СВ-Принт

&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbspЛаборатория информационной безопасности

Защита коммерческой тайны: правовое регулирование

/ 8
Подробности Категория: Юридические вопросы ИБ Дата публикации: 19.07.2013 11:41

Коммерческая тайна и её защита (в т.ч. правовая) – важная составляющая многих коммерческих организаций по всему миру, в её охрану многими IT-гигантами вкладываются миллионы долларов, обеспечивая тем самым защиту миллиардов! В защиту коммерческой тайны входят вопросы охраны патентов, know-how любого бизнеса, а также всё, что только может обеспечивать компании то, что в Европе стало называться культовым словом УТП (уникальное торговое предложение). Сегодня все эти вопросы начинаются с решения задачи именно правовой защиты коммерческой тайны.

Вопросы касательно того, почему в США на охрану КТ отводится денег, порой, больше, чем тратят целые подразделения ФБР в том же регионе, а также почему их коммерческая тайна – в частности, патенты – стоят эти самые мульти-миллионы – вопрос отдельной беседы / статьи, которая обязательно появится на сайте в скором времени. А в данном материале рассмотрим вопросы нормативно-правового регулирования коммерческой тайны: в частности, что же такое КТ и как происходит процедура её защиты в современных российских реалиях с учётом судебной практики, деятельности регуляторов (в контексте 98-ФЗ «О коммерческой тайне») и реальной защиты бизнеса.

Нормативно-правовая база защиты коммерческой тайны

Защита коммерческой тайны регулируется ФЗ № 98 «О коммерческой тайне», который регулирует правила установления режима КТ и методическую часть организации защиты КТ на предприятии. В регулирующие коммерческую тайну издания российской законодательной системы входит также ТКРФ, который регулирует отношения между работником и работодателем в контексте работы с КТ; а также ГКРФ (ч.4, глава 75: регулирует взаимоотношения владельца и контрагента, право на секрет производства и меру ответственности сторон). И, естественно, КоАП и УКРФ: в случаях нарушения режима КТ (как и требования любого другого федерального закона) должна быть предусмотрена хорошая полноценная ответственность. Останавливаться на конкретных особенностях в приведённых выше документах не будем (хотя это отдельная и не менее интересная тема), а ограничимся перечислением обусловленных 98-ым законом мер по защите КТ и на комментариях к ним.

Сама по себе защита КТ на коммерческом предприятии, вполне может являться (и часто является) центральным звеном в ИБ, что следует из определения информации, составляющей КТ, где сказано о том, что это информация, имеющая (внимание!) действительную коммерческую ценность в силу её неизвестности третьим лицам и разглашение которой, одновременно, может привести к убыткам предприятия. Если чётких обоснований и доказательств финансовой ценности информации, находящейся под грифом КТ, нет, то все попытки доказательства чего-либо в суде – можно смело утверждать – потерпят неудачу, потому первым и важным шагом защиты КТ должен стать полноценный анализ рисков разглашения и действительной финансовой ценности информации / возможных убытков в случае её разглашения. Приоритетной задачей защиты, говоря о КТ, понятное дело, является конфиденциальность, реализуемая в системе СЗКТ (система защиты КТ).

Правовое регулирование и порядок защиты коммерческой тайны

Посмотрим на меры по созданию системы защиты коммерческой тайны (СЗКТ). Вообще говоря, все необходимые (хотя, по моему мнению, являющиеся достаточными) меры перечислены в ст. 10 и ст. 11 федерального закона (98-ФЗ). Остаётся лишь повторить их с небольшими комментариями. Важный момент: закон регламентирует ответственность контрагентов и работников в случае нарушения режима КТ, правила соблюдения режима, указываемые в гражданско-правовом и трудовом договорах в случае несоблюдения режима КТ, НО: если обладатель информации, составляющей КТ (ИКТ) не выполнил предписанные 98-ФЗ методические меры (ст.10, ст. 11) по защите КТ, сама по себе КТ на этом предприятии сводится к нулю (т.к. будет признана недействительной в силу нарушения установления режима КТ, что будет видно ниже).

