Организация режима коммерческой тайны

Режим коммерческой тайны

В современном информационном бизнес-пространстве даже самая незначительная, на первый взгляд, информации может привести как к значительным финансовым потерям в виде упущенной прибыли, кражи денежных средств и так далее, так и к имиджевым потерям компании. Режим коммерческой тайны является одним их основополагающих для организаций, стремящихся сохранить свои информационные активы в тайне, так как классического соглашения о неразглашении конфиденциальной информации или NDA далеко не достаточно, что подтверждается судебной практикой. Данное право, для предпринимателей, предоставлено государством и определяется в Федеральном Законе «О коммерческой тайне» от 29.07.2004 N 98-ФЗ. Данный Федеральный Закон определяет коммерческую тайну как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Для чего нужна организация режима коммерческой тайны

Вам необходима организация режима коммерческой тайны если:

• Вы хотите снизить риск непредвиденных финансовых потерь;
• У Вас были инциденты, связанные с утечкой информационных активов компании;
• Вы подозреваете утечку информационных активов компании;
• Вам необходим режим коммерческой тайны для заключения договоров с контрагентами;
• Вы хотите уверенно действовать в правовом поле в части защиты информации;
• Вы решили комплексно подойти к вопросу информационной безопасности в организации.

Как проходит организация режима коммерческой тайны

Организация режима коммерческой тайны осуществляется поэтапно путем проведения комплекса мероприятий, включающих анализ общей организационной структуры компании, анализ организационно-распорядительной документации, разработку документации, сопровождение ввода организационно-распорядительной документации.

Базовый пакет документов для организации режима коммерческой тайны

Базовый пакет документов для организации режима конфиденциальной информации включает:

• Документация, подтверждающая ознакомление работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение (это может быть лист по ознакомлению сотрудника с положением о режиме коммерческой тайны или положение трудового договора)
• Обязательство о неразглашении информации составляющей коммерческую тайну для работников. Документ, в котором работник обязуется не разглашать коммерческую тайну, не передавать ее третьим лицам или не раскрывать публично, выполнять требования приказов инструкций и так далее;
• Обязательство о неразглашении информации составляющей коммерческую тайну для контрагентов (NDA);
• Перечень сведений, отнесенных к информации ограниченного доступа. Документ, в котором организация максимально точно определяет сведения, отнесенные к коммерческой тайне, в каком виде и где они хранятся;

Рекомендуется составить перечень таких сведений, так как при его отсутствии в судебной практике прослеживаются риски непризнания информации конфиденциальной, а следовательно, и отсутствия ответственности за ее разглашение (Решение Арбитражного суда Санкт-Петербурга и Ленинградской области от 18 октября 2018 г. по делу № А56-94537/2018)

• Положение о коммерческой тайне. Основной документ, который определяет порядок работы с коммерческой тайной;
• Политика информационной безопасности. Документ, определяющий структуру системы информационной безопасности, необходимость принятия организационных и технических мер защиты информации;
• Приказ о вводе в действие организационно-распорядительной документации.

Ответственность за исполнение вышеуказанных документов необходимо возложить на определённое руководителем подразделение или ответственного сотрудника. Например, на службу информационной безопасности (СИБ) или ответственного за ИБ сотрудника.

Обязательные условия действующего режима коммерческой тайны

К обязательным условиям действующего режима коммерческой тайны относятся:

1. Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
   Классическим, но недостаточным, примером регулирования таких отношений с контрагентом является соглашение о неразглашении или NDA.
2. Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
3. Однозначное и подробное (с исключением двойного толкования) определение комплекса организационных мер защиты информации в организационно-распорядительной документации компании;

   Примеры организационных мер:

   1. Предоставление доступа сведениям содержащих коммерческую тайну по письменному разрешению непосредственного руководителя, согласованного с начальником службы информационной безопасности или лицом его замещающим;
   2. Предоставление необходимых и достаточных прав доступа к сведениям, содержащих коммерческую тайну на основании должностных обязанностей работника Организации;
   3. Помещения, в котором хранятся сведения составляющие коммерческую тайну, не должны оставаться незапертыми в период отсутствия работников на рабочем месте;
   4. Запрещается использовать предоставляемые корпоративные съемные носители (флеш-носители, съемные жесткие диски и т.п.) в личных целях;
   5. Запрещается отправка файлов, содержащих сведения, отнесенные к коммерческой тайне на личную электронную почту;
   6. Проведение обязательных инструктажей для работников организации в части охраны коммерческой тайны не реже чем раз в 2 месяца с отметкой в журнале инструктажа;
   7. и так далее.

