Информационная безопасность

Решения «СёрчИнформ»:

Предотвращение утечек Выявление угроз Контроль персонала

Защита информации, составляющей коммерческую тайну

Коммерческие компании генерируют массивы информации, которая представляет ценность как для самой компании, так и для конкурентов. Критически важные для бизнеса сведения включают входить технологии, ноу-хау, изобретения и разработки, исследования рынка, стратегические планы и другие виды данных, являющиеся самостоятельным активом. Интерес для конкурирующих фирм представляют также сведения о клиентах и контрагентах.

Государство признает информацию активом и вовлекает в гражданско-правовой оборот, устанавливая определенные меры защиты, эквивалентные мерам защиты материальных активов, Специфика методов и инструментов защиты информации, составляющей коммерческую тайну, связана с тем, что данные отражаются в электронном виде и на бумажных носителях.

Определение понятий

Следует различать два неравнозначных понятия. «Коммерческая тайна» и «информация, составляющая коммерческую тайну» одновременно фигурируют в законодательстве, но подразумеваются немного различные явления.

Термин «коммерческая тайна» относится к режиму конфиденциальности или к системе защитных организационных мероприятий, которые устанавливаются в компании, чтобы защитить информацию от преступных посягательств или утечек. Режим конфиденциальности помогает компании удержать позиции на рынке, сохранить конкурентные преимущества, избежать расходов на восстановление репутации, пошатнувшейся вследствие разглашения или утечки чувствительных сведений.

«Информация, составляющая коммерческую тайну» – это объем сведений, которые компания определяет произвольно. Сведения могут относится к научной, производственной, маркетинговой деятельности. Реальная или потенциальная коммерческая ценность подобных сведений увеличивается благодаря недоступности для третьих лиц. В отношении сведений устанавливают режим коммерческой тайны.

Массивы информации, составляющей коммерческую тайну, разделяются на четыре группы:

  1. Cведения научно-технического характера: изобретения, ноу-хау, патенты; рационализаторские предложения; методы повышения эффективности производства; все, что относится к работе компьютерных сетей, стандарты безопасности, программное обеспечение, пароли.
  2. Сведения технологического и производственного характера: чертежи; модели; документация на оборудование; рецепты производства; методики; описание бизнес-процессов; производственные и маркетинговые планы, стратегии, бизнес-планы; инвестиционные предложения.
  3. Сведения финансового характера, не являющиеся информацией общего доступа: данные управленческого и финансового учета; отчеты; сведения о себестоимости продукции; расчеты денежного потока; механизмы формирования цен; прогнозируемые налоговые отчисления.
  4. Сведения бизнес-характер: данные о поставщиках и подрядчиках; информация о клиентах; планы продаж; различные стратегии; консалтинговые рекомендации; данные анализа рынков и аналогичные сведения.

Градация степени конфиденциальности для каждой группы включает:

  • высшая степень секретности, доступная только топ-менеджменту организации;
  • строго конфиденциальная информация;
  • конфиденциальная информация;
  • сведения ограниченного доступа.

Ранжирование по уровню конфиденциальности помогает лучше организовать систему доступа и позволяет минимизировать риски утечки. Например, данные наивысшей ценности будут недоступны широкому кругу сотрудников компании, а значит, меньше подвержены риску намеренной или случайной утечки.

Чтобы воспользоваться законными возможностями по защите коммерческой тайны, на первом этапе компания должна определить перечень сведений, на которые распространяется режим коммерческой тайны. И в дальнейшем обоснованно требовать от сотрудников с контрагентами выполнения мер по защите данных и привлекать к ответственности за разглашение информации, составляющей коммерческую тайну.

Параллельно с определением сведений необходимо установить режим конфиденциальности. Это означает – разработать и внедрить систему административно-организационных и технических мер, которые помогут предотвратить умышленное или неумышленное разглашение или распространение сведений.

Правовое регулирование режима коммерческой тайны в сфере гражданского и уголовного законодательства. Правоотношения регулируются Гражданским кодексом, в котором тайна определяется в качестве объекта защиты. Отдельные нормы, касающиеся соблюдения режима коммерческой тайны, содержаться в Трудовом кодексе. Уголовный кодекс вводит ответственность за умышленное разглашение информации. Таким образом, компания вправе самостоятельно определять, какие именно данные являются информацией, составляющей коммерческую тайну, а ее защита гарантируется мерами государственного принуждения.

Угрозы

Прежде чем разрабатывать систему защитных мер, чтобы сохранить конфиденциальность информации, и вводить в компании режим коммерческой тайны, необходимо определить наиболее вероятные угрозы безопасности. Угрозы подразделяются на внутренние и внешние.

Внешние угрозы включают три группы субъектов, которые могут быть заинтересованы в получении сведений, составляющих коммерческую тайну:

  • непосредственные конкуренты, которые действуют на тех же рынках, или компании, которые планируют выйти на те же рынки и осуществляют различные сценарии подрыва положения компании;
  • субъекты, заинтересованные в переделе долей участия в предприятии, рейдерские группировки, миноритарные акционеры и иные лица, которые могут использовать полученные сведения в борьбе за активы;
  • субъекты, которые посягают на активы, принадлежащие компании: недвижимость, земельные участки, акции и доли. Получение данных об активах облегчит процесс.

