Содержание и особенности, подписанных соглашений
Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:
- научно-техническому;
- технологическому;
- финансовому;
- деловому.
Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.
Специалисты подписывают обязательства по содержанию:
- после изучения и знакомства с любыми данными не использовать их для собственных нужд;
- сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
- соответствовать в работе нормам и требованиям относительно конфиденциальности;
- когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.
Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы. Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам. Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.
Гарантии общедоступности информации
Руководителям организаций стоит помнить, что закон определяет некоторые виды информации, к которым должен быть обеспечен доступ широкой общественности. В эту категорию входят:
- законодательство и нормативы, которые содержат гарантии гражданских прав и свобод. Запрещено ограничивать сокрытие от граждан сведений об их законных правах. В открытом доступе должны храниться и сведения об обязанностях граждан;
- правовая база формирования и функционирования различных органов власти. Сведения о полномочиях силовых и прочих структур власти;
- сведения о решениях органов власти, отдельных руководителей госструктур и коллективных выборных органов самоуправления, за исключением особых случаев, предусмотренных соответствующим законодательством;
- сведения о состоянии бюджетов разных уровней, о трате бюджетных средств и об изменениях, вносимых после их утверждения. Исключение составляют данные, которые подпадают под определение «государственная (служебная) тайна»;
- фонды библиотек и архивных служб с открытой информацией, экспозиции государственных музеев;
- данные в системах информирования, которые создают органы власти для донесения своих решений до общества;
- данные проверок экологического благополучия и мониторинга состояния окружающей среды;
- прочие сведения, закрытие доступа к которым запрещено. Например, благотворительные обязаны публиковать ряд данных о своей структуре и деятельности.
Сведения об изобретениях и разработках
Изобретатели и новаторы могут использовать патентирование как способ защиты своих прав. Пока действующая модель или образец, произведенный промышленным способом, не представлены общественности, данные о сущности изобретения, его чертежи и технические расчеты являются конфиденциальными данными. Разрешается регулировать степень доступности информации об изобретениях до ее официальной публикации и получения патента. Способы организации безопасной среды для таких данных и схемы применения защитных мер для подобной информации устанавливаются внутренними регламентами конструкторских бюро.
***
Существует много видов информации с ограниченным доступом: государственная, личная, коммерческая, служебная и профессиональная. Правовой режим большинства из этих групп представлен в отечественном законодательстве. К сожалению, между некоторыми законодательными актами существуют противоречия, которые могут приводить к потере ценных данных. Устранять такие несоответствия в процессе работы, создавая внутренние инструкции и правила по работе с информацией ограниченного доступа — одна из главных задач руководителя.
01.04.2020
Как утвердить перечень
Реестр в большинстве случаев состоит из двух разделов — коммерческой тайны и информации, доступ к которой ограничен законодательно.
1. Официально утвержденного перечня конфиденциальных сведений в области коммерческой тайны не существует. Каждая организация сама устанавливает, к каким материалам следует ограничить доступ третьих лиц. Чаще всего закрывают данные о:
- планируемых сделках и контрагентах;
- маркетинговых исследованиях, анализы рыночной конъюнктуры;
- научно-технических и технологических решениях;
- производственных секретах (ноу-хау);
- механизмах ценообразования;
- хозяйственной деятельности;
- бухгалтерской отчетности.
2. Информация, доступ к которой ограничивается законом. Сюда относятся персональные данные, материалы профессионального характера, налоговая, банковская, адвокатская, нотариальная, врачебная, аудиторская и прочие виды тайн.
Чтобы понять, какое назначение имеет перечень конфиденциальных сведений предприятия, необходимо руководствоваться практическими соображениями и требованиями закона:
- Коммерческая тайна призвана повысить доходы и (или) сократить расходы, обеспечивать прибыль ее владельцу как раз вследствие сокрытия от третьих лиц — значит, ее необходимо охранять от конкурентов.
