Защита коммерческой тайны эффективный бизнес без утечек

Как защитить коммерческую тайну в условиях дистанционной работы

В связи с распространением инфекции COVID-19 все больше работников переходят на дистанционную работу. Наряду с плюсами удаленка имеет и существенный недостаток: в условиях такой работы повышается риск разглашения коммерческой тайны и утечки информации.

При работе в офисе наниматель может достаточно жестко контролировать безопасность циркуляции данных в своей информационной системе. Однако даже это порой не спасает.

Так, по данным специалистов, в 2019 году на 48% выросло число утечек коммерческой информации, производственных секретов и ноу-хау. Из них только 15% стало результатом случайности. Остальные же были совершены умышленно. Причем в 56% виновниками становятся сотрудники компании, относящихся как к рядовому персоналу, так и к среднему и даже высшему управленческому звену.

В условиях же удаленной работы обеспечивать безопасность данных становится вдвойне сложнее. Разберемся, какие меры необходимо предпринять нанимателю, чтобы минимизировать риск утечки данных при переводе сотрудников на такой режим работы.

1. Проверьте, правильно ли введен режим коммерческой тайны

Довольно часто компании относятся к установлению режима коммерческой тайны поверхностно, разрабатывают пакет документов и на этом останавливаются, не проводят на практике изложенные на бумаге меры. Документы должны содержать инструменты, которые компания реально использует.

Информация может являться коммерческой тайной, если соблюдается два условия:

1. сведения соответствуют требованиям Закона от 05.01.2013 № 16-З «О коммерческой тайне»;
2. в отношении сведений правильно установлен режим коммерческой тайны.

Для того чтобы ввести режим коммерческой тайны, наниматель должен разработать и внедрить следующий минимальный набор документов: положение о коммерческой тайне, перечень информации, составляющей коммерческую тайну. Работников необходимо ознакомить с данными документами под роспись. Также нужно включить в контракты и должностные инструкции работников обязанности по соблюдению коммерческой тайны.

Режим коммерческой тайны включает в себя не только правовые меры, но еще организационные (определение ответственных лиц, организация учета лиц, получивших доступ к коммерческой тайне, и т.д.) и технические (установление системы паролей на компьютеры, использование программ для шифрования доступа к сведениям, использование отдельных компьютеров для работы с конфиденциальной информацией и т.д.).

Судебная практика идет по такому пути, что если работник был уволен за разглашение коммерческой тайны, но при этом у нанимателя состав сведений, подлежащих охране в режиме коммерческой тайны, не определен либо работнику не созданы необходимые условия для соблюдения установленного режима коммерческой тайны, то работник подлежит восстановлению на работе. Поэтому важно ввести режим коммерческой тайны правильно.

2. Заключите с работниками NDA (если вы еще это не сделали)

Если работник разгласил коммерческую тайну, его можно привлечь как к дисциплинарной, материальной, административной, уголовной, так и гражданско-правовой ответственности. Для того чтобы взыскать с работника заранее определенный штраф, важно заключить с ним обязательство о неразглашении коммерческой тайны (NDA). Данное обязательство является гражданско-правовым договором и заключается с работником дополнительно к трудовому договору.

3. Адаптируйте режим коммерческой тайны под дистанционную работу

Если режим коммерческой тайны не предусматривает меры по удаленной защите данных компании, то необходимо эти меры ввести.

Так, рекомендуется выдать работникам для удаленной работы служебные ноутбуки или компьютеры и установить, что использовать данные средства работник может исключительно для выполнения своих трудовых обязанностей.

Также рекомендуется ограничить на таких компьютерах права доступа к различным информационным ресурсам, не используемым работником в служебных целях; установить на них антивирусы и прочие подобные системы, предназначенные для защиты от взлома, при пересылке электронных документов и писем, которые содержат конфиденциальную информацию, включить предупредительную запись об этом; сделать невозможным копирование информации с рабочего компьютера на другие носители; разработать систему паролей для доступа к определенным программам компании и т.д.

4. Внедрите DLP-систему

Эффективным механизмом по предотвращению утечки данных компании является внедрение DLP-системы – программы, которая устанавливается на рабочие устройства работника (компьютер, телефон, планшет и др.) и фиксирует все его действия (копирование/передачу/удаление информации через интернет или на другие устройства, движения в социальных сетях, звонки). Собранные системой данные передаются на специальный аналитический сервер, который проводит анализ полученной информации и в случае обнаружения нарушений уведомляет об этом нанимателя.

