Защита информации: основные аспекты сохранения конфиденциальности в сфере ITЧасть 2

Контракт уже подписан, с вами заключено предварительное соглашение о неразглашении во время переговоров. Причем, как правило, подобные соглашения заключаются еще до подписания самого контракта. Однако, как показывает практика, большинство зарубежных заказчиков – американских, европейских – весьма слабо знают, что в Беларуси существует законодательное положение о коммерческой тайне. По данным зарубежных исследований, законодательство по защите интеллектуальной собственности в Беларуси находится на достаточно высоком уровне. Но тем не менее при этом иностранные заказчики не верят в качество закона.

Юридические тонкости

В данном случае, как правило, отечественные IТ-компании предлагают заказчикам заключать соглашения о неразглашении в юрисдикции той страны, в которой у них находится штаб-квартира. Собственных юристов у них вполне достаточно, они полностью доверяют как своим победам, так и поражениям.

Если же это европейская компания, то существует ряд дополнительных ограничений, которые предусмотрены заказчиками из Европы, передающими на аутсорсинг разработки третьим странам. Разработана директива Евросоюза (ЕС), которая предусматривает законодательные ограничения для компаний и стран-членов ЕС в сфере ПДн. Если организация делает финансовое предложение для заказчика подобного уровня – к примеру, в области страхования или телекома – очень часто используются ПДн жителей ЕС. Соответственно данная директива обязывает компании во время заказов на разработки в третьих странах подписывать стандартные контрактные условия.

Как правило, к подобным приложениям нередко добавляются еще и требования необходимости выделенного периметра. Это может быть многостраничное приложение, в котором европейский заказчик будет описывать собственные требования к технической инфраструктуре, параметрам физической безопасности, информационной защите, которая должна соблюдаться во время ведения этого IТ-проекта.

Что же касается параметров физической безопасности, то, как правило, для их обеспечения требуется выделенный периметр. Это отдельная комната, в которой создаются специальные условия по сигнализации, видеонаблюдению, круглосуточной охране. Некоторые заказчики уделяют настолько повышенное внимание условиям неразглашения, что даже средства мобильной связи заставляют оставлять на входе. Подобный периметр может быть создан заранее, когда компания еще только получает заказ на разработку – при участии в тендере это может стать значимым конкурентным преимуществом. Если вы указываете в тендере, что имеете в наличии закрытый этаж с ограниченным доступом, то это послужит дополнительной мотивацией для заказчика.

Функциональная система доступа должна предполагать возможность ограничивать доступ по времени, периметру и фамилии. К примеру, существует обслуживающий персонал, который обладает правами доступа только в определенные помещения. Хорошей практикой при этом может стать, если после шести вечера доступ закрывается автоматически. При этом разработку и внедрение систем автономного доступа необходимо соизмерять с финансовыми вложениями. Зачастую могут предлагаться достаточно "тяжелые" решения, при реализации которых необходимо учитывать их степень важности.

Характерный пример приводят специалисты компании Epam System: перед тем как установить систему ограничения доступа, специалисты по ИБ определили, сколько и чего в компании украли. Как оказалось – два портсигара, один ноутбук и персональный компьютер, которые вынесли студенты, бывшие на практике. То есть, если за пятнадцать лет существования компании было украдено на $2000, существует ли смысл тратить полмиллиона на систему дополнительного контроля? Здесь скорее важными окажутся требования заказчика. Причем с учетом того, что воруют в основном информацию – "железо" уже давно не входит в список интересов потенциальных похитителей.

Правильно уволить: основные аспекты

В коммерческих организациях увольняются все – рано или поздно наступает "день Х", когда работник решает обратить свой взор в сторону более подходящего места. Никто не может дать вам клятву, что будет трудиться на вас всю оставшуюся жизнь. Уходит ли сотрудник по своей инициативе, или же его квалификация не устраивает работодателя – в любом случае им приходится расставаться. С позиции неразглашения конфиденциальной информации наиболее выгодный вариант – сотрудник уходит самостоятельно. Если же вы решаете работника уволить, тогда конфликтная ситуация налицо и вам необходимо принимать куда более внушительные меры касаемо сохранения конфиденциальной информации. Если человек увольняется из компании, в которой проработал определенное количество лет, хорошей практикой будет провести с ним увольнительное интервью.

