Защита коммерческой тайны на практике: что работает помимо NDA

изображение: grok
Соглашение о неразглашении подписано, грифы проставлены. Можно выдохнуть? Нет. NDA фиксирует обязательства, но не создает защиту. Это лишь стартовая точка. Но чтобы понять, почему формальности не работают без системы, сперва разберемся, что именно мы защищаем и какую ценность это представляет. Для начала напомню, что такое «Коммерческая тайна», а также для чего ее необходимо защищать.
Коммерческая тайна (КТ) – это режим конфиденциальности информации, позволяющий ее обладателю при существующих (возможных) обстоятельствах увеличить свои доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Проще говоря, КТ – это некие сведения с ограниченным доступом (по отношению к ним введен режим КТ), которые позволяют их владельцу получать ту самую экономическую выгоду, удерживать позиции на рынке (или защищаться от недобросовестной конкуренции). Ценность таких сведений напрямую зависит от их неизвестности третьим лицам.
Речь может идти о клиентской базе, условиях отдельных договоров, рецептурах, технологиях, маркетинговых планах… о любой информации, неизвестность которой иным лицам приносит коммерческую выгоду ее владельцу. Разумеется, не стоит забывать о том, что ст. 5 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» вводит ограничения, не позволяющие вводить режим КТ по отношению к определенным сведениям.
Поскольку КТ обладает высокой ценностью, любые упущения в работе с ней обходятся дорого. Ошибки могут обернуться утечками важных данных, прямыми финансовыми убытками – разрывом уже существующих контрактов, ударом по репутации – недополученной прибылью от новых клиентов, а иногда и серьезными судебными разбирательствами. Причем, в отличие от государственной тайны или персональных данных, ответственность за охрану КТ полностью лежит на ее владельце, то есть на организации. Государство лишь определяет правовые рамки, порядок защиты и меры ответственности за нарушения.
Введение режима КТ
Как правильно ввести режим коммерческой тайны?
Важно понимать, что одного лишь желания руководства или грифа на документах недостаточно. Чтобы информация получила официальный статус КТ и юридическую защиту, она должна соответствовать трем законным критериям:
- потенциальная коммерческая ценность (рассматривали выше);
- отсутствие свободного доступа. Сведения, в отношении которых вводится режим КТ, не должны быть общедоступны на законных основаниях. Если их можно получить из открытых источников, то не получится установить режим КТ в отношении таких сведений;
- введение владельцем режима защиты. Информация должна быть документально защищена. Иными словами – должен быть разработан комплект документов, который вводит режим КТ.
Чтобы запустить этот режим с нуля, компании нужно пройти шесть основных этапов:
- Издать приказ руководителя организации о внедрении режима КТ. В приказе определяются цели внедрения режима, назначаются ответственные лица и утверждается перечень сведений, отнесенных к КТ.
- Разработать Положения о КТ. В нем закрепляются правила отнесения информации к КТ, способы защиты, ответственность работников и порядок работы с КТ.
- Разработать инструкции и регламенты. Например, регламент обращения с информацией, составляющей КТ или инструкция по организации физической защиты информации. Эти документы регулируют работу с КТ в конкретных ситуациях.
- Вести учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана.
- Закрепить обязательства в трудовых отношениях. В трудовые договоры вносятся положения о неразглашении КТ, подписываются соглашения о конфиденциальности. Сотрудники знакомятся с перечнем сведений под подпись.
- Промаркировать документы. Все материальные и цифровые объекты, содержащие КТ, должны иметь гриф «Коммерческая тайна» с указанием обладателя информации и номера экземпляра.
Важно подчеркнуть: одной лишь «бумажной» работы для защиты КТ недостаточно. Юридические процедуры обязательно должны подкрепляться реальными организационными и техническими мерами по защите данных.
Прежде всего, должно обеспечиваться фактическое выполнение требований и процедур, установленных утвержденными инструкциями и регламентами. К примеру, если документы с КТ не обособлены от документов с обычным уровнем доступа и не промаркированы, любое лицо, получившее случайный доступ к такой информации, не будет нести ответственность за ее разглашение.