При этом на рабочих устройствах работника может содержаться информация и личного характера, в связи с чем существует риск нарушения конституционных прав работников на частную жизнь, тайну переписки и проч. Поэтому важно ответственно подойти к вопросу внедрения DLP-системы и принять комплекс организационно-правовых мер. В частности, подготовить локальный правовой акт, в котором описать порядок работы DLP-системы; установить запрет на использование сотрудниками рабочих устройств не в служебных целях; уведомить работников под роспись о том, что в компании используются DLP-системы; взять у каждого работ ника письменное согласие на доступ и ознакомление нанимателя с его личными данными и сообщениями.

Следует помнить, что любой контроль за действиями работников должен быть обоснован, в т.ч. использование DLP-системы.

5. Предоставляйте доступ к коммерческой тайне по мере необходимости

Доступ к коммерческой тайне должен предоставляться только тем работникам, которым он нужен для исполнения своих трудовых обязанностей, и только на время работы с конфиденциальными сведениями. Если необходимость в использовании сведений отпала, то доступ нужно прекратить.

Например, система 1С может содержать огромные объемы данных о компании, ее финансово-экономическом состоянии, клиентах, контрагентах и проч.

Соответственно необходимо провести ревизию сотрудников, которые имеют доступ к данной системе, а также их прав доступа.

Правильно установленный режим коммерческой тайны и внедрение эффективных мер позволит компании снизить риски утечки информации и ее неправомерного использования работниками при работе в удаленном режиме.

Автор публикации: Алеся Нестерович, старший юрист юридической фирмы BusinessAdvisers Law&Tax Firm, Станислав Мачихин, советник юридической фирмы BusinessAdvisers Law&Tax Firm

Статья доступна для бесплатного просмотра до: 01.01.2028

Другие статьи автора

Оценка стоимости коммерческого секрета, как и любого другого нематериального актива, – настолько нетривиальная задача, что вернее было бы говорить не об оценке и уж тем более не о расчете, а скорее, о снижении степени неопределенности в отношении предмета наблюдения, выраженном какой-либо цифрой. Существует масса способов такой оценки – от проприетарных, предлагаемых, например Forrester, до российских федеральных и международных стандартов (IAS 38), эта тема заслуживает отдельной статьи или даже их цикла, и здесь мы не будем подробно останавливаться на ней. Однако точным может быть признан только тот анализ стоимости коммерческого секрета, который появился после его оценки рынком, в том числе в случае его кражи.

Так, ущерб от передачи информации, содержащей коммерческую тайну ОАО «Фосагро», партнерам из московского представительства Transammonia AG составил около $2 млн. Другой пример: один из сотрудников JP Morgan сообщил японскому хедж-фонду о выпуске акций Nippon Sheet Glass до официального объявления этой информации. В результате убытки составили $2 млрд. А ущерб Kia Motors, возникший в результате «слива» китайским конкурентам 57 различных технологий процесса сборки автомобилей Kia, сама компания оценила в фантастические $22,3 млрд!

Статистика, представленная в отчетах, свидетельствует о том, что доля утечек коммерчески ценной информации в общей структуре утечек неуклонно растет. Так, их число в 2013 году втрое превысило показатели 2012 года, причем в большинстве случаев были виноваты работники компании, половина из которых действовала умышленно. Чем же может воспользоваться организация для защиты своих данных?

Читайте также:

Классная работа

“Ъ” и Microsoft разобрались, что делать бизнесу, чтобы минимизировать риски: зачем и как классифицировать данные, какие средства использовать для защиты и почему в процесс должен быть вовлечен не только IT-отдел, но и весь топ-менеджмент.

«С точки зрения кибербезопасности все больше компаний переходят на сервисную модель»

Интервью с заместителем технического директора по развитию бизнеса группы компаний Angara Русланом Косаримом

DLP-системы обеспечивают отслеживание и пресечение следующих действий с защищаемыми документами:

• Копирование как целиком документов, так и фрагментов содержащейся в них информации
• Изменение документов, их атрибутов, содержащейся информации
• Пересохранение копий документов
• Попытки сделать скриншот документа
• Отправка документов или информации корпоративную электронную почту
• Отправка документов или информации через веб-сервисы электронной почты
• Передача документов или информации через веб-мессенджеры и социальные сети
• Публикация документов или информации через веб-интерфейсы
• Печать документов на принтере
• Доступ к документам через ftp-соединения
• Копирование документов на любые внешние накопители – диски, флеш-накопители, на мобильные устройства
• Передача документов через сетевые соединения, включая беспроводные Bluetooth и Wi-Fi
• Передача документов в облачные хранилища

