Что такое режим коммерческой тайны?

Несколько слов о коммерческой тайне

Несколько слов о коммерческой тайне

Несколько слов о коммерческой тайне


И. Н. Худой, специалист по защите информации

Применение Закона: объективные трудности

К объективным трудностям, возникающим в ходе применения указанного Закона, в первую очередь необходимо отнести несовершенство законодательной базы выстраиваемой системы защиты коммерческой тайны.

Так, Законом определены условия, при наличии которых информация признается коммерческой тайной:

  • информация имеет действительную или потенциальную ценность для ее обладателя в силу неизвестности третьим лицам;
  • доступ к информации должен быть ограничен;
  • для информации установлен режим коммерческой тайны.

Для четкого определения того, какая информация и когда имеет действительную или потенциальную ценность, необходимо заранее определить ее статус во внутренних нормативных документах организации. Таковым прежде всего является перечень информации, составляющей коммерческую тайну. В нем могут быть приведены как конкретные сведения, так и категории (группы) сведений. Простым, но эффективным критерием действительной или потенциальной ценности информации может стать ответ на вопрос: «Будет ли иметь место вред моей организации, если оцениваемая информация завтра будет опубликована в СМИ?»

Организация доступа к информации

Доступом к информации принято считать процедуру ознакомления человека (работника, контрагента и т.д.) с конкретными данными с санкции соответствующего должностного лица.

Различают организационный и технический доступ.

Первый должен включать в себя разработку комплекса внутренних нормативных документов, регламентирующих порядок доступа тех или иных должностных лиц к информации, составляющей коммерческую тайну, а также объем тех данных, с которыми они могут ознакомиться. Решение о разработке таких документов принимается начальником службы безопасности и руководителем организации. Каждая компания обязана:

  • иметь список должностных лиц организации, допущенных к информации, составляющей коммерческую тайну, — утверждается руководителем компании с указанием, к каким данным лицо допускается и в каком объеме;
  • иметь перечень функциональных (служебные, должностные и т.д.) обязанностей по защите коммерческой тайны для лиц, допущенных к информации, составляющей коммерческую тайну;
  • вести специальное делопроизводство для носителей информации, содержащей коммерческую тайну;
  • неукоснительно выполнять (касается всех работников организации) корпоративные требования по порядку хранения, обращения и копирования документов (носителей), содержащих конфиденциальную информацию, а также по неразглашению коммерческой тайны предприятия;
  • реализовывать принцип работы руководства компании (организации) с персоналом всех уровней: «каждый должен знать ровно столько, сколько ему необходимо знать для выполнения своих обязанностей»;
  • осуществлять другие необходимые мероприятия.

Технический доступ в своей основе предполагает применение таких технических средств, которые будут обеспечивать ограничение доступа служащих к тем или иным информационным ресурсам, а также в определенные зоны, на объекты, территории, в здания и т.д.

Режим коммерческой тайны

Информация приобретает статус коммерческой тайны, если отнесена к коммерческой информации на законном основании и к ней применены меры по ограничению на ее распространение, то есть в отношении нее введен режим коммерческой тайны. Составными элементами этого режима выступают следующие меры по охране конфиденциальности данных:

  • правовые — соблюдение норм законодательства по защите информации (законы «Об информации, информатизации и защите информации», «О государственной тайне», Гражданский кодекс, Указ Президента РФ 1997 г. № 188, постановление Правительства РФ 1991 г. № 35 и т.д.). Для работы с правовыми документами компаниям следует привлекать специального юриста;
  • организационные — установление такого порядка организации, обращения, хранения и уничтожения информации, составляющей коммерческую тайну, при котором исключается или становится маловероятной ее утечка;
  • технические — комплексное применение технических средств защиты информации, охраны, разграничения доступа персонала и т.д.;
  • другие меры по охране конфиденциальности информации.

Однако нужно отметить, что вышеперечисленные меры в Законе носят рамочный характер — в нем не указано, какие конкретно документы должны быть отработаны, какие конкретно действия предприняты, в чем они должны выражаться и т.д. Исключением является статья 10 Закона, определяющая меры по охране конфиденциальности: в ней прямо сказано, что режим коммерческой тайны считается установленным после выполнения таких мер, как:

  • разработка перечня информации, составляющей коммерческую тайну;
  • ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну;
  • учет лиц, получивших доступ к информации, составляющей коммерческую тайну;
  • реализация договорных отношений между работниками, контрагентами по использованию данных, являющихся коммерческой тайной;
  • нанесение на материальные носители, содержащие конфиденциальную информацию, грифа «Коммерческая тайна».

