Коммерческая тайна — не формальный «ярлычок» на документе, а информация, которая позволяет компании оставаться конкурентоспособной и приносить прибыль. В цифровую эпоху утечки данных происходят все чаще, в зоне риска оказывается и коммерческая тайна, а для бизнеса это может обернуться серьезными потерями. В статье разбираем самые частые ошибки в работе с коммерческой тайной, какие риски они влекут за собой — и как выстроить процессы, чтобы коммерческая тайна была в безопасности.
Что относится к коммерческой тайне
Фактически коммерческая тайна — это все, что дает организации преимущество на рынке и позволяет получать прибыль и развиваться. Закон говорит, что организация сама определяет, какие сведения составляют ее коммерческую тайну. Это могут быть собственные разработки (например, чертежи ноу-хау), клиентские базы, внутренние алгоритмы обработки информации — все, что компания считает критически важным для поддержания конкурентоспособности. Исключение составляют следующие данные: отчетность, задолженности, лицензии, штрафы — такую информация нельзя отнести к коммерческой тайне.
При этом важно понимать: коммерческая тайна может пересекаться с другими видами охраняемой информации, чаще всего пересечения бывают с персональными данными. Например, клиентская база включает ФИО, телефоны и электронные адреса. Утечка такой базы становится не только инцидентом с коммерческой тайной, но и нарушением закона о персональных данных, что влечет дополнительные убытки. Возможны пересечения и с государственной тайной — например, в крупных госкорпорациях.
Коммерческая тайна — это не любая конфиденциальная информация, а только та, от которой напрямую зависит положение компании на рынке и её прибыль. например размер заработной платы — не коммерческая тайна, но относится к персональным данным, а значит будет конфиденциальной информацией.
Чем грозит утечка
Если утекает информация, относящаяся к коммерческой тайне, компания теряет то самое конкурентное преимущество, ради которого она ее и охраняла. Например, утечка базы клиентов может привести к тому, что конкуренты начнут активно переманивать людей, а если доступ к таким данным получат хакеры, они могут использовать информацию для атак.
Для бизнеса это всегда удар — по репутации и финансам. Если становится известно, что у компании произошел инцидент с коммерческой тайной, партнеры и клиенты начинают сомневаться в ее надежности. Контракты срываются, уходят заказчики, рушится доверие. Репутационные последствия часто оказываются необратимыми: доверие, однажды утраченное, восстановить сложно.
Финансовые потери здесь тесно связаны с репутационными. Уход клиентов, падение прибыли, потеря контрактов — все это прямые последствия утечки.
Есть и юридическая сторона. Если утекли сведения, пересекающиеся с персональными данными, компанию ждут дополнительные проверки и штрафы. Если же украденными оказались, например, чертежи или разработки, ответственность ложится на виновного сотрудника или контрагента. В таких случаях возможна дисциплинарная, административная, гражданская или даже уголовная ответственность для ответственного за утечку человека, но сама организация признается пострадавшей стороной.
Внедрите режим коммерческой тайны
Определим перечень сведений, относящийся к коммерческой тайне, разработаем необходимые документы, порекомендуем программные средства для защиты режимной информации.
Как происходят утечки
Главный источник утечек — сотрудники, и не всегда по злому умыслу. Чаще всего — из-за неосведомленности: например, менеджер или бухгалтер может переслать документ через мессенджер, не понимая, что он относится к коммерческой тайне. Но иногда имеет место и инсайдерская деятельность — преднамеренное разглашение коммерческой тайны в сговоре с конкурентами компании.
О том, как поймать инсайдеров, читайте в статье.
Вторая причина утечек — управленческие ошибки. Например, организация не определила, что именно относится к коммерческой тайне, или сделала это формально много лет назад и не обновляет список охраняемых данных. Или сотрудники подписали бумаги об ознакомлении с режимом коммерческой тайны при приеме на работу, но больше к теме не возвращались. Или же на документах нет грифа «коммерческая тайна» — и люди просто не понимают, какие сведения защищены.
Часто компании ограничиваются приказом «ввести режим коммерческой тайны» и считают, что этого достаточно. Но без разъяснительной работы сотрудники не знают, как обращаться с данными, и легко допускают нарушения.
