Конфиденциальная информация и коммерческая тайна: как защитить данные и организовать управление доступом
15 апреля 2020

Владение передовыми технологиями, повышающими качество товаров и услуг, одновременно снижающими их себестоимость, гибкие управленческие методики, «особые» знания серьезно повышают конкурентоспособность коммерческой компании. Возникает необходимость проводить комплекс работ по защите конфиденциальной и иной информации, которая не должна попасть конкурентам или стать достоянием общественности.

Основой информационной деятельности современных компаний становится информация различных видов: технологии, методики, патенты, лицензии, сведения о сущности изобретения, маркетинговые исследования, персональные данные, профессиональная тайна и другие. Несанкционированное использование данной информации может нанести ущерб бизнесу.

Сейчас все больше корпоративной информации, в том числе и конфиденциальной, обрабатывается и хранится в информационных системах. Поэтому задача обеспечения безопасности и сохранности данных в информационных системах приобретает все большую значимость. Секретные коммерческие сведения и конфиденциальная информация требуют реализации комплекса мер по сохранению и защите от третьих лиц.

В этой статье рассматривается, каким образом можно организовать оперативный контролируемый доступ к конфиденциальной информации и коммерческой тайне, одновременно обеспечивая безопасность и защищенность работы с данными.

 

ЭБС Biblio STOR-M  гарантия безопасности информации

Электронная библиотечная система Biblio STOR-M  это информационная система класса ECM (Enterprise content management), позволяющая создать корпоративную электронную библиотеку, в которой пользователям предоставляется доступ к контенту и инструментам для поддержания библиотечных процессов. В то же время ЭБС Biblio STOR-M обеспечивает надежный уровень защиты как общедоступной информации, так и информации ограниченного доступа.

ЭБС Biblio STOR-M позволяет сохранить целостность информации, защитить данные от третьих лиц, а также организовать контролируемый доступ к информации. Безопасность информации в системе обеспечивается следующими возможностями:

  1. Права, уровни доступа, гибкие ролевые политики. Система безопасности Biblio STOR-M отвечает за создание учтенных записей пользователей и ограничение прав доступа пользователей к контенту и его частям за счет создания гибко настраиваемых ролевых политик, позволяющих с любой степенью детализации определить права доступа к функциональности и контенту системы. Ролевые политики создаются в неограниченном количестве, а гибкие возможности их настройки позволяют администраторам корпоративной ЭБ продумать и реализовать собственную модель безопасности любой сложности.
  2. Защита от копирования. Для работы с текстом контента в системе используется специальная встроенная подсистема защищенного просмотра документов  «Viewer», которая позволяет только просматривать документ без возможности копирования его текстового содержимого, предоставляя для просмотра не текст документа, а лишь графические образы его страниц. Сам документ может быть закрыт на скачивание и печать с помощью ролевых политик, что фактически предоставляет рядовым пользователям единственный регламентированный канал получения информации просмотр во «Viewer» корпоративной ЭБ.
  3. Шифрование и защита данных. Для обеспечения большей безопасности ЭБС Biblio STOR-M поддерживает технологии шифрования данных. Файловое хранилище может быть зашифровано аппаратным или программным модулем, что на физическом уровне исключает несанкционированный доступ к файлам при краже или компрометировании аппаратного обеспечения сервера и/или жестких дисков.
  4. Предоставление доступа к контенту на время. Система Biblio STOR-M включает инструменты гибкого разграничения доступа пользователей к контенту на временной основе с помощью подсистемы «Управление процессами». Это позволяет сформировать пользователю ограниченную по времени задачу на ознакомление с конфиденциальным документом, при этом открывая доступ к данному документу (например, только на просмотр без возможности скачивания документа). После завершения задачи доступ к документу будет вновь ограничен.
  5. Формирование учтенных копий. Для организации доступа к контенту как в печатанном, так и в электронном виде используется инструмент управления учтенными (контролируемыми) копиями исходного документа. Данный инструмент позволяет формировать учтенные копии документов с нанесением на каждой странице экземпляра ключевой информации, например: № экземпляра, статус и версия документа, дата печати, подразделение и пользователь, распечатавший учтённый экземпляр, любые другие атрибуты, описывающие документ. При этом система ведет учет всех сформированных учтенных копий (учет создания, возвращения, потери и уничтожения данных копий) и формирует уведомления при изменении документа.
  6. Защита от удаления. При удалении пользователем данных в системе они перемещаются в корзину и могут быть восстановлены системным администратором в любой момент. Доступ к данной корзине имеет только системный администратор, таким образом, рядовые пользователи не имеют возможности безвозвратного удаления информации.
  7. Резервное копирование и восстановление данных. В ЭБС Biblio STOR-M создание резервных копий данных возможно как средствами СУБД, так и средствами самой системы. Создание резервных копий с помощью СУБД больше подходит для целей ежедневного резервного копирования информации из-за высокой скорости выполнения таких операций. А создание резервных копий средствами самой системы обеспечивает прозрачный перенос данных между разными СУБД или инсталляциями системы, так как файлы не привязаны к формату конкретной БД и могут быть восстановлены на любой другой конфигурации STOR-M.

