Организация безопасности и защиты

коммерческой тайны

Вячеслав Аксёнов l Lead Implementer ISO/IEC 27001:2013

Системный архитектор по информационной безопасности УП «А1»
 Требования законодательства
Указ Президента РБ от 16 апреля 2013 г. № 196
«О некоторых мерах по совершенствованию
защиты информации»
Закон РБ от 10 ноября 2008 г. № 455-З «Об
информации, информатизации и защите
информации»
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне»
Приказ ОАЦ от 30 августа 2013 г. № 62 «О
некоторых вопросах технической и
криптографической защиты информации»
Ответственность за разглашение КТ:
• На основании трудового договора:
Материальная (ст. 400 ТК);
Дисциплинарная (ст. 198 ТК);
• На основании обязательства о
неразглашении: Гражданско-
правовая (ст. 19 Закона «О
коммерческой тайне»);
• В силу положений законодательства:
Административная (ст. 22.13 КоАП);
Уголовная (ст. 254, 255 УК).
+ п.6.Статья 47 ТК Петрико Инга | linkedin
 Требования законодательства
Указ Президента РБ от 16 апреля 2013 г. № 196
«О некоторых мерах по совершенствованию
защиты информации»
Закон РБ от 10 ноября 2008 г. № 455-З «Об
информации, информатизации и защите
информации»
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне»
Приказ ОАЦ от 30 августа 2013 г. № 62 «О
некоторых вопросах технической и
криптографической защиты информации»
 Сведения, охраняемые в режиме
коммерческой тайны
 Режим коммерческой тайны. права
владельца коммерческой тайны
 Доступ к коммерческой тайне
 Охрана коммерческой тайны в
отношениях с контрагентами и
работниками
 Ответственность за нарушение
законодательства о коммерческой
тайне. Защита коммерческой тайны
 Требования законодательства

Указ Президента РБ от 16 апреля 2013 г. № 196

ИНФОРМАЦИЯ
«О некоторых мерах по совершенствованию
защиты информации»
распространение и (или)
Закон РБ от 10 ноября 2008 г. № 455-З «Об общедоступная предоставление которой
ограничено
информации, информатизации и защите
информации»
персональные данные коммерческая тайна

Закон РБ от 5 января 2013 г. № 16-З

«О коммерческой тайне»
профессиональная тайна банковская тайна

Приказ ОАЦ от 30 августа 2013 г. № 62 «О

служебная информация
некоторых вопросах технической и ограниченного государственные секреты
криптографической защиты информации» распространения
 Требования законодательства
Указ Президента РБ от 16 апреля 2013 г. № 196
«О некоторых мерах по совершенствованию
защиты информации»
Закон РБ от 10 ноября 2008 г. № 455-З «Об
информации, информатизации и защите
информации»
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне»
Приказ ОАЦ от 30 августа 2013 г. № 62 «О
некоторых вопросах технической и
криптографической защиты информации»
Статья 28.
Информация, распространение и (или)
предоставление которой ограничено,
не отнесенная к государственным
секретам, должна обрабатываться в
информационных системах с
применением системы защиты
информации, аттестованной в
порядке, установленном Оперативно-
аналитическим центром при
Президенте Республики Беларусь.
 Требования законодательства
Указ Президента РБ от 16 апреля 2013 г. № 196
«О некоторых мерах по совершенствованию
защиты информации»
Закон РБ от 10 ноября 2008 г. № 455-З «Об
информации, информатизации и защите
информации»
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне»
Приказ ОАЦ от 30 августа 2013 г. № 62 «О
некоторых вопросах технической и
криптографической защиты информации»
5. Требования настоящего Положения
обязательны для применения:
государственными органами и иными
государственными организациями, а также
хозяйственными обществами, в отношении
которых Республика Беларусь либо
административно-территориальная единица,
обладая акциями (долями в уставных фондах),
может определять решения, принимаемые этими
хозяйственными обществами, являющимися
собственниками (владельцами) информационных
систем, предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено, не
отнесенной к государственным секретам.
 Требования законодательства

Указ Президента РБ от 16 апреля 2013 г. № 196

«О некоторых мерах по совершенствованию 16. Ответственность за
защиты информации»
организацию работ по
Закон РБ от 10 ноября 2008 г. № 455-З «Об технической защите
информации, информатизации и защите
информации» информации возлагается на
руководителя организации.
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне»

Приказ ОАЦ от 30 августа 2013 г. № 62 «О

некоторых вопросах технической и
криптографической защиты информации»
 Требования законодательства

Указ Президента РБ от 16 апреля 2013 г. № 196

«О некоторых мерах по совершенствованию Положение о порядке технической защиты
защиты информации» информации

Закон РБ от 10 ноября 2008 г. № 455-З «Об Положение о порядке криптографической

информации, информатизации и защите защиты информации
информации»
Положение о порядке аттестации систем
защиты информации
Закон РБ от 5 января 2013 г. № 16-З
«О коммерческой тайне» СТБ 34.101.30
СТБ 34.101.1
Приказ ОАЦ от 30 августа 2013 г. № 62 «О СТБ 34.101.2
некоторых вопросах технической и СТБ 34.101.3
криптографической защиты информации»
 Режим КТ на предприятии:

Положение о защите коммерческой

тайны (ответственный, меры +
перечень сведений)

Обязанность по соблюдению режима в

трудовом договоре

Обязательство о неразглашении
(с работниками)

Соглашение о конфиденциальности
(с контрагентами)
И это всё ?
 Мои любимые вопросы

Какие ограничительные грифы могут быть на документах содержащих КТ?

