Какие информационные активы компании подлежат защите

Получить консультациюпо продукту Solar inRights

Защита информационных активов считается главной задачей в деятельности организации обрабатывающей большие массивы информации и имеющей доступ к конфиденциальным сведениям. Информационные утечки, инсайдерские действия, внешние атаки способны привести к катастрофическим последствиям
для бизнеса. Для предотвращения инцидентов крайне важно создать и поддерживать подходящую стратегию управления рисками информационной безопасности.

Корпоративная защита информационных активов

В случае корпоративных сетей присутствует множество разнообразных информационных систем, локальных сетей разного уровня. Для достижения результатов по безопасности понадобится разработать и внедрить единые регламенты, методы обеспечения защиты. Для реализации задуманного сотрудникам информационной безопасности нужно будет решить следующие задачи:

  • Обеспечить доступность и работоспособность приложений, с помощью которых ведется выполнение бизнес-процессов в организации.

  • Создать высокий уровень защиты для всех групп конфиденциальной информации с которыми работает компания. Наибольший интерес для атак злоумышленников и потенциальные уязвимости представляют клиентские базы данных, финансовая документация, транзакции, новейшие разработки и т.п.

  • Обеспечить сохранение целостности и первоначальной ценности информации, защиту от внутренних и внешних угроз. Так, утрата целостности данных представляет наибольший риск для деятельности оператора, ставит под вопрос существование организации при проведении проверки со стороны регуляторов.

Защита информационных ресурсов от несанкционированного доступа строится на сочетании различных мер, которые взаимно дополняют друг друга и уменьшают общее число уязвимостей в системе. В перечень главных мероприятий по защите информационных активов корпорации входят:

  • Организационные средства. Включают разработку, внедрение регламентов и политик безопасности. Большое значение принимает грамотность и целесообразность введения подобных средств. Они должны использоваться с учетом специфики работы организации, количества сотрудников. Если организационные меры по защите информации в компании игнорируются, не соблюдаются или воспринимаются с агрессией со стороны работников – это многократно повышает риски информационной безопасности. Для начала требуется создать единую и понятную систему этических ценностей, которая сделает каждого сотрудника участником общего дела и даст чувство сопричастности. Организационные средства защиты информации по большей части носят превентивный характер, однако их не стоит недооценивать, особенно если уже были отмечены инциденты.

  • Программные и аппаратные средства. Перед их использованием у организации должны присутствовать стратегия ИБ и модель рисков. На их основании подбирают и настраивают такие защитные инструменты как системы контроля доступа и аутентификации пользователей, решения для фильтрации электронной почты, средства доверенной загрузки. В базовую комплектацию программных средств по защите информации в компании должны быть включены, антивирус, межсетевой экран, VPN, сканеры и средства мониторинга сетей, инструменты по криптографической защите данных.

Управление доступом IdM/IGA – эффективное решение для поддержания информационной безопасности

Защищенный доступ к информационным ресурсам организации многократно снижает риски информационной безопасности. Для упрощенного, удобного и эффективного управления доступом к информационным активам компании и контроля действий сотрудников используют IdM/IGA-решения, например, Solar inRights. С его помощью становится возможным:

  • Автоматизировать все процессы управления доступом к информационным системам, исключить человеческий фактор.

  • Централизованно управлять правами доступа с минимальной нагрузкой на системного администратора.

  • Многократно снизить трудозатраты по исполнению процедур управления доступом, своевременно собрать и подготовить необходимые данные для выполнения аудита.

  • Получить полную информационную базу, которая пригодится для изучения полномочий сотрудников и расследования возможных инцидентов.

  • Контролировать исполнение регламентов предоставления доступа к информации.

  • Минимизировать число инцидентов безопасности, где фигурируют избыточные полномочия персонала.

Информационная безопасность систем управления базами данных, предприятием, коммуникациями с клиентами и многих других построенная на ведении постоянного мониторинга и анализа ситуации дает наилучшие результаты по защите корпоративных активов, по мнению экспертов безопасности. Именно предупреждение рисков, выявление предпосылок для их возникновения принимают решающее значение для создания и поддержания безопасной среды для информационных активов компании и ее дальнейшего развития.

Источник

Как защитить коммерческую информацию от вирусов, хакеров и конкурентов

Законы

Как защитить коммерческую информацию от вирусов, хакеров и конкурентов

База клиентов, бухгалтерия, бизнес-планы — всё это ценная информация: если потеряете её, попадёте на деньги. Полностью защитить ценную информацию невозможно, но можно грамотно оценить риски и защитить самое важное, сэкономив на остальном. Рассказываем, как это сделать.

В небольшой торговой компании уволили сисадмина. Он быстро нашёл работу у конкурентов, а бывший работодатель через год потерял всех заказчиков. Оказалось, обиженный сотрудник оставил себе полный доступ к сети: переписка руководства, база клиентов, договоры с поставщиками, отчёты — всё попало к конкурентам.

