Заходи щодо запобігання витоку інформації: Що має включати в себе внутрішній регламент, який слід розробити

Витік інформації може завдати фатальної шкоди діяльності компанії. Тому важливо розробити внутрішні заходи щодо його запобігання.

Конкретно, можна розглянути такі заходи, як розробка внутрішніх правил компанії та їх виконання. Але які саме внутрішні правила слід розробити? У цій статті ми пояснимо, як розробити внутрішні правила для зменшення ризику витоку інформації, спрямовані на юридичних радників компаній.

Що таке внутрішні правила щодо витоку інформації

Витік інформації може статися в будь-який час і в будь-яких обставинах. Тому важливо заздалегідь розробити чіткі внутрішні правила і бути готовим до можливого витоку інформації.

Крім того, навіть у випадку виникнення такої ситуації як витік інформації, дотримання внутрішніх правил, встановлених заздалегідь, дозволить відповідно реагувати і мінімізувати шкоду від витоку інформації.

Розробка базової політики

По-перше, як компанія, ви маєте визначити свою політику щодо реагування на витоки інформації. Для цього ви можете розробити базову політику щодо витоку інформації.

Базова політика може включати такі пункти, як:

• Відповідальність компанії та керівництва
• Дотримання законодавства та інших нормативних актів
• Створення внутрішніх механізмів
• Управління інформацією
• Заходи щодо співробітників
• Реагування на витоки інформації
• Періодичний перегляд базової політики

Щодо базової політики, вона може бути не лише частиною внутрішніх правил, але й використовуватися як приватна політика, що відкриває базові принципи для зовнішнього світу. Це може показати високий рівень свідомості компанії щодо витоку інформації та сприяти підвищенню соціального довіря.

Однак, зрозуміло, що просто встановлення базової політики не має сенсу. Вам потрібно розробити базову політику, яка відповідає реальному стану вашої компанії, і важливо дотримуватися встановленої базової політики.

Пов’язана стаття: Які основні моменти при створенні політики конфіденційності, враховуючи Закон про захист особистих даних (Японський ~)?[ja]

Положення про захист інформації

У внутрішніх положеннях можна визначити зміст, що стосується захисту інформації.

Щодо змісту, що стосується захисту інформації, можна розглянути встановлення такого змісту, наприклад:

Аналіз ризику витоку інформації

Якщо аналіз ризику витоку інформації не проводиться належним чином, не можна відповідно реагувати на ризик. Тому важливо визначити зміст, що стосується аналізу ризику витоку інформації, у внутрішніх положеннях щодо захисту інформації.

Розуміння інформації, яку має компанія, та її базування

Як компанія, якщо ви не розумієте інформацію, яку ви маєте, важко належним чином керувати нею. Крім того, базування інформації, яку має компанія, дозволяє належним чином керувати інформацією.

Визначення осіб, які обробляють інформацію

Якщо ви визначите осіб, які обробляють інформацію, яку має компанія, у внутрішніх положеннях, ви зможете обмежити обсяг використання інформації до мінімуму і зменшити ризик витоку інформації.

Встановлення процедури розкриття та надання інформації

Якщо ви чітко визначите зміст процедури розкриття та надання інформації, яку має компанія, у внутрішніх положеннях, буде проведено операції відповідно до процедури. Таким чином, можна уникнути ситуації, коли працівники використовують інформацію компанії лише за власним рішенням, що, в свою чергу, може сприяти запобіганню витоку інформації.

Обмеження вивезення інформації за межі

Якщо ви визначите зміст, що стосується вивезення інформації, яку має компанія, за межі у внутрішніх положеннях, ви зможете запобігти непотрібному вивезенню інформації за межі, що може мати певний ефект на запобігання витоку інформації.

Встановлення аудиту системи захисту інформації

Навіть якщо компанія створила систему захисту інформації, немає сенсу, якщо не проводиться операції відповідно до цієї системи захисту інформації.

Тому, ви також можете розглянути встановлення в внутрішніх положеннях, що суб’єкт, незалежний від об’єкта аудиту, проводить аудит щодо системи захисту інформації.