В рамках функциональных возможностей такие внедрения имеют ряд преимуществ перед иными средствами и методами защиты информации – шифрованием, системами разграничения доступа и пр., а именно:

• Осуществление контроля всех возможных каналов и способов передачи информации в электронном виде
• Контроль содержимого, а не документов, используя контентный анализ, анализ по словарям, лингвистический анализ, анализ транслитерации и многоязыковой анализ, выявление замаскированного текста и т.п. Это позволяет обнаружить информацию вне зависимости от видов и форматов ее хранения, передачи и способов сокрытия.
• Автоматическое реагирование и пресечение обнаруженной утечки – интерактивное блокирование канала утечки (копирования, передачи, распечатки и т.п.), а не просто детектирование действий.

DLP система может быть развернута в ИТ-инфраструктуре любого масштаба и сложности, она легко масштабируется без ущерба функциональным возможностям, работает в автономном режиме. Внедрение решения позволит:

1. Полностью контролировать использование конфиденциальной информации на всех этапах ее жизненного цикла, включая места хранения, применение, соблюдение принятый политик работы с ней.
2. Обеспечить надежную защиту от распространения конфиденциальной информации за пределы организации, немедленно пресекать соответствующие инциденты.
3. Повысить эффективность и безопасность использования конфиденциальной информации на основе аудита и собираемой статистики.
4. Повысить общий уровень информационной безопасности компании, выполнить требования регулирующей нормативной документации.

«АСТ» внедряет решения для защиты от утечек конфиденциальной информации целого ряда производителей в зависимости от функциональных потребностей и масштаба организации: InfoWatch, SolarDozor, McAfee, WebSense.

Информационная безопасность коммерческих организаций

Примеры использования продуктов Safe`n`Sec для информационной защиты коммерческих предприятий. Решения для информационной безопасности бизнеса. Проактивная защита от взлома, вредоносных кодов, инсайдерских угроз. Контроль и мониторинг персонала. Решения для защиты комплексов АСУТП и специализированного ПО. Централизованное управление политиками безопасности.

Защита корпоративных объектов АСУ ТП.

Безопасность автоматизированных систем управления технологическими процессами (АСУ ТП) является важнейшей задачей обеспечения исправного функционирования современного производства. Среди рисков в сфере защиты критически важных объектов информационной инфраструктуры выделяют группы социально – экономических рисков и рисков, связанных с технологическими каналами.

Верхний уровень систем АСУ ТП, HMI, с которого происходит управление всем комплексом, является самым уязвимым компонентом АСУ ТП.

Специально для его защиты компания Safe`n`Sec разработала решения, позволяющие сохранить целостности программного обеспечения верхнеуровневых объектов АСУ ТП в заведомо исправном состоянии. Решения Safe`n`Sec обеспечивают защиту от всех основных угроз безопасности HMI, и могут бесперебойно работать во всех сетях устройств под управлением операционных систем Windows версий XP, 7 и других, при этом не нуждаясь в постоянном подключении к сети Интернет.

Продукты Safe`n`Sec позволяют осуществлять бесперебойный динамический контроль целостности системы объекта, и при обнаружении неизвестных или потенциально уязвимых приложений запускают их в безопасной изолированной среде — «песочнице». Таким образом на объекте контролируется доступ различных приложений к файловой системе, ключам реестра, внешним устройствам и сетевым ресурсам.

Использование программных решений Safe`n`Sec в защите компонентов АСУ ТП позволяет существенно снизить риск выхода из строя верхнеуровневых объектов, являющихся одним из важнейших элементов системы.

Защита данных в коммерческих организациях от утечки.

Защита информационных ресурсов (данных) компании от утечек – важнейшая задача мероприятий по информационной безопасности. При любом виде деятельности у каждой компании есть определённый набор сведений, которые являются основой существования фирмы. Эти сведения и обслуживающий их документооборот являются коммерческой тайной компании, и, разумеется, требуют защиты от утечек и разглашения. Угрозы утечки данных разделяют на два направления: внешние (вредоносное ПО, хакерские атаки и т.д.) и внутренние угрозы (инсайдеры). Эффективная защита информации от утечек требует комплексного подхода. Для успешного построения системы информационной безопасности требуется анализ и аудит информационной безопасности предприятия.

Программно-аппаратные комплексы, призванные бороться с утечкой данных, получили общее наименование «системы DLP» (от англ. Data Leakage Prevention – предотвращение утечки данных). Такие средства защиты информации от утечки обычно представляют собой сложнейшие системы, осуществляющие контроль и мониторинг за изменениями документов и движением секретной информации. К сожалению, такие системы всё же не способны дать гарантию от утечки информации, а их установка и внедрение связаны с огромными тратами компании-клиента. Ценность информации и реальные риски её утечки далеко не всегда соответствуют столь серьёзным финансовым затратам.

