• Поставить закладку
• Посмотреть закладки

Г. Жуманова, юрист по вопросам трудового и гражданского права

КАКОВА ОТВЕТСТВЕННОСТЬ ПРЕДУСМОТРЕНА ЗА РАЗГЛАШЕНИЕ И ИСПОЛЬЗОВАНИЕ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ?

Бывший работник компании использовал в своих предпринимательских целях шаблон коммерческого предложения и базу электронных адресов клиентов. При приеме на работу им было подписано обязательство о неразглашении сведений, относящихся к коммерческой тайне. Какие меры можно предпринять, чтобы прекратить данные действия, и какое наказание грозит бывшему работнику?

Согласно подпункту 16 статьи 1 Закона «О частном предпринимательстве» под коммерческой тайной понимается информация, определяемая и охраняемая субъектом частного предпринимательства, свободный доступ на законном основании к которой имеет ограниченный круг лиц, разглашение, получение, использование которой может нанести ущерб его интересам.

В соответствии с пунктом 4 статьи 11 Закона лица, незаконными методами получившие, раскрывшие или использовавшие информацию, составляющую коммерческую тайну, обязаны возместить причиненный ущерб в соответствии с гражданским законодательством РК.

Статьей 126 Гражданского кодекса установлено, что лица, незаконными методами получившие информацию, составляющая коммерческую тайну, а также разгласившие ее, обязаны возместить причиненный ущерб.

Частью 2 статьи 223 Уголовного кодекса за незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца лицом, которому они были доверены по службе или работе, совершенное из корыстной или иной личной заинтересованности и причинившее крупный ущерб предусмотрено наказание в виде штрафа в размере до трех тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до трех лет, либо лишением свободы на тот же срок.

В связи с чем, в рамках гражданского производства, компанией может быть подано исковое заявление о возмещении убытков, причиненных вследствие незаконного использования и разглашения информации, составляющих коммерческую тайну.

В рамках уголовного производства компанией может быть подана жалоба о привлечении к уголовной ответственности в органы внутренних дел.

Вопросы защиты конфиденциальной информации актуальны для каждого современного предприятия. Конфиденциальные данные компании должны быть защищены от утечки, потери, других мошеннических действий, так как это может привести к критическим последствиям для бизнеса. Важно понимать, какие данные нуждаются в защите, определить способы и методы организации информационной безопасности.

Данные, нуждающиеся в защите

Чрезвычайно важная для ведения бизнеса информация должна иметь ограниченный доступ на предприятии, ее использование подлежит четкой регламентации. К данным, которые нужно тщательно защитить, относятся:

• коммерческая тайна;
• производственная документация секретного характера;
• ноу-хау компании;
• клиентская база;
• персональные данные сотрудников;
• другие данные, которые компания считает нужным защитить от утечки.

Какие сведения составляют коммерческую тайну и как их обезопасить?

Конфиденциальность информации часто нарушается в результате мошеннических действий сотрудников, внедрения вредоносного ПО, мошеннических операций внешних злоумышленников. Неважно, с какой стороны исходит угроза, обезопасить конфиденциальные данные нужно в комплексе, состоящем из нескольких отдельных блоков:

• определение перечня активов, подлежащих защите;
• разработка документации, регламентирующей и ограничивающей доступ к данным компании;
• определение круга лиц, которым будет доступна КИ;
• определение процедур реагирования;
• оценка рисков;
• внедрение технических средств по защите КИ.

Федеральные законы устанавливают требования к ограничению доступа к информации, являющейся конфиденциальной. Эти требования должны выполняться лицами, получающими доступ к таким данным. Они не имеют права передавать эти данные третьим лицам, если их обладатель не дает на это своего согласия (ст. 2 п. 7 ФЗ РФ «Об информации, информационных технологиях и о защите информации»).

Федеральные законы требуют защитить основы конституционного строя, права, интересы, здоровье людей, нравственные принципы, обеспечить безопасность государства и обороноспособность страны. В связи с этим необходимо в обязательном порядке соблюдать КИ, к которой доступ ограничивается федеральными законами. Эти нормативные акты определяют:

• при каких условиях информация относится к служебной, коммерческой, другой тайне;
• обязательность соблюдения условий конфиденциальности;
• ответственность за разглашение КИ.

Информация, которую получают сотрудники компаний и организации, осуществляющие определенные виды деятельности, должна быть защищена в соответствии с требованиями закона по защите конфиденциальной информации, если в соответствии с ФЗ на них возложены такие обязанности. Данные, относящиеся к профессиональной тайне, могут быть предоставлены третьим лицам, если это прописано ФЗ или есть решение суда (при рассмотрении дел о разглашении КИ, выявлении случаев хищения и др.).

Полный перечень документов, которые регламентируют подходы к безопасности информации. Смотреть.

Защита конфиденциальной информации на практике

В ходе рабочего процесса работодатель и сотрудник совершают обмен большим количеством информации, которая носит различный характер, включая конфиденциальную переписку, работу с внутренними документами (к примеру, персональные данные работника, разработки предприятия).

Степень надежности защиты информации имеет прямую зависимость от того, насколько ценной она является для компании. Комплекс правовых, организационных, технических и других мер, предусмотренных для этих целей, состоит из различных средств, методов и мероприятий. Они позволяют существенно снизить уязвимость защищаемой информации и препятствуют несанкционированному доступу к ней, фиксируют и предотвращают ее утечку или разглашение.