Работодатель обратился к специалистам по информационной безопасности — они подбирают программы и железо для защиты данных. Бизнесмену посчитали смету на 3 млн рублей: продвинутый файервол (защита сети от взлома через интернет), антивирус в максимальной комплектации, система против утечек данных, шифрование каналов связи.

Чтобы не переплатить за защиту информации, нужно оценить риски — понять, что и как защищать. Можно обратиться за оценкой к экспертам, но тогда придётся потратить на консультации 200-300 тыс. рублей. А можно оценить их самостоятельно — бесплатно, но по методике, которую используют сами эксперты.

Когда вы оцените риски по этой методике, то поймёте, на какие средства защиты нужно тратить деньги, а без каких можно обойтись. Специалисты по информационной безопасности не смогут навязать вам лишнее — вы сэкономите.

Оцените информационные активы

Информационные активы — это сведения о компании, которые представляют для неё ценность. Это финансовая информация, данные о продажах, закупках, базы данных клиентов, стратегические планы руководства, содержание корпоративного сайта. Занесите их в таблицу и оцените по трём показателям: конфиденциальность, целостность и доступность. Используйте 5-балльную шкалу.

Конфиденциальность — это то, насколько критична утечка секретной информации. Например, что будет, если база клиентов и контрактов попадёт к конкурентам? Если считаете, что это совсем не страшно, ставьте 1 балл. Если это тотальная катастрофа — 5 баллов.

Доступность — это то, насколько часто вы обращаетесь к данным. Например, ежегодный финансовый отчёт сотрудники открывают редко — ставим 1 балл. А доступ к базе товаров и цен нужен каждый день, иначе торговля остановится — 5 баллов.

Целостность — это то, насколько важно, чтобы в данных не было ошибок. Например, ошибка в архивных документах не критична, она ни на что не повлияет — ставим 1 балл. А если исказить цифры в 1С:Бухгалтерии, то можно продать товар по заниженной цене или напутать в налоговой отчётности — 5 баллов.

Теперь определите итоговую ценность каждого актива. Возьмите максимальный балл из трёх полученных. Например, у списка заказчиков конфиденциальность — 4, а целостность и доступность — по 2. Итоговый балл — 4.

1. Ценность информационных активов

Актив Ценность актива Итого
Конфиден-циальность Целостность Доступность
Списки заказчиков 4 2 2 4
Деловая переписка 3 2 2 3
Данные о зарплате 3 3 2 3
Налоговая отчётность 2 3 2 3
Содержание сайта 1 3 3 3
Данные с мобильных касс 2 5 5 5
Данные о прибылях и убытках 5 4 3 5
……  
……  
……

Определите информационные системы

Активы содержатся в разных информационных системах: 1С:Бухгалтерия, программа «клиент-банк», корпоративный портал, рабочие компьютеры сотрудников, файловые сервера, электронная почта, планшеты, смартфоны, ноутбуки, интернет-сайт, внешние носители информации (флешки, переносные жёсткие диски, карты памяти). Если будут защищены информационные системы, то и данные в них будут в безопасности. Чтобы понять, защищены ли ваши данные, составьте список систем, в которых хранится информация.

Информация может находиться одновременно в нескольких системах. Например, база клиентов обрабатывается в бухгалтерской программе, при этом хранится на файловом сервере. Информация одна, но системы разные, угрозы и защита для них тоже разные.

Составив список, определите ценность каждой информационной системы. Для этого возьмите значение самого ценного актива, который в ней обрабатывается или хранится. Например, на компьютерах сотрудников хранятся списки заказчиков (4) и деловая переписка (3). Их итоговая ценность — 4.

2. Ценность информационных систем

Информационные системы Активы Ценность системы
1С:Бухгалтерия списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках 5
ПК сотрудников списки заказчиков, деловая переписка 4
Файловые серверы списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках 5
Мобильные устройства деловая переписка 3
Сайт компании содержание сайта, налоговая отчётность 3
Электронная почта списки заказчиков, деловая переписка 4
…..
…..

Выясните, что угрожает информационным системам

Угрозы — это то, из-за чего информация может пострадать: кто-то или что-то может повредить ваши данные так, что бизнес понесёт убытки.

Определять угрозы нужно для тех информационных систем, чья ценность высока — 4 и 5 баллов. Про остальные системы можете забыть: если с ними что-то и случится, бизнес от этого не пострадает.

Сначала выясните, кто может угрожать ценным системам. Для этого разделите возможных нарушителей на группы — так будет проще понять, как они могут воздействовать. Обычно достаточно разделить нарушителей на внешних (хакеры, сотрудники конкурентов, уволенные работники) и внутренних (сотрудники компании). Когда поймёте, кто может угрожать системам — поймёте, как именно они могут это сделать.

Теперь опишите, как нарушители могут украсть, уничтожить или исказить данные в конкретной информационной системе. Способы могут быть очевидными — например, сотрудник скопирует файлы на флешку. Но бывают и сложными — хакер перехватит данные по незашифрованному каналу. Если вы не разбираетесь во всех технических тонкостях, то можете что-то упустить. Чтобы этого не случилось, подключите вашего ИТ-специалиста. Если его нет — воспользуйтесь каталогом, который разработали эксперты.