Итак, порядок действий по созданию СЗКТ:

1. Создать перечень информации, составляющей коммерческую тайну.
   Вполне логичная мера, позволяющая формализовать работу с перечнем информации, составляющей коммерческую тайну (ИКТ), и одновременно защититься от целого ряда случаев разглашения. Сотрудники, работающие с КТ, должны знать, где КТ, а где нет: что можно говорить/писать/переносить, а что нет. Кроме того, лица, не имеющие доступ к ИКТ, должны знать, где КТ, дабы потом можно было привлечь их к ответственности, если они получили незаконный доступ к такой информации (в соответствии, со ст.14, п.2 98-ФЗ привлечь можно только тех, кто умышленно получил доступ к ИКТ, а для этого с перечнем ознакомить надо всех). Плюс сотрудники, работающие с ИКТ, должны знать границу меры ответственности по сохранению КТ.
   Важно, что когда на предприятии создаётся какой-либо документ (что происходит на любом предприятии ежедневно), работником принимается решение об отнесении его к информации, составляющей КТ. Он определяет, в соответствии с перечнем: есть там сведения　— ставится гриф, и документ подпадает под защиту, нет　— документ становится открытым. Дабы предотвратить утечки ИКТ, надо чётко и правильно создать перечень ИКТ и правила соотнесения информации в документах. Таким образом, при невнимательно или неправильно составленном перечне возникает множество способов легального хищения информации (это будет видно ниже).
   Важен также сам по себе вопрос отнесения той или иной информации к ИКТ, т.к. на меры по защите уходят некоторые денежные ресурсы, а основная цель коммерческого предприятия – получение прибыли и соответственно, рентабельность любых действий. Таким образом, при создании перечня надо учитывать следующее: затраты на обеспечение защиты информации должны быть меньше предполагаемого ущерба в случае разглашения; защищаемая информация должна увеличивать экономическую эффективность деятельности предприятия (преимущество на рынке).
   Создание ИКТ – это самый сложный этап в СЗКТ, т.к. мера ответственности в силу очевидных, а также вышеперечисленных причин огромная. Также при составлении перечня, необходимо обращать внимание наст. 5 98-ФЗ:　»Сведения, которые не могут составлять коммерческую тайну». Кроме того, что перечень должен быть обоснован, в нём ещё надо обозначить временные рамки конфиденциальности, т.к. п. 2 ст. 1470 ГК говорит о том, что работник будет хранить молчание столько, сколько установлен режим конфиденциальности. И последнее, вся информация вперечне ИКТ должна быть результатом интеллектуальной деятельности, иначе закон её защищать не будет (на основании ст. 1225 ГК).
2. Установления порядка обращения с ИКТ.
   Здесь надо создавать непосредственно политику ИБ со всеми необходимыми мерами и последствиями (обследование, перечень ИКТ, лиц, имеющих доступ, инструкций, создание модели нарушителя/угроз, на основании чего: разделение потоков информации, сегментация сети, ограничение физического доступа, определения правил обращения (инструкций) и т.д.). Ну и конечно же, особое внимание – анализу рисков: стоимость СЗКТ должна быть меньше стоимости информации (ущерба при разглашении). В случае работы с КТ, думаю, будет весьма разумным принцип минимизации привилегий (не как пользователя АРМа, а именно как лица, имеющего доступ к ИКТ (сотрудника/контрагента, доступ к ИКТ которого связан только с исполнением его должностных обязанностей).
3. Ознакомление работников с установленным режимом, перечнем ИКТ, а также мерой ответственности за нарушение режима КТ.
   Всё должно быть оформлено документально: режим и условия прописаны в соответственном договоре (с работником или с контрагентом), с работника надо взять подписку о неразглашении и ознакомить с мерой ответственности. Само собой, при работе с ИКТ надо учитывать и другие требования закона (например, если в трудовом договоре не прописаны трудовые обязательства, предполагающие доступ к ИКТ, то на предоставление такого доступа надо брать согласие работника: ст. 11, п.2 98-ФЗ).
4. Учёт допущенных лиц.
   Жёсткий контроль допущенных к работе с ИКТ явно снижает угрозу утечки и круг возможных нарушителей (в т.ч. случайно получивших доступ).
   Дополнение/изменение трудового договора в соответствии с режимом КТ.
   Многое об этом было сказано выше и показана важность следующего: трудовой договор, равно как и перечень ИКТ, – это юридическая основа, без которой привлечь кого-либо к ответственности и возместить ущерб будет невозможно. Следует дополнить: если работнику понадобились сведения ИКТ, надо внести изменения в его трудовой договор; если какие-то сведения ИКТ ему уже не нужны – аналогично; надо установить время конфиденциальности (в том числе после прекращения трудовых отношений); все обязанности работника при соблюдении режима КТ. При внесении всех этих изменений надо учитывать требования ТК РФ.
5. Нанесение грифа КТ.
   Тут дополнить нечего. Всё было сказано в п.1 (о перечне ИКТ). И это, так же, как и трудовой/иной гражданско-правовой договор и перечень ИКТ, мера, позволяющая обеспечить юридический статус КТ.

Конечно, не стоит забывать, что кроме юридической стороны существуют и другие аспекты защиты коммерческой тайны, включая даже утечку информации через телефоны, тем не менее юридические риски составляют в данной проблеме необходимый базис.