4. Однозначное и подробное (с исключением двойного толкования) определение комплекса технических мер защиты информации в организационно-распорядительной документации компании;

   Примеры технических мер:

   1. Все пароли используемые во внутренней информационной инфраструктуре организации должны соответствовать следующим требованиям:
      • длина пароля – не менее 10 символов;
      • максимальный срок действия пароля – 60 дней;
      • минимальный срок действия пароля – 1 день;
      • новый пароль не должен совпадать с 10 предыдущими паролями;
      • порог блокировки учетной записи – 5 неуспешных попыток ввода пароля.
   2. Блокирование портов ввода-вывода на АРМ работки если их использование не предусмотрено его должностными обязанностями;
   3. и так далее.

5. Определение в организационно-распорядительной документации ответственности и дисциплинарных взысканий для работников, а также штрафов для контрагентов за нарушение режима коммерческой тайны;

   «Работник компании за разглашение известных ему сведений, составляющих коммерческую тайну, подвергается административно-дисциплинарному взысканию, вплоть до увольнения, а в предусмотренных действующим законодательством случаях также привлекается к уголовной ответственности»

6. Применение комплекса организационных мер, функционирующих перманентно внутри организации, которые в необходимой и достаточной мере реализуют процесс защиты информации и удовлетворяют требованиям Статьи 10 пункт 1 Федерального Закона «О коммерческой тайне» от 29.07.2004 N 98-ФЗ;
7. Применение комплекса технических мер, функционирующих перманентно внутри организации, которые в необходимой и достаточной мере реализуют процесс защиты информации и удовлетворяют требованиям Статьи 10 пункт 1 Федерального Закона «О коммерческой тайне» от 29.07.2004 N 98-ФЗ;
8. Соблюдение принципа разумной достаточности при предоставлении доступа к коммерческой тайне, с обязательным документированием факта предоставления доступа;
9. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
   При небольшой численности сотрудников можно вести учет лиц к сведениям, содержащим коммерческую тайну на бумажных носителях в виде матрицы доступа.
10. Четкое и однозначное определение перечня сведений, которые относятся к коммерческой тайне;
    Перечень сведений, составляющих коммерческую тайну, необходимо оформить отдельным документом, с которым работник знакомится под подпись в соответствующем журнале и листе ознакомления.

    Несмотря на то, что Федеральный Закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ не обязывает определять угрозы и уязвимости в системе защиты информации, RTM Group рекомендует оценить риски и разработать модель угроз для оптимизации затрат на организацию системы защиты коммерческой тайны.

Принципы достаточности мер по охране конфиденциальности информации

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1. 1. исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
   2. обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Основные этапы организации режима коммерческой тайны

Этапы проведения организации режима коммерческой тайны (указаны усредненные сроки):

1. анализ общей организационной структуры Заказчика и структурных связей с контрагентами (1 неделя);
2. анализ организационно-распорядительной документации Заказчика по ИБ (при наличии) (1 неделя);
3. определение перечня защищаемой информации (при необходимости) (1 неделя);
4. разработка организационно-распорядительной документации в соответствии с проанализированными данными (3 недели);
5. разработка рекомендаций по внедрению организационных и технических мер защиты информации (2 недели);
6. сопровождение ввода организационно-распорядительной документации (2 недели);
7. презентация введенного режима коммерческой тайны работникам организации (1 день).

Результаты организации режима коммерческой тайны

По окончанию работ Заказчик получает введенный в организации режим коммерческой тайны, который соответствует действующему законодательству, значительно снижает вероятность возникновения ущерба информационным активам компании и в случае судебных споров ляжет в основу правовой позиции Заказчика.

Судебная практика в части организации режима охраны коммерческой тайны

Пример 1.
Решение от 10 мая 2017 г. по делу № А45-2106/2017
Данное решение суда показывает, как из-за плохо организованного режима охраны коммерческой тайны может проиграть суд и понести финансовые и имиджевые убытки.
Пример 2.
АПЕЛЛЯЦИОННОЕ ОПРЕДЕЛЕНИЕ Верховного суда Республики Марий Эл от 23.05.2019 № 33-889/2019
В данном случае, ситуация несколько иная. Сотрудник был уволен из организации поскольку нарушил установленные в компании организационные меры защиты информации, сфотографировав конфиденциальную информацию на личный телефон. Данный пример является положительным, так как показывает каким мощным инструментом может быть режим охраны конфиденциальной информации в правильных руках и при правильной реализации.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты