспечения безопасности как в информационном, так и в киберпространстве. Первой попыткой урегулировать этот вопрос был проект Закона «Об основах информационной безопасности», которым предлагалось разграничение информационной и кибербезопасности. Информационная безопасность предполагает состояние защищенности жизненно важных интересов человека, общества и государства, при котором нанесение ущерба происходит из-за неправильного обращения с информацией (ее неполнота, несвоевременность, недостоверность, несанкционированный оборот и т.д.). При этом кибербезопасность является способностью человека, общества и государства предотвращать и противодействовать негативному влиянию и несанкционированного управлению информационными ресурсами с применением телекоммуникационных и информационно-коммуникационных систем и сетей. То есть разграничение этих двух понятий позволяет условно разделить механизмы защиты информации на технические (например, внедрение эффективных систем защиты информации на электронных устройствах и в сетях) и правовые (разработка определенных политик в компании, способствующие снижению рисков неправомерного разглашения информации).

Однако действующий Закон «Об основных принципах обеспечения кибербезопасности» не предусматривает необходимого разграничения, сужая сферу регулирования Закона к обеспечению интересов в контексте обеспечения кибербезопасности, которое ограничивается использованием только киберпространства. Кроме этого, Закон не распространяется на использование коммуникационных систем, не взаимодействуют с публичными сетями электронных коммуникаций. То есть внутренние коммуникационные системы, которые не имеют выхода в Интернет, не подпадают под действие этого закона. К сожалению, этот Закон является преимущественно декларативным и не предлагает конкретных механизмов обеспечения надлежащего уровня кибербезопасности как государственных, так и частных предприятий, деятельность которых непосредственно связана с технологическими процессами и / или предоставлением услуг, имеющих большое значение для нормального функционирования общества.

Правительство приняло Распоряжение Об утверждении плана мероприятий на 2018 по реализации Стратегии кибербезопасности. Однако Стратегия (так же, как и Закон) не предусматривает плана мероприятий для частных компаний. Если Закон декларирует основные принципы обеспечения кибербезопасности на объектах критической инфраструктуры, то Стратегия предоставляет перечень мероприятий, которые должны быть выполнены кругом государственных органов. Таким образом, вопрос обеспечения кибербезопасности в частных компаниях законодательством фактически не урегулирован.

Пути решения

Как уже было отмечено, механизмы обеспечения надлежащей кибербезопасности в компании можно разделить на технические и правовые. 

Технические механизмы обеспечения кибербезопасности компании включают в себя использование новейшего компьютерного оборудования, как, например, оригинальных модулей трансиверов Juniper, а так же лицензионного программного обеспечения, способного остановить хакера ещё на этапе попытки взлома баз данных.

Несмотря на недостаточную урегулированность механизмов обеспечения кибербезопасности в компании, все же существуют пути минимизации рисков неправомерного разглашения информации с ограниченным доступом, конфиденциальной информации, персональных данных (как работников, так и контрагентов) и коммерческой тайны.

Одним из них может быть получение услуг по кибер-страхования. В отличие от США и стран Европы, в нашей стране предоставления подобных услуг является не просто нераспространенным, но и вообще почти отсутствует. Следует отметить, что кибер-страхования не предусматривает проведение технических мероприятий, но одновременно является эффективным инструментом страхования рисков финансовых потерь вследствие атак хакеров, фишинга, кибер-вымогательство, потерь конфиденциальной информации, персональных данных, коммерческой тайны, а также в случае возникновения упущенной выгоды.

Страховые компании в некоторых странах Европы (в частности, в Германии), кроме покрытия убытков компании, также предлагают услуги по восстановлению репутации компании путем использования большого круга коммуникационных инструментов. Такой подход не только значительно упрощает ведение компанией своей деятельности по финансовой позиции, но и позволяет достаточно быстро «восстановить имя» на общем рынке. Несмотря на то, что в нашей стране лишь незначительное количество страховых компаний отзывается на запрос о предоставлении услуг по кибер-страхование, в будущем такая услуга будет приобретать большую популярность и распространение.

