Лаборатория информационной безопасности

Защита коммерческой тайны: правовое регулирование

Рейтинг:   / 8

ПлохоОтлично 

Подробности

Категория: Юридические вопросы ИБ

Дата публикации: 19.07.2013 11:41

Коммерческая тайна и её защита (в т.ч. правовая) – важная составляющая многих коммерческих организаций по всему миру, в её охрану многими IT-гигантами вкладываются миллионы долларов, обеспечивая тем самым защиту миллиардов! В защиту коммерческой тайны входят вопросы охраны патентов, know-how любого бизнеса, а также всё, что только может обеспечивать компании то, что в Европе стало называться культовым словом УТП (уникальное торговое предложение). Сегодня все эти вопросы начинаются с решения задачи именно правовой защиты коммерческой тайны.

Вопросы касательно того, почему в США на охрану КТ отводится денег, порой, больше, чем тратят целые подразделения ФБР в том же регионе, а также почему их коммерческая тайна – в частности, патенты – стоят эти самые мульти-миллионы – вопрос отдельной беседы / статьи, которая обязательно появится на сайте в скором времени. А в данном материале рассмотрим вопросы нормативно-правового регулирования коммерческой тайны: в частности, что же такое КТ и как происходит процедура её защиты в современных российских реалиях с учётом судебной практики, деятельности регуляторов (в контексте 98-ФЗ «О коммерческой тайне») и реальной защиты бизнеса.

Нормативно-правовая база защиты коммерческой тайны

Защита коммерческой тайны регулируется ФЗ № 98 «О коммерческой тайне», который регулирует правила установления режима КТ и методическую часть организации защиты КТ на предприятии. В регулирующие коммерческую тайну издания российской законодательной системы входит также ТКРФ, который регулирует отношения между работником и работодателем в контексте работы с КТ; а также ГКРФ (ч.4, глава 75: регулирует взаимоотношения владельца и контрагента, право на секрет производства и меру ответственности сторон). И, естественно, КоАП и УКРФ: в случаях нарушения режима КТ (как и требования любого другого федерального закона) должна быть предусмотрена хорошая полноценная ответственность. Останавливаться на конкретных особенностях в приведённых выше документах не будем (хотя это отдельная и не менее интересная тема), а ограничимся перечислением обусловленных  98-ым законом мер по защите КТ и на комментариях к ним.

Сама по себе защита КТ на коммерческом предприятии, вполне может являться (и часто является) центральным звеном в ИБ, что следует из определения информации, составляющей КТ, где сказано о том, что это информация, имеющая (внимание!) действительную коммерческую ценность в силу её неизвестности третьим лицам и разглашение которой, одновременно, может привести к убыткам предприятия. Если чётких обоснований и доказательств финансовой ценности информации, находящейся под грифом КТ, нет, то все попытки доказательства чего-либо в суде – можно смело утверждать – потерпят неудачу, потому первым и важным шагом защиты КТ должен стать полноценный анализ рисков разглашения и действительной финансовой ценности информации / возможных убытков в случае её разглашения. Приоритетной задачей защиты, говоря о КТ, понятное дело, является конфиденциальность, реализуемая в системе СЗКТ (система защиты КТ).

Правовое регулирование и порядок защиты коммерческой тайны

Посмотрим на меры по созданию системы защиты коммерческой тайны (СЗКТ). Вообще говоря, все необходимые (хотя, по моему мнению, являющиеся достаточными) меры перечислены в ст. 10 и ст. 11 федерального закона (98-ФЗ). Остаётся лишь повторить их с небольшими комментариями. Важный момент: закон регламентирует ответственность контрагентов и работников в случае нарушения режима КТ, правила соблюдения режима, указываемые в гражданско-правовом и трудовом договорах в случае несоблюдения режима КТ, НО: если обладатель информации, составляющей КТ (ИКТ) не выполнил предписанные 98-ФЗ методические меры (ст.10, ст. 11) по защите КТ, сама по себе КТ на этом предприятии сводится к нулю (т.к. будет признана недействительной в силу нарушения установления режима КТ, что будет видно ниже).

Итак, порядок действий по созданию СЗКТ:

1. Создать перечень информации, составляющей коммерческую тайну.
   Вполне логичная мера, позволяющая формализовать работу с перечнем информации, составляющей коммерческую тайну (ИКТ), и одновременно защититься от целого ряда случаев разглашения. Сотрудники, работающие с КТ, должны знать, где КТ, а где нет: что можно говорить/писать/переносить, а что нет. Кроме того, лица, не имеющие доступ к ИКТ, должны знать, где КТ, дабы потом можно было привлечь их к ответственности, если они получили незаконный доступ к такой информации (в соответствии, со ст.14, п.2 98-ФЗ привлечь можно только тех, кто умышленно получил доступ к ИКТ, а для этого с перечнем ознакомить надо всех). Плюс сотрудники, работающие с ИКТ, должны знать границу меры ответственности по сохранению КТ.
   