На предприятии надо составить и оформить перечень конфиденциальных сведений фирмы и ограничить их распространение. Для этого разрабатываются локальные нормативные акты и проводятся организационные мероприятия, определенные ст. 10 закона №98-ФЗ:
- определяются и систематизируются данные, требующие защиты от неправомерного использования;
- устанавливается порядок ограничения доступа, взаимодействия и надзора;
- учитываются лица или должности, получившие допуск;
- устанавливаются требования к сотрудникам и контрагентам, получившим допуск в ходе выполнения должностных обязанностей или по соглашению;
- документы, составляющие коммерческую тайну, грифуются.
Мероприятия, устанавливающие режим конфиденциальной информации, регламентируются положением, инструкцией или регламентами. Документационное оформление зависит от установленных в организации правил документооборота. Для введения в действие документа издается приказ об утверждении перечня сведений конфиденциального характера. С его содержанием надо ознакомить всех причастных к тайне сотрудников.
Кто имеет доступ
Работников, получивших доступ, знакомят с реестром и мерами, обеспечивающими режим конфиденциальности, под роспись. Лиц, допущенных к информации, относящейся к перечню конфиденциальности, определяет руководитель. Обычно это список должностей, который оформляется приложением к приказу или отдельным пунктом в инструкции или положении. Сотруднику обеспечиваются условия для сохранения тайны: специальная мебель, запирающиеся шкафы и пр. Допуск к сведениям ограниченного доступа, если он не предусмотрен трудовым договором, предоставляется с согласия служащего.
Ответственность за нарушение
Работники или контрагенты, разгласившие перечень информации, относящейся к конфиденциальной информации, несут ответственность:
- уголовную: сбор и огласка данных коммерческого, банковского или налогового характера карается по ст. 183 УК РФ штрафом, принудительными работами или ограничением свободы;
Где нужна конфиденциальность информации
Любая сфера деятельности требует сохранения в тайне определенного объема информации. Примером может послужить коммерческое предприятие. Его работники не имеют права разглашать сведения о технологии производства, организационной структуре и прочих моментах, что закрепляется в соответствующих пунктах трудового договора. Нарушение данного правила грозит штрафом или увольнением.
Наверное, все слышали такое словосочетание, как государственная тайна. Это целый ряд сведений, которые находятся под защитой властных институтов и правоохранительных органов. Речь идет о научной, военной, политической, разведывательной и прочих видах деятельности. Предавая данные факты огласке, индивид не только может нанести государству экономический ущерб, но еще и поставить под угрозу его безопасность. За подобные правонарушения предусматривается серьезная ответственность.
В медицинских и прочих заведениях подобного рода также необходимо соблюдать конфиденциальность. Персонал не имеет права разглашать информацию о клиентах. Это же касается и аудиторских фирм. В противном случае потерпевшая сторона может инициировать судебное разбирательство.
Тайна судебного и следственного производства
Недопустимость разглашения данных следствия прямо установлена статьей 161 УПК РФ. Эта статья запрещает опубликование информации, полученной следователями на этапе предварительного расследования. В исключительных случаях такие сведения могут быть раскрыты общественности с согласия прокурора либо следователя. Подобное раскрытие возможно только в объеме, который:
- существенно не повлияет на ход расследования;
- не будет негативно влиять на объективность расследования;
- не нарушает интересы лиц, участвующих в следственном производстве.
К предварительному следственному процессу может быть привлечен довольно широкий круг гражданских лиц — свидетели, понятые, эксперты в различных областях знания. Каждого из них предупреждают о запрете разглашения конфиденциальных сведений, которые стали ему известны в ходе исполнения следственных мероприятий. Если раскрытие информации состоялось по вине предупрежденного лица без санкции прокурора либо следователя, это влечет уголовную ответственность.
