Šiame amžiuje, kai daugelis skuba greitai ir gerai gyventi, nėra taip jau lengva nustatyti ar galime pasitikėti šalia esančiu žmogumi, ar jo nevaldo mums priešiški tikslai? "Teisus žmogus elgiasi dorai", - rašoma Patarlių 20:7. Sąžiningojo širdis dora. Jis niekada neapgaudinėja savo artimo. Taigi, tyrinėtojui ar personalo atrankos specialistui tenka nelengva užduotis atspėti kas gi iš tiesų yra žmogaus širdyje.
Konfidencialios informacijos svarba ir apsauga
Įmonės vis aiškiau suvokia, kad sėkminga veikla ir konkurencingumas priklauso nuo informacijos išteklių. Ypač svarbi konfidenciali informacija. Juk kas turi konfidencialios informacijos, sugeba tikslingai ir tinkamai ją valdyti, gali tam tikromis aplinkybėmis padidinti savo pajamas, išvengti nenumatytų išlaidų, išlaikyti gerą prekių ar paslaugų padėtį rinkoje arba gauti kitokios komercinės naudos. Antra vertus, informacija yra objektas, kurį siekiama užvaldyti aasmeniniais tikslais. Būtent dėl to itin aktuali informacijos apsaugos problema, kurią sėkmingai galima išspręsti tik įmonėje sukūrus organizacinių informacijos apsaugos priemonių sistemą.
Informacijos konfidencialumo reikalavimai gglaudžiai susiję su kiekvienoje šalyje galiojančiais (ir dėl to specifiniais) įstatymais, kurie savaip reglamentuoja konfidencialios informacijos saugojimą, viešinimą ar priverstinį gavimą.
Taigi kkonfidenciali informacija yra slapta ir nežinoma tretiesiems asmenims, tačiau susidomėjimas slapta informacija yra milžiniškas, ypač šis reiškinys pasireiškia tarp konkuruojančių įmonių, ir būdų, kaip slapta informacija yra gaunama yra taip pat labai daug.
Informacijos šaltiniai
Labai svarbu identifikuoti informacijos šaltinius, iš kurių gali nutekėti informacija:
- Žmonės: darbuotojai, aptarnaujantis personalas, darbininkai, produkcijos pardavėjai, tiekėjai, partneriai, klientai, vartotojai.
- Veiklos aptarnavimo techninės priemonės: automatizuoto informacijos apdorojimo sistemos.
- Dokumentai: labiausiai paplitusi informacijos kaupimo, perdavimo ir saugojimo forma.
- Produkcija: techninės charakteristikos itin dažnai domina konkurentus.
- Publikacijos: įvairūs informacijos leidiniai, knygos, monografijos, apžvalgos, straipsniai, pranešimai, tezės, reklaminiai prospektai, brošiūros ir kt.
- Gamybos ir kitokios atliekos: tiriant atliekas, galima nustatyti gamyboje naudojamų medžiagų pobūdį, sudėtį, taip pat gamybos ir technologijos ypatumus.
Konfidencialios informacijos šaltiniuose slypi žinios, kurias atskleidus galima nustatyti konkurento veiklos pobūdį, būklę, pasiektus rezultatus, naujus sumanymus bei tikslus, taip pat ir jo galimybes pasiekti iškeltus tikslus.
Nenuostabu, kad firmos konkurentės, norėdamos suprasti savo varžovo poziciją, jį susilpninti ir nukonkuruoti, įvairiais būdais stengiasi patekti prie konfidencialios informacijos šaltinių.
Konfidencialios informacijos gavimo būdai
Konkuruojančios firmos, siekdamos neteisėtais būdais patekti prie konfidencialios informacijos šaltinių, vadovaujasi principu - tikslas pateisina priemones.
Konfidencialiai informacijai gauti naudojami įvairūs būdai, kurie sąlyginai skirstomi į teisėtus ir neteisėtus slaptosios informacijos gavimo būdus. Šiuos būdus efektyviai naudoja Japonijos firmų atstovai. Studijuodami publikacijas, rinkdami informaciją naujų gaminių ir technologijų parodose ir pristatymuose, jie ne tik sutaupo apie 50- 70 proc.