Safe`n`Sec предлагает сбалансированную защиту от утечки данных, разработанную специально для среднего и малого бизнеса. Мы строим защиту, которая не нарушает текущие алгоритмы документооборота в компании, но в то же время сохраняет информацию от неавторизованного доступа, копирования или изменения. Не пустить лишних людей к важным данным, защитить информацию от взлома и заражения извне, исключить оплошности при работе с информацией, дать возможность полного контроля и мониторинга действий сотрудников – по этим принципам созданы наши продукты для информационной безопасности бизнеса SysWatch Enterprise Suite и DLP Guard. В них реализован весь необходимый функционал по предотвращению утечек информации, а небольшая стоимость и простота внедрения делают продукты Safe`n`Sec идеальным выбором для компаний, которые стремятся сделать свой бизнес эффективным и безопасным.

Защита web-серверов и корпоративных сайтов.

Веб-сайты уже давно стали неотъемлемой частью любого участника рынка – от частного бизнеса до государственных корпораций. Веб-сайт не только «лицо» компании, её визитная карточка, но и главный информационный ресурс организации, предоставляющий доступ к большому количеству как открытых, так и закрытых документов. Веб-сайт и веб-сервер, на котором он расположен, являются частью информационной системы компании и, как правило, непосредственно включены в корпоративную сеть. Неудивительно, что сайт и веб-сервер привлекают злоумышленников и кибер-мошенников – плохо защищённые, эти элементы информационной системы компании зачастую дают преступникам полный доступ ко всем элементам корпоративной сети: файловым и почтовым серверам, рабочим станциям сотрудников, конфиденциальной информации и важным документам.

Существует множество методов несанкционированного использования веб-сайтов и проникновения в информационную сеть предприятия. Значительная часть самых опасных способов взлома сайтов основана на эксплуатации уязвимостей операционных систем и ПО web-сервера. В связи с частыми изменениями программно-аппаратной части веб-серверов, отследить и предусмотреть «заплатку» на каждую уязвимость просто невозможно. Система защиты web-сервера должна противодействовать последствиям эксплуатации таких уязвимостей. Атаки с использованием вредоносного ПО, попытки внедрения элементов кода («инъекции») и модификации файлов или реестра, атаки на установленное на сервере программное обеспечение и ОС не должны приводить к желаемому злоумышленником изменению работы веб-сайта или сервера предприятия.

Вопрос безопасности веб-серверов и веб-сайтов актуален для всех сфер современного бизнеса:

• Защита веб-серверов и корпоративных сайтов производственных, торговых, сервисных компаний;
• Защита веб-серверов юридических, консалтинговых, аудиторских фирм;
• Безопасность коммерческих и некоммерческих интернет-проектов;
• Защита интернет-магазинов и аукционов;
• Защита электронных баз данных, библиотек

и т.д.

Защита ноутбуков и нетбуков корпоративной сети, защита ПК во время работы в удалённых точках и в условиях плохой связи.

В наше время, когда количество используемых организациями портативных компьютеров — ноутбуков и нетбуков, растет в геометрической прогрессии, актуальной становиться проблема их защиты от различных информационных угроз, в том числе от вредоносного ПО и от утечек информации.

Учитывая, что сложно регулярно обновлять антивирусное обеспечение и контролировать действия сотрудников с имеющейся на мобильном ПК информацией в командировках и в отдаленных точках, работа любого сотрудника компании в отдалённом режиме должна по умолчанию предполагать надежную и безопасную работу самого переносного мобильного устройства, то есть ноутбука или нетбука.

Существуют основные информационные риски для мобильных устройств:

• порча, потеря или утечка информации вследствие таких причин, как действия вредоносного программного обеспечения, сбои в работе ПО или аппаратного обеспечения, халатность пользователя и т.д.;
• риск утраты информации, характерный для всех мобильных носителей. Ноутбуки и нетбуки, как правило, используются в гораздо более неблагоприятных условиях, чем стационарные компьютеры, а потому гораздо чаще выходят из строя.

Сегодня компания Safe`n`Sec предлагает сбалансированную защиту от утечки данных на мобильном ПК и во время работы в полевых условиях, в отдалённых точках, при отсутствии Интернета и Интранета (локальная/внутрикорпоративная сеть).

Ниже обозначим ситуации, когда работа ПО Safe`n`Sec будет необходима для обеспечения информационной безопасности мобильного ПК.