Положення про управління персоналом

Витоки інформації можуть виникати через помилки людей, які обробляють інформацію (людські помилки). Тому, внутрішні правила можуть включати положення, що стосуються людей, які обробляють інформацію.

Ці положення про управління персоналом можуть бути визначені в правилах праці або в положеннях про управління конфіденційною інформацією.

Наприклад, можуть бути визначені такі положення:

Обов’язок зберігати інформацію в таємниці

Внутрішні правила можуть визначати обов’язок співробітників зберігати інформацію в таємниці. Встановленням обов’язку зберігати інформацію в таємниці, можна зобов’язати співробітників виконувати цей обов’язок в рамках контракту.

Також можна очікувати, що співробітники будуть більше усвідомлювати свій обов’язок зберігати інформацію в таємниці.

Заборона використання інформації не за призначенням

Обов’язок зберігати інформацію в таємниці, в першу чергу, означає не допускати витоку інформації. Однак, крім цього, можна визначити заборону використання інформації не за призначенням, що також є ефективним для запобігання витоку інформації.

Підписання договору про збереження таємниці при прийомі на роботу

Можна визначити, що співробітники при прийомі на роботу повинні підписати договір про збереження таємниці, який включає обов’язок зберігати інформацію в таємниці та заборону використання інформації не за призначенням.

Підписання договору при прийомі на роботу не тільки зобов’язує співробітників виконувати свої обов’язки, але також сприяє усвідомленню співробітниками важливості запобігання витоку інформації.

Підписання договору про збереження таємниці при звільненні

Співробітники повинні не тільки запобігати витоку інформації під час роботи, але і після звільнення.

Тому, при звільненні, можна вимагати підписання договору, який забороняє витік інформації, яку співробітник дізнався під час роботи, після звільнення. Це пов’язано з тим, що внутрішні правила, як правило, діють тільки для співробітників, і після звільнення вони втрачають силу.

Навчання співробітників щодо запобігання витоку інформації

Отримавши від співробітників підписані договори, можна досягти певного рівня усвідомлення важливості запобігання витоку інформації. Однак, тільки договори не завжди достатньо для того, щоб співробітники усвідомлювали серйозність витоку інформації.

Тому, проводячи корпоративне навчання з певною періодичністю, можна визначити в внутрішніх правилах проведення навчання для співробітників щодо запобігання витоку інформації.

Положення про фізичне управління

Щоб запобігти витоку інформації, необхідно створити середовище, в якому фізичний витік інформації є малоймовірним.

Наприклад, внутрішні правила можуть включати такі положення щодо управління інформацією:

Контроль доступу до приміщення, де зберігається інформація

Визначення чітких зон безпеки відповідно до інформації, що обробляється в компанії, та управління доступом до цих зон, включаючи замикання на замок, може допомогти зменшити фізичний доступ до інформації.

Зменшення фізичного доступу до інформації може знизити ризик витоку інформації.

Доступ до сервера

Якщо інформація зберігається на сервері, внутрішні правила можуть обмежувати доступ до сервера.

Якщо всі працівники можуть легко отримати доступ до інформації, це збільшує ризик витоку інформації. Тому обмеження доступу до сервера, на якому зберігається інформація, може бути ефективним для запобігання витоку інформації.

Обробка документів та інших носіїв

Важливо також чітко визначити внутрішні правила щодо обробки та зберігання інформації при її фактичному використанні.

Наприклад, якщо інформація зберігається на паперових носіях, можна передбачити зберігання її в закриваємому на замок шафі, а також встановити правило, що не дозволяє виносити інформацію з кімнати для перегляду інформації.

Положення щодо використання IT-обладнання

Останнім часом, через розвиток Інтернету та збільшення виконання роботи на відстані, стає все більше можливостей для обміну інформацією за допомогою IT-обладнання.