Didėjanti kkonkurencija verčia firmas tobulinti konkurencijos būdus, lanksčiai reaguoti į įvairius draudimus. Pramoninis šnipinėjimas kelia ypač didelį pavojų verslo saugumui.
Pasaulyje, o pastaruoju metu ir Lietuvoje, organizuotos nusikaltėlių grupuotės aktyviai skverbiasi į komercines struktūras. Patirtis rodo, kad nusikalstamos grupuotės savo piktavališkiems tikslams įgyvendinti pirmiausiai renkasi investicines akcines bendroves ir komercinius bankus.
Slaptai informacijai gauti siunčiamas agentas, kuris apsimeta investicijų ar draudimo, transporto ar turizmo firmos, apsaugos agentūros ar prekybos kompiuteriais kkompanijos darbuotoju. Kiekvienoje firmoje yra nepatenkintų darbo užmokesčiu, ir juo dažnai galima tiesiog papirkti. Tyrimai rodo, kad Vakaruose du trečdaliai firmų darbuotojų yra paperkami. Gana plačiai naudojamas šantažas ir grasinimai fiziškai susidoroti.
Norint užkirsti kelius konfidencialiai informacijai nutekėti, reikia stengtis laiku nustatyti galimus informacijos nutekėjimo kanalus, numatyti būdus ir priemones, kuriomis piktadarys pasinaudojęs gali ją pasiekti, po to pasitelkti atitinkamas apsaugos priemones.
Komercinės paslapties apsauga
Informacija dažniausiai fiksuojama dokumentuose, o dokumentų valdymo organizavimas paprastai pavedamas įmonės sekretorei. Taip konfidencialūs dokumentai, kurie yra išskiriami į atskirą grupę, tampa sekretorės ar kito asmens, atsakingo už įmonės dokumentų tvarkymą, veiklos objektu.
Visa įmonėje sukaupta informacija yra vertinga, tačiau ne visa informacija turi komercinę vertę. Tokią vertę turi konfidenciali komercinė informacija. Tikslaus komercinės (gamybinės) paslapties sąvokos apibūdinimo reikia ieškoti Lietuvos Respublikos civiliniame kodekse. Šio Kodekso 1.116 str. aiškinama, kad informacija laikoma komercine (gamybine) paslaptimi, jeigu turi tam tikrą ar potencialią komercinę( gamybinę) vertę dėl to, kad jos nežino tretieji asmenys ir ji negali būti laisvai prieinama dėl šios informacijos savininko ar kito asmens, kuriam savininkas yra patikėjęs, protingų pastangų išsaugoti jos slaptumą.
Dažniausiai komercinės paslapties objektais gali būti apdirbimo procesai, aromatai, kompiuterių programinė įranga, formulės, projektai, sumanymai, idėjos. Tai informacija, kurianti turtą. Kita komercinių paslapčių grupė - tai turtą apsauganti informacija, kuria disponuojant galima išvengti nuostolių ir veiksmingai panaudoti turimas galimybes. Tai rinkos strategijos, duomenys apie turimas lėšas ir jų naudojimą, kainų skaičiuotės, kreditavimo ir mokėjimų sąlygos, prekių ir paslaugų sutartinės kainos, duomenys apie tiekėjus, vartotojus ir kt.
Norint apsaugoti įmonės komercines paslaptis, reikia numatyti dokumentų apsaugos organizacines priemones. Pirmiausia reikia nuspręsti, kokios žinios sudaro įmonės komercinę paslaptį. Pagrindiniai kriterijai atrenkant žinias - potencialūs nuostoliai, kuriuos gali patirti įmonė, atskleidus vienokias ar kitokias žinias. Jei nuostoliai realūs - žinias saugoti verta.