1. Отсутствие связи или низкоскоростная связь с корпоративной сетью.
2. В филиалах, где отсутствуют, часто меняются или имеют слабую квалификацию системные администраторы.
3. В изолированных от интернета сетях, для снижения затрат на администрирование антивирусных и других защитных средств.

В качестве дополнительного средства повышения защиты от вирусов и других деструктивных воздействий на рабочих местах, совместно с другими штатными антивирусными средствами, путем дополнения существующих систем средствами проактивной защиты с помощью контроля несанкционированной и нестандартной активности приложений.

Защита коммерческого документооборота и электронной переписки в крупных компаниях.

В крупных коммерческих организациях уровня стратегических и системообразующих предприятий циркулирует настолько большой объём документооборота, что его невозможно контролировать. Сотни и тысячи сотрудников ежедневно отправляют десятки писем с вложенными файлами, скачивают и закачивают аналитику, коммерческую информацию, базы данных, отчетность. Стоит ли говорить, что львиная доля этой информации имеет коммерческую ценность, авторские права, содержит конфиденциальные финансовые данные, маркетинговые наработки? Конечно!

Вся эта документация циркулирует и видоизменяется в двух плоскостях. Первая – внутренний периметр безопасности организации. Здесь локальная политика безопасности компании еще хоть как-то позволяет отслеживать движение, например, за счет технологии «электронной подписи», отслеживания корпоративной почтовой переписки службой безопасности и т.п. Но, если сотрудников много, то отслеживать их действия силами службы безопасности физически невозможно. Приходится действовать выборочно.

И уж тем более невозможно без специальных компонентов отследить, кто и что скачал со своего компьютера и закачал на него, кто прочитал, переслал, распечатал тот или иной документ, кто, что и кому переслал через личный почтовый ящик или с помощью файлообменников. Плоскость номер два – это выход информации за периметр информационной безопасности организации. Она и несет в себе наибольшую опасность. С помощью несанкционированного скачивания, передачи, распространения конфиденциальной информации компания может понести невосполнимые потери, связанные с финансовым и репутационным аспектами своей деятельности. Отсюда могут проистекать и успехи конкурентов, и проблемы с законом, и неудачи в тендерах и конкурсах.

Сегодня компания Safe`n`Sec предлагает крупным компаниям и корпорациям реальное средство для защиты конфиденциальной, ценной, финансовой, коммерческой и маркетинговой информации от утечки, взлома и неконтролируемого распространения, в том числе защиту исходящей переписки по электронной почте, включая приложенные файлы. Продукты Safe`n`Sec E-Mail и Safe`n`Sec Content – это комплекс решений, призванный помочь крупным компаниям справиться со всеми описанными выше проблемами.

Обеспечение информационной безопасности в современном медицинском учреждении.

Сегодня ИТ-инфраструктура медучреждения представляет собой разветвленную сеть, содержащую, как правило, три основных составляющих. Во-первых, это рабочие места сотрудников учреждения — компьютеры врачей, секретарей на рецепции и так далее. Во-вторых, это медицинские информационные системы (МИС) — комплексные автоматизированные информационные системы, в которых объединены электронные медицинские записи о пациентах, данные медицинских исследований в цифровой форме, данные мониторинга состояния пациента с медицинских приборов, средства общения между сотрудниками, финансовая и административная информация. В-третьих, это «тяжёлое» медицинское оборудование, например, томографы, которое представляет собой некий медицинский прибор или набор приборов, совмещённый с компьютером, на котором установлено специализированное ПО, и другими устройствами для передачи информации, например, принтером.

Защищать инфраструктуру, состоящую из таких устройств, нужно от следующего диапазона угроз: от эпидемиологических заражений, от таргетированных атак, от взломов и от действий собственных сотрудников. Вредоносные действия сотрудников, в свою очередь, делятся на две категории — это использование компьютеров малограмотными с точки зрения применения информационных технологий людьми, причиняющими вред системе по неосторожности, и злонамеренные действия инсайдеров от кражи или модификации отдельных данных до полного уничтожения системы.

Современная информационная система медучреждения не защищена от действий любого сотрудника, обладающего минимальной технической грамотностью в обращении с компьютерами. А более продвинутые системы, предусматривающие минимальные уровни защиты от собственных сотрудников, абсолютно уязвимы перед администраторами ИТ-инфраструктуры учреждения.