Не последнюю роль в обеспечении кибербезопасности в компании играет безопасность ведения процесса обработки персональных данных. Одним из основных инструментов регулирования процессов по персональных данных является General Data Protection Regulation (далее - Регламент), который вступил в силу 25.05.2018 года. Его действие распространяется на процесс обработки персональных данных, осуществляемой национальными компаниями в отношении физических лиц, получающих товары или услуги на территории ЕС, независимо от того, где производится оплата за полученные товары или услуги, а также с целью мониторинга поведения физических лиц, если такое поведение происходит на территории ЕС. Под такие условия подпадает значительный круг украинских компаний разного «калибра» бизнеса.

Вместе с персональными данными, как указывают в совей аналитике, основанной на практическом опыте предоставления бухгалтерских услуг в удалённом режиме сотрудники компании "ЦБиЮС Хименко", обеспечение повышенных условий кибербезопасности относительно хранения информации о хозяйственной деятельности компании, является одним из приоритетных условий безопасного ведения бизнеса и исключения утечки информации, составляющей коммерческую тайну и содержащую персональные данные клиентов.

В то же время уклонения от выполнения требований Регламента может привести к привлечению компании к ответственности в размере от 10 млн евро до 20 млн евро, что для многих украинских компаний является значительным ударом по финансовому состоянию. Чтобы предотвратить наступление возможных негативных последствий несоответствия ведения деятельности положениям Регламента, компании необходимо рассмотреть возможность проведения аудита на соответствие ведения деятельности компании положениям Регламента.

Кроме проведения анализа основной документации компании, которая определяет порядок обработки и защиты персональных данных, такой аудит может включать технический анализ, который может предусматривать, например, проведение оценки основных технических и организационных мер обеспечения безопасности данных, выявление основных пробелов и предоставления рекомендаций по их минимизации. Проведение такого аудита позволит компании «убить двух зайцев» - получить экспертное заключение о соответствии ведения деятельности по правовой позиции и рекомендации по улучшению уже имеющейся в компании системы обработки и защиты персональных данных.

Одним из видов «чувствительной» информации является коммерческая тайна, сохранение которой считается едва ли не самым тяжелым задачам компании. Незаконный сбор, использование или разглашение коммерческой тайны является уголовным преступлением и наказывается незначительным штрафом. Однако главной сложностью является то, что иногда почти невозможно определить, кто разгласил (передал) коммерческую тайну. Именно поэтому компании важно разработать качественную политику конфиденциальности. Такая политика позволит не только определить объем, правовой статус и порядок доступа к информации, но и установит обязанности работников в сфере защиты информации, порядок контроля компанией за соблюдением информации и виды ответственности в случае нарушения требований конфиденциальной политики.

Важным моментом, который также необходимо учитывать в процессе разработки конфиденциальной политики, является установление срока, в течение которого работник, имеющий доступ к конфиденциальной информации и / или коммерческой тайны, не мог ее разглашать даже после ухода из компании. Обычно такое условие прописывается как отдельный договор о неконкуренции или включается в текст трудового договора, однако включение такого положения к конфиденциальной политики не будет лишним.

Если работников можно обязать соблюдать условия внутренних политик компании, то как быть с деловыми партнерами? Если в процессе правоотношений, возникающих между компанией и ее контрагентами, деловыми партнерами и потенциальными деловыми партнерами происходит обмен информацией, раскрытие или потеря которой может нанести ущерб компании или предоставить выгоду третьему лицу, целесообразным является заключение договора о неразглашении. Основным условием договора о неразглашении обязательно устанавливается размер ответственности за неправомерное разглашение вышеуказанной информации. Таким образом, разработка конфиденциальной политики и типового договора о неразглашении помогут значительно уменьшить возникновения рисков разглашения конфиденциальной информации и / или коммерческой тайны в будущем.

Несмотря на то, что на нынешнем этапе нормативное урегулирование обеспечения кибербезопасности в частном секторе очень хромает, существует значительное количество способов и механизмов, с помощью которых можно повысить уровень защиты информации и значительно уменьшить риски ее потери, повреждения или разглашения. Однако в ближайшее время ситуация должна измениться, поскольку постепенно весь документооборот и порядок его ведения перейдут в электронную плоскость. Именно поэтому появляется потребность в новых услугах по обеспечению безопасности в информационном и киберпространстве. Ведь во времена новейших технологий гораздо проще потерять свой бизнес - достаточно лишь одного «клика» компьютерной мышки.


Количество показов: 503
Рейтинг:  3.3

Возврат к списку