Каталог угроз

Физический доступ:

  • сотрудник украдёт компьютер, флешку или другой носитель информации;
  • посторонний украдёт компьютер, флешку или другой носитель информации;
  • посторонний проникнет в офис и украдёт информацию.

Утечка конфиденциальной информации:

  • сотрудник специально отправит конфиденциальную информацию через мессенджер, электронную почту, раскроет секреты фирмы на форумах в интернете;
  • сотрудник случайно передаст конфиденциальную информацию посторонним людям — лично или через интернет;
  • сотрудник потеряет ноутбук, флешку, жёсткий диск;
  • с помощью специального оборудования и программ посторонний перехватит сведения, которые вы передадите через интернет;
  • сотрудники фирмы, которая ремонтирует компьютеры, обслуживает 1С или настраивает интернет, получат конфиденциальную информацию.

Несанкционированный доступ:

  • сотрудник использует чужой пароль, чтобы получить конфиденциальную информацию;
  • посторонний войдёт в корпоративную сеть по чужому паролю;
  • сотрудник или посторонний используют чужой пароль, чтобы получить доступ к резервным копиям файло;
  • сотрудник или посторонний, используя чужой пароль, запустят в корпоративную сеть вирус.

Недоступность ИТ-сервисов и утрата информационных активов:

  • из-за аварии на электросетях не будут работать компьютеры;
  • пропадёт интернет;
  • новая программа или её обновление выведут компьютеры из строя;
  • сотрудник специально или случайно сотрёт важные файлы;
  • посторонний уничтожит важные данные;
  • сотрудник случайно внесёт неверные данные;
  • сотрудник специально исказит информацию, подменит файлы.

Нарушителей и угрозы из этого списка занесите в таблицу. Если вы детально представляете негативные сценарии, опишите их подробно. Например: вы потеряли ключевого клиента, потому что посторонний подобрал пароль к электронной почте и украл данные из деловой переписки. В остальных случаях сделайте общее описание ситуации. Например: бухгалтерия не может работать из-за того, что сотрудник стёр информацию в 1С.

В итоге таблица превратится в набор возможных негативных сценариев для компании.

3. Возможные негативные сценарии

Информационные системы Нарушитель Угроза Последствия
1С:Бухгалтерия Посторонний Подберёт пароль и скопирует базу клиентов Компания потеряет ключевого клиента
1С:Бухгалтерия Посторонний Запустит вирус, который уничтожит данные Бухгалтер не сможет работать
1С:Бухгалтерия Сотрудник Скопирует данные на флешку Конкуренты получат базу клиентов, детали сделок
1С:Бухгалтерия Сотрудник Случайно или специально сотрёт данные Бухгалтер не сможет работать
1С:Бухгалтерия Сотрудник Скопирует данные на флешку В случае увольнения сможет шантажировать работодателя, угрожать передать информацию конкурентам
……
ПК сотрудников Сотрудник Скопирует данные на флешку Конкуренты получат детали сделок
ПК сотрудников Посторонний Скопирует данные при ремонте Конкуренты получат детали сделок
…..
Файловые серверы
……
Электронная почта
…..
……
……

Переведите риски в деньги

Дальше важно понять, что защищать в первую очередь и сколько на это потратить сил и денег. Для этого оцените риски в рублях: сколько компания потеряет, если сотрудник сольёт базу клиентов конкурентам. Потом определите вероятность того, что сотрудник это сделает.

Эксперты советуют применять вербально-числовую шкалу — по ней вы вычислите вероятность. Как это сделать: из таблицы выберите утверждение, которое подходит вам больше всего. При этом подставляйте конкретный временной промежуток — например, один год. Оценивать вероятность за бесконечное время не надо — тогда она будет 100%.

4. Вербально-числовая шкала для определения вероятности того, что угроза станет реальностью

Описание Коэффициент
Невозможно.
Ничего подобного никогда не происходило — ни в вашем бизнесе, ни в отрасли. Теоретически это могут сделать крутые спецы: хакеры, агенты ЦРУ. Но смысла в этом нет.		 0
Маловероятно.
С этим вы ещё не сталкивались, но знаете, что такое возможно. Если это произойдет, не страшно: конкуренты на этом не заработают.
Например, сотрудник попытается слить базу клиентов, а она и так у всех есть.		 0,2
Возможно.
С вами или кем-то другим из отрасли это происходило хотя бы раз. Если случится снова, конкуренты на этом заработают. Сценарий может быть такой: вы служба такси, и ваши компьютеры атакуют хакеры. Или произойдёт авария, исчезнет интернет. Диспетчеры не смогут принимать и распределять заказы в системе. Пока вы будете с этим разбираться, клиенты уйдут к конкурентам, бизнес понесёт убытки.		 0,4
Очень даже возможно.
Такое происходило с вами несколько раз. Конкурентам это на руку, и они готовы заплатить, чтобы это случилось. Сотрудники могут слить важную для бизнеса информацию легко — для этого не нужно быть продвинутым пользователем, достаточно иметь доступ к документам. Также это может произойти случайно: например, кто-то из работников или вы сами оставите важные бумаги или пароли от почты на столе с полиграфией для клиентов.		 0,6
Крайне вероятно.
Такое случается у вас несколько раз в год. Ваши недоброжелатели (сотрудники или конкуренты) заинтересованы в этом — это принесёт им моральное удовлетворение или прибыль. Например, сотрудники уводят клиентов в другую компанию и получают за это откат. Или сёрфят по зараженным сайтам, из-за чего постоянно летят ваши компьютеры, вы не можете работать с клиентами.		 0,8