Как защищать коммерческую тайну
Организационные и технические меры лучше внедрять параллельно. В таблицах ниже мы собрали основные шаги, которые помогут выстроить защиту, и организационные меры могут быть такими:
| Что делать | Для чего это нужно |
|---|---|
|
Определите перечень сведений, относящихся к коммерческой тайне |
Чтобы точно понимать, какие данные относятся к коммерческой тайне, и регулярно обновлять список |
|
Разработайте и утвердите положение о коммерческой тайне |
Чтобы зафиксировать правила работы с информацией на уровне компании |
|
Ознакомьте сотрудников с положением простыми словами |
Чтобы правила были понятны не только юристам, но и менеджерам, бухгалтерам, инженерам |
|
Оформите приказы и обязательства о неразглашении (в том числе NDA) |
Чтобы зафиксировать ответственность за возможную утечку |
|
Обучайте сотрудников регулярно |
Чтобы напоминать о рисках и снижать вероятность ошибок в повседневной работе |
Технические меры зависят от рисков, которыми грозит утечка, и возможностей компании. Закон не дает точных инструкций, а требует «достаточных мер», поэтому организация определяет их сама, например:
| Что делать | Для чего это нужно |
|---|---|
|
Настройте контроль доступа по ролям |
Чтобы сотрудники имели доступ только к тем данным, которые нужны для их работы |
|
Используйте PAM-системы для администраторов |
Чтобы контролировать привилегированные учетные записи |
|
Внедрите DLP-систему |
Чтобы выявлять подозрительные активности и вовремя реагировать — например, предотвращать отправку конфиденциальных данных «наружу» |
|
Шифруйте и резервируйте данные |
Чтобы защитить информацию и обеспечить ее восстановление после возможных инцидентов |
|
Защитите каналы передачи информации |
Чтобы снизить риск перехвата данных |
Выбор инструментов зависит от оценки рисков утечки коммерческой тайны для конкретной компании: иногда достаточно двухфакторной аутентификации, а иногда нужно внедрять целый комплекс решений. Важно, чтобы меры были не формальными, а работающими.
Роль культуры безопасности
Даже самые современные технологии не защитят, если сотрудники не понимают ценности информации. Поэтому ключевая задача — формирование культуры безопасности.
Это означает регулярные напоминания, обучение и вовлечение сотрудников. Когда человек понимает, что защита информации — это защита и компании, и его рабочего места, он становится союзником ИБ-специалистов, а не противником введенных ими «ограничений».
Работает здесь не только просвещение, но и ответственность. Если в документах компании четко прописаны штрафы и дисциплинарные меры за нарушение режима коммерческой тайны, сотрудники понимают последствия таких нарушений. Это помогает не только формировать осознанность, но и дисциплинирует на практике.
Культура безопасности облегчает работу и самим специалистам по информационной безопасности. Ведь если сотрудники воспринимают новые меры как помощь, а не как помеху, их внедрение проходит спокойнее, а поддерживать ИБ-систему в рабочем состоянии становится проще.
Собрали в таблицу все виды ответственности за нарушение федерального закона № 98-ФЗ «О коммерческой тайне».
|
Дисциплинарная
|
Гражданско-правовая
|
|
Административная Разглашение (ст. 13.14 КоАП РФ), незаконное получение (ст. 13.14.1. КоАП РФ) — штраф:
|
Уголовная Разглашение, незаконное собирание и т.п. (ст. 183 УК РФ):
|
С чего начать компании
Введение режима коммерческой тайны — это последовательный процесс. Мы уже разобрали отдельные меры, которые помогут защитить сведения, теперь собираем их в план работы, состоящий из последовательных шагов и совмещающий организационные меры с техническими.
1. Определить, что именно для вас является коммерческой тайной.
Составьте и утвердите перечень сведений, которые действительно имеют коммерческую ценность: клиентские базы, особенности ценообразования, технологии производства, планы развития и так далее. При этом важно не включать в перечень открытые данные вроде реквизитов, лицензий или бухгалтерской отчетности — такой список не будет признан.
2. Разработать документы и регламенты.
Необходимо:
- издать приказ о введении режима коммерческой тайны;
- утвердить положение о коммерческой тайне, где важно зафиксировать область действия, перечень сведений и правила работы с ними;
- прописать порядок доступа: кто именно и к какой информации имеет право доступа;
- промаркировать документы и файлы грифом «Коммерческая тайна».
Без этих документов будет невозможно привлечь к ответственности нарушителей: если у компании нет положения о коммерческой тайне или маркировки на документах — нарушения в работе с данными доказать не получится.
3. Обеспечить кадровое сопровождение.
Каждого сотрудника нужно ознакомить с положением и перечнем сведений под роспись. В трудовые договоры вносятся обязательства о неразглашении, дополнительно можно заключать NDA. Важно вести реестр сотрудников, имеющих доступ к конкретной информации: кто и к чему получил доступ, когда и на каких условиях. Это позволит в случае инцидента быстро определить круг лиц, которые могли быть к нему причастны.
4. Построить процессы работы с контрагентами.
Прежде чем делиться данными с партнерами или подрядчиками, заключите с ними NDA. Фиксируйте в учетных журналах, какие сведения были переданы, кому и на какой срок, предусмотрите правила возврата или уничтожения информации. В противном случае доказать факт утечки будет невозможно.
5. Проводить обучение и профилактику.
Даже если документы разработаны идеально, без обучения сотрудники все равно будут ошибаться — например, пересылать конфиденциальные документы через личную почту или мессенджеры. Поэтому важно проводить регулярные инструктажи и присылать напоминания о правилах работы с информацией.
6. Обеспечить контроль и мониторинг.
В компании должен быть порядок проверки: аудит документов, журналов доступа, систем, а также помещений, где хранится информация, если она хранится на физических носителях. При выявлении нарушений важно фиксировать инциденты письменно: кто, когда и что нарушил, какой ущерб возможен.
7. Обновлять документы и регламенты.
Перечень сведений и документы нужно пересматривать хотя бы раз в год — или при изменении бизнес-процессов. Иначе система быстро устаревает и перестает защищать бизнес.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.