Правовые методы должны применяться всеми компаниями, независимо от простоты используемой системы защиты. Если эта составляющая отсутствует или соблюдается не в полной мере, компания не будет способна обеспечить защиту КИ, не сможет на законном основании привлечь к ответственности виновных в ее утрате или разглашении. Правовая защита – это в основном грамотное в юридическом плане оформление документации, правильная работа с сотрудниками организации. Люди – основа системы защиты ценной конфиденциальной информации. В этом случае необходимо подобрать эффективные методы работы с сотрудниками. Во время разработки предприятиями мероприятий по обеспечению сохранности КИ вопросы управления должны находиться в числе приоритетных.

Защита информации на предприятии

При возникновении гражданско-правовых и трудовых споров о разглашении, хищении или при других вредительских действиях в отношении коммерческой тайны, решение о причастности к этому определенных лиц будет зависеть от правильности создания системы защиты этой информации в организации.

Особое внимание нужно уделить идентификации документации, составляющей коммерческую тайну, обозначив ее соответствующими надписями с указанием владельца информации, его наименования, месторасположения и круга лиц, имеющих к ней доступ.

Сотрудники при приеме на работу и в процессе трудовой деятельности по мере формирования базы КИ должны знакомиться с локальными актами, регламентирующими использование коммерческой тайны, строго соблюдать требования по обращению с ней.

В трудовых договорах должны прописываться пункты о неразглашении работником определенной информации, которую предоставляет ему работодатель для использования в работе, и ответственности за нарушение этих требований.

IT-защита информации

Важное место в защите КИ занимает обеспечение технических мероприятий, так как в современном высокотехнологичном информационном мире корпоративный шпионаж, несанкционированный доступ к КИ предприятий, риски утери данных в результате вирусных кибератак являются довольно распространенным явлением. Сегодня не только крупные компании соприкасаются с проблемой утечки информации, но и средний, а также малый бизнес чувствует необходимость в защите конфиденциальных данных.

Нарушители могут воспользоваться любой ошибкой, допущенной в информационной защите, к примеру, если средства для ее обеспечения были выбраны неправильно, некорректно установлены или настроены.

Хакерство, Интернет-взломы, воровство конфиденциальной информации, которая сегодня становится дороже золота, требуют от собственников компаний надежно ее защищать и предотвращать попытки хищений и повреждений этих данных. От этого напрямую зависит успех бизнеса.

Многие компании пользуются современными высокоэффективными системами киберзащиты, которые выполняют сложные задачи по обнаружению угроз, их предотвращению и защите утечки. Необходимо использовать качественные современные и надежные узлы, которые способны быстро реагировать на сообщения систем защиты информационных блоков. В крупных организациях из-за сложности схем взаимодействия, многоуровневости инфраструктуры и больших объемов информации очень сложно отслеживать потоки данных, выявлять факты вторжения в систему. Здесь на помощь может прийти «умная» система, которая сможет идентифицировать, проанализировать и выполнить другие действия с угрозами, чтобы вовремя предотвратить их негативные последствия.

Для обнаружения, хранения, идентификации источников, адресатов, способов утечки информации используются различные IT-технологии, среди которых стоит выделить DLP и SIEM- системы, работающие комплексно и всеобъемлюще.

DLP-систему «КИБ СёрчИнформ» можно интегрировать с SIEM-решениями. Это усилит эффект от двух продуктов.

DLP-системы для предотвращения утери данных

Чтобы предотвратить воровство конфиденциальной информации компании, которое может нанести непоправимый вред бизнесу (данные о капиталовложениях, клиентской базе, ноу-хау и др.), необходимо обеспечить надежность ее сохранности. DLP-системы (Data Loss Prevention) – это надежный защитник от хищения КИ. Они защищают информацию одновременно по нескольким каналам, которые могут оказаться уязвимыми к атакам:

• USB-разъемы;
• локально функционирующие и подключенные к сети принтеры;
• внешние диски;
• сеть Интернет;
• почтовые сервисы;
• аккаунты и др.

Основное предназначение DLP-системы – контролировать ситуацию, анализировать ее и создавать условия для эффективной и безопасной работы. В ее задачи входит анализирование системы без информирования работников компании об использовании этого способа отслеживания рабочих узлов. Сотрудники при этом даже не догадываются о существовании такой защиты.

DLP-система контролирует данные, которые передаются самыми различными каналами. Она занимается их актуализацией, идентифицирует информацию по степени ее важности в плане конфиденциальности. Если говорить простым языком, DLP фильтрует данные и отслеживает их сохранность, оценивает каждую отдельную информацию, принимает решение по возможности ее пропуска. При выявлении утечки система ее заблокирует.

Использование этой программы позволяет не только сохранять данные, но и определять того, кто их выслал. Если, к примеру, работник компании решил «продать» информацию третьему лицу, система идентифицирует такое действие и направит эти данные в архив на хранение. Это позволит проанализировать информацию, в любой момент взяв ее из архива, обнаружить отправителя, установить, куда и с какой целью эти данные отправлялись.

Специализированные DLP-системы – это сложные и многофункциональные программы, обеспечивающие высокую степень защиты конфиденциальной информации. Их целесообразно использовать для самых различных предприятий, которые нуждаются в особой защите конфиденциальной информации:

• частных сведений;
• интеллектуальной собственности;
• финансовых данных;
• медицинской информации;
• данных кредитных карт и др.