Кто это должен делать? Однозначно не ресурсный менеджер, который сам может послужить косвенной причиной для увольнения. И не человек из службы безопасности, поскольку вряд ли он сможет создать во время беседы доверительную атмосферу. Скорее всего это будет специалист кадровой службы. В HR-резерве зачастую работают профессиональные психологи, они могут располагать собеседника к себе таким образом, что он может рассказать много нового о компании, в которой трудился. Полученная информация в виде эскалации может попасть на стол к руководству и в этом нет совершенно ничего плохого.

Далее обязательно необходимо добиваться возврата материальных ценностей, которые выдавались сотруднику в служебное пользование: это могут быть флешки, проектная документация, мобильный телефон, компьютер. Необходимо убедиться, что все это было сдано. В целях минимизации рисков увольнения других сотрудников в ходе интервью очень важно обсудить причину ухода человека из компании. Если же работник увольняется по инициативе работодателя, наиболее важным здесь будет не спровоцировать конфликтную ситуацию. Соответственно готовиться к подобному исходу необходимо заранее. И заниматься этим должна так называемая маневренная группа. Это ресурсные менеджеры, юристы, служба поддержки IТ-инфраструктуры. В этой ситуации все должны действовать слаженно. Зачастую в сложных ситуациях на кону может стоять определенная компенсация при увольнении, чтобы максимально сгладить неприятные моменты. К примеру, работнику выплачивают три оклада, а он взамен подписывает заявление об увольнении. Вокруг подобных ситуаций может возникать множество спорных моментов. Во избежание подобных ситуаций необходимо, чтобы появился своеобразный "медиатор" – человек, обладающий в компании авторитетом, который может должным образом провести подобные переговоры.

Хорошей практикой для того, чтобы расставить все точки над подписанием заявления и выплатой компенсации, являются так называемые увольнительные обязательства. Это обязательства, которые подписываются отдельно: в них сотрудник обязуется не разглашать конфиденциальную информацию, а также не допускать публичных негативных высказываний в сторону тех или иных аспектов прежнего места работы. Сотруднику необходимо напомнить все те обязательства и проекты, в которых он принимал участие, приложив к нему перечень конфиденциальной информации. На фоне этого ответственного шага можно задуматься и о выплате компенсации. Зачастую эта мера срабатывает необходимым образом, и люди легче идут на подписание необходимой документации. Они получают компенсацию и, морально удовлетворенные, уходят в другие компании.

Что же делать, если работник уже уволился, но риски разглашения все равно остаются? К примеру, если это рекрутер, то он может воспользоваться базой данных сотрудников и далее начнет заниматься переманиванием работников у вас. В подобных ситуациях важно работать на упреждение: если сотрудник на новом месте работы продолжает заниматься тем, что ему не положено, хорошей практикой станет отправление ему официального письма с требованиями о неразглашении. Психологически этот метод имеет очень сильное воздействие. В вежливой форме вы поясняете человеку обязательства, которые он брал на себя во время оформления на работу.

Что законодательно может позволить себе руководитель?

Если это должностное лицо – директор или руководитель, то ему в помощь будет ст. 47 Трудового кодекса Республики Беларусь. Это "однократное грубое нарушение трудовых обязанностей" руководителем организации, его заместителем или же главным бухгалтером. Соответственно с руководителями легче. Для всех остальных можно посоветовать воспользоваться п. 2 ст. 47 ТК РБ. Чтобы задействовать этот пункт, в трудовом договоре необходимо указать, что разглашение конфиденциальной информации представляет собой именно грубое нарушение – для того чтобы потом было легко установить корреляцию в суде.

В целом конфиденциальность информации в сфере высоких технологий представляет собой достаточно гибкий инструмент. И пользоваться им необходимо с учетом всех правил и распоряжений, которые диктует не только современное законодательство, но и внутренний деловой распорядок в компании.