Как компания «Перфоманс эксперт» обвинила тимлида в удалении дистрибутивов
Компания «Перфоманс эксперт» подала иск к Ш. за нарушение условий конфиденциальности и о возмещении причинённого ущерба. Ш. с февраля 2017 года работал в компании тимлидом, имел доступ к коммерческой тайне работодателя и подписал NDA.
В феврале 2018 года Ш. уволился по собственному желанию. Через месяц после этого при переустановке стенда с ПО работодатель обнаружил, что прежний стенд удалён, а дистрибутивы ПО отсутствуют.
Начали разбираться и выяснили, что ответчик имел доступ к яндекс-диску, где хранились те самые дистрибутивы. 25 февраля 2018 года кто-то зашёл под его учётной записью и удалил их с диска и из корзины. Восстановить дистрибутивы оказалось невозможным, а компания понесла убытки в 2 287 773,76 рубля.
В результате «Перфоманс эксперт» потребовала взыскать с ответчика 500 000 рублей за нарушение условий NDA и 583 099,91 рубля за материальный ущерб, который он нанёс компании.
Истец представил суду копию заключения специалиста и протокол осмотра, подтверждающий, что кто-то заходил с электронной почты ответчика и удалил ПО.
Сумма штрафа 500 000 рублей установлена в трудовом договоре как санкция за распространение конфиденциальной информации помимо возмещения убытков.
Ответчик не признал исковые требования компании «Перфоманс эксперт» и сообщил, что не совершал действий, в которых его обвиняют. Работодатель при увольнении не предъявлял к нему претензий, а доказательства реального ущерба отсутствуют. Кроме того, работодатель не позаботился о защите конфиденциальной информации так, как этого требует закон.
На запрос суда компания Mail.ru ответила, что по условиям пользовательского соглашения владельцами почтового ящика могут быть только физические лица, но нельзя подтвердить принадлежность почтового ящика конкретному человеку.
Суд учитывал следующие обстоятельства:
- после увольнения ответчика работодатель не предпринял необходимых мер для сохранности ПО;
- регистрация почтового адреса на имя Ш. не является доказательством того, что противоправные действия совершил именно ответчик;
- на момент судебного разбирательства ПО восстановлено и обязательства истца перед контрагентами выполнены — значит, нет доказательств того, что Ш. причинил реальный ущерб компании.
В отношении штрафа в 500 000 рублей суд указал:
- истец не привёл доказательств того, что Ш. раскрыл конфиденциальную информацию компании третьим лицам;
- истец не подтвердил, что Ш. нанёс ущерб компании на определённую сумму.
Кроме того, Трудовой кодекс не предусматривает штраф за разглашение конфиденциальной информации. Значит, условие трудового договора Ш. ухудшает его положение по сравнению с действующим законодательством, а это противоречит закону.
Правила обращения с профессиональной тайной
К профессиональным тайнам можно отнести данные, которые человек получает в ходе исполнения своих трудовых, договорных либо служебных обязанностей. Условия обращения с информацией, которая содержит разные виды профессиональной тайны, определены в ряде законодательных актов. Чаще всего это законы, которые регулируют коммерческие и гражданские взаимоотношения в определенных сферах.
Так, закон «Об адвокатуре» разъясняет понятие «Адвокатская тайна». Любые данные, которые имеет адвокат в результате работы с доверителем после предоставления ему юридических услуг, являются адвокатской тайной. Адвоката нельзя допрашивать в качестве свидетеля в тех же судебных производствах, в которых он оказывал юридическую помощь.
Нотариусам и работникам нотариальных контор нельзя предавать огласке сведения или документы, к которым они получили доступ в ходе совершения нотариальных действий. Более того, нотариус находится под действием такого запрета даже если ушел из профессии и отказался от нотариальной практики. Запрет распространяется и на бывших сотрудников нотариальных контор. Справочные сведения, оригиналы и копии документов, связанных с информацией о нотариальных актах, могут получить исключительно клиенты, от имени которых были совершены такие действия.