Составление перечня защищаемой информации

Перечень информации, составляющей коммерческую тайну (далее — Перечень), является одним из основополагающих внутренних документов организации (предприятия), на основании которого какую-либо информацию можно считать коммерческой тайной в практической деятельности. Для составления этого документа целесообразно использовать такие критерии, как:

  • информация не является общеизвестной;
  • информация получена правомерно;
  • информация имеет ценность для ее обладателя (позволяет получить или увеличить доход, избежать убытков, сохранить положение на рынке, избежать конкуренции и т.д.). Для определения значимости информации также можно использовать изложенный выше критерий действительной или потенциальной ценности;
  • средства, необходимые для защиты информации, не превышают реально возможного дохода;
  • нет запрета на отнесение данной информации к коммерческой тайне в соответствии с законодательством РФ. При этом в обязательном порядке необходимо учитывать требования ст. 3 Закона «Об информации, информатизации и защите информации», ст. 5 Закона «О коммерческой тайне» и других нормативных правовых
    актов.

Основными разделами Перечня информации могут быть:

  • производственно-техническая и технологическая информация;
  • информация о научно-исследовательской и опытно-конструкторской деятельности;
  • планово-организационная и управленческая информация;
  • информация о внешнеэкономической деятельности предприятия (организации);
  • финансовая (валютно-финансовая) информация;
  • информация о системе, применяемых методах и средствах защиты коммерческой тайны;
  • информация об организации хранения и доставки финансовых и материальных средств;
  • информация о системе коммуникаций предприятия;
  • информация о детективной и охранной деятельности;
  • информация о системах сигнализации, охраны, пропускном режиме и т.д.

Под определение «коммерческой тайны» может также подпадать информация о структуре организации, ее реализуемых проектах, планах расширения, инвестиций, закупок продаж и др.

В разработке Перечня должны участвовать руководители всех структурных подразделений организации (предприятия), в том числе юристы. Перечень должен подписываться соответствующим должностным лицом службы безопасности, утверждаться руководителем и доводиться до всех работников организации (предприятия), допущенных к конфиденциальной информации, в части, касающейся их.

Документы по ограничению доступа

Ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну, подразумевает организационно-технические мероприятия, основными из которых могут быть:

  • разработка ограничительного списка работников организации (предприятия), утвержденного руководством в соответствии с занимаемыми должностями и выполняемыми обязанностями;
  • разработка инструкции по организации защиты коммерческой тайны (определяет общую систему организации защиты коммерческой тайны);
  • создание таких механизмов, при которых исключаются разглашения и утраты конфиденциальной информации; организация порядка хранения, обращения и уничтожения носителей, содержащих коммерческую тайну; определение обязанностей основных должностных лиц организации по защите данных и т.д.;
  • организация и ведение специального делопроизводства носителей, содержащих коммерческую тайну;
  • применение средств защиты информации от несанкционированного доступа, сертифицированных по требованиям безопасности конфиденциальной информации.

В зависимости от специфики деятельности той или иной организации могут быть разработаны другие внутренние нормативные документы (например, обязанности администратора по безопасности, обязанности пользователей при работе на ПЭВМ и сетях общего пользования и т.д.).

Другие меры по защите информации

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, должен вестись как по отношению к персоналу данной компании, так и ко всем организациям (предприятиям), получившим такую информацию. Учет должен носить абсолютно конкретный характер с указанием, кто, когда, на основании чего и какую информацию получил.

Регулирование отношений по использованию данных, являющихся коммерческой тайной, осуществляется работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Очевидно, что правильное и юридически наполненное содержание таких договоров, во-первых, позволяет привлечь к ответственности нерадивых работников самой организации (предприятия), а во-вторых, юридически закрепить ответственность той или иной стороны за разглашение коммерческой тайны организации.

Нанесение на материальные носители грифа «Коммерческая тайна» неразрывно связано с установленным порядком ведения специального делопроизводства и требует от всех работников неукоснительного выполнения правил обращения с документами, содержащими конфиденциальную информацию.

Как защитить коммерческую тайну компании

Чтобы обезопасить секретные сведения компании от разглашения, можно придать им статус коммерческой тайны. Рассказываем, как это сделать.

Что такое коммерческая тайна

Коммерческая тайна — это информация, которую компания не разглашает, чтобы увеличить доходы, избежать неоправданных расходов, сохранить или улучшить своё положение на рынке либо получить любую другую коммерческую выгоду. Засекретить можно рецепт блюда или напитка, рыночную стратегию и тактику ведения бизнеса, списки клиентов и поставщиков, принципы ценообразования.