После того, как вы определили сумму ущерба в деньгах (У) и коэффициент вероятности (В), посчитайте величину риска (Р): Р=У×В.

5. Подсчёт суммы риска

Риск Ущерб Вероятность Сумма риска
Риск 1 2 000 000 ₽ 0,2 400 000 ₽
Риск 2 300 000 ₽ 0,4 120 000 ₽
Риск 3 800 000 ₽ 0,6 480 000 ₽
Риск 4 200 000 ₽ 0,8 160 000 ₽
Риск 5
Риск 10 160 000 ₽
Риск 11 40 000 ₽
Итого рисков ……

В итоге ваша таблица превратится в перечень рисков, оценённых в рублях. Это деньги, которые вы как минимум не заработаете, а как максимум — их придётся вынуть из оборота и потратить на устранение последствий.

Посмотрите на итоговую сумму рисков в таблице. Готовы ли вы её принять? Если нет, остаётся только снижать риски.

Снижайте риски и расходы

В первую очередь примите меры предосторожности. Не пускайте посторонних в офис, защитите пароли, ограничьте их распространение, обучите сотрудников основам безопасности. Поможет даже простая рассылка с предупреждением об эпидемии нового вируса и призывом не открывать подозрительные вложения. ИТ-специалист может регулярно проводить семинары и инструктаж новых сотрудников. Это не требует больших затрат.

Для серьёзной защиты нужны антивирусы, программы от утечек информации, специальное железо. Оценка, которую вы провели, поможет поставить чёткую задачу специалистам по информационной безопасности. Они подберут конкретное средство защиты, а не предложат делать всё сразу — расходы уменьшатся.

Сравните смету с суммой риска — так вы поймёте, окупятся ли вложения. Например, для победы над новыми вирусами производители предлагают системы класса Sandbox. Они эффективны, но стоят не меньше двух миллионов рублей. Если сумма рисков сопоставима или меньше этой суммы, выгоднее использовать средство подешевле — даже если оно не защитит вашу информацию полностью.

Памятка

Защита информации обойдётся дешевле, если знать, что и от чего защищать. Вот как это выяснить:

  1. Составьте список информационных активов. Оцените по 5-балльной шкале конфиденциальность, доступность и целостность каждого актива. В каждой тройке выберите самый большой балл — это итоговая ценность актива.
  2. Определите информационные системы, в которых работаете с активами. Ценность каждой системы равна ценности самого ценного актива. Защитите системы, которым поставили 4 или 5 — они самые ценные.
  3. Подумайте, что может угрожать ценным информационным системам. Тут нужен опыт — поручите это сисадмину или используйте каталог угроз.
  4. Оцените, сколько денег потеряете, если что-то случится с ценной информацией. Подумайте, насколько вероятно, что это случится за год. Рассчитайте сумму риска по формуле Риск = Ущерб × Вероятность угрозы.
  5. Покупая антивирус или файервол, сравните его стоимость с суммой риска: если потратите на них меньше, чем на восстановление ущерба берите; если больше — нет.

Получайте раз в неделю подборку лучших статей Жизы

Рассказываем истории из жизни бизнесменов, следим за льготами для бизнеса и
даём знать, если что-то срочно пора сделать.

Источник

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы VK Cloud (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Главные законы об информации и информационной безопасности

  1. 149-ФЗ об информационной безопасности — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности.
  2. 152-ФЗ — описывает правила работы с персональными данными.
  3. 98-ФЗ — определяет, что относится к коммерческой тайне компаний.
  4. 68-ФЗ — дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. 187-ФЗ — описывает правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.

Читать по теме:

  1. Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать.
  2. Как защищают персональные данные в облаке.
  3. Что такое информационная безопасность и какие данные она охраняет.
  4. Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Источник

Задача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.

Угрозы информационной безопасности

Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов. 

Среди актуальных внешних угроз информационной безопасности:

  • кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме; 
  • кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;  
  • кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
  • DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете; 
  • вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах; 
  • дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты; 
  • фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
  • спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
  • инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
  • потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.

Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления. 

Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.

Обеспечение информационной безопасности предприятий

Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.

Аудит

Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. 