SIEM-системы

Эффективным способом обеспечения информационной безопасности специалисты считают программу SIEM (Security Information and Event Management), позволяющую обобщить и объединить все журналы протекающих процессов на различных ресурсах и других источниках (DLP-системах, ПО, сетевых устройствах, IDS, журналах ОС, маршрутизаторах, серверах, АРМ пользователей и др.).

Если угроза не была выявлена своевременно, при этом существующая система безопасности сработала с отражением атаки (что происходит не всегда), «история» таких атак впоследствии становится недоступной. SIEM соберет эти данные во всей сети и будет хранить на протяжении определенного отрезка времени. Это позволяет в любой момент воспользоваться журналом событий с помощью SIEM, чтобы использовать его данные для анализа.

Кроме того, эта система позволяет использовать удобные встроенные средства с целью анализа и обработки произошедших инцидентов. Она преобразовывает трудночитаемые форматы информации о происшествиях, сортирует их, выбирает самые значимые, отсеивает незначительные.

В особых правилах SIEM прописаны условия для накопления подозрительных событий. Она сообщит о них при накоплении такого их количества (три и более), которое свидетельствует о возможной угрозе. Пример – неверное введение пароля. Если фиксируется единичное событие введения неправильного пароля, SIEM не будет сообщать об этом, так как случаи единоразовых ошибок ввода пароля при входе в систему происходят довольно часто. Но регистрация повторяющихся попыток введения невалидного пароля во время входа в один и тот же аккаунт может свидетельствовать о несанкционированном доступе.

Любая компания сегодня нуждается в подобных системах, если ей важно сохранить свою информационную безопасность. SIEM и DLP обеспечивают полноценную и надежную информационную защиту компании, помогают избежать утечки и позволяют идентифицировать того, кто пытается навредить работодателю путем хищения, уничтожения или повреждения информации.

Назад к списку статей

Авторы:

Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»

Евгения Заяц Старший консультант отдела консалтинга АО «ДиалогНаука»

Основным нормативным правовым актом, регулирующим отношения в области защиты коммерческой тайны, как одного из типов информации ограниченного доступа, является Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне», который устанавливает основные требования и принципы режима коммерческой тайны. Не менее важным является Трудовой кодекс РФ, который регулирует вопросы обработки информации, составляющей коммерческую тайну в рамках трудовых отношений, а также Гражданский кодекс РФ, регулирующий отношения по использованию прав на секрет производства.

С точки зрения закона, коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Но во многих случаях разглашение информации, составляющей коммерческую тайну, несет репутационные риски.

Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны.

В соответствии с требованиями Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» режима коммерческой тайны должен включать как минимум следующие меры по охране конфиденциальности информации:

1) Определение перечня информации, составляющей коммерческую тайну (при этом необходимо учитывать ограничения законодательства – доступ к некоторым сведениям не может быть ограничен).
2) Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка.
3) Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4) Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Как правило, доступ к информации, составляющей коммерческую тайну, предоставляется:

• работникам;
• физическим лицам, с которыми заключен договор гражданско-правового характера на выполнение работ/оказание услуг, связанных с обработкой информации, составляющей коммерческую тайну;
• физическим лицам, являющимся представителями/сотрудниками юридических лиц — контрагентов, с которыми заключены договора гражданско-правового характера или с которыми ведётся работа по подготовке заключения таких договоров;
• уполномоченным представителям надзорных органов.

Таким образом, должны быть определены процедуры предоставления доступа и регламентированы требования к обработке информации, составляющей коммерческую тайну, для каждой категории лиц.
Уполномоченные представители надзорных органов допускаются к информации, составляющей коммерческую тайну при наличии письменного запроса, обоснования.

5) Установка ограничительных пометок на материальные носители (документы) содержащие информацию, составляющую коммерческую тайну.

Кроме указанных обязательных мер, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, и другие, не противоречащие законодательству меры. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1) Исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
2) Обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Наиболее эффективными мерами для поддержания режима коммерческой тайны являются:

1) Определение владельцев информационных ресурсов. 2) Создание ролевой модели доступ к информационным ресурсам и информационным системам, обрабатывающим информацию, составляющую коммерческую тайну.
3) Предоставление доступа только к тем информационным ресурсам и информационным системам, доступ к которым необходим для выполнения должностных обязанностей и договорных обязательств.
4) Внедрение механизмов контроля информационных потоков с целью выявления несанкционированной передачи информации, составляющей коммерческую тайну.
5) Внедрение механизмов логирования действий пользователей с информационными ресурсами и определение критериев выявления подозрительных действий и операций.

PDF-версия статьи «Организация защиты информации и режим коммерческой тайны»

ОХРАНА КОММЕРЧЕСКОЙ ТАЙНЫ В РОССИИ

А.Э. СОРОКИНА annsorok@mail.ru

Аннотация. Дана характеристика понятия охраны коммерческой тайны, а также меры, применяемые обладателем коммерческой тайны, для охраны конфиденциальности информации, режим коммерческой тайны.

Ключевые слова: охрана коммерческой тайны, режим коммерческой тайны, конфиденциальность информации, охрана конфиденциальности информации.