Коммерческой тайной, может быть всё, что вы считаете важным скрыть, за исключением:

  • Информации, которая содержится в учредительных документах ИП или юрлица и государственных реестрах;
  • Сведений о составе имущества государственного или унитарного предприятия и учреждения, об использовании ими средств госбюджетов;
  • Кадровой информации: о численности и составе штата, об условиях и охране труда, наличии вакансий и т. д.;
  • Сведений о задолженностях работодателей по зарплатам и социальным отчислениям;
  • Информации о доходах и выплатах некоммерческих организаций, а также об их размере и структуре, использовании бесплатного труда граждан (волонтёров, например);
  • Сведений о представителях предприятия, которые могут действовать без доверенности;
  • Условий конкурсов и аукционов по приватизации государственного и муниципального имущества;
  • Важных для общественности фактов: о загрязнении окружающей среды, санитарно-эпидемиологической обстановке, противопожарной безопасности, качестве продуктов питания и выявленных в них нарушениях требований безопасности и т. п.;
  • Сведений о нарушениях предприятием или его руководством законодательства и привлечении за это к ответственности.
  • Другой информации, которую по закону нельзя скрывать. Например, банки обязаны публиковать финотчетность.

Все указанные данные засекречивать нельзя.

Обладатель коммерческой тайны обязан раскрывать её полиции, суду и иным госорганам по требованию. Запрос властей должен быть официально оформлен и подписан руководителем структуры, содержать причину и сроки удовлетворения требования. Госорганы, в свою очередь, обеспечивают сохранность информации от конкурентов.

Обладатель коммерческой тайны — это лицо, которое на законном основании владеет информацией, составляющей коммерческую тайну, и ограничивает доступ к этой информации. Только обладатель тайны вправе раскрывать её государству. Власти могут обязать рассекретить сведения руководителя предприятия или ИП, но не работников. Сотрудники не должны разглашать коммерческую тайну даже по официальному запросу.

Как оформить коммерческую тайну

  • Составьте перечень сведений, которые хотите засекретить.
  • Нанесите гриф «Коммерческая тайна» на все материальные носители, на которых они будут храниться, и укажите обладателя коммерческой тайны: Ф. И. О. и место жительства индивидуального предпринимателя или полное наименование и местонахождение компании.
  • Установите порядок обращения с коммерческой тайной и зафиксируйте в локальных документах фирмы (приказе, рекомендации, должностной инструкции отдельных работников). Идеальный вариант: положение о коммерческой тайне — документ, определяющий права и обязанности сотрудников по обращению с тайной, а также санкции за нарушения.
  • Определите круг лиц, которых допустите к скрытым сведениям, и ведите учёт этих людей. Вы можете завести специальный журнал учёта, а можете оформлять всё на компьютере и заносить сотрудников в базу данных, выдавать пароль под роспись.
  • Заключите с работниками дополнительное соглашение о неразглашении коммерческой тайны или обяжите их подписать положение. Обязанность хранить тайну можно прописать также в гражданско-правовых договорах с контрагентами.
  • Ознакомьте выбранных сотрудников с коммерческой тайной под расписку.

Как защитить коммерческую тайну

В трудовых договорах может фигурировать пункт «Охрана коммерческой тайны», но он не обезопасит ваши данные. Если сотрудник не ознакомлен под роспись с конкретной информацией, он просто не знает, что можно рассказывать о своей работе, а что — нет. Поэтому для надёжности подпишите дополнительное соглашение или положение.

Что можно прописать в соглашении или в положении:

Запрет передавать коммерческую тайну и раскрывать публично без согласия руководства организации;

Сотрудник может не понять, что значит «раскрывать публично». Во избежание недоразумений, напишите подробно, что именно он имеет право делать с полученными данными, тогда все остальные действия будут считаться разглашением. Или прямо укажите, что считается нарушением: ссылки на засекреченную информацию в текстах, обсуждение сведений где-либо, кроме переговорной комнаты, и с кем-либо, кроме установленного круга лиц.

Запрет использовать полученную информацию для другой деятельности, если это может нанести ущерб организации.

Например, сотрудник не может использовать производственный секрет компании, решив открыть своё дело, — даже после увольнения .

Обязанность работника обращаться в полицию и ставить в известность руководство при попытках шпионажа или шантажа с целью получить доступ к коммерческой тайне.

Вилли Вонка из фильма «Чарли и шоколадная фабрика» закрыл фабрику из-за происков конкурентов, которые подсылали к нему шпионов и крали рецепты. Если бы самые верные работники, вроде дедушки Чарли, вовремя сообщали ему об этом, многолетнего перерыва можно было бы избежать.

Обязанность незамедлительно сообщать об утечке информации или утере носителей, на которых она хранится, возможных рисках разглашения и причинах, по которым сведения уже стали известны другим.

