Объяснение мер по предотвращению утечки информации: содержание внутренних правил, которые следует разработать

Утечка информации может нанести смертельный удар по деятельности компании. Поэтому важно разработать внутренние меры предотвращения.

Конкретно, можно рассмотреть такие варианты как разработка внутренних правил компании и их последующее применение. Но какие именно внутренние правила следует разработать? В этой статье мы объясним, как разработать внутренние правила для снижения риска утечки информации, ориентируясь на юридических сотрудников компаний.

Что такое внутренние правила по утечке информации

Утечка информации может произойти в любое время и в любых обстоятельствах. Поэтому важно заранее разработать тщательно продуманные внутренние правила и подготовиться к возможной утечке информации.

Кроме того, даже если произойдет утечка информации, следование заранее установленным внутренним правилам позволит адекватно реагировать на ситуацию и минимизировать ущерб от утечки информации.

Формирование основной политики

Прежде всего, предполагается, что компания должна разработать основную политику в отношении утечки информации, чтобы ясно определить, как она будет реагировать на такие ситуации.

В основной политике, например, можно установить следующие положения:

• Содержание, касающееся ответственности компании и руководства
• Содержание, касающееся соблюдения законов и других нормативных актов
• Содержание, касающееся создания внутренних механизмов
• Содержание, касающееся управления информацией
• Содержание, касающееся подхода к сотрудникам
• Содержание, касающееся реакции в случае утечки информации
• Содержание, касающееся периодического пересмотра основной политики

Что касается основной политики, помимо аспекта внутренних правил, можно также рассмотреть ее использование в форме, подобной политике конфиденциальности, чтобы явно обозначить основные принципы для внешнего мира. Объявление основных принципов для внешнего мира может продемонстрировать высокую осведомленность компании о вопросах утечки информации и способствовать повышению общественного доверия.

Однако, конечно, просто установление основной политики не имеет смысла. Необходимо установить основную политику, соответствующую реальной ситуации в компании, и важно осуществлять ее в соответствии с установленной основной политикой.

Связанные статьи: Каковы ключевые моменты при создании политики конфиденциальности, учитывая Японский закон о защите личных данных?[ja]

Положения о защите информации

В содержании внутренних правил компании можно рассмотреть включение положений о защите информации.

В отношении защиты информации можно рассмотреть установление следующих положений, например:

Анализ риска утечки информации

Если анализ риска утечки информации не проводится должным образом, невозможно принять соответствующие меры в соответствии с риском. Поэтому важно установить положения об анализе риска утечки информации в внутренних правилах в контексте защиты информации.

Осознание и базирование информации, которой владеет компания

Если компания не полностью осознает информацию, которой она владеет, управление ею становится сложным. Кроме того, базирование информации, которой владеет компания, позволяет эффективно управлять информацией.

Определение лиц, обрабатывающих информацию

Если в внутренних правилах определить лиц, обрабатывающих информацию, которой владеет компания, можно минимизировать использование информации и снизить риск утечки информации.

Установление процедур раскрытия и предоставления информации

Если в внутренних правилах четко определить процедуры раскрытия и предоставления информации, которой владеет компания, то будет проводиться операция в соответствии с этими процедурами. Это позволит избежать ситуаций, когда сотрудники используют информацию компании по своему усмотрению, и в результате поможет предотвратить утечку информации.

Ограничение выноса информации за пределы компании

Если в внутренних правилах определить положения о выносе информации за пределы компании, можно предотвратить ненужное вынос информации за пределы, что в свою очередь может помочь предотвратить утечку информации.

Установление положений об аудите системы защиты информации

Даже если компания создала систему защиты информации, она не имеет смысла, если не проводится операция в соответствии с этой системой.

Поэтому в внутренних правилах можно рассмотреть установление положений о проведении аудита системы защиты информации независимым от аудитируемого объекта субъектом.

Положение о человеческом управлении

Утечки информации могут происходить из-за ошибок людей, обрабатывающих информацию (человеческих ошибок). Поэтому внутренние правила могут предусматривать положения, касающиеся людей, обрабатывающих информацию.

Кроме того, эти положения о человеческом управлении могут быть определены в правилах труда или в положении о конфиденциальности.

Например, можно предусмотреть следующие положения:

Обязанность по сохранению конфиденциальности информации

Внутренние правила могут предусматривать обязанность сотрудников сохранять конфиденциальность информации. Установление такой обязанности позволяет налагать на сотрудников обязанность сохранять конфиденциальность в рамках контракта.

Кроме того, можно ожидать, что это повысит осведомленность сотрудников о необходимости сохранять конфиденциальность информации.

Запрет на использование информации вне целей

Обязанность по сохранению конфиденциальности информации, в первую очередь, предполагает недопущение утечки информации. Однако, кроме этого, можно также установить запрет на использование информации вне целей, что также будет эффективно для предотвращения утечки информации.

Подписание обязательства о сохранении конфиденциальности при приеме на работу

Сотрудникам можно предложить подписать обязательство о сохранении конфиденциальности, включая запрет на использование информации вне целей, при приеме на работу.

Подписание такого обязательства при приеме на работу не только налагает на сотрудников контрактные обязательства, но и помогает повысить их осведомленность о необходимости предотвращения утечки информации.

Подписание обязательства о сохранении конфиденциальности при увольнении

Сотрудникам необходимо не только предотвратить утечку информации во время работы, но и после увольнения.

Поэтому при увольнении можно потребовать подписать обязательство о неразглашении информации, полученной во время работы, и после увольнения. Это связано с тем, что внутренние правила, как правило, действуют только в отношении сотрудников и не имеют силы после увольнения.