Законодательство РФ предписывает особое обращение с данными, в которых содержится врачебная тайна. К таким данным относятся:
- факт обращения в медицинское учреждение. Это в равной степени относится к клиникам и практикам всех форм собственности;
- общие данные о состоянии здоровья человека, его биологических характеристиках и анамнезе;
- диагноз заболевания, предыдущие диагнозы и сведения о методах лечения;
- любой иной комплекс данных, который был получен в ходе диагностики и лечения.
Закон запрещает разглашение подобных данных врачами, медработниками и персоналом учреждений здравоохранения. Запрет касается также лиц, обладающих такой информацией в результате учебной, профессиональной или любой другой законной деятельности.
Закон «О почтовой связи» предусматривает ряд правил и средств защиты корреспонденции. Соблюдение этих правил способствует сохранности личной информации во время ее обработки. Закон защищает тайну корреспонденции, в том числе почтовых посылок, телеграмм и сообщений. Под действие ограничений, связанных с тайной связи, подпадают данные:
- об имени и месте проживания клиентов почтовых сервисов;
- о времени оформления почтовых посылок и адресах получателей;
- о факте получения или пересылки почтовых переводов. Не подлежат разглашению и получаемые или отправляемые суммы;
- о времени пересылки и содержании телеграмм, обрабатываемых представителем сервиса связи.
Выдачу посылки, переведенных средств, телеграмм и прочих сообщений до востребования работник отделения обязан производить только адресатам или их законным представителям. Нарушение тайны связи согласно ст. 138 УК Российской Федерации карается штрафными санкциями либо лишением свободы на срок до 5 лет.
Каналы утечек
Чтобы предотвратить утечку, нужно сначала определить модель предполагаемого нарушителя. Для этого необходимо в том числе проанализировать информационную систему с целью выявления возможных каналов передачи нарушителем данных за пределы периметра безопасности. Наиболее частыми каналами утечек являются следующие.
Электронная почта
Построение эффективной системы защиты от утечки конфиденциальной информации базируется на комплексе организационных и технических мер. Прежде всего служба информационной безопасности должна определить, что относится к конфиденциальной информации, определить критерии отнесения информации к тому или иному типу, а также владельцев такой информации.
Сервис корпоративной электронной почты на сегодняшний день является основой для построения документооборота внутри любой компании. При этом пользователи могут случайно ошибиться, нажать не ту кнопку при выборе адреса получателя, и конфиденциальная информация случайно будет отправлена на посторонний адрес. Кроме того, электронная почта предоставляет возможность передавать файлы любого формата и размера, что и позволяет использовать ее в качестве возможного канала утечки.
Интернет-доступ
Протоколы доступа к сети Интернет используются в основном для получения информации из сети, однако они также могут использоваться в различных сервисах, таких как Web-почта,Web-архив хранения данных, заметки, календари и справочники Google и многих других Web-сервисов, которыми можно пользоваться как через Web-браузер, так и на мобильном устройстве. Пользователи применяют эти сервисы для синхронизации данных между различными своими устройствами, однако в результате таких действий конфиденциальная информация может покинуть границы контролируемого периметра.
Рабочая станция/мобильные устройства/носители
Достаточно часто компании предоставляют своим сотрудникам удаленный доступ к корпоративной сети с помощью мобильных устройств, используют в рабочем процессе различные мессенджеры или же дают возможность записывать информацию на внешние носители. Кроме того, на «удаленке», как правило, работают приложения для связи со сторонними сервисами, с помощью которых конфиденциальные данные также могут «утечь» за пределы корпоративного периметра контроля, или обычный архиватор, который позволит зашифровать архив. Здесь уже блокировать сторонние сервисы и обеспечивать контроль оказывается непросто – необходим специальный агент на мобильном устройстве, который будет следить за действиями пользователей и блокировать сохранение конфиденциальных данных вовне. Целесообразно также шифровать информацию на устройстве и внешних носителях, чтобы исключить простое воровство носителя и устройства – за пределами корпоративного периметра ценная информация должна быть зашифрована.