Если сотрудник, допущенный к коммерческой тайне, потерял флешку с секретной информацией, он должен сразу поставить в известность руководителя, чтобы тот успел предотвратить утечку данных .

Условия и сроки хранения коммерческой тайны после увольнения или выхода на пенсию.

Санкции за разглашение коммерческой тайны.

Ответственность за разглашение коммерческой тайны

Считается , что работник, который получил секретные сведения непосредственно от их обладателя, получил их легально. Однако, если вы нигде не зафиксировали, что он ознакомлен с коммерческой тайной, вы не сможете привлечь его к ответственности. Поэтому заключайте с работниками соглашения и берите расписки.

Для работы над проектом Пётр Семёнович привлекает Владимира и знакомит его с секретными данными, не заключая соглашений и не беря расписок. Владимир передаёт их конкурентам. Но наказывать его не за что, ведь причастность к секретным сведениям ничем не подтверждается. Без документов, обязывающих хранить коммерческую тайну, привлечь работника к ответственности практически невозможно.

Ответственность за раскрытие коммерческой тайны может быть дисциплинарной, административной, гражданско-правовой и уголовной.

Вы можете объявить проговорившемуся сотруднику выговор, оштрафовать или уволить — это дисциплинарное взыскание. Если работник оформлялся не трудовым договором, а ГПХ, то с него можно взыскивать убытки в рамках гражданского законодательства.

По гражданскому праву можно требовать возмещения убытков, полученных из-за разглашения коммерческой тайны, и с других лиц: компаний-партнёров, приглашённых специалистов, госучреждений. То есть вы можете предъявить к ним претензию или обратиться в суд и требовать денежных компенсаций.

Уголовная ответственность наступает в следующих случаях:

  • Кто-то умышленно пытается завладеть вашей коммерческой тайной незаконным путём: похищает документы, подкупает или шантажирует сотрудников и так далее. Наказание нарушителю — до 2 лет лишения свободы или штраф до 500 000 рублей.
  • Банковскую, налоговую или коммерческую информацию разгласил сотрудник, который получил её легально. Наказание — до 3 лет лишения свободы или штраф до 1 000 000 рублей.
  • Кто-то умышленно разгласил коммерческую тайну в корыстных целях, и это причинило крупный ущерб фирме — до 5 лет лишения свободы или штраф до 1 500 000 рублей.

Насколько серьёзна утечка информации, определит суд или следствие, если вы подадите заявление в полицию.

Специалистов, которым по долгу службы открыли коммерческую тайну, и они её разгласили, можно привлечь к административной ответственности и наложить взыскания, если тяжесть нарушения не подходит под уголовную статью. Штраф в таком случае составит: до 1 000 рублей — для граждан, до 5 000 рублей — для должностных лиц и адвокатов.

Если кто-то случайно или по ошибке получил доступ к коммерческой тайне и разгласил её, не подозревая о том, что нарушает закон, он не несёт ответственности за это. Однако вы можете после этого обязать его хранить информацию в секрете, и повторное разглашение не останется безнаказанным.

Короче

Режим коммерческой тайны может ввести любая компания. Засекречивать можно что угодно, кроме тех сведений, которые по закону нельзя скрывать.

Чтобы придать сведениям статус коммерческой тайны, нужно нанести на них гриф «Коммерческая тайна», указать правообладателя, прописать режим обращения с секретными данными и ознакомить с ними выбранных лиц. Всё это важно зафиксировать в документах компании и договорах с персоналом.

Если госорганы направляют мотивированное требование раскрыть коммерческую тайну, её обладатель обязан это сделать.

Разглашение сведений, составляющих коммерческую тайну, влечёт за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.

Как внедрить режим коммерческой тайны в организации. Краткая инструкция

Режим коммерческой тайны (КТ). Для большинства людей этот термин нативно понятен и пояснений не требует. Однако на практике даже специалисты по информационной безопасности не всегда могут объяснить, для чего он используется, нужен ли конкретной организации и как его установить. Бумажная работа пугает не меньше, чем отсутствие режима. И если в крупных компаниях режим КТ есть практически повсеместно, у малого и среднего бизнеса не всегда доходят руки до его введения. Частые оправдания – «у нас нет на это ресурсов», «да-да, но только не сейчас», «лучше бы этим юристы занялись». Между тем режим КТ часто является не опциональным приложением, а именно основой построения систем информационной безопасности, особенно в части защиты от внутренних угроз. Попробуем разобраться в вопросе и приведем рекомендации, которые помогут даже не слишком искушенному в юридических вопросах сотруднику успешно пройти все шаги и сделать свою компанию сильнее перед лицом актуальных угроз.

