Режим коммерческой тайны и конфиденциальности

В процессе деятельности любой организации создается и накапливается информация, ознакомление с которой третьих лиц крайне нежелательно. Помимо сведений, защищать которые обязывает государство (например, государственная тайна или персональные данные), это могут быть:

  • Сведения о самой компании: планах и стратегиях развития, взаимоотношениях с партнерами и клиентами, планируемых изменениях в структуре компании, информация о руководстве и т.п.
  • Сведения о результатах основной деятельности компании: результатах научных исследований и разработок, ноу-хау и секретах производства, результатах маркетинговых исследований и др.
  • Сведения об экономических результатах деятельности: структуре и составе заимствований, движении денежных средств, результатах различных проверок и т.д.
  • Сведения о составе и структуре информационной системы.
  • Сведения о безопасности компания: режимах охраны, используемых средствах защиты, принятых организационных мерах защиты и т.п.

Возможны два основных решения задачи защиты подобной информации: режим коммерческой тайны и упрощенный режим конфиденциальности.


Режим коммерческой тайны

Основным нормативным документом, регламентирующим становление, изменение и прекращение режима коммерческой тайны, является Федеральный закон от 9 июля 2004 г. N98-ФЗ «О коммерческой тайне», который дает следующие определения:

«Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.»

«Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.»

Таким образом, чтобы защитить законом коммерчески ценную информацию, в отношении нее необходимо ввести режим коммерческой тайны (далее – КТ). Доказательством этого является выполнение организацией ряда мероприятий и условий:

  • определение перечня информации, составляющей коммерческую тайну;
  • ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
  • учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
  • регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
  • нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Не всякую информацию можно отнести к коммерческой тайне. Достаточно часто можно встретить ситуацию, когда к КТ причисляют всю, более-менее ценную информацию. Вплоть до прайс-листов, бухгалтерской отчетности и внутренних распоряжений. Такой режим действует только на бумаге, фактически не работает. Излишние ограничения и необходимость ведения строго учета препятствуют нормальному движению информации и функционированию компании, снижая в конечном итоге ее эффективность. Неминуемы нарушения режима и, в случае возникновения серьезного инцидента или судебных разбирательств, он будет признан недействительным.При формировании перечня информации, составляющей коммерческую тайну, необходимо учитывать множество факторов. Во-первых, многочисленные группы сведений, которые не могут быть в него включены. Их описание содержится не только в N98-ФЗ, но и в ряде других нормативных документах. Во-вторых, следует оценивать реальную стоимость информации и степень ее уникальности. Нет смысла защищать то, что никому и так не нужно. В-третьих, нужно понимать, насколько реально обеспечить сохранность и конфиденциальность информации. Вряд ли удастся это сделать, если приходится передавать ее широкому кругу контрагентов или знакомить с нею всех сотрудников компании.

Некоторое действие можно считать нарушением режима коммерческой тайны, только если были предприняты меры по его недопущению. Это значит, что сотрудники, во-первых, должны иметь возможности для обеспечения безопасности при работе с КТ, а во-вторых, должны нарушить установленные правила и преодолеть некоторые механизмы защиты. Только в этом случае можно будет доказать умышленность действия или его халатность. Степень адекватности и достаточности принятых мер рассматривается судом и может быть определена только экспертами в области информационной безопасности.

При выявлении каких-либо нарушений, режим коммерческой тайны считается не действительным, и привлечь нарушителей к ответственности не получится.  Для того, чтобы перенесенные лишения и проделанная работа не оказались напрасными, лучше не возлагать ее на собственных юристов и «безопасников», а пригласить специалистов, имеющих опыт и знающих особенности законодательства и практики. Взгляд со стороны позволит трезво оценить ситуацию и создать реально работающий механизм, обеспечивающий безопасность Вашей компании без ущерба ее нормальной деятельности. А опыт и знания Ваших сотрудников помогут не упустить ничего важного.


Упрощенный режим конфиденциальности

Часто бывает так, что информацию нельзя отнести к коммерческой тайне, или это не имеет смысла. Однако хочется не допустить ее выхода за пределы организации и повысить дисциплинированность сотрудников при работе с нею. В отношении такой информации можно ввести особый, менее строгий режим конфиденциальности. Его нарушение не повлечет за собой административной, уголовной или финансовой ответственности, но позволит наложить на нерадивого сотрудника дисциплинарного взыскания. Чаще всего, это является достаточным стимулом для соблюдения режима.

Упрощенный режим предполагает введение особого грифа конфиденциальности и особого порядка обработки информации, регламентирующего процесс передачи сведений третьим лицам. При этом не вводится ограничений на обработку внутри компании, не снижается оперативность и эффективность такой обработки. При этом также необходимо внедрение технических мер защиты. Они позволят предотвратить или своевременно обнаружить утеку данных, защитят информацию от кражи, потери или искажения.


Порядок ввода режима конфиденциальности

ООО ИП «АСКУ» имеет опыт защиты коммерческой тайны и иной информации ограниченного доступа в организациях различного рода деятельности: производство, торговля, финансы. Мы готовы помочь Вам:

  1. Оценить достаточность и эффективность имеющихся мер безопасности.
  2. Провести инвентаризацию и категоризацию информации. Составить перечень сведений, содержащих коммерческую тайну, и иной информации ограниченного доступа.
  3. Оценить стоимость и степень важности информации для деятельности компании.
  4. Провести моделирование угроз безопасности и определить наиболее вероятные сценарии и векторы атак.
  5. Проанализировать риски от нарушения характеристик безопасности информации.
  6. Подготовить документы, регламентирующие порядок работы с защищаемой информацией, и реализовать соответствующие организационные мероприятия.
  7. Разработать и внедрить систему защиты, препятствующую реализации угроз и нарушению безопасности информации/

Для уточнения деталей проекта и получения консультации свяжитесь с нами или воспользуйтесь формой обратной связи.