АРХАНГЕЛЬСКИЙ: Добрый вечер, друзья. В эфире программа "Время предпринимать", и я, ведущий программы Глеб Архангельский. Говорим мы сегодня об очень важной и очень насущной теме: "Информационная безопасность бизнеса".

Любой бизнес – это деньги, любые деньги – это риски. И один из серьёзных рисков – это риск потери важной информации, ухода сотрудника с важной информацией, конкурентной разведке со стороны ваших недоброжелателей и так далее. Мы сегодня должны разобраться в том, как защитить и обезопасить бизнес, который вы создаёте или которым сейчас управляете, от таких вот негативных ситуаций и от этих рисков.

Сегодня у нас в гостях Роман Ромачев, владелец компании "Р-техно", занимающейся конкурентной разведкой. Добрый вечер, Роман.

РОМАЧЕВ: Добрый вечер.

АРХАНГЕЛЬСКИЙ: В этом бизнесе не принято называть клиентов, но я знаю, что в числе компании Романа клиенты из компаний из списка "Форбс", то есть достаточно серьёзные и значимые компании, которые задумываются о своей безопасности всерьёз.

Второй наш гость – Андрей Аскерко, владелец компании "Спецагент", так же занимающейся безопасностью бизнеса, информационной безопасностью. Добрый вечер, Андрей.

АСКЕРКО: Добрый вечер.

АРХАНГЕЛЬСКИЙ: Компания Андрея специализируется в основном на девелоперской отрасли, на строительстве, и работает с компаниями из десятки крупнейших российских компаний на этом рынке.

И сегодня мы разбираем практическую ситуацию, работаем в формате кейса. Поставщик практического кейса у нас Алексей Конюченко, основатель IT-компании "Top-7". Добрый вечер, Алексей.

КОНЮЧЕНКО: Добрый вечер.

АРХАНГЕЛЬСКИЙ: Алексей представитель бизнес-инкубатора "Точка входа", который в своё время упоминал Сергей Выходцев, бывший на одной из наших передач. Его компании полтора года, в компании десять человек. Алексей, вам слово. Ситуация, которая вызвала ваш интерес к теме информационной безопасности бизнеса, какую проблему вы бы хотели поставить, чтобы мы её вместе с нашими гостями смогли разобрать и дать полезные рекомендации?

КОНЮЧЕНКО: Моя компания существует полтора года. Сейчас мы работаем в рамках бизнес-инкубатора "Точка входа", в частности создаём проект портала и сам портал "Точки входа". И вот недавно один из сотрудников ушёл с работы и не вернулся, и забрал с собой вместе всю информацию. Причём не только забрал информацию, но и удалил её у нас. Найти сотрудника не представлялось возможным в течение определённого времени. За это время компания понесла значительные убытки, мы серьёзно потеряли, отношение клиентов наших ухудшилось.

Хотелось бы сегодня найти решение этой проблемы, как в дальнейшем вести бизнес так, чтобы не возникало ситуаций с уходом сотрудников и уводом информации.

АРХАНГЕЛЬСКИЙ: А сотрудник был чем-то серьёзно обижен, что произошло?

КОНЮЧЕНКО: Мне до сих пор непонятны причины его ухода. Мне не удалось с ним пообщаться до сих пор.

АРХАНГЕЛЬСКИЙ: Есть вероятность, что он кому-то эту информацию продал или это просто такая месть?

КОНЮЧЕНКО: Скорее всего, это месть, возможно даже глупая месть. Просто месть ради мести.

АРХАНГЕЛЬСКИЙ: Просто пока не очень понятно, кому можно было бы продать эту информацию. Компания ещё небольшая, страшной конкурентной борьбы у вас наверняка ни с кем нет, чтобы эту информацию кому-то продавать. Хорошо, практическая ситуация понятна. Слово гостям.

Какие вещи компании нужно предпринимать, чтобы вот такие ситуации не повторялись, не происходили? Как выстраивать линии глубоко эшелонированной обороны?

РОМАЧЕВ: Добрый вечер. Я бы хотел начать издалека и привести краткую цитату из закона о предпринимательской деятельности, что это такое. Предпринимательская деятельность – деятельность, направленная на свой страх и риск, с целью получения прибыли.

К сожалению, у нас многие предприниматели первую фразу этого предложения не замечают, и гонятся только за прибылью. То есть, безопасность – это комплекс мер для обеспечения устойчивости и стабильности вашего бизнеса. К сожалению, мало кто из начинающих предпринимателей уделяет этому должное внимание. Сейчас мы говорим об информационной безопасности, но мне бы хотелось подчеркнуть, что это комплекс мер, то есть это и кадровая безопасность, и информационная безопасность, и техническая безопасность, и другие виды безопасности.

АРХАНГЕЛЬСКИЙ: Давайте сразу классифицируем, и какими-то простыми словами поясним, что такое кадровая безопасность.

РОМАЧЕВ: Кадровая безопасность – это работа с кадрами, изучение кадров, проверка кадров, мотивация, работа с группами рисков, классификация кадров по группам рисков. То есть, это работа с кадрами.