Угрозы и решения

Поскольку мы затронули тему внутренних угроз, нужно внести ясность. Соотношение потерь организаций от внутренних и внешних угроз, по оценкам Zecurion Analytics, порядка 4 к 1. А в некоторых случаях даже выше. Карантин и удаленный режим работы также способствуют росту этого коэффициента. В условиях неуверенности в завтрашнем дне, работая из дома, всё больше сотрудников склонны нарушать корпоративные политики и копируют конфиденциальные данные на личные носители. Каким образом будут их использовать –вопрос открытый. Возможно, они так и останутся на дисках, пока не потеряют актуальности или не будут затёрты новыми данными, но исключать того, что сотрудник использует их на новом месте работы или не передаст заинтересованным конкурентам в желании заработать – тоже нельзя. Лояльность сотрудников – величина непостоянная. Известно немало случаев бессмысленной мести со стороны обиженных кадров, а если на этом можно еще и заработать – причина для кражи информации становится более весомой.

Если не вдаваться в подробности, борьба с внутренними угрозами ведется по двум направлениям.

Первое – использование организационных, прежде всего профилактических мер, обучение, тренинги, беседы с компетентными сотрудниками службы безопасности.

Второе – внедрение технических средств контроля перемещения информации (DLP, Data Loss Prevention) или защиты от несанкционированных действий привилегированных пользователей (PAM, Privileged Access Management). Но когда мы говорим о техническом контроле действий сотрудников, о переписке, возникают вопросы законности процесса: нет ли конфликтов с интересами и правами самих работников, других законодательных актов?

На самом деле нет. Организации вправе или даже обязаны защищать конфиденциальную информацию, имеют для этого все полномочия. И без режима КТ в теории можно обойтись, особенно если конфиденциальная информация организации подпадает под другие виды тайны, охраняемых законом – например, банковская или врачебная тайна, персональные данные. Однако каждый из этих видов весьма ограничен, в то время как в отношении КТ компания сама решает, какую информацию сюда следует отнести.

Введение режима коммерческой тайны

Выше мы уже говорили о том, что режим КТ служит основой построения системы защиты информации. Действительно, когда компания «дозревает» до DLP-системы и понимает, что доверять всем сотрудникам нельзя, а бороться одними лишь организационными мерами неэффективно, не следует ограничиваться лишь пилотным проектом в стиле «сейчас я всех вас, подлые инсайдеры, найду». Тем более что внедрение режима КТ не требует больших финансовых расходов и других ресурсов. Это обычная рутина, которой немало в работе безопасника, а наши рекомендации помогут сделать процесс еще проще.

Итак, что нужно сделать:

1. Составить перечень информации, являющейся КТ

Самое интересное, что коммерческой тайной можно назвать много типов конфиденциальной информации. Список клиентов или контрагентов, условия работы с ними. Или особенности технологического процесса и чертежи оборудования. Поэтому КТ подходит для организаций разного размера и отраслей. Исходя из особенностей своей деятельности, каждая компания сможет включить в КТ свои типы информации. Эта информация и будет защищаться с использованием технических решений, DLP- или каких-то других систем.

2. Составить положение о КТ

В положении должен быть определен список должностей, которые имеют доступ к КТ. Помимо этого, стоит прописать ответственность за нарушение и перечень сведений, составляющих КТ.

3. Подготтовить соглашение о конфиденциальности для сотрудников

Может быть оформлено отдельным документом или как дополнительные пункты в трудовых договорах. Обязательство не разглашать КТ уже своим существованием будет дополнительным сдерживающим фактором для работников. Не защитит от нарушений и не убережет от ошибок, но поможет их сократить. А в случае разглашения – это обязательство станет одним из оснований для привлечения виновного к ответственности.

4. Издать приказ о введении режима КТ

Это та точка, когда режим КТ из проекта превращается в реальность. Приказ утверждает положение о КТ и другие нормативно-распорядительные документы. До этого даже готовый перечень КТ не является значимым документом. Требовать соблюдения режима КТ можно после выполнения следующего шага.

5. Ознакомить сотрудников с положением о КТ

Это не должна быть пустая формальность или упоминание между делом. Прежде всего, сотрудники должны быть ознакомлены с пакетом документов под подпись. Хорошей практикой может стать попутное проведение тренинга по вопросам защиты информации, рассказ об актуальных угрозах – ведь не все сотрудники нарушают режим КТ целенаправленно. А тем, кто задумывается о краже данных, стоит напомнить об ответственности, можно с примерами. Наконец, чтобы режим эффективно работал, надо сделать еще один шаг.