TRADE SECRET PROTECTION IN THE RUSSIAN FEDERATION

A.E. SOROKINA

Для того чтобы информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам и к которой нет свободного доступа на законном основании, получила защиту в качестве коммерческой тайны, ее обладатель должен в соответствии с Федеральным законом «О коммерческой тайне» принять меры по охране ее конфиденциальности, именуемые правовым режимом охраны коммерческой тайны. В п. 3 ст. 3 Закона режим коммерческой тайны определен как правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности. Режим коммерческой тайны представляет собой спектр мер по охране конфиденциальности информации. Именно введение в отношении информации режима коммерческой тайны является выражением воли обладателя информации по отнесении ее к коммерческой тайне1.

Наличие мер по охране конфиденциальности представляет собой, пожалуй, самый важный критерий, позволяющий разграничить просто коммерчески ценную информацию и информацию, составляющую коммерческую тайну.

Перечень обязательных мер по охране конфиденциальности информации, которые должен принять ее обладатель для установления в отношении этой информации режима коммерческой тайны установлены ст. 10 Федерального закона «О коммерческой тайне».

Из содержания ст. 11—13 не следует, что помимо установленных в них специальных правил, применяются общие (ст. 10). Для более четкого применения ст. 10-13 должны быть объединены в одну главу, тогда как положения ст. 10 рассматривались бы как нормы общего действия, а ст. 11-13 — как

нормы специального действия, применимые к конкретным ситуациям.

Режим коммерческой тайны в соответствии с п. 2 ст. 10 Федерального закона «О коммерческой тайне» считается установленным после принятия обладателем информации мер по охране ее конфиденциальности. Перечень мер по охране конфиденциальности информации, составляющей коммерческую тайну, применяемых ее обладателем, включает в себя:

• определение перечня информации, составляющей коммерческую тайну;

• ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка;

• учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

• регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

• нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — ФИО гражданина, являющегося индивидуальным предпринимателем, и место его жительства).

В связи с тем что режим коммерческой тайны заключается в принятии обладателем информации отдельных мер по охране ее конфиденциаль-

ности, в том числе организационных, представляется необоснованным требование, содержащееся в п. 1, 2 ст. 7 Федерального закона «О коммерческой тайне», об установлении, изменении или отмене режима коммерческой тайны в письменной форме. Наряду с мерами, обязательными для установления режима коммерческой тайны, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации и другие не противоречащие законодательству меры (п. 4 ст. 10). В соответствии с п. 5 ст. 10 меры по охране конфиденциальности информации должны быть разумно достаточными. Этот критерий неудачно заимствован из практики защиты коммерческой тайны в США, где одним из оснований отнесения информации к коммерческой тайне считается то, «является ли объектом действий, которые обоснованы при обстоятельствах, требующих сохранения ее секретности»2.

В Федеральном законе «О коммерческой тайне» это положение трансформировалось из «надлежащих мер по охране конфиденциальности информации», являющихся одним из критериев отнесения информации к секретам производства (ноу-хау) в Основах в «разумную достаточность мер по охране конфиденциальности информации». В то же время Закон в отличие от Основ никак не связывает установление режима коммерческой тайны с «разумной достаточностью» мер по охране конфиденциальности информации. Для того чтобы вышеназванный критерий применялся на практике, необходимо обозначить в тексте закона взаимосвязь «разумной достаточности» мер по охране конфиденциальности информации и установлением в отношении информации режима коммерческой тайны.

Неудачным представляется сформулированное в Федеральном законе «О коммерческой тайне» понятие «разумной достаточности» мер по охране конфиденциальности информации. В соответствии с п. 5 ст. 10 меры признаются разумно достаточными, если исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя. Данное правило сформулировано некорректно, поскольку никакие меры по охране конфиденциальности информации не могут гарантировать того, что не найдется лицо, которое сможет их преодолеть. Из анализа нормы ст. 10 фактически следует, что лицо, преодолевшее меры по охране конфиденциальности информации, составляющей коммерческую тайну, без согласия ее обладателя действовало законно, поскольку меры по охране конфиденциальности информации, принятые ее обладателем, должны были это исключить3.

Условие обеспечения возможности использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны выполняется при принятии обладателем информации обязательных для установления режима коммерческой тайны мер по охране ее конфиденциальности.

Федеральный закон «О коммерческой тайне» говорит о технических, организационных и правовых мерах по охране конфиденциальности информации, однако не раскрывает, что представляют собой эти меры. Из анализа практики применения этих мер можно сделать выводы, что технические меры означают применение технических средств по защите информации, составляющей коммерческую тайну, и ограничению доступа. В основном эти меры применяются в отношении защиты от несанкционированного доступа к материальным носителям информации, составляющей коммерческую тайну. Организационные же меры есть не что иное, как комплекс мероприятий, включающий в себя изучение обстановки в организации, разработку программы защиты информации и контроль над ее осуществлением. Правовые меры охраны связаны с юридическим оформлением защиты информации, составляющей коммерческую тайну.

Как отмечают исследователи, в большинстве случаев ущерб, нанесенный нарушением режима коммерческой тайны, во много раз превышает ту сумму, которую могут возместить обладателю коммерческой тайны в судебном порядке. Практика идет по пути применения технических, организационных и правовых мер защиты. Обладатель коммерчески ценной информации заинтересован в повышении степени ее защищенности.