Кто знает, что входит в перечень сведений отнесенных к КТ?
На какой срок установлен режим КТ?
В каких документах содержатся правила обращения с КТ?
Что делать с полученным документом, содержащим КТ?
Кто разрабатывал документы, отнесенные к КТ?
…
 Кто знает ответы на вопросы?

Планирование Финансы Кадры Продажи Маркетинг

Логистика Производство Разработка Безопасность IT-безопасность

Юристы Администрация Тех. поддержка

 Кто знает ответы на вопросы?

Планирование Финансы Кадры Продажи Маркетинг

Логистика Производство Разработка Безопасность IT-безопасность

Юристы Администрация Тех. поддержка

 Почему так происходит?

Люди

Система
?
менеджмента ИБ Технологии
Процессы
Что делать?
 1. Классификация данных
Виды информации Классификация Уровень риска
(НПА)
Служебная информация
ограниченного распространения

Строго конфиденциально
Банковская тайна
ВЫСОКИЙ

Персональные данные
Конфиденциально

Коммерческая тайна
Для внутреннего использования СРЕДНИЙ
Общедоступная
информация Общедоступная НИЗКИЙ

Положение о классификации данных

Стандарт классификации данных
Инструкция по работе с конфиденциальной информацией
 1. Классификация данных

CEO BOARD

CFO CCO CIO CSO CLO

Head of… Head of… Head of… Head of… Head of…

Employee Employee Employee Employee Employee

 2. Защита данных
Положение о защите коммерческой
тайны (ответственный, меры +
перечень сведений)
Обязанность по соблюдению
режима в трудовом договоре
Обязательство о неразглашении
(с работниками)
Соглашение о конфиденциальности
(с контрагентами)
Data Classification Policy Template
Data Security Policy Template
Data Classification Policy
Acceptable Encryption Policy
Acceptable Use Policy
Clean Desk Policy
Data Breach Response Policy
Disaster Recovery Plan Policy
Digital Signature Acceptance Policy
Email Policy
Ethics Policy
Password Policy
Security Response Plan
Data Access Governance Best Practice
3. Повышение осведомленности
 Акт сверки сентябрь-октябрь
Весь пакет док-ов за прошлый месяц
Все док-ты за август-сентябрь А ты прошел сверку документов!?!
Деб.задолженность среда
Документы, сверка 02.10
Заявка на возврат за ноябрь
Необходимо свериться среда
Отправка на за прошлую неделю
Пакет документов для оплаты 1е октября
Сверка на оплату

Внимание: вирус атакует

систему «Клиент-банк»
апрель 150 000 за месяц

Беларусь накрыла волна

вирусов, которые
опустошают счета компаний
июнь
"Увели" больше 100 тысяч Белорусский рекорд:
Внимание! рублей. В банке рассказали, Вирусные атаки на кибермошенники «увели»
Злоумышленники атакуют как мошенники воруют белорусские предприятия более 500 тысяч рублей за
белорусские предприятия деньги со счетов компаний продолжаются! раз
июль август >100 000 за раз октябрь ноябрь >500 000 за раз
А нас предупреждали…
Clear Desk Policy
 Password Policy

Французский телеканал был

взломан после интервью
сотрудника на фоне стикеров
с паролями

Отправившая ложное
сообщение о ракетном ударе
гавайская служба хранила
пароль на стикере на мониторе
https://www.sans.org/security-awareness-training/ouch-newsletter
https://www.sans.org/security-
http://securitypolicy.ru/ https://itsec.by/
resources/policies
 4. Проверка знаний и навыков

Знания Навыки

«В организацию прислали
конфиденциальный документ»
«Разработка документа относящегося к КТ»
«Пересылка/движение КТ по организации»
…

Что я упустил?
люди
5. А потом движемся в данном направлении)

Руководитель Подразделение ИБ Подразделение ИТ Персонал

Управление Управление идентификацией Управление Повышение осведомленности

процессы

активами и аутентификацией непрерывностью и обучение

Управление Управление Управление Управление Внутренний
Мониторинг
риском доступом инцидентами соответствием контроль

Сетевая Криптографическая Регистрация и Резервное

технологии

безопасность Защита от защита анализ событий копирование

несанкциониро
Антивирусная ванного доступа Контроль Юридически Оценка
защита целостности значимый аудит защищенности

Защита коммерческой тайны и Разработка, внедрение и аудит системы менеджмента информационной

организация конфиденциального безопасности в соответствии с требованиями ISO/IEC 27001:2013 (СТБ
делопроизводства ISO/IEC 27001-2016)
 Если поискать, можно найти бесплатно)
Не забываем pro malware!

amazon.com amazon.com
Спасибо за внимание!

Вячеслав Аксёнов l Lead Implementer ISO/IEC 27001:2013

Системный архитектор по информационной безопасности УП «А1»