Введение режима коммерческой тайны в АО «НПП «Сибтехноцентр»
На минувшей неделе специалисты ООО «Анлим-Консалт» закончили масштабный проект по внедрению режима коммерческой тайны на одном из тюменских промышленных предприятий. Внедрение длилось несколько месяцев и, наконец, пришло к логическому завершению.
АО «Научно-производственное предприятие «Сибтехноцентр» (далее – Клиент) столкнулось с серьезной проблемой – их разработки, чертежи, технические и технологические решения стали «всплывать» на рынке. Утечка такого рода информации несет за собой серьёзные финансовые потери. Начали активно создаваться аналогичные бизнесы, использующие наработанные технологии и опыт НПП и претендующие на долю существующего рынка. Решение данной проблемы специалисты ООО «Анлим-Консалт» начали с анализа инфраструктуры и организационной структуры Клиента.
Условия внедрения
Клиент представляет собой крупную корпоративную структуру, состоящую из нескольких юридических лиц (группа компаний) разных профилей и направлений деятельности. Работают юридические лица данной группы компаний в рамках одной экономической цепочки как связанные элементы производственного и коммерческого бизнес-процесса. АО «НПП «Сибтехноцентр» имеет 2 завода, несколько складов, собственную инфраструктуру и логистику.
Реализация проекта
Первый этап
Одна из проблем заключалась в том, что на протяжении многих лет на предприятии техническая, организационная и, тем более, правовая организация защиты информации имели ряд существенных недостатков. По существу, периметр местами был открыт, информационная инфраструктура частично «оголена», а работа с информационными активами не отрегулирована. Не было должной системы контроля и необходимых средств защиты информации.
Было решено «закрыть» информационное пространство предприятия извне, а внутри образовавшегося периметра установить жесткие правила работы с информацией, осуществлять контроль над всей информационной инфраструктурой и ввести режим коммерческой тайны по всем правилам и требованиям, предусмотренным действующим законодательством.
Работа началась с детального анализа и группировки всех информационных потоков, определения основных угроз и состава информационных активов. Во внимание принималось не только техническое состояние информационной инфраструктуры, но и существующий на предприятии бизнес-процесс, особенности корпоративных отношений, корпоративная структура, а также обстановка в коллективе и множество других сопутствующих параметров. Перед введением режима коммерческой тайны необходимо было решить вопрос о системе управления информационными активами и закрепить этот момент нормативно. И только после этого вводить режим коммерческой тайны.
Было принято пять локальных нормативных актов, которые позволили юридически закрепить систему управления, в состав которой входит в том числе реализация нормативных предписаний и законодательно установленных требований по введению режима коммерческой тайны. Т.е. режим коммерческой тайны реализован не как самостоятельный набор документов, а как элемент системы управления над информационными потоками. Это позволило сделать систему защиты информации гибкой и адаптировать её под имеющиеся особенности производственных процессов, не нарушив производственные циклы и сложившийся на предприятии распорядок.
Второй этап
Еще один ньюанс - это то, что Клиент имеет в своем составе сразу несколько юридических лиц и достаточно сложный состав информационных активов: от устной информации и коммерческих планов до высокотехнологичных научных разработок, чертежей, схем и готовых промышленных образцов. При этом работа всего персонала осуществляется в рамках одной информационной инфраструктуры: единая корпоративная сеть, единые сервера, единый доступ в интернет, единая корпоративная почта, сетевые папки и т. д. Информационная инфраструктура, в свою очередь, территориально достаточно сильно разнесена - рабочие станции находятся в разных зданиях и помещениях, а пользующиеся информационными активами работники трудоустроены в разных юридических лицах, входящих в состав группы компаний.