К техническим мерам охраны конфиденциальности информации относятся:

• шифрование информации;

• применение технических средств защиты информации, не позволяющих: проникнуть на территорию, где хранятся материальные носители, содержащие информацию, составляющую коммерческую тайну; подслушать; подсмотреть; скопировать.

Большинство технических мер защиты информации, составляющей коммерческую тайну, идентичны мерам, применяемым при защите государственной тайны. Многие исследователи при разработке и применении мер советуют использовать опыт работников режимно-секретных объектов, привлекая их в качестве консультантов4. Однако необходимо учитывать, что предоставление услуг в области шифрования информации, деятельность по разработке и (или) производству средств защиты конфиденциальной информации, по выявлению электронных устройств, предназначенных для не-

гласного получения информации, в помещениях и технических средствах (за исключением случая, если эта деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), а также деятельность по технической защите конфиденциальной информации, в соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» подлежит лицензированию.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Исходя из п. 4 ст. 10 Федерального закона «О коммерческой тайне», обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальной информации. Таким образом, применение обладателем информации, составляющей коммерческую тайну, технических мер по охране ее конфиденциальности является его правом, а не обязанностью5. В то же время практика защиты коммерческой тайны в других странах свидетельствует о том, что непринятие этих мер является основанием для отказа в возмещении убытков, причиненных разглашением коммерческой тайны.

К организационным мерам относится ограничение и разграничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с информацией и контроля над его соблюдением.

В соответствии с установленными правилами каждый сотрудник должен обладать только теми сведениями, которые ему необходимы в силу выполняемых обязанностей, а также знать, как работать с данной информацией, чтобы не нарушить ее конфиденциальности. Естественно, эта совокупность правил должна быть зафиксирована на материальном носителе, доступном для восприятия, и утверждена уполномоченным органом обладателя информации, составляющей коммерческую тайну.

К числу организационных мер относится также учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. Эта мера по охране конфиденциальности информации предусмотрена для того, чтобы в случае разглашения информации выявить лицо, осуществившее ее разглашение.

Следующая организационная мера — контроль над копированием информации, осуществляемый путем выделения специальных помещений для размножения документов, назначения лиц, ответственных за этот процесс и имеющих право давать разрешение на размножение, регистрацию и учет дополнительно изготовленных копий. Процесс размножения документов неразрывно связан с их уничтожением, порядок которого зависит от того, какие документы уничтожаются (зарегистрированные ранее или нет).

Организационные меры включают в себя нанесение грифа «Коммерческая тайна» на мате-

риальные носители, содержащие информацию, составляющую коммерческую тайну, с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — ФИО гражданина, являющегося индивидуальным предпринимателем, и его место жительства).

Составной частью организационных мер выступает работа с кадрами, поскольку в большинстве случаев коммерческая тайна разглашается именно работниками обладателя информации, составляющей коммерческую тайну, которые имеют к ней доступ. Работа с кадрами выражается в том числе в ряде действий, которые непосредственно не влияют на разглашение коммерческой тайны, а направлены на улучшение морально-психологического климата, межличностной совместимости людей, наличие общей цели работы, содействие сплоченности коллектива6.

Применяя разные технические и организационные меры защиты информации, нельзя обойтись без создания правовых основ в этой области, поскольку без них любые последующие претензии со стороны обладателя информации, составляющей коммерческую тайну, к недобросовестным сотрудникам, клиентам, конкурентам и должностным лицам окажутся беспочвенными. Все правовые меры условно подразделяют на внутренние, принимаемые самим обладателем информации, составляющей коммерческую тайну, и внешние, принимаемые по требованию обладателя информации, составляющей коммерческую тайну, лицами, которым эта информация передается (представляется).

Правовые меры включают в себя разработку перечня информации, составляющей коммерческую тайну. Перечень информации, составляющей коммерческую тайну, должен быть зафиксирован на материальном носителе, доступном для восприятия. Такой вывод вытекает из требования Федерального закона «О коммерческой тайне» о необходимости ознакомления с перечнем работников, имеющих доступ к информации, составляющей коммерческую тайну.

Правовые средства должны регулировать отношения по использованию информации, составляющей коммерческую тайну, работниками, получившими к ней доступ в соответствии с их трудовыми обязанностями, путем внесения соответствующих условий в трудовой договор, а также заключением разных гражданско-правовых соглашений. В соответствии со ст. 57 ТК в трудовом договоре могут предусматриваться условия о неразглашении работником охраняемой законом тайны (государственной, служебной, коммерческой и иной). Кроме того, для того чтобы работник считался допущенным к информации, составляющей коммерческую тайну, необходимо соблюдение правил допуска к такой информации, установленных Федеральным законом «О ком-

мерческой тайне», а именно: ознакомить его под расписку с перечнем информации, составляющей коммерческую тайну, с установленным работодателем режимом коммерческой тайны и мерами ответственности за его нарушение.

В связи с тем что на основании трудового законодательства, а также Федерального закона «О коммерческой тайне» в ряде случаев невозможно возместить ущерб, причиненный разглашением или использованием в личных целях информации, составляющей коммерческую тайну, практика идет по пути заключения с работниками, имеющими доступ к этой информации, специальных гражданско-правовых договоров (соглашений). Возможность заключения в период действия трудового договора специального соглашения, касающегося сохранения работником конфиденциальности полученной в ходе трудовой деятельности информации, составляющей коммерческую тайну, после прекращения трудового договора, предусмотрена ст. 11 Закона.