На базовом уровне аудита необходимо выяснить: 

  • доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; 
  • существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства;
  • какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне;
  • как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа;
  • как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа;
  • как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам;
  • как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля;
  • принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности.

Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. 

Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:

  • действует на высококонкурентном рынке;
  • участвует в разработке научных или информационных технологий;
  • обрабатывает большие объемы персональных данных.

В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:

  • наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей;
  • отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон;
  • используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе;
  • как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию;
  • реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа.

Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:

  • насколько скрупулезно реализуются требования закона «О персональных данных»;
  • внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры;
  • используется ли необходимое сертифицированное программное обеспечение. 

Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. 

Этапы внедрения системы безопасности

Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. 

Работу необходимо проводить по следующему алгоритму:

  • описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; 
  • разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений;
  • разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности;
  • внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. 

Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. 

Организационные меры

Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: 

  • общеобязательного характера;
  • защищающие персональные данные;
  • защищающие отдельные информационные объекты или процессы.

В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.

Организационные меры общего характера

Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:

  • общие принципы защиты информации, угрозы и цели обеспечения безопасности;
  • градация информации по степени значимости для компании;
  • условия доступа к данным, принципы разграничения доступа;
  • правила работы с компьютерной техникой и съемными носителями;
  • ответственность за нарушение требований документа.

Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.

Режим коммерческой тайны

Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии: 

  • ввести режим коммерческой тайны, издав соответствующий приказ;
  • составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным;
  • ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений; 
  • ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны);
  • ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны.

Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.

Технические меры

Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:

  • типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения;
  • какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение;
  • какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать;
  • как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом;
  • существует ли необходимость шифрования файлов или трафика, какие средства для этого используются;
  • отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности;
  • как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются.

Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:

  • антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте;
  • сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ;
  • средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов;
  • программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом;
  • средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ;
  • средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них;
  • средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны.

Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:

  • невнимательность системных администраторов;
  • ограниченный бюджет;
  • длительный период сертификации для ПО, используемого для защиты персональных данных.

Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.

При проверке подключения устройств необходимо использовать следующие методы:

  • при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети;
  • для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap;
  • активировать запись логов всех событий, связанных с подключением устройств к сети.

Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.

21.01.2020

Источник

Интеллектуальные активы компании: что использовать и как защищать

Почти любой бизнес имеет в своем запасе интеллектуальную составляющую, однако мало кто этим пользуется, например, в целях налоговой экономии или в качестве инструмента владельческого контроля. Тем более, мало кто эту часть своих активов защищает. 
Разберемся в том, что и как можно использовать и нужно защищать в вашей деятельности из объектов интеллектуальной собственности. 
В первую очередь обозначим, что составляет интеллектуальный актив бизнеса:

Объекты

Примеры из бизнеса

Особенности
Объекты авторского права: Сайт, дизайнерские работы, рекламные материалы, видеоролики и т.д. Сами объекты и их отчуждение и использование не требуют регистрации в Роспатенте.
Объекты патентного права: изобретения, промышленные модели и образцы Различные виды собственных разработок: упаковки, методов производства, конструктив оборудования и т.д. Требуется регистрация объекта и прав на него в Роспатенте. Длительный срок регистрации объекта (до 2-х лет)
Средства индивидуализации Наименование компании, ваша торговая марка (бренд) и т.д. Требуется регистрация товарного знака и прав на него в Роспатенте. Длительный срок регистрации (до 1,5 лет)
Ноу-хау (секрет производства) Примеры сходны с объектами патентного права. Кроме того это могут быть различные рецептуры и вообще индивидуальные элементы, делающие ваш бизнес таким особенным (как мы называем — фиолетовые элементы бизнеса) Необходимо утверждение и соблюдение режима коммерческой тайны

Как видим из примеров, практически в любом бизнесе присутствуют объекты интеллектуальной собственности. Оформление прав на эти объекты может быть одним из ключевых элементов обеспечения безопасности бизнеса, причем не только имущественной, но и налоговой, и управленческой.

Обозначим главные особенности, которые должны быть учтены: 

Получение дохода и налоговая экономия

Возможность получения дохода от бизнеса в виде роялти (лицензионных платежей), который, например, может стать альтернативой дивидендным выплатам собственнику бизнеса..

В этом случае регистрация объекта интеллектуальной собственности обязательно должна быть осуществлена на собственника (в некоторых случаях обязателен статус индивидуального предпринимателя).

При этом контролирующие органы настороженно отнесутся к ситуации, когда компания отчуждает свой товарный знак, а спустя небольшой промежуток времени заключает лицензионный договор о праве пользования им за существенное лицензионное вознаграждение. Все сделки по переходу собственности на товарные знаки и иные регистрируемые объекты интеллектуальной собственности фиксируются в Роспатенте, включая ЦЕНУ договора. Отследить цепочку собственников не представляет труда.