6. Подключить технические средства

Например, DLP-систему, контролирующую электронные каналы коммуникации и деятельность сотрудников на рабочих местах. Где-то это может быть решение другого класса или комплексная система, включающая несколько продуктов. Но контроль коммуникаций, а также архив событий и файлов в любом случае пригодятся для выявления нарушений, расследования инцидентов и привлечения нарушителей к ответственности.

Для выполнения пунктов изложенного плана можно привлекать заинтересованных коллег. Например, руководители бизнес-подразделений помогут сориентироваться, какая информация нуждается в защите в их отделах. А юристы или HR окажут содействие в доработке трудовых договоров.

Некоторые практические нюансы

При разработке перечня КТ следует обратить внимание на статью 5 Федерального закона «О коммерческой тайне». Здесь указаны сведения, которые не могут составлять коммерческую тайну. Эти ограничения, тем не менее, вполне логичны и не отменяют того, что было сказано о понятии КТ выше – это действительно универсальный инструмент для компаний разных сфер деятельности.

Также не стоит всю корпоративную информацию относить к коммерческой тайне. В нашей практике встречались такие попытки. Но на деле это не будет работать. Список КТ не должен размываться и включать документы, которые, очевидно, тайны не составляют. В противном случае и работники не станут ответственно относиться к защите информации. Культ конфиденциальности всего нивелирует ценность по-настоящему критичных к утечке данных.

Попытку упростить себе жизнь и отказаться от категоризации корпоративной информации можно понять с человеческой точки зрения. В корпоративной среде часто встречается проблема с хранением данных. Даже сотрудники профильных подразделений не всегда знают, где можно найти нужную информацию. Базы данных, файловые серверы, CRM-, HRM- и другие специализированные системы хранения, ну и конечно, локальные копии «на всякий случай» запутают кого угодно. Для решения этой проблемы существуют продукты, которые выявляют места хранения конфиденциальных данных и классифицируют информацию, находящуюся в различных системах корпоративной сети.

Следующий момент. В положение о КТ имеет смысл включить перечень законодательных актов, которые использовались при его составлении. Законодательная база на самом деле не очень велика, и перечисление не займет много времени. Базово это Трудовой кодекс, несколько федеральных законов и Указ Президента РФ.

Можно предположить, что некоторые сотрудники организации не будут попадать под действие режима КТ. Здесь можно сказать примерно то же, что и в отношении информации, составляющей КТ. Если какие-то должности не предполагают использования КТ, не стоит давать им доступ к этим сведениям и затем требовать соблюдения режима. Это лишнее, избавьтесь от ненужных ограничений, тем самым упростите жизнь людям и сократите риски для информации.

Наконец, важно понимать, что введение режима КТ в любом случае является дополнительным ограничением для сотрудников, поэтому сам по себе он вряд ли будет встречен с большим энтузиазмом. Всё зависит от того, как подать информацию. Ведь режим вводится не ради прихоти начальства. Сохранность конфиденциальных данных позволит компании эффективнее вести бизнес, улучшить финансовые показатели, которые, в свою очередь, могут положительно отразиться на заработке людей. Понимая положительные стороны режима КТ, люди будут более склонны его соблюдать, чем зная лишь последствия нарушения.

Вместо заключения

Доверительные отношения в коллективе – это важный элемент корпоративной культуры. Но когда мы говорим о доверии в контексте сохранности информации, это хорошо работает в маленьких семейных или дружеских фирмах, где все знакомы, объединены общей целью, ну или, по крайней мере, находятся на виду у коллег. С ростом коллектива одного доверия уже недостаточно, поэтому для компаний крупного и среднего бизнеса система защиты информации от утечки является стандартом. Как показывает опыт наших заказчиков, DLP-системы используются не только для контроля перемещения информации. Среди их основных задач —выявление мошеннических схем, сговора сотрудников внутри организации и с внешними контрагентами, составление т. н. «групп риска», мониторинг снижения лояльности и др.

А полезной основой для внедрения технических решений является режим КТ. Введение режима не только даёт основания для защиты информации, контроля корпоративных коммуникаций и привлечения нарушителей к ответственности, но и упорядочивает понимание конфиденциальной информации внутри компании. Ведь так трудно защищать информацию от утечки, когда мы сами не точно представляем, что это за информация, где она хранится, как используется и кто имеет к ней доступ.

Коммерческая тайна

Коммерческая тайна – это режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Отнесение информации к категории коммерческой тайны может диктоваться, прежде всего, необходимостью в защите экономических интересов предприятия в условиях рыночной конкуренции, особенно, если она будет носить недобросовестный характер.

Категории коммерческой тайны

На практике выделяют такие категории секретной информации, которые считаются коммерческой тайной:

Данные наивысшей степени секретности. К таким данным относится основная информация, которая содержит сведения о коммерческой деятельности компании. Разглашение такого рода информации является угрозой высокой степени для предприятия, что может привести к значительным убыткам компании.