В качестве существенных условий сохранения режима коммерческой тайны в отношении информации, передаваемой по договору, в Федеральном законе «О коммерческой тайне» названы:

• определение условий охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством;

• установление ответственности контрагента по возмещению убытков при разглашении им информации, составляющей коммерческую тайну, вопреки договору.

В договоре могут быть указаны способы защиты информации, составляющей коммерческую тайну, принимаемые контрагентом в отношении информации, переданной ему по договору, например применение определенных технических мер защиты информации. В противном случае контрагент самостоятельно определяет меры по защите полученной по договору информации.

Приведенный перечень технических, организационных и правовых мер защиты конфиденциальности информации не является исчерпывающим, и обладатели информации вправе применять иные меры, не противоречащие законодательству. Федеральным законом «О коммерческой тайне» не предусмотрена обязанность применять все виды мер защиты, однако обладатель информации, составляющей коммерческую тайну, заинтересован в принятии, помимо мер, предусмотренных Законом, дополнительных обеспечивающих безопасность информации, так как ущерб, нанесенный обладателю информации нарушением режима коммерческой тайны, во много раз превышает сумму, возмещаемую нарушителями в судебном порядке. Перечень мер, фактически применяемых для за-

щиты конфиденциальности информации, шире обязательного для установления режима коммерческой тайны, содержащегося в п. 1 ст. 10.

Особенностью коммерческой тайны является неограниченность срока ее охраны. Другими словами, она может охраняться до тех пор, пока обладатель информации распространяет на нее режим коммерческой тайны. В этом проявляется еще одна особенность, отличающая институт коммерческой тайны от института исключительных прав, где срок охраны результатов интеллектуальной деятельности ограничен.

Нельзя не согласиться с тем, что режим коммерческой тайны представляет собой не отдельные технические, организационные и правовые меры и даже не определенную их совокупность, а непрерывный целенаправленный процесс, предполагающий принятия соответствующих мер на всех этапах охраны конфиденциальности информации составляющей коммерческую тайну.

Таким образом, на информацию, признанную коммерческой тайной, ее обладатель должен распространить режим коммерческой тайны. Право выбора мер защиты информации, применяемых для охраны ее конфиденциальности, принадлежит обладателю данной информации, с учетом того, что эти меры должны соответствовать ценности охраняемой информации и свидетельствовать о желании реально сохранить ее в тайне.

Режим коммерческой тайны считается установленным после принятия обладателем информации мер по охране ее конфиденциальности, предусмотренных п. 1 ст. 10 Федерального закона «О коммерческой тайне». Право применения иных мер по охране конфиденциальности информации принадлежит ее обладателю, но при этом он должен учитывать, что меры по охране конфиденциальности информации должны соответствовать ценности охраняемой информации и свидетельствовать о желании реально сохранить эту информацию в тайне.

1 Шаповал Е.А., Кокурина М.А. Все о тайне становится явным // Главная книга. 2004. № 18. С. 25.

2 Практика защиты коммерческой тайны в США. Руководство по защите Вашей деловой информации. М., 1992. С. 231.

3 Гаврилов Э.П. Коммерческая тайна и результаты интеллектуальной деятельности // Патенты и лицензии. 2002. № 4. С. 20.

4 Бондаренко А. Коммерческая тайна в России. Как ее беречь? // Закон. 2000. № 7. С. 82.

5 Иванченко Р.Б. Уголовно-правовая защита коммерческой, налоговой и банковской тайн: автореф. дис. … канд. юрид. наук. М., 2003. С. 19.

7 Тарасов А.Н. Феноменология информационной безопасности организации. М., 2003. С. 115.

Срок охраны коммерческой и служебной тайны — важный временной параметр, ограничивающий преждевременное разглашение конфиденциальных сведений. Кем, когда и как он устанавливается — узнайте из нашего материала.

Срок действия режима конфиденциальности информации: термины и определения

Под сроком охраны информации понимается временной период, в течение которого в отношении информации ее обладателем (или законным пользователем) проводится комплекс специальных мероприятий по защите от несанкционированного разглашения или утечки.

Спецмероприятия носят название режима сохранения информации (коммерческая тайна, служебная тайна, государственная тайна, профессиональная тайна), а понятие «обладатель информации» означает лицо:

• самостоятельно создавшее информацию;
• либо получившее право ею распоряжаться (ограничивать к ней доступ или разрешать).

Право распоряжаться информацией лицо может получить на основании:

• закона (например, законы о гостайне, о коммерческой тайне и др.); или
• договора.

Вышеуказанные термины и определения могут уточняться и (или) иметь специфическое толкование в зависимости от того, к какому виду информации они относятся. К примеру, в законе «О коммерческой тайне» от 29.07.2004 № 98-ФЗ термин «обладатель информации» расшифровывается как лицо:

• владеющее коммерческой информацией на законном основании;
• ограничившее к ней доступ;
• установившее в отношении этой информации режим коммерческой тайны.

С особенностями расшифровки терминов «коммерческая информация» и «служебные сведения», а также иными сопутствующими определениями вас познакомит следующий раздел.

Знакомство с разнообразной терминологией вам обеспечат размещенные на нашем сайте материалы:

• «Определение и виды служебной тайны в законе»;
• «Что это за понятие — материальные запасы?».

