Защита коммерческой тайны: правовое регулирование
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 11:41
Коммерческая тайна и её защита (в т.ч. правовая) – важная составляющая многих коммерческих организаций по всему миру, в её охрану многими IT-гигантами вкладываются миллионы долларов, обеспечивая тем самым защиту миллиардов! В защиту коммерческой тайны входят вопросы охраны патентов, know-how любого бизнеса, а также всё, что только может обеспечивать компании то, что в Европе стало называться культовым словом УТП (уникальное торговое предложение). Сегодня все эти вопросы начинаются с решения задачи именно правовой защиты коммерческой тайны.
Вопросы касательно того, почему в США на охрану КТ отводится денег, порой, больше, чем тратят целые подразделения ФБР в том же регионе, а также почему их коммерческая тайна – в частности, патенты – стоят эти самые мульти-миллионы – вопрос отдельной беседы / статьи, которая обязательно появится на сайте в скором времени. А в данном материале рассмотрим вопросы нормативно-правового регулирования коммерческой тайны: в частности, что же такое КТ и как происходит процедура её защиты в современных российских реалиях с учётом судебной практики, деятельности регуляторов (в контексте 98-ФЗ «О коммерческой тайне») и реальной защиты бизнеса.
Нормативно-правовая база защиты коммерческой тайны
Защита коммерческой тайны регулируется ФЗ № 98 «О коммерческой тайне», который регулирует правила установления режима КТ и методическую часть организации защиты КТ на предприятии. В регулирующие коммерческую тайну издания российской законодательной системы входит также ТКРФ, который регулирует отношения между работником и работодателем в контексте работы с КТ; а также ГКРФ (ч.4, глава 75: регулирует взаимоотношения владельца и контрагента, право на секрет производства и меру ответственности сторон). И, естественно, КоАП и УКРФ: в случаях нарушения режима КТ (как и требования любого другого федерального закона) должна быть предусмотрена хорошая полноценная ответственность. Останавливаться на конкретных особенностях в приведённых выше документах не будем (хотя это отдельная и не менее интересная тема), а ограничимся перечислением обусловленных 98-ым законом мер по защите КТ и на комментариях к ним.
Сама по себе защита КТ на коммерческом предприятии, вполне может являться (и часто является) центральным звеном в ИБ, что следует из определения информации, составляющей КТ, где сказано о том, что это информация, имеющая (внимание!) действительную коммерческую ценность в силу её неизвестности третьим лицам и разглашение которой, одновременно, может привести к убыткам предприятия. Если чётких обоснований и доказательств финансовой ценности информации, находящейся под грифом КТ, нет, то все попытки доказательства чего-либо в суде – можно смело утверждать – потерпят неудачу, потому первым и важным шагом защиты КТ должен стать полноценный анализ рисков разглашения и действительной финансовой ценности информации / возможных убытков в случае её разглашения. Приоритетной задачей защиты, говоря о КТ, понятное дело, является конфиденциальность, реализуемая в системе СЗКТ (система защиты КТ).
Правовое регулирование и порядок защиты коммерческой тайны
Посмотрим на меры по созданию системы защиты коммерческой тайны (СЗКТ). Вообще говоря, все необходимые (хотя, по моему мнению, являющиеся достаточными) меры перечислены в ст. 10 и ст. 11 федерального закона (98-ФЗ). Остаётся лишь повторить их с небольшими комментариями. Важный момент: закон регламентирует ответственность контрагентов и работников в случае нарушения режима КТ, правила соблюдения режима, указываемые в гражданско-правовом и трудовом договорах в случае несоблюдения режима КТ, НО: если обладатель информации, составляющей КТ (ИКТ) не выполнил предписанные 98-ФЗ методические меры (ст.10, ст. 11) по защите КТ, сама по себе КТ на этом предприятии сводится к нулю (т.к. будет признана недействительной в силу нарушения установления режима КТ, что будет видно ниже).
Итак, порядок действий по созданию СЗКТ:
- Создать перечень информации, составляющей коммерческую тайну.
Вполне логичная мера, позволяющая формализовать работу с перечнем информации, составляющей коммерческую тайну (ИКТ), и одновременно защититься от целого ряда случаев разглашения. Сотрудники, работающие с КТ, должны знать, где КТ, а где нет: что можно говорить/писать/переносить, а что нет. Кроме того, лица, не имеющие доступ к ИКТ, должны знать, где КТ, дабы потом можно было привлечь их к ответственности, если они получили незаконный доступ к такой информации (в соответствии, со ст.14, п.2 98-ФЗ привлечь можно только тех, кто умышленно получил доступ к ИКТ, а для этого с перечнем ознакомить надо всех). Плюс сотрудники, работающие с ИКТ, должны знать границу меры ответственности по сохранению КТ.