Сегодня Safe`n`Sec предлагает медицинским учреждениям установить инновационное решение Safe`n`Sec Enterprise Suite для защиты специализированного программного обеспечения, установленного как на обычном, так и на дорогостоящем оборудовании. Safe`n`Sec Enterprise Suite представляет собой комплексную «купольную» систему защиты рабочих станций. Решение работает, основываясь на блокировке как внешних, так и внутренних угроз информационной безопасности медицинского учреждения. Осуществляя контроль, мониторинг и логирование активности пользователей, Safe`n`Sec Enterprise Suite обеспечивает эффективную защиту информации от несанкционированного доступа, внедрения вредоносного ПО, хакерских атак и злонамеренных или инсайдерских действий сотрудников медучреждения.

Защита коммерческой тайны предприятия

Отнесение конфиденциальной информации предприятия к категории его коммерческой тайны и построение механизма ее защиты должны базироваться на принципах законности, экономической обоснованности, своевременности, комплексности и эффективности.

При этом степень секретности информации, относимой к коммерческой тайне предприятия, всегда должна соответствовать прогнозной величине ущерба, который может возникнуть в результате утечки таких сведений.

Механизм защиты коммерческой тайны предприятия должен обеспечивать:

• непрерывность защиты конфиденциальной информации;
• целенаправленность и конкретность защиты сведений в интересах решения определенных задач;
• активность защиты, обеспечивающую предупреждение возможной утечки сведений;
• надежность, предполагающую разумное дублирование средств защиты ;
• универсальность, позволяющую ликвидировать угрозу утечки информации независимо от места ее появления.

Механизм защиты коммерческой тайны предприятия должен предусматривать взаимную ответственность персонала и руководства за сохранность фирменных секретов, соблюдение баланса интересов предприятия в целом и каждого конкретного сотрудника, организацию взаимодействия соответствующих внутрифирменных служб с государственными структурами безопасности.

В каждом конкретном случае для оценки целесообразности отнесения той или иной информации предприятия к категории коммерческой тайны требуется создание специальной комиссии из числа наиболее квалифицированных специалистов. Иногда необходимо привлечение таких специалистов из других организаций на договорной основе. По каждому из предложений комиссии целесообразно провести тщательный анализ и технико-экономическое обоснование. Для всей документации предприятия, содержащей тайну, необходимо выработать оригинальную систему обозначений, ранжирующую информацию по степени секретности, а затем организовать четкий порядок допуска работников к этой документации.

При выработке упомянутой системы обозначений для документации предприятия, содержащей коммерческую тайну, следует избегать дублирования с системой, которая используется на государственном уровне для обозначения сведений, отнесенных к государственной тайне (по степени секретности они подразделяются на сведения особой важности, совершенно секретные и секретные, причем использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается).

Регламентированный перечень сведений, относимых к коммерческой тайне предприятия, следует регулярно пересматривать в зависимости от изменения направлений и результатов его научно-исследовательских и опытно-конструкторских работ, выбранной рыночной стратегии, заключенных договоров и т. и.

Многие предприятия несут значительные потери от утечки информации в результате несанкционированного доступа к ЭВМ. Для снижения вероятности несанкционированного доступа к ЭВМ целесообразно практиковать систему личного кодирования каждого из работников предприятия, ограничивающую возможности последнего в использовании тех программ, которые не относятся к его прямым служебным обязанностям.

Определенным сдерживающим фактором предотвращения преступлений в сфере компьютерной информации могут послужить положения нового Уголовного кодекса Российской Федерации. «Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если то деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет».

Причем если такие действия совершены группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, то размеры уголовной ответственности увеличиваются.

При создании системы защиты коммерческой тайны необходимо выявить и перекрыть все потенциальные каналы утечки конфиденциальной информации, обеспечив при этом одинаковую степень защиты различных ее носителей (документов, публикаций, технических носителей, изделий, производственных отходов и др.). Для решения этой задачи нередко требуется подготовительная работа, которая заключается в составлении полного перечня конкретных пользователей информации, в разработке специальных схем информационных потоков на данном предприятии и, наконец, в четком определении всех материальных носителей такой информации.

В дополнение к сказанному, на каждом предприятии при создании системы защиты информации необходимо правильно организовать учет и охрану некоторых видов материалов и готовых изделий (особенно опытных образцов); порядок делопроизводства с документами, содержащими коммерческую тайну (правила циркуляции, учета, хранения, уничтожения и др.); контроль за средствами копирования и размножения документов; защиту коммерческой информации в средствах связи и вычислительной техники; охрану территории предприятия, его основных зданий и сооружений; контроль за посещениями данного предприятия посторонними лицами.