Если мы сейчас 100% внимания уделим только информационной безопасности, обвешаемся кучей техники и аппаратурой, и не уделим кадровой безопасности, то простой человек может взять и унести информацию с работы, как и произошло. И тут не помогут никакие технологические, технические решения. То есть это комплекс мер, и подходить к этой проблеме нужно системно.

АРХАНГЕЛЬСКИЙ: Хорошо. В этом комплексе мы поняли – кадровая безопасность. Действительно, проверяй людей, понимай, что за люди, какие это люди, какие риски есть у этих людей. Информационная безопасность что такое?

РОМАЧОВ: Информационная безопасность – это обеспечение безопасности той информации, которой вы обладаете, сохранение конфиденциальности, охрана.

АРХАНГЕЛЬСКИЙ: Резервное копирование, пароли.

РОМАЧЕВ: В том числе. Это всего лишь одна из частей информационной безопасности.

АРХАНГЕЛЬСКИЙ: Разграничение уровней доступов к информации.

РОМАЧЕВ: Совершенно верно. Сразу хочу сказать, что большинство проблем информационной безопасности решается организационными мерами, то есть не техническими, а именно организационными. То есть, необходимо подписывать с сотрудниками соглашение о конфиденциальности, необходимо разграничивать доступы и так далее.

АРХАНГЕЛЬСКИЙ: То есть в примере Алексея просто по-хорошему человек не мог бы уничтожить всю информацию компании, потому, что он имел бы доступ только к той части, которая строго нужна ему по его должностным обязанностям.

РОМАЧЕВ: Совершенно верно. Например, какой-нибудь системный администратор, который работает в компании, должен был это всё это дело бэкапить, то есть делать резервные копии и сохранять. К тому же необходимо было проверить, что это за человек пришёл к вам, собрать рекомендации о нём. Это как раз кадровая безопасность.

АРХАНГЕЛЬСКИЙ: Хорошо. Кадровая, информационная. Какие ещё?

РОМАЧЕВ: Есть ещё так называемая конкурентная разведка – это информационно-аналитическое обеспечение бизнеса. Как раз информация ложится в основу всей безопасности. То есть, владея информацией, вы можете спрогнозировать, предвидеть те или иные риски. То есть информационно-аналитическая работа – составляющая часть вообще всей системы безопасности.

АРХАНГЕЛЬСКИЙ: Хорошо. Это было мнение Романа Ромачева, владельца компании "Р-техно". Андрей, есть ли у вас что-то добавить к этой классификации?

АСКЕРКО: Добрый вечер. Мне кажется, что эту ситуацию можно разбить как бы на две части. Алексей спрашивал, что делать сейчас, и что надо было бы сделать, я так понимаю, в прошлом времени. Вот это и получается. То, что надо было сделать тогда, когда люди приходят на работу в компанию, соответственно, как Роман сказал, что необходимо было обеспечить кадровую безопасность и, соответственно, информационную безопасность.

Если бы человек имел какую-то подписку или обязательство о неразглашении коммерческой тайны или неразглашении той деятельности, которой он занимался на работе, соответственно, можно было бы ему предъявить какие-то претензии. Соответственно, если бы были резервные копии той информации, которой он обладал, то этот ущерб, наверное, не было бы столь тяжёл. Соответственно, в той ситуации, когда человек ушёл, унёс и нанёс некий ущерб, то тут уже надо смотреть. Конечно, тяжело сейчас предъявлять ему претензии, если он не подписывал никакие договора, никакие обязательства о коммерческой тайне или конфиденциальности.

АРХАНГЕЛЬСКИЙ: Насколько я понимаю, речь пока идёт не о разглашении информации, а о том, что он просто уничтожил информацию. Давайте я простой такой человеческий вопрос задам. Есть смысл в милицию пойти и подать заявление, что такое произошло?

АСКЕРКО: Смысла, наверное, мне кажется, если исходить из реальной нашей жизни, из практики работы с правоохранительными органами, наверное, нет. Потому что нет никаких документов, подтверждающих, что он унёс что-то, и нет подтверж

дающих документов, что он имел доступ к этой информации. Нет договора, нет обязательства о неразглашении конфиденциальной информации.

Это первый вопрос, который зададут в милиции. Поскольку статья 183-я Уголовного кодекса предусматривает, что человек имеет доступ и, соответственно, это документально оформлено. Если этого не было, то вам просто скажут: "Ребята, извините, нет ни состава, ни объекта".

АРХАНГЕЛЬСКИЙ: Это было мнение Андрея Аскерко, владельца компании "Спецагент". Роман?

РОМАЧЕВ: Да, я хотел бы добавить, что у предпринимателей сложился стереотип, что информация – это что-то такое воздушное, что нельзя пощупать. Я хочу сказать, что информация – это такой же актив, такой же компьютер, машина, недвижимость компании, который стоит защищать и отстаивать. Естественно, юридическое сопровождение защиты актива, оно как бы ключевое. То есть, если нет бумажки – нет претензий.

АРХАНГЕЛЬСКИЙ: Тогда, если вытаскивать первые полезные практические рекомендации в области информационной безопасности, что нужно делать? Режим коммерческой тайны на предприятии вводить, ещё что-то? Ваши советы, три-пять шагов, которые любому предприятию стоит сделать.