Печать
Еще один достаточно популярный канал утечек – печать. Информация из корпоративной сети просто распечатывается и уносится с собой. При этом документы могут выводиться на печать как на локальном, так и на сетевом принтере.
Конечно, есть и другие каналы утечек, такие как побочное электромагнитное излучение, фотографирование экрана компьютера на камеру личного телефона, ксерокопирование экрана монитора, начитывание текста на диктофон или через телефон – к сожалению, любой злоумышленник может придумать новые способы организации утечек. Математически доказано, что всегда найдутся способы скрытой передачи данных через защищаемый периметр. Однако пользоваться экзотическими способами достаточно сложно и объем информации, которую таким образом можно будет получить, окажется не очень большим.
Российская политика информационной безопасности
На фоне наступления информационной эпохи общественные трансформации происходят во всем мире. Адаптация к реалиям информационной эпохи затрагивает и российское общество, однако, учитывая многочисленные исторические и политические особенности развития, она протекает крайне тяжело.
В России сохраняется мощнейшая зависимость национальной российской экономики от производства и экспорта энергоресурсов. При этом сложившаяся система управления не в состоянии обеспечить эффективное развитие производства знаний и интеллектуальных продуктов, так как это требует принципиально иных подходов. В России преобладают консервативные политические институты и, как следствие, широкие полномочия государственных органов, что распространяется и на сферу информации. Особенностью российской политики информационной безопасности является то, что в это понятие входит не только и не столько гарантия сохранности инфраструктуры, но также и соответствие содержания самой информации установленным государством стандартам.
Юрий Ламберт: США против Агентства интернет-исследований
Принятые в последние годы законодательные меры возлагают на государственные органы функции определения «вредности» информации, а также полномочия ограничить распространение этой информации, в том числе в Интернете. Закон запрещает использовать технологии обхода блокированной информации, а также требует сохранять персональные данные на территории России, чтобы они оставались в юрисдикции российских правоохранительных органов.
Проблема доступа спецслужб к конфиденциальной информации также регулируется законами т.н. «Пакета Яровой» []. Положения этого закона, вызвавшие резкую критику общественности, обязывают операторов связи хранить конфиденциальные сотовые данные российских граждан в течение полугода и без какой бы то ни было судебной процедуры предоставлять их российским спецслужбам.
Положения и в первую очередь мотивационная часть данного закона напоминают максимально жесткую редакцию закона «ПАТРИОТ». Вместе с тем «пакет Яровой» принимался в совершенно иных условиях, когда американский опыт уже доказал то, что усиление государственного контроля над конфиденциальной и частной информацией неэффективно. Во многих доктринальных документах прослеживается противопоставление интересов государства и граждан. Доктрина информационной безопасности в редакции 2016 г. сохраняет триаду интересов личности, общества и государства, принятую еще в , однако положения, касающиеся интересов личности, исчезли — сохранились только формулировки, касающиеся интересов государства.
Индивидуальное развитие и новые возможности, появившиеся благодаря информационным технологиям, воспринимаются российским руководством как угроза суверенитету и национальной безопасности. Реакцией на новые возможности становится усиление государственного контроля, ограничивающие информационную деятельность. При этом применяемые методы регулирования не учитывают особенности информационных ресурсов и специфики информационной эпохи. Безопасность информации подразумевает гарантию сохранения её определенных свойств — объективности, доступности, целостности, конфиденциальности, оперативности и пр., что требует принципиально иных подходов к политическому регулированию.
Что дает бизнесу ноу-хау?
Надеемся, что секреты вашей компании уже приносят вам доходы, иначе бы вы не заинтересовались их защитой и не начали читать этот материал. Здесь мы сосредоточимся на дополнительных выгодах, которые дает правовая защита ноу-хау.