Что относится к коммерческой и служебной тайне?

В соответствии с пунктами 3–5 Перечня, утвержденного Указом Президента РФ от 06.03.1997 № 188, информация, составляющая служебную и коммерческую тайну, считается сведениями конфиденциального характера (СКХ).

Термин «конфиденциальность информации» расшифрован в п. 7 ст. 2 закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать ее третьим лицам без согласия обладателя.

Определение конфиденциальной коммерческой информации приведено в п. 2 ст. 3 закона № 98-ФЗ. Это сведения:

• любого характера (организационные, технические, экономические и т. п.);
• о результатах интеллектуальной деятельности в научно-технической сфере;
• о способах осуществления интеллектуальной деятельности.

Все указанные группы сведений будут относиться к секретной коммерческой информации, если:

• они имеют коммерческую ценность в силу неизвестности третьим лицам;
• они не могут находиться в свободном доступе в силу закона;
• в отношении такой информации обладатель ввел режим коммерческой тайны.

Поскольку посвященного служебной тайне закона в настоящее время нет, для расшифровки понятия «служебная тайна» воспользуемся терминологией других нормативных актов. К примеру, в соответствии с формулировкой п. 3 вышеуказанного Перечня (утв. указом № 188) под служебной тайной понимаются служебные сведения:

• доступ к которым ограничен органами госвласти;
• ограничение доступа производится на основании ГК РФ и федеральных законов.

Таким образом, в разряд конфиденциальных сведений, доступ к которым защищается в силу требований закона, может попасть информация и коммерческого, и служебного характера.

Для чего нужно охранять конфиденциальные сведения?

Охрана относящейся к разряду служебной или коммерческой конфиденциальной информации необходима для защиты ее от:

• несанкционированного доступа, утечки, утери, кражи;
• порчи;
• разглашения.

При этом цель охраны информации имеет специфический оттенок для каждой группы рассматриваемых видов СКХ:

Вид режима конфиденциальности	Цель защиты информации
Режим коммерческой тайны	сохранение положения предприятия на рынке товаров (работ, услуг); увеличение доходов; избежание неоправданных расходов; получение иной коммерческой выгоды
Режим служебной тайны	обеспечение нормального функционирования госорганов (защита информации позволяет избежать негативных последствий при реализации госорганом законных полномочий); соблюдение прав лиц, в отношении которых должностными лицами госорганов в силу исполнения должностных обязанностей получена секретная информация

С видами наказаний за разглашение СКХ вас познакомят материалы:

• «Ответственность за разглашение банковской тайны по УК РФ»;
• «Ответственность за разглашение персональных данных по 137 УК РФ».

Нормативные требования к срокам засекречивания конфиденциальных сведений

Среди нормативных актов РФ, регулирующих порядок защиты СКХ, сведения о сроках охраны информации содержит только закон «О государственной тайне» от 21.07.1993 № 5485-1. В ст. 13 указанного нормативного документа обозначено следующее:

• предельный срок охраны сведений, составляющих гостайну (срок засекречивания сведений), не должен превышать 30 лет;
• продление срока возможно в исключительных случаях по заключению межведомственной комиссии по защите гостайны;
• периодичность пересмотра перечня сведений, относимых к гостайне, — не реже чем через каждые 5 лет.

О сроках действия режима коммерческой тайны в действующей редакции закона № 98-ФЗ упоминание отсутствует. В предыдущей редакции этому вопросу была посвящена ст. 8 «Срок действия режима коммерческой тайны», в которой было установлено, что срок применения указанного режима определяется временем действия условий, необходимых и достаточных для признания соответствующих сведений коммерческой тайной.

Аналогичная ситуация складывается и в отношении нормативного регулирования вопроса о сроке действия режима служебной тайны — действующие редакции нормативных актов РФ, помещенных в открытом доступе, этот вопрос не рассматривают.

О временном периоде действия данного режима в п. 2 ст. 9 проекта № 124871-4 федерального закона «О служебной тайне» сказано следующее:

1. Срок действия режима служебной тайны не должен превышать 10 лет (если иной срок не установлен федеральным законом).

2. Вышеуказанный срок исчисляется с даты подписания должностным лицом документа с ограниченным доступом.

3. При установлении режима служебной тайны в отношении сведений, полученных в связи с исполнением должностными лицами своих обязанностей от иных лиц, срок охраны такой информации определяется, как:

• установленный должностным лицом срок охраны конфиденциальной информации (в отсутствии мотивированного ходатайства о продлении срока лица, предоставившего информацию);
• предельный срок, определенный предоставившим информацию лицом.

О каких сроках полезно знать налогоплательщику — см. материалы:

• «Срок исковой давности по дебиторской задолженности»;
• «Какой срок хранения счетов-фактур?».

Каким документом может устанавливаться срок охраны секретной информации?

При отсутствии в федеральном законодательстве указаний на сроки охраны сведений, составляющих коммерческую или служебную тайну, временные рамки охранных режимов могут устанавливаться внутренними локальными актами предприятий и организаций (в приказах, инструкциях, положениях).