РОМАЧЕВ: Первое – необходимо юридически оформить, то есть подписать соглашение о конфиденциальности. Необходимо периодически проводить обучение среди сотрудников, разъяснять, что это такое. И до каждого сотрудника доносить информацию о том, какого рода информация вокруг него, с которой он работает, является коммерческой тайной.

АРХАНГЕЛЬСКИЙ: То есть, вот я сейчас на уровне совсем простых, таких тупых технических шагов. В компании появляются: положение о конфиденциальной информации, приложение к трудовому договору, касающееся конфиденциальной информации, перечень информации, которая составляет вот эту коммерческую тайну. Что ещё из таких конкретных вещей, которые надо сделать?

РОМАЧЕВ: Как я уже сказал, нужно проводить обучение сотрудников. Хотя бы раз в полгода рассказывать, что есть такое конфиденциальная информация...

АРХАНГЕЛЬСКИЙ: Чем это чревато, где там сто сорок какая-то статья Уголовного кодекса.

РОМАЧЕВ: Совершенно верно. Какая административная ответственность, уголовная ответственность. Всё это доносить персонально каждому. Для этого должен быть некий специалист, или сотрудник службы безопасности, либо сам генеральный директор, либо на аутсорсинге...

АРХАНГЕЛЬСКИЙ: Ну, если компания небольшая, это явно сам генеральный директор.

РОМАЧЕВ: Да, сам генеральный директор должен об этом заботиться. Это так или иначе вытекает в его конечную прибыль. Если он об этом не заботится, то нет прибыли.

АРХАНГЕЛЬСКИЙ: Хорошо. Это было мнение Романа Ромачова, владельца компании "Р-техно". Андрей, есть ли у вас что-то к таким практическим шагам добавить об информационной безопасности?

АСКЕРКО: Тут хочется что добавить? Для того, чтобы ввести режим конфиденциальности в организации, нужно несколько провести подготовительных мероприятий. Если это не сотрудник безопасности, а генеральный директор маленькой компании, то он должен определить для себя, что же является у него подпадающим под коммерческую тайну, то есть определить перечень.

АРХАНГЕЛЬСКИЙ: Давайте на примере нашей сегодняшней компании. Алексей, что у вас является информацией, составляющей коммерческую тайну, а что не является для вас? Насколько это очевидно или неочевидно?

КОНЮЧЕНКО: Скорее всего, почти вся информация, с которой мы работаем, она является коммерческой тайной. Потому что практически вся информация, которой мы владеем, это вся информация произведена нашей компанией.

АРХАНГЕЛЬСКИЙ: По сути, это ваши активы и есть, поскольку компания занимается программированием.

КОНЮЧЕНКО: Плюс клиентская база.

РОМАЧЕВ: Я бы хотел подправить это заблуждение, что всё, что есть у вас в компании, является коммерческой тайной. Совершенно нет. У вас нет понимания, что это такое, поэтому вы говорите, что всё коммерческая тайна. Далеко не всё. Например, бухгалтерский баланс, отчётность – это не коммерческая тайна.

АРХАНГЕЛЬСКИЙ: Она просто не имеет права быть коммерческой тайной.

РОМАЧЕВ: Совершенно верно. Поэтому я бы порекомендовал посмотреть законы...

АРХАНГЕЛЬСКИЙ: А какой разграничительный признак? Какой-то вот простой, понятный.

РОМАЧЕВ: Коммерческая тайна – это информация, которая представляет определённую ценность лицам в силу неизвестности третьим лицам, соответственно. То есть, если информация, которой вы обладаете, способна нанести вам какой-то финансовый материальный ущерб, то это относится к коммерческой тайне.

АРХАНГЕЛЬСКИЙ: Или прибыль вы создаёте на её основе.

РОМАЧЕВ: Совершенно верно, либо вы создаёте прибыль. Но есть информация, которая не составляет коммерческую тайну, есть информация, которая составляет служебную тайну, персональные данные. То есть, здесь большое разграничение. И коммерческая тайна, тут тоже всё в законе чётко разграничено, что это есть.

АРХАНГЕЛЬСКИЙ: То есть посмотреть закон о коммерческой тайне и сформулировать для себя в своей компании. Это было мнение Романа Ромачова, владельца компании "Р-техно". Алексей?

КОНЮЧЕНКО: У меня вопрос к Роману: какую ещё литературу можно почитать кроме закона?

РОМАЧЕВ: Я понял. Сразу хочу сказать, что закон о коммерческой тайне у нас в России практически не работает. Это первое. То есть, вы почитаете его, поймёте для себя, но тяжело...

АРХАНГЕЛЬСКИЙ: Вы поймёте, как оно в принципе предполагается, как должно быть.

РОМАЧЕВ: Я отслеживаю судебную практику, и мне известен только один случай, когда страховая компания судилась со своим сотрудником.

АРХАНГЕЛЬСКИЙ: Хорошо. Мы говорили об информационной безопасности бизнеса. Вернёмся к этому разговору после небольшой рекламной паузы.

Реклама.