   Важно, что когда на предприятии создаётся какой-либо документ (что происходит на любом предприятии ежедневно), работником принимается решение об отнесении его к информации, составляющей КТ. Он определяет, в соответствии с перечнем: есть там сведения　— ставится гриф, и документ подпадает под защиту, нет　— документ становится открытым. Дабы предотвратить утечки ИКТ, надо чётко и правильно создать перечень ИКТ и правила соотнесения информации в документах. Таким образом, при невнимательно или неправильно составленном перечне возникает множество способов легального хищения информации (это будет видно ниже).
   
   Важен также сам по себе вопрос отнесения той или иной информации к ИКТ, т.к. на меры по защите уходят некоторые денежные ресурсы, а основная цель коммерческого предприятия – получение прибыли и соответственно, рентабельность любых действий. Таким образом, при создании перечня надо учитывать следующее: затраты на обеспечение защиты информации должны быть меньше предполагаемого ущерба в случае разглашения; защищаемая информация должна увеличивать экономическую эффективность деятельности предприятия (преимущество на рынке).
   
   Создание ИКТ – это самый сложный этап в СЗКТ, т.к. мера ответственности в силу очевидных, а также вышеперечисленных причин огромная. Также при составлении перечня, необходимо обращать внимание наст. 5 98-ФЗ:　«Сведения, которые не могут составлять коммерческую тайну». Кроме того, что перечень должен быть обоснован, в нём ещё надо обозначить временные рамки конфиденциальности, т.к. п. 2 ст. 1470 ГК говорит о том, что работник будет хранить молчание столько, сколько установлен режим конфиденциальности. И последнее, вся информация вперечне ИКТ должна быть результатом интеллектуальной деятельности, иначе закон её защищать не будет (на основании ст. 1225 ГК).
    
2. Установления порядка обращения с ИКТ.
   Здесь надо создавать непосредственно политику ИБ со всеми необходимыми мерами и последствиями (обследование, перечень ИКТ, лиц, имеющих доступ, инструкций, создание модели нарушителя/угроз, на основании чего: разделение потоков информации, сегментация сети, ограничение физического доступа, определения правил обращения (инструкций) и т.д.). Ну и конечно же, особое внимание – анализу рисков: стоимость СЗКТ должна быть меньше стоимости информации (ущерба при разглашении). В случае работы с КТ, думаю, будет весьма разумным принцип минимизации привилегий (не как пользователя АРМа, а именно как лица, имеющего доступ к ИКТ (сотрудника/контрагента, доступ к ИКТ которого связан только с исполнением его должностных обязанностей).
3. Ознакомление работников с установленным режимом, перечнем ИКТ, а также мерой ответственности за нарушение режима КТ.
   Всё должно быть оформлено документально: режим и условия прописаны в соответственном договоре (с работником или с контрагентом), с работника  надо взять подписку о неразглашении и ознакомить с мерой ответственности. Само собой, при работе с ИКТ надо учитывать и другие требования закона (например, если в трудовом договоре не прописаны трудовые обязательства, предполагающие доступ к ИКТ, то на предоставление такого доступа надо брать согласие работника: ст. 11, п.2 98-ФЗ).
4. Учёт допущенных лиц.
   Жёсткий контроль допущенных к работе с ИКТ явно снижает угрозу утечки и круг возможных нарушителей (в т.ч. случайно получивших доступ).
   Дополнение/изменение трудового договора в соответствии с режимом КТ.
   Многое об этом было сказано выше и показана важность следующего: трудовой договор, равно как и перечень ИКТ, – это юридическая основа, без которой привлечь кого-либо к ответственности и возместить ущерб будет невозможно. Следует дополнить: если работнику понадобились сведения ИКТ, надо внести изменения в его трудовой договор; если какие-то сведения ИКТ ему уже не нужны – аналогично; надо установить время конфиденциальности (в том числе после прекращения трудовых отношений); все обязанности работника при соблюдении режима КТ. При внесении всех этих изменений надо учитывать требования ТК РФ.
5. Нанесение грифа КТ.
   Тут дополнить нечего. Всё было сказано в п.1 (о перечне ИКТ). И это, так же, как и трудовой/иной гражданско-правовой договор и перечень ИКТ, мера, позволяющая обеспечить юридический статус КТ.

Конечно, не стоит забывать, что кроме юридической стороны существуют и другие аспекты защиты коммерческой тайны, включая даже утечку информации через телефоны, тем не менее юридические риски составляют в данной проблеме необходимый базис.

A.S.