Поэтому стоимость объекта интеллектуальной собственности, предусмотренная договором на его отчуждение, должна быть соразмерна его реальной ценности для бизнеса и размеру будущих лицензионных платежей. Нельзя передавать объект по условной стоимости в 100 000 рублей, перечисляя потом за его использование по лицензионному договору миллион в месяц.

Кроме того, если раньше роялти был одним из самых безопасных способов получения доходов и налоговой оптимизации, то сейчас к этому способу нужно подходить с должным обоснованием деловой цели таких выплат для компании:

  • объект ИС действительно должен использоваться компанией в своей деятельности, участвовать в получении ею прибыли;
  • размер роялти должен соответствовать полезности объекта и, конечно же, не перетягивать на себя всю зарабатываемую прибыль. Исходя из анализа судебной практики, можно сделать вывод, что размер роялти в рамках 5-7% от выручки компании у судов вопросов не вызывает.
  • если необходима передача объекта ИС от компании к ее собственнику, стоимость сделки должна быть приближена к рыночной. Это особенно касается объектов, регистрация отчуждения которых проходит в Роспатенте. В этом случае налоговый орган не затруднит выявить несоразмерность размера роялти и стоимости самого объекта, его оценки сторонами.

Аккумулирование денежных средств на Хранителе активов

Наряду с одним из возможных источников получения дохода собственником бизнеса лицензионные платежи, выплачиваемые Хранителю активов, позволяют осуществлять и финансирование приобретения им имущества.

При этом, в отличие, например, от аренды (рыночность стоимости которой легко проверяется), завышение размера лицензионных платежей доказать практически невозможно. Это связано со сложностью оценки как стоимости самого нематериального актива, так и его реальной ценности для компании-пользователя. Тем более порядок определения размера платежей может быть разнообразным: процент от выручки компании, твердая денежная сумма, единоразовая выплата и т.д.

Нюансы регистрации и договорных отношений

В части оформления отношений между собственником объекта ИС и другими субъектами группы компаний, учитывая особенности каждого объекта интеллектуальной собственности и договора по его использованию, всегда необходимо обращать внимание на следующие вопросы:

  • регистрировать ли объект в Роспатенте или использовать его без регистрации. Например, на изобретение можно получить патент, придав ему огласку, а можно без регистрации использовать как секрет производства (ноу-хау) и сохранить в тайне от третьих лиц.
Объекты права интеллектуальной собственности Обязательность регистрации

Средства индивидуализации
Товарные знаки Обязательна
Наименование места происхождения товара
Коммерческое обозначение Не предусмотрена
Фирменное наименование Определяется в учредительных документах и отражается в ЕГРЮЛ

Объекты патентного права
Изобретение Обязательна — выдается патент
Полезная модель
Промышленный образец
Ноу-хау (секрет производства) Не предусмотрена
Объекты авторского права Не предусмотрена, но возможна в добровольном порядке для программ для ЭВМ и баз данных

Учитывая, что использование патента также подлежит госрегистрации, а сам патент редко гарантирует защиту от неразрешенного использования, выбор бизнеса зачастую останавливается на оформлении объектов в виде ноу-хау. Тем более, что не каждую уникальную технологию или методику, используемую в бизнесе, можно запатентовать, а вот оформить как ноу-хау возможно.

  • кто непосредственно использует объект интеллектуальной собственности в своей деятельности (например, изобретения или ноу-хау могут принадлежать собственнику, а использоваться производственной компанией, торговой компанией, региональным представительством);
  • каким договором закрепить отношения между правообладателем и пользователем нематериального актива: это может быть, например, лицензионный договор. При этом наличие исключительной лицензии (предусматривающей запрет для собственника ИС передавать объект в пользование еще кому-либо) может объяснить высокий размер роялти, ведь пользователь платит за эксклюзивность. Отдельно следует упомянуть и договор франчайзинга, речь в котором может идти не только о передаче в пользование товарного знака, но о целом комплексе методик, правил и требований к реализации продукта, что всегда позволяет обосновать стоимость франшизы и детально описать все условия пользования объектами ИС. 
Объекты права интеллектуальной собственности Применяемые договорные конструкции Регистрация перехода права по договору в Роспатенте

Средства индивидуализации
Товарные знаки 1. Договор об отчуждении исключительного права на товарный знак;
2. Лицензионный договор на использование товарного знака;
3. Договор франчайзинга;
4. Залог		 Обязательна
Наименование места происхождения товара Возможность передачи права пользования или отчуждения исключительного права законодательством не предусмотрена ________
Коммерческое обозначение Исключительное право на КО может перейти только в составе предприятия в порядке универсального правопреемства                                   

Право на использование КО может быть предусмотрено договором аренды предприятия или договором франчайзинга

 Не осуществляется
Фирменное наименование Исключительное право использования ФН неотчуждаемо и не может быть передано ЮЛ по договору ________

Объекты патентного права
Изобретение 1. Договор об отчуждении права на получение патента, заключаемый автором     

2. Договор об отчуждении патентообладателем исключительного права (патента)                       