Эффективное выполнение всех перечисленных задач предполагает создание в аппарате управления специализированных служб, занятых защитой коммерческой тайны. За рубежом этим занимаются соответствующие отделы фирм. Они же осуществляют поиск и сбор информации о конкурентах. Основные элементы защиты коммерческой тайны предприятия представлены на рис. 2.

Рис. 2. Основные элементы механизма защиты коммерческой тайны предприятия

В промышленно развитых странах вопросами охраны коммерческой тайны занимаются как отдельные лица, так и различные внутрифирменные подразделения (владелец предприятия, члены правления, заместители руководителя по общим вопросам, кадровые службы, специально создаваемые подразделения, режимно-секретные органы предприятия и др.). В дополнение к этому в большом количестве функционируют внешние по отношению к предприятию структуры, чья деятельность также непосредственно связана с охра: ной коммерческой тайны и интеллектуальной собственности (союзы предпринимателей и потребителей, кабинеты адвокатов и юридических консультантов, различные частные бюро по решению организационно-правовых и технических вопросов и др.).

На каждом конкретном предприятии построение его внутренней системы зашиты информации определяется прежде всего следующими факторами:

• финансовые возможности предприятия;
• технические возможности предприятия;
• размеры предприятия;
• размещение предприятия;
• номенклатура выпускаемой продукции;
• система внутреннего документооборота;
• объем защищаемой информации;
• вид защищаемой информации и др.

Исключительное право определения состава сведений, подлежащих защите, а также порядка их защиты предоставлено отечественным законодательством руководителю предприятия. В контракте при найме руководителя необходимо документально закрепить формы и размеры его персональной ответственности за сохранность коммерческой информации, целесообразно оговорить его конкретные обязанности по охране коммерческой тайны, запретить ее использование в ущерб данному предприятию, определить условия расторжения контракта при невыполнении каких-либо требований конфиденциальности.

Особое внимание вопросам сохранности конфиденциальной информации должно быть уделено при заключении трудового договора между администрацией предприятия (предпринимателем) и работником. Проводимые исследования свидетельствуют, что «25% служащих предприятия готовы в любое время при любых обстоятельствах предать интересы фирмы, 50% готовы это сделать в зависимости от обстоятельств и лишь 25%, являясь патриотами, никогда не предадут интересы фирмы».

В трудовом договоре, заключаемом между администрацией предприятия (предпринимателем) и работником, целесообразно отражать индивидуальные обязательства последнего по сохранности коммерческой тайны. Наличие такого документа обеспечивает юридическую основу для применения различных санкций к работникам, виновным в утечке конфиденциальной информации. К числу основных обязательств работника по сохранности коммерческой тайны можно, в частности, отнести следующие:

• выполнять все требования соответствующих документов предприятия (положений, инструкций, приказов и др.), обеспечивающих сохранность его информации;
• не раскрывать публично и не передавать третьим лицам конфиденциальную информацию без согласия на это предприятия;
• сообщать руководству предприятия о всех попытках посторонних лиц получить сведения, составляющие коммерческую тайну;
• сообщать руководству предприятия о всех случаях исчезновения предметов и документов, являющихся носителями коммерческой тайны, а также о фактах пропажи печатей, удостоверений, ключей и т. п.;
• передать в соответствующее подразделение предприятия после увольнения все предметы, документы и другие носители коммерческой тайны, находившиеся в его распоряжении и использовавшиеся для выполнения служебных обязанностей;
• не использовать информацию, содержащую коммерческую тайну данного предприятия, после увольнения с него, а также при работе по совместительству на других предприятиях.

Сотруднику предприятия или организации может быть отказано в допуске к информации, составляющей его коммерческую тайну, в случаях:

• признания его судом недееспособным или ограниченно дееспособным;
• наличия у него медицинских противопоказаний для работы с использованием сведений, отнесенных к коммерческой тайне, а также с носителями таких сведений;
• не санкционированной руководством фирмы работы по совместительству на других предприятиях и в организациях;
• выявления в результате проверок определенных обстоятельств и действий сотрудника, создающих угрозу экономической безопасности фирмы;
• уклонения сотрудника от проверочных мероприятий;
• сообщения работником заведомо ложных анкетных данных и др.