Кроме вопросов длительности охранных мероприятий в отношении СКХ, такие внутрифирменные локальные акты могут содержать и иные важные аспекты:

• обязанности сотрудников, работающих с СКХ;
• порядок подготовки документов и работы с ними (определение степени конфиденциальности, проставление и снятие на носителях информации спецотметок и др.);
• требования к распечатыванию и размножению СКХ;
• схемы проверки соблюдения режима охраны информации и т. п.

Как может выглядеть внутрифирменный локальный акт — узнайте из материалов:

• «Положение о системе управления охраной труда — образец»;
• «Положение об аттестации работников — образец».

С какой даты отсчитывается срок охраны сведений ограниченного доступа?

Формально дата отсчета срока охраны СКХ совпадает с моментом проставления на носителе с такими сведениями специального знака (грифа «Коммерческая тайна», «Служебная тайна», «Для служебного пользования» и т. п.). Однако законным проставление этого знака может быть только в том случае, если администрацией предприятия будут выполнены меры по установлению охранного режима.

Минимально необходимые мероприятия для установления в компании режима коммерческой тайны перечислены в п. 1 ст. 10 закона № 98. Они включают:

• определение списка секретной коммерческой информации;
• ограничение доступа к ней (разработка порядка обращения с этой информацией и контроля за его соблюдением);
• регулирование отношений по использованию конфиденциальной коммерческой информации;
• нанесение на материальные носители секретных сведений спецзнака.

В отношении конфиденциальной служебной информации необходимые минимальные меры охранного характера перечислены в постановлении Правительства РФ о порядке обращения со служебной информацией ограниченного распространения от 03.11.1994 № 1233 (п. 1.5):

• определены категории должностных лиц, уполномоченных относить служебную информацию к сведениям ограниченного доступа;
• установлены алгоритмы передачи такой служебной информации другим органам и организациям;
• разработан порядок снятия с носителей информации пометки «Для служебного пользования»;
• организована защита служебной информации ограниченного распространения.

Если информация, ранее не попадавшая в разряд сведений ограниченного доступа, была включена в соответствующий перечень СКХ, начальная дата охранных мероприятий совпадает с датой приказа (или иного локального акта), на основании которого в действующий перечень были внесены корректировки.

Где проставляется отметка о начале и окончании режима конфиденциальности?

Фиксация дат начала и окончания охранного режима для СКХ может осуществляться разными способами:

• в отдельном приказе или специальном регистре;
• в качестве отдельных реквизитов проставляемого на носителях такой информации спецзнака (элементы грифа «Коммерческая тайна», «Для служебного пользования» и др.);
• в качестве внесения специальных отметок в колонтитулы электронного документа;
• иными способами.

О каких датах необходимо знать налогоплательщику — см. в материалах:

• «Дата удержания налога в форме 6-НДФЛ»;
• «Что ставить в больничном листе о дате начала работы?».

Отдельные нюансы установления и прекращения срока защиты конфиденциальных сведений

Разнообразие информации, относимой в разряд СКХ, а также разные подходы к обеспечению конфиденциальности в части нормативных требований могут послужить причиной ошибок в установлении срока охраны СКХ.

Рассмотрим особенности установления и прекращения сроков охраны такой конфиденциальной информации, как ноу-хау.

Ноу-хау (секрет производства) — это массив информации:

• содержащий алгоритмы, формулы, схемы, необходимые для успешной организации производства (или иного дела);
• охраняемый режимом коммерческой тайны;
• способный стать предметом купли-продажи или использоваться для конкурентного преимущества над другими хозяйствующими субъектами.

В разряд ноу-хау могут попасть не ставшие всеобщим достоянием изобретения, оригинальные технологии, знания, имеющие практическую направленность результаты творческой деятельности и т. д.

В соответствии со ст. 1466 ГК РФ обладатель секрета производства владеет исключительным правом на него и может им распоряжаться. При этом:

• исключительное право на ноу-хау возникает в момент создания информации, составляющей ноу-хау;
• официального признания его охраноспособности (выдачи охранного документа и иных формальностей) и проведения госэкспертизы не требуется.

То есть начало отсчета срока охраны сведений, составляющих секрет производства, начинается непосредственно в момент его создания.

Кроме того, необходимо учесть положения следующих статей ГК РФ:

1. 1230, содержащей указание на период действия исключительного права (оно действует в течение определенного срока, т. е. не бессрочно).
2. 1467, определяющей, что исключительное право на ноу-хау действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих их содержание. С момента утраты такой конфиденциальности исключительное право на ноу-хау прекращается у всех правообладателей.

Таким образом, как только информация, составляющая ноу-хау, становится общеизвестной (в результате утечки, кражи или иных способов утраты информации), срок охраны такого вида коммерческой информации прекращается автоматически вне зависимости от желания правообладателя и ранее установленных им охранных сроков для такого вида информации.

Если разглашена информация из документа под грифом «Для служебного пользования» или такой документ утрачен, необходимо оформить акт, на основании которого производятся соответствующие отметки в учетных формах (п. 2.10 постановления Правительства РФ № 188).

Итоги

Охрана конфиденциальных сведений производится исходя из сроков, установленных во внутрифирменных локальных актах.

В отдельных случаях охранные сроки могут корректироваться (при пересмотре перечня секретных сведений, при несанкционированном разглашении информации и т. д.).

Для правильного определения сроков охраны информации следует ее обоснованно классифицировать и учитывать отдельные требования ГК РФ (и иных нормативных актов) по вопросу особенностей охраны подобного рода сведений.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.