Также нужно понимать, что организационные меры определяют процедуры работы с КТ, но только средства защиты информации способны физически предотвратить утечку и гарантировать сохранность данных.
Практические шаги по защите данных
Возвращаясь к названию статьи, повторим главное: подписание одного лишь соглашения о конфиденциальности (NDA) не гарантирует защиты ценных данных. На практике защитить коммерческую тайну можно только комплексными мерами. Надежная защита всегда держится на трех китах: продуманной юридической базе, строгом внутреннем порядке и современных технических инструментах. Эксперты сходятся во мнении: только такая комбинация способна перекрыть каналы как для случайных утечек по невнимательности, так и для намеренного промышленного шпионажа. Из чего складывается каждый из этих элементов:
Юридические меры. Закон не защитит информацию, если вы предварительно не задокументировали ее статус, поэтому необходимо сделать следующее:
- введите режим КТ в организации – сформируйте необходимый комплект документов и регламентируйте процесс допуска к КТ (порядок рассмотрен выше);
- ознакомьте сотрудников под подпись с Положением о КТ и перечнем КТ, утвержденным приказом руководителя организации;
- возьмите у работников обязательство о неразглашении информации в письменном виде;
- документы, содержащие КТ, промаркированные соответствующей пометкой, обособьте от документов, которые не содержат защищаемую информацию;
- ограничьте фактический доступ к документам, содержащим КТ. Документы в печатной форме как минимум необходимо хранить в сейфе и выдавать под подпись с отметкой в журнале движения документов. Защита электронных документов должна обеспечиваться настройкой прав доступа пользователей информационной системы и правами доступа к файловым хранилищам.
Организационные меры. Эти меры позволяют снизить человеческий фактор:
- политика «чистого стола» и «чистого экрана»: сотрудники должны блокировать экраны при отходе от рабочего стола и убирать бумажные документы в сейфы;
- корректная процедура увольнения: при уходе сотрудника немедленно блокируйте его учетные записи (корпоративная почта, базы данных и т.п.);
- обучение: проводите регулярное обучение сотрудников основам кибербезопасности и правилам работы с КТ, чтобы работники понимали, какие данные относятся к защищаемым и почему их нельзя обсуждать в публичных местах;
- установление границ: четко очертите круг сотрудников, доступ к КТ для которых необходим;
- аудит: проводите регулярный внутренний аудит процессов обращения с КТ, в том числе – анализ эффективности принятых мер защиты, принимайте адекватные меры по результатам его проведения.
Технические меры. Подавляющее число утечек КТ происходит через электронные каналы. Спектр технических мер достаточно широк. Организации могут рассмотреть возможность применения следующих механизмов и средств защиты информации исходя из конкретных особенностей процесса обработки КТ в компании:
- осуществляйте регулярное резервное копирование.
- используйте принцип «необходимого минимума». Сотрудник должен видеть только те файлы, которые нужны для его работы (настройте политики доступа);
- установите систему контроля доступа и видеонаблюдения, разграничьте физический доступ сотрудников к кабинетам, где хранятся устройства, обрабатывающие коммерческую информацию (серверная, отдел исследований и разработок или иные подразделения, которые работают с КТ или создают коммерческие продукты);
- применяйте DLP-системы для предотвращения утечек КТ: они анализируют переписку, файлы и документы, блокируя отправку чувствительной информации за пределы организации или ее загрузку на внешние накопители;
- используйте средства криптографической защиты информации;
- применяйте антивирусное программное обеспечение, межсетевые экраны, средства защиты информации от несанкционированного доступа;
- запретите или ограничьте использование личных носителей информации и облачных хранилищ;
Главное, о чем нужно помнить: организация должна регулярно проверять, как выполняются внутренние регламенты, своевременно обновлять список сведений, относящихся к КТ, и пересматривать права доступа сотрудников с учетом их текущих функций.
Защита КТ – это не просто формальность, а фундамент безопасности и конкурентоспособности любого бизнеса. В условиях, когда утечка данных может стоить организации миллионов, подорвать доверие клиентов и свести на «нет» годы разработок, комплексные, и предпочтительно превентивные, меры защиты КТ играют решающую роль.
Автор: Татьяна Балеевских, старший аналитик АЦ УЦСБ.