3. Лицензионный договор           

4. Залог

 Обязательна
Полезная модель
Промышленный образец
Ноу-хау (секрет производства) 1. Договор об отчуждении исключительного права на секрет производства;         
2. Лицензионный договор производства;        
3. Залог                         
4. Договор коммерческой концессии (франчайзинга)		 Не осуществляется
Объекты авторского права 1. Договор об отчуждении исключительного права на секрет производства;          
2. Лицензионный договор производства; 
3. Залог 		 Не осуществляется, за исключением случаев заключения договора в отношении базы данных, программы для ЭВМ, зарегистрированных в Роспатенте
  • как определить вознаграждение за использование объекта (в процентах от выручки, твердой сумме и др.). При этом следует исходить из решения вопросов о том, на какой компании будет оседать прибыль, создаваемая с использованием объекта интеллектуальной собственности, на какие цели планируется использование платежей и т.д.
  • если речь идет о создании нематериального актива по заказу или в рамках трудовых отношений, важно детально проработать все нюансы по передаче прав на актив заказчику/работодателю, выплате вознаграждения исполнителю/работнику, вопросы возможности использования ими созданного объекта и т.д.

Нюансы владения объектами ИС

Вопрос о том, кто будет собственником ИС, является ключевым. Особенно остро он стоит в бизнесе с несколькими партнерами.

Порядку совместного владения результатами интеллектуальной деятельности посвящена отдельная норма ГК РФ. Так, п. 2 ст. 1229 кодекса допускает, что исключительное право на результат интеллектуальной деятельности или на средство индивидуализации (кроме исключительного права на фирменное наименование) может принадлежать одному лицу или нескольким лицам совместно.

При этом все вопросы в части использования объекта, получения и распределения доходов от его использования и т.д. разрешаются правообладателями с помощью отдельного соглашения (п. 3 ст. 1229 ГК РФ). По аналогии с общей долевой собственностью на имущество, определение порядка владения, использования и распоряжения объектами интеллектуальной собственности отдано на откуп самим правообладателям. Это позволяет, в частности, гарантировать полный объем прав на результат интеллектуальной деятельности каждому из сособственников, и каждому получать свою, закрепленную за ним долю дохода использования ИС. 

Вместе с тем, это правило действует не для всех объектов. Зарегистрировать товарный знак, например, на двух ИП-собственников в данный момент невозможно (за исключением регистрации коллективного товарного знака). 

Роспатент объясняет отказы в такой регистрации тем, что товарный знак призван индивидуализировать товары, продукты, услуги и, видимо, по логике госоргана, выпускать такие товары может только определенный единственный субъект. Регистрация же совместно используемого товарного знака допускается только как коллективного, однако это налагает на владельцев такого знака существенные ограничения: коллективный товарный знак нельзя передавать в пользование по лицензионному договору (что делает бессмысленным его регистрацию на собственников, которые потом передают знак в пользование операционной компании), такой знак также нельзя отчуждать (п. 2 ст. 1510 ГК РФ).

Таким образом, закрепить совместные права владельцев бизнеса на товарный знак напрямую, чтобы впоследствии его можно было передать третьему лицу в пользование, на данный момент нельзя.  Выйти из описанной ситуации можно следующими способами: 

  • Зарегистрировать товарный знак на юридическое лицо, учредителями которого станут собственники. Это позволит закрепить права каждого из партнеров по бизнесу на товарный знак, но доход каждый из собственников сможет получать только в в виде дивидендов, что уже не даст ощутимой налоговой экономии, как если бы собственник владел товарным знаком в статусе ИП;
  • Товарный знак может быть передан в совместное пользование в рамках договора простого товарищества. Даже зарегистрировав товарный знак на одного из собственников, партнеры могут заключить между собой договор о совместной деятельности, предметом которого будет деятельность по управлению объектами интеллектуальной собственности с целью их более эффективного использования. В этом случае собственник товарного знака внесет право пользования товарным знаком в качестве своего вклада в простое товарищество, после чего оба товарища смогут пользоваться товарным знаком в общих целях. Второй товарищ сделает вклад в виде, например, навыков по развитию бренда, сотрудников-маркетологов и т.д. Направления использования товарного знака можно определить самим договором. При этом сам факт передачи права пользования товарным знаком требует регистрации в Роспатенте. Данный вариант не включает второго собственника в совладельцы знака, однако позволяет уравнять владельцев бизнеса в праве его использования и получения дохода от объекта ИС;
  • Регистрация товарного знака по частям с распределением уже нескольких товарных знаков между собственниками. Поскольку в форме товарного знака законодательством допускается регистрация словесных, графических объектов и т.д., единая используемая в бизнесе торговая марка, состоящая, например, из рисунка и слова, может быть зарегистрирована по частям. В итоге мы получаем два свидетельства на два товарных знака, которые бизнесом будут использоваться в совокупности.