Внутренние угрозы прежде всего связаны с персоналом компании, включая и топ-менеджеров. Сотрудники с доступом к корпоративным информационным системам могут присвоить сведения, составляющие коммерческую тайну, чтобы продать, использовать в собственных коммерческих проектах или распространить среди неопределенно широкого круга лиц с целью причинить вред компании.

Система защиты должна определить все возможные угрозы и включать механизмы борьбы с конкретными опасностями.

Способы получения информации, составляющей коммерческую тайну

Признание информации коммерческой тайной в большинстве случаев не означает конфиденциальность в строгом смысле слова, потому что доступ к данным есть у сотрудников, разработчиков, клиентов и контрагентов. Сведения, которые во внутренних документах компании классифицируются как тайна, могут оказаться в открытом доступе из-за действий контрагентов. Двоякая суть информации, которая признается конфиденциальной, порождает не только незаконные, но и законные способы получить данные.

НЕЗАКОННЫЕ СПОСОБЫ

  • Перехват или организация утечек информации из телекоммуникационных сетей.
  • Прямое хищение документов.
  • Подкуп сотрудников.

ЗАКОННЫЕ СПОСОБЫ

  • Изучение СМИ, официальных источников раскрытия данных, например, сайтов, где публикуется бухгалтерская отчетность, картотеки дел арбитражных судов. Открытые источники позволяют составить достаточно точную картину финансового положения и взаимоотношений компании с контрагентами.
  • Работа с сотрудниками конкурирующих компаний, у которых есть широкий круг сведений о деятельности компании-цели и которые отвечают на вопросы, не задумываясь о том, что раскрывают собеседникам информацию, составляющую коммерческую тайну.
  • Если компания является открытым акционерным обществом, ее проспект эмиссии содержит большинство из сведений, которые относятся к коммерческой тайне. Кроме того, если консультанты при выпуске не связаны ограничениями по распространению сведений, данные их работы также будут содержать существенный объем информации.
  • Интервьюирование сотрудников компании, когда ответы на вопросы, прямо не относящиеся к деятельности, не нарушат режим конфиденциальности, но позволят получить большой объем полезной информации.
  • Предложение о работе сотрудникам компании, иногда без намерения действительно нанять человека. фактического предоставления. Прием позволяет получить широкий спектр данных о фактической занятости, круге обязанностей, продукции.
  • Изучение самой продукции, а также работы поставщиков сырья и комплектующих.
  • Все типы наблюдения за компанией и сотрудниками.
  • Переговоры о возможном заключении контракта без намерения фактического заключения. Способ позволяет не только собрать большой объем данных, но и получить возможность изучить процесс производства изнутри. Полученная таким образом информация составляет коммерческую тайну, но предоставляется добровольно.

Борьбу с подобными способами собрать данные осложняет их легитимность. Возможные средства противодействия – инструктаж сотрудников, тщательные проверки потенциальных контрагентов, проведение переговоров вне месторасположения компании.

Меры защиты

Основной мерой защиты информации, составляющей коммерческую тайну, станет установление режима коммерческой тайны. Основные мероприятия носят административно-организационный характер. Например, одним из основополагающих элементов системы является трудовой договор, который предусматривает ответственность сотрудников за нарушение режима конфиденциальности. С учетом того, что внешние угрозы проявляются в форме хищения из компьютерных сетей компании информации, составляющей коммерческую тайну, вместе с административными необходимо внедрять и технические меры, гарантирующие полноту защиты.

Административно-организационные меры

В первую очередь административно-организационные меры нацелены на информирование сотрудников о том, какие сведения относятся к коммерческой тайне, и какие обязанности по неразглашению возлагаются на персонал.

Еще одна цель – убедиться, что компания выполнила все требования закона и проявила предусмотрительность. Это усилит позиции в случае возможного судебного процесса против похитителя коммерческой тайны или заказчика похищения, получившего выгоду от преступного деяния.