Тому, в корпоративних положеннях, можна розглянути встановлення таких правил щодо використання IT-обладнання:

Процедура отримання IT-обладнання в оренду від компанії

По-перше, коли ви отримуєте в оренду IT-обладнання, таке як комп’ютери, від компанії, важливо контролювати, хто і коли отримав обладнання в оренду.

Крім того, важливо періодично визначати стан використання обладнання, щоб переконатися, що особа, яка отримала IT-обладнання в оренду від компанії, не використовує його в умовах, що сприяють витоку інформації.

Процедура використання особистих пристроїв (BYOD)

Збільшення роботи на відстані призвело до того, що все більше випадків, коли працівники використовують свої особисті IT-пристрої, такі як ПК або USB-накопичувачі, для роботи. У такому випадку, можливо, не завжди вживаються достатні заходи безпеки.

Крім того, через те, що це пристрої, які вони зазвичай використовують, працівники можуть втратити відчуття небезпеки при обробці інформації, пов’язаної з роботою, і управління може стати недостатнім.

Тому, в корпоративних положеннях, можна розглянути встановлення процедур та заборон для використання особистих пристроїв (BYOD) у випадку, коли компанія дозволяє працівникам використовувати їх.

Положення щодо інших випадків витоку інформації

Крім того, внутрішні правила щодо витоку інформації можуть включати наступні положення:

Положення щодо особистого використання соціальних мереж

Соціальні мережі можуть використовуватися анонімно або з вказівкою реального імені. У випадку анонімного використання можливо недбале розміщення дописів через відсутність особистої відповідальності. Також можливі випадки, коли допис, зроблений з легкої руки, викликає бурхливу реакцію і потрапляє на очі багатьом людям.

Соціальні мережі мають велику потужність поширення, тому в разі витоку інформації вона може миттєво розповсюдитися.

Тому внутрішні правила можуть включати положення щодо використання соціальних мереж працівниками.

Наприклад, можна розділити використання соціальних мереж на “для службових цілей” та “поза службовими цілями (особисті)”. У випадку використання для службових цілей можна вимагати подання заявки, затвердження та звітів у випадку негативної реакції. Навіть при використанні для особистих цілей, можна заборонити публікацію конфіденційної інформації компанії або інформації, що порушує закон, та вимагати звітів у випадку можливого витоку інформації або негативної реакції.

Заходи проти витоку інформації повинні бути впроваджені в усіх компаніях групи

У великих компаніях можуть існувати декілька дочірніх компаній. Між цими компаніями може відбуватися обмін конфіденційною інформацією, але не обов’язково всі компанії групи мають однаковий рівень безпеки.

Тому, наприклад, можуть бути особи, які намагаються отримати доступ до інформації шляхом незаконного доступу до дочірньої компанії з менш надійною системою безпеки, ніж у материнської компанії.

Щоб впоратися з такою ситуацією, важливо, щоб всі компанії групи впроваджували заходи проти витоку інформації, а не кожна компанія окремо.

Підсумок: Консультуйтеся з адвокатом щодо внутрішніх правил щодо витоку інформації

Вище ми розглянули питання розробки внутрішніх правил для зменшення ризику витоку інформації, спрямовані на юридичних радників компаній. Для запобігання витоку інформації важливо проводити заходи з різних точок зору.

Щодо таких заходів та внутрішніх правил, необхідно провести обережний аналіз, враховуючи професійну точку зору. Рекомендуємо звертатися до адвоката з професійними знаннями при розробці внутрішніх правил.

Пов’язана стаття: Ризик витоку персональної інформації компанії та відшкодування збитків[ja]

Інформація про заходи, що вживаються нашим бюро

Юридичне бюро “Monolith” – це юридична фірма, яка має високу спеціалізацію в IT, особливо в інтернеті та праві. При розробці внутрішніх правил спеціалізовані знання є невід’ємними. У нашому бюро ми проводимо огляд різних питань, від компаній, що входять до складу Токійської фондової біржі, до стартапів. Якщо у вас виникли проблеми з внутрішніми правилами, будь ласка, зверніться до статті нижче.

https://monolith.law/contractcreation[ja]