Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Невозможность привлечения работника к ответственности из-за отсутствия юридических оснований. Например отсутствия локальных актов, подписи работника об ознакомлении с локальными актами.

Описание уязвимости

Введение режима коммерческой тайны является неотъемлемым условием защиты коммерческой тайны. Режим считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в Федеральном законе от 29.07.2004 N 98-ФЗ "О коммерческой тайне".

Описание типа актива

Юридическое лицо – предприятие, выступающее в качестве субъекта гражданства, в том числе хозяйственных прав и обязанностей, имеющее самостоятельный баланс, гербовую печать и расчетный счет в банке, действующее на основании устава или положения и отвечающее в случае банкротства принадлежащим ему имуществом.

К юридическим структурам в сервисе так же отнесены подразделения и иные виртуальные юридически-значимые образования.
Объекты атаки
Классификация
STRIDE: Отрицание ? Отрицание / Repudiation
Сознательный отказ пользователей от действий, которые они совершили. Примером может служить использование работником своего служебного положения и легального доступа к информационным активам для совершения незаконных, мошеннических действий. Защищаемое свойство – неотказуемость.
Иное: Право ? Правовые, юридические угрозы / Legal threats
Угроза которая возникает из-за нарушения или несоблюдения требований законов, нормативно-правовых актов, соглашений, принятой практики или этических норм, а также из-за возможности двусмысленного толкования установленных законов или правил.
Источники угрозы
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
4 2
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021
12.10.2021 4 2
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.
Пример Обязательства о конфиденциальности приведен в заметке к защитной мере.
Утверждение:
  • Как самостоятельный документ, отдельным приказом
  • Как часть другого документа, например, Положения о коммерческой тайне
Распространение:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Контроль:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений.
Community
2
Введение режима коммерческой тайны (приказом)
Разово Вручную Организационная Удерживающая
16.05.2020
16.05.2020 2
В соответствии с Статьей 6.1 98-ФЗ "О коммерческой тайне" режим коммерческой тайны должен устанавливаться, изменяться, отменяться в письменной форме. Допустимо введение режима не самостоятельным приказом а в рамках утверждения Положения о коммерческой тайне.
Community
2
Разработка Положения о коммерческой тайне
Разово Вручную Организационная
16.05.2020
16.05.2020 2

Положение о коммерческой тайне должно регулировать ключевые требования к режиму коммерческой тайны, установленные 98-ФЗ "О коммерческой тайне".

Положение может включать так же:
  1. Перечень информации, составляющей коммерческую тайну,
  2. Форму Обязательства о конфиденциальности (для работников), 
  3. Форму Соглашения о конфиденциальности (для контрагентов)
  4. Иные документы

Разработка Положения является основой для введения в компании режима коммерческой тайны.