Строго конфиденциальные сведения. К такой информации относятся данные о планах предприятия, носящие стратегический характер, включая перспективы развития компании т. д. Распространение такой информации имеет значительные последствия.

Конфиденциальная информация. К такой информации относятся данные, после распространения которых предприятие может понести убытки, которые сопоставимы с произведенными текущими расходами компании.

Сведения ограниченного доступа. К такой информации относятся данные о действующей структуре управления производственным процессом, содержание должностных инструкций сотрудников компании и т. д. Распространение такой информации может привести к незначительным негативным последствиям, что фактически никак не повлияет на коммерческую деятельность компании.

Открытая информация. К такой информации относятся сведения, разглашение которых не является опасным действием для коммерческой деятельности компании.

Режим коммерческой тайны

Режим коммерческой тайны – это правовые, организационные, технические и иные меры, принимаемые обладателем информации, составляющей коммерческую тайну, по охране ее конфиденциальности.

Регламент работы по определению сведений, составляющих коммерческую тайну

В организационном плане работу по определению сведений, которые составляют коммерческую тайну, можно разделить на следующие три этапа.

На первом этапе будет необходимо издать приказ, устанавливающий порядок определения сведений, которые составляют коммерческую тайну.

В этом приказе следует указать следующую информацию:

состав постоянно действующей комиссии по коммерческой тайне;

категории персонала, которому предоставляется право предварительной классификации информации как коммерческая тайна (такими работниками могут быть: инженерно-технический специалист, научный сотрудник, менеджеры, маркетологи, экономисты, юристы и т.п.);

порядок документирования работы по определению сведений, составляющих коммерческую тайну;

сроки подготовки перечня сведений, которые составляют коммерческую тайну и его представление для утверждения руководством.

На втором этапе постоянно действующей комиссии должна проанализировать возможный ущерб от утечки выделенных на первом этапе сведений.

Третий этап сводится к формированию перечня сведений, которые составляют коммерческую тайну предприятия, и вводу перечня в действие.

Введение режима сохранения коммерческой тайны

Для введения режима сохранения секретных данных необходимо:

разработать правила доступа и работы со сведениями;

определить ответственных за обеспечение безопасности данных;

разработать порядок учета сотрудников, имеющих разрешение применять секретные сведения;

выполнить маркировку носителей ценной информации с предостережением от несанкционированного доступа.

Меры предприятия по защите коммерческой тайны

При введении режима сохранения секретных данных предполагается применение следующих мер безопасности:

Составление перечня мер, которые должны применяться для сокрытия секретной информации.

Составление, утверждение и введение в действие документа «Положение о коммерческой тайне».

Обозначение круга сотрудников компании, которые будут иметь открытый доступ к секретной информации.

Внесение в трудовые договоры работников предприятия пункта об ответственности за разглашение коммерческой тайны.

Выбор конкретных сотрудников, которые будут нести личную ответственность за сохранность ценной информации.

Подписание с работниками предприятия договора о неразглашении информации.

Нанесение на документы соответствующего грифа (пометки). Например, «Секретно» или «Коммерческая тайна».

Положение о коммерческой тайне

Положение о коммерческой тайне является внутренним документов юридического лица и может составляться в свободной форме.

Приведем примерное содержание положения:

общие положения (определение и цель составления документа);

права организации — владельца ноу-хау;

права и обязанности руководителя организации (в том числе его ответственность);

порядок отнесения сведений к коммерческой тайне (кто и как может пользоваться и контролировать использование ноу-хау);

коммерческая тайна (что может быть коммерческой тайной, а что — нет);

режим коммерческой тайны (утверждение перечня данных, не подлежащих огласке, а также определение целей, на достижение которых режим не может быть направлен);

охрана конфиденциальности информации в рамках трудовых отношений (обязанности руководителя по ознакомлению работников с режимом коммерческой тайны, обязанности работников и ответственность за разглашение тайны);

порядок предоставления коммерческой тайны (кому и на каких основаниях);

ответственность за разглашение коммерческой тайны с указанием порядка её вменения;

приложения к положению.

Примеры разглашения коммерческой тайны

Разглашение информации, которая составляет коммерческую тайну, – это действие или бездействие, результатом которого информация, составляющая коммерческую тайну, принимающая любые возможные формы (устная, письменная, иная форма, в том числе с использованием технических средств) будет известна третьим лицам в отсутствие согласия обладателя на такую информацию либо вопреки трудовому или гражданско-правовому договору.

Для того чтобы определить меру наказания для сотрудника компании за допущенное нарушение, следует определить каким образом произошло разглашение (утечка) секретной информации.