Защита коммерческой тайны

Понятие «коммерческая тайна» в самом общем виде означает конфиденциальные сведения особой тактической или потенциальной важности. Раскрытие информации, составляющей коммерческую тайну, приводит к финансовым убыткам и может стать причиной банкротства. В обстоятельствах, когда угрозой становятся не только действия конкурентов, но и хакерские атаки, и вирусные эпидемии, защита коммерческой тайны – главное условие успешного ведения бизнеса.

Цели защиты коммерческой тайны

Комплекс мер по защите коммерческой информации решает одновременно несколько задач:

1. Помогает завоевать позиции в конкурентной среде, удержать, долю рынка и поток клиентов.
2. Обеспечивает защиту важных стратегических сведений на протяжении определенного времени.
3. Служит для ревизии потенциальных каналов утечки данных.
4. Предупреждает возможные риски, связанные с ротацией кадров.

Условия успешной защиты

Для эффективного функционирования системы защиты конфиденциальной коммерческой информации необходимо соблюсти несколько условий.

В первую очередь внутри компании должно быть достигнуто согласие по поводу финансовых, производственных, операционных и коммерческих аспектов деятельности. Обеспечение информационной безопасности включает также взаимодействие между всеми структурными подразделениями компании. Основой успешной защиты служит независимая оценка сведений и объектов, нуждающихся в защите, плюс разработка и согласование мер защиты еще до внедрения.

Дополнительным усилением защиты послужит личная материальная ответственность руководителей структурных подразделений и сотрудников, выполняющих работы «закрытого уровня». Санкции за несоблюдение условий секретности и обеспечения сохранности сведений, составляющих коммерческую тайну, лучше закрепить документально.

Способы защиты коммерческой информации

Прежде чем внедрять средства защиты чувствительных дынных, важно конкретизировать объект и предмет защиты.

В качестве объекта защиты в данном случае выступает информация, которая связана с функционированием компании и представляет финансовый и стратегический интерес для конкурентов, или – другими словами – коммерческая тайна.

Под предметом защиты понимаются носители информации, на которых фиксируются сведения, составляющие коммерческую тайну, включая бумажные и электронные документы; внешние накопители информации; другие устройства хранения и передачи данных.

Качественная защита коммерческой тайны подразумевает комплекс мер, объединяющий несколько направлений. Без комплексного подхода возможно нарушение конфиденциальности стратегических сведений коммерческого характера, в том числе:

• кража;
• хищение;
• утечка;
• фальсификация;
• несанкционированное распространение сведений, представляющих интерес для компаний-конкурентов.

Для обеспечения конфиденциальности финансовой информации и защиты коммерческой тайны компании сочетают технические средства с мерами правовой защиты, организационными и социально-психологическими инструментами.

Юридические меры защиты коммерческой тайны

Меры юридического характера означают принятие внутренних нормативных документов и построения работы в соответствии с законодательством о защите информации, составляющей коммерческую ценность.

Правовые основы защиты коммерческой тайны закладываются в уставах, приказах, правилах внутреннего трудового распорядка, контрактах и трудовых договорах. В коллективном договоре или трудовом соглашении отдельным пунктом оговаривается обязанность наемного сотрудника соблюдать правила сохранности сведений, которые стали известны по службе.

Фактически правовая защита информации реализуется в устоявшихся формах, выбор которых обусловлен сферой деятельности компании. Например:

• Создание специализированного делопроизводства с особым способом хранения, передачи и доступа к документации, составляющей коммерческую тайну. Физические и электронные носители закрытой информации маркируются по установленным правилам.
• Составление списка администраторов, в компетенцию которых входит разграничение доступа к информации, связанной с коммерческой тайной.
• Ограничение круга сотрудников с доступом к информации, находящейся под защитой.
• Формирование общего порядка получения конфиденциальных сведений.
• Исполнение требований сохранности коммерческой тайны при разработке проектов, реализации решений, тестировании новой продукции, производстве изделий, реализации товаров, рекламе.
• Обеспечение сохранности данных при проведении деловых переговоров, внутренних совещаний, подписании контрактов, использовании технических средств по работе с информацией (запись, обработка, хранение, передача данных).
• Обеспечение правового взаимодействия с представителями государственных структур, уполномоченных на проведение контрольных проверок.
• Использование превентивных мер: наличие внутреннего и внешнего пропускного пункта, поста охраны.
• Обучение специалистов, имеющих дело с коммерческой тайной, правилами информационной безопасности.