Sudarius saugotinų žinių sąrašą, konfidencialūs dokumentai išskiriami iš bendrojo dokumentų srauto. Lietuvos archyvų departamentas 2000 metais yra patvirtinęs Lietuvos Respublikos įslaptintų dokumentų apskaitos, raštvedybos organizavimo, tvarkymo ir kontrolės taisykles. Jose yyra nustatyti bendrieji reikalavimai, kaip rengti, įforminti, tvarkyti, naikinti ir saugoti dokumentus, kuriuose yra valstybės ar tarnybos paslaptį sudarančios informacijos, bei reglamentuoja įslaptintų dokumentų raštvedybos organizavimo ir kontrolės tvarką.
Dirbdama su konfidencialias dokumentais, sekretorė turi vadovautis teisės aktais bei įmonės vidaus (lokaliniais) dokumentais, kuriuose nustatytos darbo su konfidencialia informacija taisyklės.
Dokumentų įslaptinimas įforminamas slaptumo žymomis. Vadovaujantis anksčiau nurodytomis LAD Taisyklėmis dokumento įslaptinimo terminas skaičiuojamas nuo jo pasirašymo datos arba nuo jo įslaptinimo datos. Jei dokumentas įslaptintas vėliau, negu jis buvo pasirašytas, šalia slaptumo žymos nurodoma įslaptinimo data, pavyzdžiui: .KONFIDENCIALU, nuo 2005- XX-XX. Dokumentas gali būti įslaptinamas iki konkrečios datos. Tuo atveju šalia slaptumo žymos nurodomas įslaptinimo terminas, pavyzdžiui: KONFIDENCIALIAI, iki 2005-XX-XX. Kai žinoma, kad dokumento slaptumo žyma įmonės sprendimu bus keičiama arba dokumentas bus išslaptinamas, šalia slaptumo žymos rašoma santrumpa ISS (išslaptinama įmonės ssprendimu), pavyzdžiui: KONFIDENCIALU, ISS.
Slaptumo žyma, kaip nurodoma minėtose taisyklėse, rašoma dokumento visų lapų viršutinės ir apatinės paraštės viduryje, didžiosiomis raidėmis. Žyma netrumpinama. Apskaitos ir registracijos dokumentuose galimi slaptumo žymos sutrumpinimai, pavyzdžiui: KONFIDENCIALIAI - KF, SLAPTAI - S, RRIBOTO NAUDOJIMO - RN.
Konfidencialumo žyma rašoma rengiant dokumento projektą arba kai projektas yra derinamas. Taigi šią žymą užrašo arba dokumento rengėjas, arba struktūrinio padalinio vadovas, vizuodamas dokumentą.
Techninės slaptos informacijos apsaugos priemonės turi ypatingai svarbią reikšmę komercinės saugos srityje. Tą sąlygoja nepaprastai aukšto techninio lygio šiuolaikinė informacijos apdorojimo, perdavimo nuskaitymo aparatūra.
Plečiantis personalinių kompiuterių ir kompiuterių tinklų naudojimui, didėja informacijos nutekėjimo, iškreipimo ir praradimo galimybės.
Slaptas pasiklausymas ir jo aptikimas
Slaptas pasiklausymas daugeliui vis dar atrodo kaip filmų scenarijus, tačiau praktikoje su tuo susiduria ir privatūs asmenys, ir verslas. Ypač ten, kur kalbama apie finansus, sutartis, konkurencinius pranašumus ar jautrią asmeninę informaciją.
Vienas iš pirmųjų dalykų, į kuriuos verta atkreipti dėmesį, yra fiziniai pokyčiai aplinkoje. Jeigu pastebimos naujos skylutės sienose, lubose ar baldų viduje, neseniai atsiradę varžtai, plastikiniai dangteliai ar jau esamų rozečių, jungiklių, šviestuvų pakeitimai, tai gali kelti klausimų. Ypač jei niekas iš šeimos ar darbuotojų neprisimena jokio remonto ar rangovų vizito.
Dar vienas signalas - staiga atsiradę „dovanojami“ daiktai: laikrodžiai, dekoracijos, lempos, elektros prailgintuvai, kuriuos pasiūlo neaiškūs „partneriai“, svečiai ar net nauji darbuotojai.