Обучение сотрудников по вопросам утечки информации

Получение от сотрудников обязательства может в некоторой степени повысить осведомленность о необходимости предотвращения утечки информации, однако только обязательство не всегда достаточно для того, чтобы сотрудники осознавали серьезность утечки информации.

Поэтому полезно установить в внутренних правилах проведение корпоративного обучения с определенной периодичностью, чтобы обучать сотрудников предотвращению утечки информации.

Положение о физическом управлении

Для предотвращения утечки информации необходимо создать среду, которая физически затрудняет утечку информации.

Например, во внутренних правилах можно установить следующие положения относительно управления информацией:

Управление доступом в помещение для хранения информации

Внутри компании можно четко определить зоны безопасности в соответствии с обрабатываемой информацией и управлять доступом и запиранием каждой зоны, чтобы уменьшить физический доступ к информации.

Уменьшение физического доступа к информации может помочь снизить риск утечки информации.

Доступ к серверу

Если информация хранится на сервере, внутренние правила могут ограничивать права доступа к серверу.

Если любой сотрудник может легко получить доступ к информации, это увеличивает риск утечки информации. Ограничение доступа к серверу, на котором хранится информация, является эффективным способом предотвращения утечки информации.

Обращение с документами и другими носителями

Важно также четко определить во внутренних правилах, как обрабатывать и хранить информацию при ее физическом использовании.

Например, если информация находится на бумажном носителе, можно предусмотреть ее хранение в запираемом шкафу и установить правило, что информацию нельзя выносить из комнаты, предназначенной для просмотра информации.

Положение об использовании IT-оборудования

В последнее время, из-за развития интернета и увеличения практики удаленной работы, возрастает количество случаев обмена информацией с использованием IT-оборудования.

Поэтому, во внутренних правилах компании, можно рассмотреть возможность установления следующих положений относительно использования IT-оборудования.

Процедура при получении IT-оборудования в аренду от компании

В первую очередь, при получении в аренду от компании компьютеров и другого IT-оборудования, важно управлять такой информацией, как кто и когда получил оборудование в аренду.

Кроме того, важно также регулярно отслеживать использование оборудования теми, кто получил его в аренду от компании, чтобы убедиться, что они не используют IT-оборудование в условиях, которые могут способствовать утечке информации.

Процедура использования личного оборудования (BYOD)

С увеличением количества удаленной работы, становится все больше случаев, когда сотрудники используют свое личное IT-оборудование для работы. В случае использования личных компьютеров или USB-накопителей сотрудниками, возможно, не всегда предпринимаются достаточные меры безопасности.

Кроме того, поскольку это оборудование, которое сотрудники обычно используют, возможно, что они могут потерять ощущение опасности при обработке информации, связанной с работой, и управление может стать недостаточным.

Поэтому, во внутренних правилах компании, можно рассмотреть возможность установления процедур и запретов для использования личного оборудования (BYOD) в случае, если компания разрешает его использование сотрудникам.

Положения о прочих утечках информации

В дополнение к этому, внутренние правила о утечках информации могут также устанавливать следующие положения:

Положения о личном использовании социальных сетей

В социальных сетях есть возможность использования под своим настоящим именем или анонимно. В случае анонимного использования, есть вероятность, что люди могут легкомысленно публиковать сообщения, полагая, что они анонимны. Кроме того, есть случаи, когда люди публикуют сообщения, полагая, что они не привлекут внимания многих людей, и в результате эти сообщения становятся вирусными и привлекают внимание многих людей.

Социальные сети обладают большой силой распространения, поэтому в случае утечки информации, она может мгновенно распространиться.

Поэтому внутренние правила могут также устанавливать положения о использовании социальных сетей сотрудниками.

Например, можно разделить цели использования социальных сетей на “для деловых целей” и “вне деловых целей (личные)”, и в случае использования для деловых целей, можно предусмотреть обязательность подачи заявки, получения одобрения и сообщения о вирусных сообщениях. Даже если целью является не деловое использование, можно запретить публикацию конфиденциальной информации компании и информации, нарушающей законодательство, и предусмотреть обязательность сообщения в случае возможной утечки информации или вирусного сообщения.

Меры против утечек информации должны приниматься всей группой компаний

В крупных компаниях может быть несколько групповых компаний. Между групповыми компаниями может происходить обмен конфиденциальной информацией, но не обязательно все групповые компании имеют одинаковый уровень безопасности.

Поэтому, например, некоторые люди могут попытаться получить доступ к информации, проводя несанкционированный доступ к дочерней компании, у которой уровень безопасности ниже, чем у родительской компании.

Для решения этой проблемы, важно, чтобы групповые компании не принимали меры против утечек информации по отдельности, а действовали совместно.

Вывод: По вопросам внутренних правил о неразглашении информации следует обратиться к адвокату

Выше мы обсуждали вопросы разработки внутренних правил для снижения риска утечки информации, ориентируясь на юридических сотрудников компаний. Для предотвращения утечки информации важно принимать меры с различных точек зрения.

По вопросам разработки таких внутренних правил, включающих меры противодействия, необходимо провести тщательное обсуждение, привлекая профессиональные взгляды. Рекомендуем обратиться к адвокату, обладающему специализированными знаниями, при разработке внутренних правил.

Связанные статьи: Риск утечки персональной информации компании и возмещение ущерба[ja]

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в интернете и праве. При разработке внутренних регламентов необходимы профессиональные знания. Наша фирма занимается рассмотрением различных вопросов, начиная от компаний, котировавшихся на Токийской бирже, до стартапов. Если у вас возникли проблемы с внутренними регламентами, обратите внимание на статью ниже.

https://monolith.law/contractcreation[ja]