Важная часть юридического оформления защиты коммерческой тайны – трудовые соглашения с сотрудниками. В текст соглашения рекомендуют включать перечень мер по обеспечению безопасности данных, которые могут стать известны сотруднику во время выполнения обязанностей, а также меры ответственности. При халатном отношении сотрудника к защите данных или преднамеренном вредительстве соглашение станет юридической базой для привлечения нарушителя к ответственности и возмещения убытков.

Ответственность работника за разглашение сведений, составляющих коммерческую тайну, допускается прописывается в дополнительном соглашении или отдельным пунктом в трудовом договоре.

Для обеспечения сохранности стратегических сведений в документ включают:

• запрет на распространение финансовой и секретной информации, которая станет известна сотруднику во время исполнения обязанностей;
• запрет на передачу стратегических данных третьим лицам без резолюции руководителя;
• запрет на применение конфиденциальных данных компании при выполнении работ, которые могут нанести урон интересам фирмы.
• обязанность сотрудника своевременно извещать ответственных о попытке третьих лиц получить информацию, находящуюся под защитой;
• обязанность сотрудника немедленно уведомлять должностных лиц о потере или недостаче носителей секретных данных, пропуска, печати, которые могут стать причиной утечки конфиденциальной информации;
• обязанность сотрудника при увольнении сдать должностному лицу все носители с конфиденциальной информацией, которыми сотрудник пользовался для выполнения обязанностей: документы, чертежи, диски, флешки, фото- и видеоматериалы, распечатки.

Договор о неразглашении информации, относящейся к коммерческой тайне, которая стала известна сотруднику в период работы, заключается и при увольнении. Это обеспечит страховку на случай, если уволенный сотрудник решит передавать конфиденциальные ведения третьим лицам или использовать в последующей работе.

Административно-организационные меры защиты коммерческой тайны

Меры административно-организационного обеспечения сохранности коммерческой тайны включают два важных блока: наличие структурного подразделения, выполняющего роль службы информационной безопасности, и наличие пунктов пропуска и постов охраны на объектах предприятия, особо нуждающихся в защите.

Служба охраны отвечает за контроль посещений: оформление пропусков, фиксацию времени пребывания на территории организации.

Полномочия службы информационной безопасности распространяются на установление порядка рассекречивания и уничтожения информации, которая находилась под защитой. ИБ-подразделение контролирует публикуемую информацию, обеспечивает техническими средствами защиты офисные помещения и оборудование для работы с информацией, формирует систему защиты электронных носителей информации и набор технических средств контроля пользовательских рабочих станций, принимает превентивные меры против несанкционированного доступа к закрытым сведениям.

Порядок обращения с конфиденциальными данными может стать основой политики безопасности для DLP-системы. «СёрчИнформ КИБ» содержит 250 готовых политик безопасности для организаций из разных сфер, в которых учтены особенности работы каждой компании.

Важную роль в обеспечении защиты коммерческой тайны отводится кадровой службе. При участии ИБ-специалистов специалисты по работе с персоналом проводят инструктаж по соблюдению мер безопасности при обращении со сведениями, которые являются коммерческой тайной. HR-служба также создает условия для систематического совершенствования навыков персонала в сфере защиты данных, проверяет работников, подозреваемых в краже или несанкционированном разглашении коммерческой тайны, проводит разъяснительные беседы с сотрудниками, которые увольняются.

Социально-психологические меры защиты коммерческой тайны

Организационные и правовые меры повышения безопасности сведений, составляющих коммерческую тайну, дополняются мерами социально-психологического характера. Работа с персоналом ведется в двух направлениях:

1. Квалифицированная оценка соискателей при приеме на работу. Подбор и назначение претендентов на должности в соответствии с профессиональными и моральными качествами.
2. Материальное поощрение сотрудников, которые последовательно соблюдают регламент работы с конфиденциальной информацией.

Грамотный подбор кадров и своевременная мотивация персонала обеспечивают до 80% гарантий успешной защиты коммерческой тайны.

Технические средства защиты коммерческой тайны

В условиях «цифровизации» экономика, когда бизнес-процессы переводят в электронный формат, надежная защита коммерческой тайны невозможна без технических и программных средств обеспечения информационной безопасности. Например, DLP-система защищает бизнес от неправомерного использования коммерчески значимой информацию по нескольким направлениям:

• контролирует все информационные потоки и маршруты движения документов в компании;
• исследует содержимое корпоративной переписки и отправлений;
• оповещает о нарушениях политик безопасности;
• помогает расследовать инциденты и предупредить утечку ценных сведений.

Технические средства защиты коммерческой тайны играют важную роль в организации системы безопасности компании. Однако полноценная защита конфиденциальных данных и успешное развитие бизнеса невозможны без полного комплекса мер технического и нетехнического характера.