Анализ возможных предпосылок утечки коммерческой информации за пределы предприятия позволяет выделить несколько факторов, влияющих на этот процесс. Прежде всего это ошибки персонала, связанные с незнанием правил зашиты тайны (или с непониманием необходимости их выполнения). В некоторых случаях утечка коммерческой информации происходит в результате сознательных действий персонала (мотивацией к этому могут быть, например, взятка, месть или шантаж). Для устранения отмеченных факторов каждому предприятию необходимы:

• эффективная система обучения сотрудников правилам защиты коммерческой тайны;
• формирование у работающих чувства личной ответственности за сохранность фирменных секретов;
• использование прогрессивных методов оценки лиц, принимаемых на работу (различные тесты, системы рекомендаций и др.);
• оформление письменных обязательств работников о неразглашении определенной информации;
• выдача предупреждений об ответственности и т. п.

Отечественным предприятиям придется прибегнуть к созданию своеобразных «кодексов чести» для своих сотрудников, предусматривающих не только правила работы с информацией, содержащей тайну, но и ответственность персонала за разглашение производственных секретов.

В некоторых случаях необходимо использовать принцип «дробления» информации между отдельными работниками, что позволяет создать определенные трудности конкурентам в целенаправленном сборе такой информации, а иногда приводит к заметному снижению потерь предприятия в случае ее утечки. Специальным службам по охране коммерческой тайны рекомендуется следить за публикациями сотрудников предприятия в открытой печати, при необходимости проводить предварительную экспертизу этих публикаций. Целесообразно также анализировать рекламные материалы, информацию, распространяемую на выставках, презентациях, биржах и т. п.

Предпринимателям необходимо помнить, что одними из важных каналов утечки конфиденциальной информации являются страховая и кредитно-банковская системы. Незаконному получению информации способствуют также связи коррумпированных должностных лиц в различных инстанциях с преступными кругами.

В процессе развития рыночных отношений формирование новых хозяйственных связей предприятий приводит к возникновению проблемы взаимной защиты коммерческой тайны торговых партнеров. В практике работы зарубежных фирм предусмотрен порядок специальных договоров по взаимной защите информации, переданной друг другу в ходе делового сотрудничества.

Для увязки интересов продавца (не желающего сообщать какую-либо информацию о товаре до подписания контракта на поставку) с интересами покупателя (не желающего приобретать товар, полная информация о котором пока отсутствует) практикуется применение так называемого «опционного соглашения». Его суть в том, что покупатель за определенную плату и на условиях конфиденциальности приобретает дополнительную информацию о товаре, в состав которой могут входить сведения, содержащие коммерческую тайну.

На внутреннем рынке нашей страны предпринимателям при совместной работе с другими предприятиями, предполагающей взаимную передачу тайны, в специальном разделе договора также необходимо определять все условия конфиденциальности. В частности, целесообразно письменно закрепить обязательства не раскрывать коммерческую тайну без взаимного согласования друг с другом, не передавать ее третьим лицам, полностью возмещать в необходимых случаях материальный и моральный ущерб, возникший из-за утечки коммерческой информации. Для исключения возможных разногласий при заключении такого договора с предприятиями других стран некоторые условия, обеспечивающие сохранность тайны, должны быть ориентированы на соответствующее законодательство этих государств.

В мировой практике включаемые в договор о сотрудничестве условия конфиденциальности имеют определенную степень автономности. Это означает, что они, с одной стороны, могут предшествовать заключению договоров о создании совместных предприятий, передаче ноу-хау, лицензий и т. п., а с другой — могут и должны соблюдаться в течение определенного срока после завершения времени действия основного договора.

Разглашение коммерческой тайны: реальные примеры L’Oreal и АТБ

В августе этого года всемирно известный французский косметический бренд L’Oreal признали виновным в краже патента на систему защиты волос во время отбеливания у стартапа Olaplex. Суд назначил штраф в 91 миллион долларов за нарушение пунктов контракта. Эта сумма может увеличится, поскольку жюри присяжных доказали умышленную кражу коммерческой тайны.

Что касается случаев в Украине, то в этом году Нацполиция впервые провела полное расследование по ст. 232 Уголовного кодекса «Разглашение коммерческой тайны». Представители сети продуктовых магазинов АТБ уличили сотрудника в продаже конфиденциальной информации конкурентам. По данным АТБ, ущерб компании в связи с этим составил 1,4 млн. гривен. Отметим, что сотрудник признал свою вину, компенсировал убытки, но к уголовной ответственности так и не был привлечен.

Юристы считают, что в рамках действующего законодательства компаниям проще предотвращать случаи разглашения коммерческой тайны, чем бороться с последствиями. Не всегда возможно доказать, кто именно разгласил информацию и как это повлияло на деятельность компании. Договор NDA — это «подушка безопасности» для компании, но это не означает, что он поможет избежать рисков. Самым действенным способом будет ограничить круг лиц с доступом к важной и секретной информации, утечка которой может негативно повлиять на будущее компании.