Отметим, что нарушитель может допустить разглашение секретной информации умышленно или неумышленно.

Рассмотрим основные виды разглашения засекреченной информации:

Предоставление свободного доступа к секретной информации.

Продажа секретных сведений прямым конкурентам компании.

Хищение секретных сведений для извлечения личной выгоды.

Взлом компьютерных баз данных.

Сбор конфиденциальных данных с использованием незаконных методов (например, несанкционированное проникновение в хранилище, где хранится секретная информация).

Ответственность за разглашение коммерческой тайны

За разглашение (умышленное или неосторожное), а также за незаконное использование информации, которая составляет коммерческую тайну, предусматривается ответственность:

Дисциплинарная ответственность. При наступлении такой ответственности применяются следующие меры наказания: выговор, увольнение или простое замечание;

Материальная ответственность. При наступлении такой ответственности сотрудник компании должен будет возместить убытки, которые были нанесены предприятию;

Административная ответственность. При наступлении такой ответственности предполагается наложение штрафа. Для сотрудников компании – 500-1000 рублей, для руководителей фирмы – 4000-5000 рублей;

Уголовная ответственность. Такая ответственность применяется в особо тяжелых ситуациях. При этом применяются следующие меры наказания: штраф – от 80 000 до 200 000 руб., принудительные работы, ограничение свободы до 7 лет.

Если разглашение информации было неумышленное, то в этом случае нарушитель привлекается к дисциплинарной, материальной или административной ответственности.

Если секретная информация была раскрыта умышленно и умысел был доказан, то в этом случае виновник привлекается к уголовной ответственности.

Остались еще вопросы по бухучету и налогам? Задайте их на бухгалтерском форуме.

Организация защиты информации и режим коммерческой тайны

Антон Свинцицкий,
Руководитель отдела консалтинга
АО «ДиалогНаука»
Евгения Заяц
Старший консультант отдела консалтинга
АО «ДиалогНаука»

Основным нормативным правовым актом, регулирующим отношения в области защиты коммерческой тайны, как одного из типов информации ограниченного доступа, является Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне», который устанавливает основные требования и принципы режима коммерческой тайны. Не менее важным является Трудовой кодекс РФ, который регулирует вопросы обработки информации, составляющей коммерческую тайну в рамках трудовых отношений, а также Гражданский кодекс РФ, регулирующий отношения по использованию прав на секрет производства.

С точки зрения закона, коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Но во многих случаях разглашение информации, составляющей коммерческую тайну, несет репутационные риски.

Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны.

В соответствии с требованиями Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» режима коммерческой тайны должен включать как минимум следующие меры по охране конфиденциальности информации:

1) Определение перечня информации, составляющей коммерческую тайну (при этом необходимо учитывать ограничения законодательства – доступ к некоторым сведениям не может быть ограничен).
2) Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка.
3) Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4) Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Как правило, доступ к информации, составляющей коммерческую тайну, предоставляется:

  • работникам;
  • физическим лицам, с которыми заключен договор гражданско-правового характера на выполнение работ/оказание услуг, связанных с обработкой информации, составляющей коммерческую тайну;
  • физическим лицам, являющимся представителями/сотрудниками юридических лиц — контрагентов, с которыми заключены договора гражданско-правового характера или с которыми ведётся работа по подготовке заключения таких договоров;
  • уполномоченным представителям надзорных органов.

Таким образом, должны быть определены процедуры предоставления доступа и регламентированы требования к обработке информации, составляющей коммерческую тайну, для каждой категории лиц.
Уполномоченные представители надзорных органов допускаются к информации, составляющей коммерческую тайну при наличии письменного запроса, обоснования.

5) Установка ограничительных пометок на материальные носители (документы) содержащие информацию, составляющую коммерческую тайну.

Кроме указанных обязательных мер, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, и другие, не противоречащие законодательству меры. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1) Исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
2) Обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Наиболее эффективными мерами для поддержания режима коммерческой тайны являются:

1) Определение владельцев информационных ресурсов. 2) Создание ролевой модели доступ к информационным ресурсам и информационным системам, обрабатывающим информацию, составляющую коммерческую тайну.
3) Предоставление доступа только к тем информационным ресурсам и информационным системам, доступ к которым необходим для выполнения должностных обязанностей и договорных обязательств.
4) Внедрение механизмов контроля информационных потоков с целью выявления несанкционированной передачи информации, составляющей коммерческую тайну.
5) Внедрение механизмов логирования действий пользователей с информационными ресурсами и определение критериев выявления подозрительных действий и операций.

Понравилась статья? Поделиться с друзьями:
Adblock
detector