Pasiklausymo įranga neretai veikia naudodama elektrą ar ryšio kanalus, todėl techniniai trikdžiai gali būti dar vienas įtarimo ženklas. Jeigu be aiškios priežasties pradeda gesti smulkūs elektros prietaisai, pastebimas neįprastas mirgėjimas, šviesų „dūžiai“ ar nestabilus maršrutizatoriaus veikimas, verta susimąstyti. Taip pat dėmesį gali atkreipti ir telefono trikdžiai. Jei pokalbių metu nuolat girdimas neaiškus foninis triukšmas, spragsėjimas, aidai ar trumpi ryšio nutrūkimai, nors iki tol linija veikė stabiliai, tai gali būti ne tik operatoriaus problema.
Vienas iš pavojingiausių, bet kartu ir aiškiausių ženklų - situacijos, kai trečiosios šalys akivaizdžiai žino informaciją, kuria buvo dalijamasi tik siaurame rate ir tik konkrečiose patalpose. Pavyzdžiui, konkurentai pradeda minėti detales, kurios buvo aptartos uždarame susitikime, arba artimi asmenys užsimena apie labai asmeniškus pokalbius, kurių jiems niekas nepasakojo.
Jeigu tai kartojasi, galima įtarti, kad informacija pasiekia pašalinius ne per atsitiktinius nutekėjimus, o sistemingai. Tokiais atvejais vien keisti elgesio ar tylėti nepakanka.
Dauguma žmonių apie saugumą susimąsto tik tada, kai įtarimai jau labai konkretūs. Tačiau profesionali prevencinė patikra skirta tam, kad slaptas pasiklausymas ar kiti neteisėti informacijos rinkimo būdai būtų aptikti dar ankstyvoje stadijoje.
Tai - reguliari patalpų, darbo vietų, susitikimų kambarių, transporto priemonių ir ryšio įrangos apžiūra bei techninė analizė. Tokios patikros metu saugumo specialistai naudoja specialią įrangą, galinčią aptikti radijo dažnių siųstuvus, paslėptus mikrofonus, duomenų perdavimo kanalus, neįprastą elektromagnetinį foną. Taip pat tikrinama kompiuterinė ir telefoninė įranga, maršrutizatoriai, vaizdo kameros.
Prevencinė patikra dažniausiai rekomenduojama verslo subjektams, kurie dirba su komercinėmis paslaptimis, derybomis, konkursais, konfidencialia klientų informacija.
Prevencinė patikra yra tik viena iš bendros informacijos saugumo sistemos dalių. Ne mažiau svarbu formuoti saugumo kultūrą pačioje organizacijoje ar šeimoje. Tai reiškia, kad darbuotojai ar šeimos nariai turėtų žinoti, kodėl neverta dalintis slapta informacija su nepažįstamaisiais, kodėl svarbu atsargiai elgtis su nežinomomis nuorodomis, laiškais ir programėlėmis, kodėl reikia atkreipti dėmesį į fizinius patalpų pokyčius.
Dėl besivystančių technologijų ir įrenginių miniatiūrizavimo beveik neįmanoma aptikti pasiklausymo įrangos tik stebėjimo būdu.
Detektyvų įmonė siūlo pasiklausymo aptikimo paslaugą tiek įmonių patalpose, tiek privačiuose namuose. Profesionalus detektyvas žino, ko ieško, ir turi įrankius, leidžiančius aptikti pokalbių pasiklausymus.
Net ir geriausios technikos naudojimas negarantuoja, kad kas nors ko nors neįdiegs praėjus 5 minutėms praėjus po paieškos atlikimo.
Duomenų saugumas ir debesijos paslaugos
Debesijos paslaugomis vis dažniau naudojasi tiek fiziniai asmenys, tiek įmonės. Tačiau, tokiu būdu vartotojai tampa priklausomi nuo paslaugų teikėjo saugos protokolų. Tai nereiškia, kad duomenų saugojimas debesyje savaime yra pavojingas mūsų duomenims, tačiau tokiomis paslaugomis reikia naudotis sąmoningai.