Во-первых, снижение рисков от человеческого фактора. Если в компании никак не защищаются секреты производства, то любой работник или третье лицо, получивший доступ к вашим секретам может безнаказанно разгласить их компаниям-конкурентам, либо распространить их в отношении широкого круга лиц, и привлечь его к ответственности за такое разглашение будет невозможно. Максимум, что можете сделать вы как работодатель в данных ситуациях – лишить работника поощрительных выплат и предпринять попытку уволить его, тем самым защитив свою будущую интеллектуальную собственность. Но такие способы защиты уже не восстановят коммерческую ценность разглашенных секретов, и не позволят вам взыскать компенсацию с работникам в денежном (или ином) эквиваленте. Напротив, введение ноу-хау позволит привлекать таких недобросовестных работников и других лиц к ответственности, в том числе взыскивать с них компенсации. Риск вместе с работой и деловой репутацией потерять несколько миллионов рублей останавливает готового к проступку работника, а знание, что защищенный секрет будет сложно реализовать без последствий для покупателя, вовсе отваживает от недобросовестных поступков.
Во-вторых, имущественный актив. Ноу-хау является нематериальным активом компании, который имеет стоимость и вносится на бухгалтерский баланс как нематериальный актив и ценен уже в силу его наличия. Например, у вас есть уникальная технология или даже просто клиентская база. Оформив их надлежащим образом в качестве объектов ноу-хау, вы повышаете стоимость своей компании в соответствии со стоимостью этих объектов. Сколько стоит ноу-хау? Это зависит от его коммерческой применимости и конкурентных преимуществ, которые предоставляет ноу-хау. Оценка может производиться гибко, с учетом специфики конкретного объекта правовой охраны.
В-третьих, оптимизация налогообложения. Как имущественный нематериальный актив, поставленный на бухгалтерский баланс, ноу-хау позволяет оптимизировать налоги посредством, например, амортизации (приказ Минфина России от 27 декабря 2007 г. № 153н «Об утверждении Положения по бухгалтерскому учету «Учет нематериальных активов» ().
В-четвертых, легальный дополнительный источник доходов. Ноу-хау можно совершено легально передать иному лицу по договору отчуждения или предоставить его использование по лицензии (франшизе), тогда как незащищенные секреты реализовать указанными выше способами можно только вне правового поля с соответствующими рисками.
В-пятых, широта охвата предметов защиты. Помимо ноу-хау, интеллектуальная собственность бывает разная: товарные знаки, патенты, селекционные достижения, объекты авторского права. Однако их недостаток не только в том, что нужно разглашать их коммерческую сущность при регистрации в уполномоченных органах или организациях, но и в том, что круг сведений, охраняющихся в качестве ноу-хау, значительно шире, чем круг сведений, которые могут охраняться другими объектами интеллектуальной собственности. Если у вас есть информация, и вы не обязаны ее разгласить по закону, то вы можете обеспечить ее защиту как ноу-хау в тех пределах, представляющихся вам достаточными и необходимыми. Так можно защитить незапатентованное изобретение, клиентскую базу, технологии работы, рецепты, формулы, маркетинговые стратегии на интересующих рынках и другие виды информации.
Наконец, озвученные выгоды внедряются быстро, не требуют больших вложений и действуют бессрочно. Срок правовой охраны ноу-хау не ограничен. По сути, его правовая охрана длится до тех пор, пока составляющие его сведения не перестали быть конфиденциальными. Не существует государственной регистрации ноу-хау, поэтому введение режима коммерческой тайны, необходимый для защиты ноу-хау, можно осуществить даже за один день, в отличие, например, от изобретения и полезной модели, которые патентуются не один год и разглашают при регистрации. Введение режима коммерческой тайны в организации – это пакет документов и комплекс технических мер, не требующие больших материальных затрат.