Административно-организационные меры включают

  • Издание приказа о введении режима коммерческой тайны. В документе определяются основные параметры системы защиты и лица, ответственные за организацию защитных мероприятий.
  • Определение перечня сведений, относящихся к коммерческой тайне. Часто авторы документов включают в перечень все сведения, о существовании которых знают. Это неверный путь, так как многие данные общедоступны, например, публикуемая отчетность. В случае судебного разбирательства слишком широкий перечень данных может служить основанием для признания всего списка несоответствующим режиму коммерческой тайны. Более целесообразно ограничить перечень действительно ценной информацией. К конфиденциальным нельзя отнести сведения из учредительных документов, большинство данных о штатном расписании, режиме труда, информацию о соблюдении экологических и пожарных требований.
  • Разработка системы локальных нормативных актов, которые обеспечат соблюдение режима конфиденциальности и защиту сведений, составляющих коммерческую тайну. Помимо основного документа – положения «О коммерческой тайне» – могут быть разработаны положения о работе со средствами электронно-вычислительной техники, о порядке предоставления информации контрагентам и государственным органам, порядке копирования документации, типовые договоры с контрагентами, приложения к трудовым договорам и другие.
    Положение должно включать разделы, посвященные перечислению сведений, определяемых как коммерческая тайна; порядок внесения изменений в перечень или общие критерии, по которым информация признается коммерческой тайной; перечень рангов и уровней допусков лиц с правом оперировать конфиденциальной информацией; процедуру работы с документами и информационными базами, являющимися носителями информации, составляющей коммерческую тайну; права и обязанности рядовых пользователей и лиц, которым доверили функции по обеспечению режима тайны; порядок хранения, учета и уничтожения различных носителей.
    Кроме того, положение должно содержать меры ответственности за несоблюдение требований. Остальные документы, разработанные в соответствии с положением, не должны ему противоречить. Сотрудники компании должны быть ознакомлены с положением. Законодательство не обязывает привлекать к разработке документа профсоюз или другие представительные органы трудового коллектива, но при необходимости их мнение может быть учтено.
  • Определение круга лиц, у которых есть право работать с материалами, где содержатся сведения, составляющие коммерческую тайну, и уровень допуска. На этом этапе организационные меры должны взаимодействовать с техническими, так как уровни допуска реализуются в IT-структуре компании. Для более надежной защиты имеет смысл присваивать уровень допуска не только по степени ценности информации, но и по отраслевому характеру. Уполномоченные лица, которые определяются на уровне приказа исполнительного органа, должны быть уведомлены о том, что доверенная им информация составляет коммерческую тайну, и предупреждены о возможности увольнения и других санкций за ее разглашение.
  • Разработка трудовых договоров и договоров с контрагентами, которые содержат норму о защите коммерческой тайны. В договор с работниками обязательно включать пункт, которые предупреждает об ответственности за разглашение конфиденциальных сведений и о праве компании обязать сотрудника компенсировать материального ущерба. Закон позволяет также указать в трудовом договоре срок, начинающийся после расторжения трудового договора, в течение которого работник не вправе разглашать информацию, ставшую известной в связи с выполнением трудовых обязанностей. Обычно срок составляет три года. С перечнем информации сотрудник должен быть ознакомлен под подпись. Наличие личной подписи удостоверяет, что работник полностью осознает ответственность и в случае разглашения сведений готов нести наказание.
  • Включение в договоры с контрагентами условия о конфиденциальности в случаях, когда информация, доверенная контрагенту или его сотрудникам в связи с выполнением условий договора, составляет коммерческую тайну. Контрагентами подобного рода могут быть аудиторские, консалтинговые, оценочные и другие компании. Пункт в договоре должен обязывать в полном объеме компенсировать ущерб, причиненный разглашением тайны.
  • Функционирование грифов «коммерческая тайна» для защиты конфиденциальной информации и средств идентификации копий документов. Это не защищает документы от копирования в целях передачи информации потенциальным заказчикам, но ограничивает распространение среди широкого круга лиц в открытом доступе.
  • Особые режимы пользования телекоммуникационным оборудованием, копировальными устройствами, внешней электронной почтой, интернетом. Допуск сотрудника к ресурсам должен осуществляться на основе заявок с обоснованием необходимости использования. Заявки должны согласовываться на уровне руководства сотрудника и служб безопасности.
  • Строгий контроль за использованием учетных записей в сетях только владельцами учетных записей с предупреждением о том, что передача пароля может служить основанием для увольнения из-за «разглашения коммерческой тайны».

Технические меры

Среди технических мер защиты информации, составляющей коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. К таким средствам относятся DLP-системы и SIEM-системы.

Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты.

К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей.

Правовые способы защиты коммерческой тайны

Если все утечка произошла и распространения конфиденциальная информация избежать не удалось, возникает необходимость привлечь к ответственности виновника и возместить ущерб. Это возможно только в судебном порядке. В суде также может быть оспорено увольнение по основанию «разглашение коммерческой тайны».

В российской судебной практике немало примеров, когда суд встает на сторону компании. Например, Московский городской суд признал законным увольнение сотрудницы, которая передала по электронной почте данные об объемах поставок. Ее уволили на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса Российской Федерации – разглашение охраняемой законом тайны. А в другом случае Московский городской суд восстановил нарушителя режима коммерческой тайны на работе, так как компания-ответчик не предоставила трудовой договор с истцом, правила внутреннего трудового распорядка содержали, по мнению суда, нечеткие формулировки, а положение о коммерческой тайне или другие регламентирующие документы и вовсе отсутствовали в компании.

Подобные примеры подчеркивают необходимость внимательно относиться к регламентации вопросов, связанных с установлением режима коммерческой тайны. Тогда компании под силу не только защитить важные коммерческие сведения, но и возместить финансовые потери в случае инцидента, который может привести к оттоку клиентов, потере позиций в конкурентной среде и подрыве репутации.