Описанные выше инструменты обеспечивают безопасное хранение данных и управление информацией ограниченного доступа, в частности конфиденциальной информацией и коммерческой тайной. Это позволяет реализовать с помощью ЭБС Biblio STOR-M следующие популярные решения:

  • Корпоративная электронная библиотека ограниченного доступа;
  • Корпоративная электронная библиотека научно-технической информации;
  • База знаний.

 

Комплексная защита информации 

Для обеспечения эффективной безопасности информации в компании, особенно в корпоративных информационных системах, разрабатываются комплексные меры по защите данной информации, в основном выделяют три группы мер:

  1. Организационно-юридические. Подготовка организационно-распорядительной документации по вопросам защиты информации: инструкции, регламенты, приказы, методические указания. 
  2. Технические:
    1. Защита от проникновения к технических средствам информационных систем с помощью инженерно-технических сооружений: заборов, дверей, замков, турникетов, сигнализаций, видеонаблюдения;
    2. Защита от несанкционированного доступа к информации с помощью реализации следующих способов: управление доступом, регистрация и учет пользователей, межсетевое экранирование, антивирусная защита, применение средств обнаружения и предотвращения вторжений;
    3. Криптографические методы защиты информации.
  3. Методы работы с кадрами:
    1. Проведение инструктажа и разъяснений о важности сохранения конфиденциальной информации;
    2. Строгий контроль доступа, сохранений безопасности при увольнении сотрудников;
    3. Применение специализированных систем для защиты информации, например таких как: Data Loss Prevention (защита информации от утечек по каналам связи), User and Entity BehaviorAnalytics (мониторинг поведения пользователей и выявление угроз для информационной безопасности) и других.

Применение всех перечисленных способов обеспечит наиболее полную защиту конфиденциальной информации и коммерческой тайны в организации.

 

Об информации ограниченного доступа

Чтобы определить, какие виды документов подлежат обязательной защите, необходимо понять, что такое конфиденциальная информация и коммерческая тайна. Далее рассмотрим определения данных видов информации.

Конфиденциальная информация  совокупность данных, хранящихся в виде бумажных документов или сведений на цифровых носителях, доступ к которым ограничивается в соответствии с законодательством РФ.

В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 утвержден следующий перечень сведений конфиденциального характера:

  • Информация, связанная с коммерческой деятельностью (коммерческая тайна);
  • Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
  • Персональные данные гражданина;
  • Сведения, связанные с профессиональной деятельностью (врачебная нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений);
  • Служебная информация, доступ к которой ограничен органами государственной власти;
  • Сведения, составляющие тайну следствия и судопроизводства;
  • Сведения о личных делах осужденных, а также принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме общедоступной информации.

Коммерческая тайна  режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 закона № 98-ФЗ).

Коммерческая тайна включает в себя информацию любого характера (производственную, техническую, экономическую, организационную, данные о результатах интеллектуальной деятельности и др.), а также сведения о способах осуществления профессиональной деятельности. Данная информация имеет коммерческую ценность в силу неизвестности её третьим лицам, к которой у третьих лиц нет свободного доступа на законном основании и в отношении которой обладателем таких сведений введен режим коммерческой тайны (п. 2 ст. 3 закона № 98-ФЗ).

Расскажите, о стоящих перед вами задачах, мы поможем найти решение.