Данная проблема была разрешена путем заключения двух соглашений, сторонами которых стали все юридические лица группы компаний. Первое соглашение – о создании группы компаний. Оно закрепляет общие принципы и правила хозяйственных взаимоотношений между связанными единым бизнес-процессом юридическими лицами. Второе соглашение – о создании единой информационной инфраструктуры и системы защиты информации. Второй документ устанавливает то, что все участники такого соглашения принимают на себя обязательства по созданию единого закрытого информационного пространства в рамках взаимодействия друг с другом, в том числе по вопросам защиты информации. Также в каждом из юридических лиц группы компаний был принят и утвержден аналогичный состав локальных нормативных актов, включая введение режима коммерческой тайны.
Таким образом, было закреплено юридическое основание на участие каждого из участников группы компаний работать с едиными, взаимосвязанными информационными активами в рамках единой информационной инфраструктуры в условиях общего закрытого информационного пространства с единым «центром» управления всем массивом правоотношений, возникающих в связи с обработкой, хранением, передачей и защитой информации. Дополнительно с каждым работником всех компаний был проведен устный инструктаж о порядке и правилах работы с информацией ограниченного доступа под роспись. Заведен специальный журнал инструктажа по вопросам информационной безопасности.
Третий этап
С конструкторским отделом, а также лицами, которые принимают непосредственное участие в разработке результатов интеллектуальной деятельности заключены договоры авторского заказа. Договор подразумевает сохранение авторства на все разработки за работодателем в момент размещения этих чертежей в его информационной инфраструктуре. Также были внесены изменения в правила внутреннего распорядка всей группы компаний. Установлен специальный механизм работы с клиентскими базами, а также введен обязательный заявительный порядок обращения с информацией ограниченного доступа. Реализован весь комплекс требований по введению режима коммерческой тайны и множество других правовых и организационных мер, адаптированных под производственный процесс и учитывающих все особенности информационной инфраструктуры, а также технические решения по защите информации.
Отдельным этапом реализации проекта стало урегулирование отношений с «внешними» контрагентами (поставщиками, покупателями, заказчиками и т.д.) в части обмена информацией ограниченного доступа. Для этого специалисты «Анлим-Консалт» скорректировали алгоритм договорной работы и разработали проекты соглашения о неразглашении конфиденциальной информации специально под условия гражданско-правовых сделок и возникающих в связи с их исполнением отношений.
Выводы
Ключевым результатом является введение режима коммерческой тайны на территории предприятия и юридическое оформление всех процедур работы с информацией ограниченного доступа. Данные меры реализованы в том виде и в той форме, которые предписываются действующим законодательством.
Удалось привлечь в процесс весь персонал предприятия, как с нормативной точки зрения, так и с фактической стороны. Каждый сотрудник предприятия принимает непосредственное участие в процессе обеспечения защиты сведений, составляющих коммерческую тайну. Установлены четкие правила и требования по обращению с информацией ограниченного доступа. Урегулированы вопросы взаимодействия с контрагентами и внештатными сотрудниками, работающими на основании гражданско-правовых договоров.
Руководство предприятия получило в свое распоряжение целый набор эффективных инструментов для контроля над информационными потоками, а также юридически закрепленный и отрегулированный механизм управления отношениями в области защиты информации на производстве как в гражданско-правовом аспекте, так и в части трудовой дисциплины.
Нетривиальный подход, проактивное мышление, глубокие познания в юридических вопросах и в области защиты информации, детальная аналитика среды и ряда других важных параметров, влияющих на дальнейшее движение проекта, а также чёткое понимание проблематики позволили подобрать наиболее эффективные инструменты и методики для решения поставленных задач.
Мы оцениваем результаты данного проекта как крайне положительные. Проект оказался непростым, но тем и интересным, поскольку с подобным уровнем сложности на практике сталкиваться ранее не приходилось. Мы активно следим за работоспособностью внедренной системы и непрерывно продолжаем взаимодействовать с Клиентом. В настоящее время ведется сопровождение внедренной системы, проверяется работоспособность всех принятых мер защиты информации, проводятся консультации руководства и персонала Клиента. Сопровождение проекта рассчитано на 12 месяцев.