Panašios problemos gali kilti naudojant OCR programinę įrangą, kurios pagrindinė idėja yra perkelti tekstą iš grafinio failo į tekstą ir paversti jį redaguojamu formatu. Internetinės optinio simbolių atpažinimo (OCR) paslaugos gali rinkti, saugoti ir pakartotinai naudoti klientų informaciją.
Asmens duomenų apsauga
Asmens duomenys TKA gali būti tvarkomi tik tuo tikslu, kuriuo yra renkami. Jeigu asmens duomenys nėra būtini tam, kad būtų pasiektas konkretus tikslas, jie negali būti tvarkomi. Konkrečiam tikslui pasiekti yra tvarkomas kiek įmanoma mažesnis kiekis asmens duomenų.
Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, turi būti nedelsiant ištrinami arba ištaisomi - TKA imamasi visų pagrįstų priemonių užtikrinti, kad būtų laikomasi BDAR 5 straipsnio 1 dalyje nustatytų principų.
Asmens duomenys tvarkomi ir saugomi ne ilgiau negu nustatytas jų saugojimo terminas, kuris turi būti ne ilgesnis, negu yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
TKA asmens duomenys nėra tvarkomi tiesioginės rinkodaros tikslais.
Siekiant užtikrinti, kad asmens duomenys TKA būtų saugomi tik nustatytą terminą, visi TKA tvarkomi asmens duomenys yra fiksuojami duomenų tvarkymo veiklos įrašuose kartu nurodant jų saugojimo terminus.
Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar BDAR įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą.
Darbuotojų asmens duomenų tvarkymas
TKA gali būti tvarkomi tik tie darbuotojų asmens duomenys, kurie yra būtini darbo sutarčiai ar kitai su darbuotoju sudarytai sutarčiai sudaryti ir vykdyti, teisės aktuose nustatytoms TKA teisinėms prievolėms vykdyti, konkrečiam TKA teisėtam interesui apsaugoti.
Pretendento, neatrinkto eiti pareigas asmens duomenys saugomi ne ilgiau nei 3 mėnesius nuo momento, kai pretendentui buvo pranešta, kad su juo nebus sudaryta darbo sutartis.
Darbuotojas TKA darbo funkcijoms vykdyti suteiktą kompiuterį, elektroninį paštą ir kitus TKA įrenginius, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą naudoja tik su darbu susijusiais tikslais ir tik darbo funkcijoms vykdyti.
Darbuotojams yra draudžiama naudoti kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupti asmeninio pobūdžio informaciją, asmens duomenis, išskyrus Taisyklių 53 punkte numatytą išimtį. Jeigu darbuotojas naudoja kompiuterius, telefonus ir kitą TKA suteiktą įrangą, prietaisus, įtaisus, informacijos ir ryšių technologijas, programinę įrangą asmeniniais tikslais, juose kaupia asmeninio pobūdžio informaciją ir asmens duomenis, darbuotojas prisiima riziką, kad tokią informaciją, asmens duomenis TKA gali sužinoti patikrinimo metu.
Vaizdo stebėjimas ir garso įrašymas
Vaizdo stebėjimas ir garso įrašymas darbuotojų darbo vietose gali būti vykdomas tik tada, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą, ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą.
| Tikslas | Saugumo priemonės |
|---|---|
| Apsaugoti asmens duomenis | Organizacinės ir techninės priemonės |
| Užkirsti kelią atsitiktiniam sunaikinimui | Tinkamas duomenų rinkmenų saugojimas |
| Apsaugoti nuo neteisėtos prieigos | Slaptažodžiai, keičiami kas 3 mėnesius |
Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi TKA, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, TKA patalpose.
Asmens duomenų saugojimo vietos nurodytos TKA duomenų tvarkymo veiklos įrašuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamose vietose.
tags: #patalpu #tikrinimas #nuo #informacijos #nutekejimo