Формальные требования законодательства о защите коммерческой тайны требуют издания в компании внутреннего нормативного акта, регламентирующего, какие сведения относятся к защищаемым и как реализуются меры защиты. Без выработки такого положения решить задачу привлечения к ответственности виновного за утечку данных маловероятно.

Необходимость положения

Положение о защите информации – документ, описывающий все аспекты работы с конфиденциальными сведениями. Можно внести в трудовые договоры оговорку об ответственности за разглашение коммерческой тайны, но эта норма не будет рабочей, если не пояснить, почему данные относятся к коммерческой тайне, на основании каких нормативных актов их нельзя разглашать и что понимается под разглашением.

Внутренний нормативный акт организации принимается на уровне высшего руководства и утверждается исполнительным органом. Особое внимание необходимо уделить четкому описанию сведений, относящихся к конфиденциальным. Закон «О коммерческой тайне» называет перечень данных, которые не могут быть признаны таковыми: от учредительных документов до балансов. Но на практике в список попадают все категории данных имеющие деловой характер, вне зависимости от их действительной ценности или отнесения к общедоступным. Это затрудняет работу всех служб, которые обязаны отслеживать обращение к конфиденциальным ресурсам, так как к ним начинают относиться все файлы компании, и реальная защита данных становится невозможной. Необходим краткий перечень с ранжированием по степени защищенности. После утверждения положения с ним необходимо ознакомить сотрудников организации с условием росписи в журналах учета.

Структура положения

При разработке документа необходимо уделить внимание разделам, которые описывают необходимость защиты конфиденциальной информации для сотрудников:

• определение сведений, подлежащих защите. Чем конкретнее будут описаны данные, тем меньше сложностей возникнет при работе в проектных группах или на удаленном доступе, когда любое письмо контрагенту, содержащее цифры или деловые концепции, может быть сочтено нарушением положения;
• понятие разглашения данных. Некоторые организации, пренебрегая требованиями закона, под разглашением понимают передачу данных по электронной почте, контрагентам компании или работу с ними на личном устройстве. Хотя даже в случае закачки данных в облачное хранилище для работы с ними на удаленном доступе закон не увидит разглашения. Такие ситуации должны регулироваться не в рамках коммерческой тайны, а в рамках внутренних инструкций компании по работе с данными, нарушение которых влечет дисциплинарную ответственность;
• применяемые средства защиты информации. Часто упоминание о наличии программных средств, контролирующих работу с данными, действует сильнее чем угроза применения ответственности;
• требования к маркировке данных, содержащих коммерческую тайну. Для бумажных носителей должны существовать грифы конфиденциальности, файлам или папкам требуется присваивать метки.

Положение о защите конфиденциальной информации не требуется размещать в открытом доступе. Сотрудники знакомятся с ним под роспись. Его тщательная проработка позволит снять множество вопросов, связанных с утечками информации.

25.03.2020