Важно, что когда на предприятии создаётся какой-либо документ (что происходит на любом предприятии ежедневно), работником принимается решение об отнесении его к информации, составляющей КТ. Он определяет, в соответствии с перечнем: есть там сведения — ставится гриф, и документ подпадает под защиту, нет — документ становится открытым. Дабы предотвратить утечки ИКТ, надо чётко и правильно создать перечень ИКТ и правила соотнесения информации в документах. Таким образом, при невнимательно или неправильно составленном перечне возникает множество способов легального хищения информации (это будет видно ниже).
Важен также сам по себе вопрос отнесения той или иной информации к ИКТ, т.к. на меры по защите уходят некоторые денежные ресурсы, а основная цель коммерческого предприятия – получение прибыли и соответственно, рентабельность любых действий. Таким образом, при создании перечня надо учитывать следующее: затраты на обеспечение защиты информации должны быть меньше предполагаемого ущерба в случае разглашения; защищаемая информация должна увеличивать экономическую эффективность деятельности предприятия (преимущество на рынке).
Создание ИКТ – это самый сложный этап в СЗКТ, т.к. мера ответственности в силу очевидных, а также вышеперечисленных причин огромная. Также при составлении перечня, необходимо обращать внимание наст. 5 98-ФЗ: «Сведения, которые не могут составлять коммерческую тайну». Кроме того, что перечень должен быть обоснован, в нём ещё надо обозначить временные рамки конфиденциальности, т.к. п. 2 ст. 1470 ГК говорит о том, что работник будет хранить молчание столько, сколько установлен режим конфиденциальности. И последнее, вся информация вперечне ИКТ должна быть результатом интеллектуальной деятельности, иначе закон её защищать не будет (на основании ст. 1225 ГК).
- Установления порядка обращения с ИКТ.
Здесь надо создавать непосредственно политику ИБ со всеми необходимыми мерами и последствиями (обследование, перечень ИКТ, лиц, имеющих доступ, инструкций, создание модели нарушителя/угроз, на основании чего: разделение потоков информации, сегментация сети, ограничение физического доступа, определения правил обращения (инструкций) и т.д.). Ну и конечно же, особое внимание – анализу рисков: стоимость СЗКТ должна быть меньше стоимости информации (ущерба при разглашении). В случае работы с КТ, думаю, будет весьма разумным принцип минимизации привилегий (не как пользователя АРМа, а именно как лица, имеющего доступ к ИКТ (сотрудника/контрагента, доступ к ИКТ которого связан только с исполнением его должностных обязанностей). - Ознакомление работников с установленным режимом, перечнем ИКТ, а также мерой ответственности за нарушение режима КТ.
Всё должно быть оформлено документально: режим и условия прописаны в соответственном договоре (с работником или с контрагентом), с работника надо взять подписку о неразглашении и ознакомить с мерой ответственности. Само собой, при работе с ИКТ надо учитывать и другие требования закона (например, если в трудовом договоре не прописаны трудовые обязательства, предполагающие доступ к ИКТ, то на предоставление такого доступа надо брать согласие работника: ст. 11, п.2 98-ФЗ). - Учёт допущенных лиц.
Жёсткий контроль допущенных к работе с ИКТ явно снижает угрозу утечки и круг возможных нарушителей (в т.ч. случайно получивших доступ).
Дополнение/изменение трудового договора в соответствии с режимом КТ.
Многое об этом было сказано выше и показана важность следующего: трудовой договор, равно как и перечень ИКТ, – это юридическая основа, без которой привлечь кого-либо к ответственности и возместить ущерб будет невозможно. Следует дополнить: если работнику понадобились сведения ИКТ, надо внести изменения в его трудовой договор; если какие-то сведения ИКТ ему уже не нужны – аналогично; надо установить время конфиденциальности (в том числе после прекращения трудовых отношений); все обязанности работника при соблюдении режима КТ. При внесении всех этих изменений надо учитывать требования ТК РФ. - Нанесение грифа КТ.
Тут дополнить нечего. Всё было сказано в п.1 (о перечне ИКТ). И это, так же, как и трудовой/иной гражданско-правовой договор и перечень ИКТ, мера, позволяющая обеспечить юридический статус КТ.
Конечно, не стоит забывать, что кроме юридической стороны существуют и другие аспекты защиты коммерческой тайны, включая даже утечку информации через телефоны, тем не менее юридические риски составляют в данной проблеме необходимый базис.
A.S.