Функциональное обособление интеллектуального звена сотрудников при формировании группы компаний

Наряду с нематериальными активами, которые можно учитывать на балансе, а иногда даже пощупать, нередко важнее не сам результат интеллектуальной деятельности, а интеллектуальное ядро бизнеса как совокупность навыков, сотрудников и т.д, которое занимается разработкой оборудования, различных технологических устройств, выполняет конструкторские работы. Его обособление от операционного звена бизнеса полезно и в целях защиты, поскольку именно эта часть компании составляет ее уникальность, и в целях оптимизации налога с доходов.

С помощью обособления Интеллектуального звена бизнеса (путем, например, создания компании разработчиков, проектировщиков, конструкторов) достигаются следующие цели:

  • функциональное разделение деятельности для создания оптимальных условий работы сотрудникам, занимающимся разработкой объектов интеллектуальной собственности;
  • обеспечение контроля и гарантий сохранности прав на интеллектуальную собственность;
  • оптимизация налогов на доходы.

Однако при выделении такого интеллектуального центра актуальны все перечисленные выше вопросы, решаемые при обособлении объектов ИС. Кроме того, обособление на одном субъекте и сотрудников, и деятельности центра разработок, и результатов их труда в виде нематериального актива гарантируют отсутствие претензий налогового органа к тому, что именно данный субъект владеет объектом ИС и получает роялти за его использование, ведь именно он (его сотрудники) такой объект сотворили.

Как видим, вопросов, требующих решения при обособлении интеллектуального звена, довольно много, однако детальный подход к их решению позволяет не только обезопасить столь ценные активы от утраты, но и получить ощутимый налоговый эффект. 

Источник

Классификация информационных активов

Построение системы информационной безопасности как целостного решения или внедрение отдельных ее частей, направленных на работу с одной или несколькими угрозами информационной безопасности, должно всегда начинаться с самого главного с понимания ценности той информации, защищать которую признана система.

Классификация информационных активов, это возможность понять:

  • с какой информацией мы имеем дело;

  • где она находится, хранится, модифицируется;

  • кто имеет доступ к информации и как с ней работает;

  • какую ценность эта информация для нас представляет;

  • сколько вы готовы инвестировать, чтобы защитить эту информацию.

Все эти знания важны как оценка возможностей и потребностей в системах информационной безопасности, их уровня и полноты.

Классификация информационных активов позволяет получить:

  • разделение информации по классам, согласно выбранной методике;

  • представление для формирования правил работы с информацией;

  • основу для управления активами и развития системы информационной безопасности компании.

Компания IT Task предоставляет своим клиентам услугу по классификации информационных активов, нацеленную на выполнение требований законодательства РФ и/или как подготовительный этап построение системы информационной безопасности или отдельных ее решений в соответствии с международными стандартами.

В рамках проведения классификации информационных активов мы производим:

  • Сбор первичных сведений о компании и ее бизнес процессах.

  • Анализ документации по бизнес процессам.

  • Обследование бизнес-процессов в реальных условиях.

  • Идентификация и документирование информационных активов.

  • Определение критериев и методики классификации информационных активов.

  • Проведение классификации информационных активов.

  • Формирование требований по защите информационных активов в соответствие с классификацией.

Опыт наших специалистов позволяет нам обеспечивать выполнение работ по классификации информационных активов в компаниях различной области экономической деятельности и географического местоположения. За более детальной информацией по данному предложению обращайтесь по телефону в Москве +7 (495) 972-98-26

Источник

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

  • Документы материальные и представленные в электронном виде.

  • Технические средства носителей информации и их обработки.

  • Выпускаемая продукция.

  • Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

  • Утечка информации.

  • Искажение информации.

  • Утеря информации.

  • Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

  • Запросы из государственных органов.

  • Проведение переговоров с потенциальными контрагентами.

  • Посещения территории предприятия.

  • Документооборот.

  • Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

  • Акустический канал утечки информации.

  • Визуальный канал.

  • Доступ к компьютерной сети.

  • Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

  • Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Курс «Специалист по информационной безопасности» в Русской школе управления

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

  • Оптимизировать защищаемые информационные потоки.

  • Определить формы представляемой информации.

  • Установить виды угроз защищаемой информации и варианты их реализации.

  • Установить, кому может быть интересна защищаемая информация.

  • Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

  • Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

  • Определить сроки актуальности защищаемой информации.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

  • Удаленный доступ к информации.

  • Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

  • Настройка программного оборудования (особенно после обновления).

  • Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

  • Разграничение доступа к информации.

  • Дробление информации на части.

5 принципов информационной безопасности

  1. «Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

  2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

  3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

  4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

  5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

  • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
  • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
  • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
  • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

  • Руководителям и ведущим специалистам служб безопасности и информационной безопасности; 
  • Владельцам бизнеса; 
  • Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесь

Любое использование материалов медиапортала РШУ возможно только с разрешения

редакции.

Источник

Понравилась статья? Поделить с друзьями:
  • Какие компании вернулись в россию после санкций 2022
  • Как проехать к кресту в геленджике на машине маршрут
  • Как распечатать реквизиты счета сбербанк в банкомате
  • Какие компании должны проводить аудиторскую проверку
  • Как проехать к перинатальному центру в петрозаводске