В данной статье мы Вам расскажем основной порядок организации мероприятий по защите информации, составляющую коммерческую тайну (далее – ИКТ) в средней российской компании.
Выясним вопросы, зачем нужно вводить режим КТ, разберем типичные ошибки, которые возникают при его внедрении, раскроем и другие нюансы реализации требований законодательства РФ в данной области.
Коммерческая тайна регулируется Федеральным законом "О коммерческой тайне" от 29.07.2004 № 98-ФЗ (далее – ФЗ-98).
Коммерческая тайна – !РЕЖИМ! конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить лидирующее положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Обладатель информации, составляющей коммерческую тайну - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
Разглашение информации, составляющей коммерческую тайну - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
Всеми основными процессами в бизнесе движет прибыль и в его основе всегда лежит извлечение и распределение этой прибыли.
А прибыль можно получить в том числе, за счет конкурентного преимущества. Это может быть монополия на какие-то технологии, секреты изготовления продукта, может быть лучшая в сравнении с конкурентами техническая поддержка, какие-то особые сервисы, наработанная БД клиентов и т.д.
Преимуществом может быть что угодно, но без него (этого «него» - преимущества) успешная конкуренция и, соответственно, извлечение прибыли, невозможна.
Одно из конкурентных преимуществ, которые отличают одну организацию от другой – это знания.
Благодаря тому, что компания X имеет набор знаний и методы их использования отличные от компании Z, потребители отличают эти две компании друг от друга. Благодаря тому, что одна из этих компаний имеет больший объем полезных для бизнеса знаний, она может больше продавать и получает конкурентное преимущество. Соответственно, именно эта компания получит больше прибыли.
Согласно ст. 10 ФЗ-93 «О коммерческой тайне»:
Режим коммерческой тайны считается установленным после принятия обладателем информации следующих мер:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на
основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Кажется просто, но как показывает практика, необходимы дополнительные мероприятия… Как? Будет рассказано ниже.
1. Определить перечень информации, которая составляет коммерческую тайну;
2. Установить порядок обращения с такой информацией и контроля за соблюдением этого порядка;
3. Разработать систему учета лиц, которым был предоставлен доступ к такого рода сведениям;
4. Установить правила договорных отношений по ИКТ;
5. Использование грифа «Коммерческая тайна».
1. Приказ о вводе режима КТ - необходим для легитимации установленного режима КТ.
2. Перечень сведений, составляющих коммерческую тайну - при составлении данного ВНД необходимо чтобы в него не были включены сведения, которые не могут являться ИКТ по закону, а также указаны сроки действия режима КТ для избегания разночтений, чтобы самим его не нарушать.
3. Положение о коммерческой тайне - определяет требования по отнесению информации к информации, составляющей коммерческую тайну, и порядок ее защиты.
4. Перечень должностей, имеющих доступ к ИКТ.
5. Инструкция о работе с информацией, составляющей Коммерческую тайну - определяет порядок работы пользователей с ИКТ в т.ч. с аппаратным, программным обеспечением и информационными ресурсами, для обеспечения безопасности ИКТ, обрабатываемой в корпоративной информационной системе.
6. Положение о постоянно действующей экспертной комиссии по защите информации - Определяет задачи, функции и права постоянно действующей экспертной комиссии регулирующий вопросы защиты информации конфиденциального характера, полномочия ее членов, а также регламентирует иные вопросы деятельности в т.ч. регламентирует полномочия комиссии по определению стоимости ущерба после факта разглашения ИКТ третьими лицами.
7. Нанесение грифа «Коммерческая тайна» с указанием наименования организации и ее юридического адреса на материальные носители ИТК как внутри Компании так и при ее передачи.
8. Работники, имеющие доступ к ИКТ, должны быть ознакомлены под расписку с перечнем ИКТ, обладателями которой являются работодатель.
9. Работники должны быть ознакомлены под расписку с установленным режимом коммерческой тайны и с мерами ответственности за его нарушение.
10. Трудовой договор с работником (приложение или отдельный NDA), ДИ работника должны содержать обязательства выполнять установленный режим КТ и правил ИБ.
11. В компании должны иметься типовые формы документов (соглашения о конфиденциальности NDA и пр.).
12. Производится учет лиц, получивших доступ к информации, составляющей коммерческую тайну.
13. Работники и иные лица, получающие доступ к информационным ресурсам (системам), ознакомлены под расписку с методами и способами контроля использования ими информационных ресурсов (систем), средств хранения, обработки и передачи информации, и дают письменное согласие на проведение контрольных мероприятий.
Аксенов Дмитрий
d_aksenov@sotex.ru
Если вам нужна помощь специалистов в этой или смежной области, то обращайтесь в нашу компанию Revision.
Комментариев пока нет