Контакты
Подписка
МЕНЮ
Контакты
Подписка

Несколько слов о коммерческой тайне

Несколько слов о коммерческой тайне

В рубрику "Актуально" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Несколько слов о коммерческой тайне

И. Н. Худой, специалист по защите информации
И. Н. Худой, специалист по защите информации

Применение Закона: объективные трудности

К объективным трудностям, возникающим в ходе применения указанного Закона, в первую очередь необходимо отнести несовершенство законодательной базы выстраиваемой системы защиты коммерческой тайны.

Так, Законом определены условия, при наличии которых информация признается коммерческой тайной:

  • информация имеет действительную или потенциальную ценность для ее обладателя в силу неизвестности третьим лицам;
  • доступ к информации должен быть ограничен;
  • для информации установлен режим коммерческой тайны.

Для четкого определения того, какая информация и когда имеет действительную или потенциальную ценность, необходимо заранее определить ее статус во внутренних нормативных документах организации. Таковым прежде всего является перечень информации, составляющей коммерческую тайну. В нем могут быть приведены как конкретные сведения, так и категории (группы) сведений. Простым, но эффективным критерием действительной или потенциальной ценности информации может стать ответ на вопрос: "Будет ли иметь место вред моей организации, если оцениваемая информация завтра будет опубликована в СМИ?"

Организация доступа к информации

Доступом к информации принято считать процедуру ознакомления человека (работника, контрагента и т.д.) с конкретными данными с санкции соответствующего должностного лица.

Различают организационный и технический доступ.

Первый должен включать в себя разработку комплекса внутренних нормативных документов, регламентирующих порядок доступа тех или иных должностных лиц к информации, составляющей коммерческую тайну, а также объем тех данных, с которыми они могут ознакомиться. Решение о разработке таких документов принимается начальником службы безопасности и руководителем организации. Каждая компания обязана:

  • иметь список должностных лиц организации, допущенных к информации, составляющей коммерческую тайну, — утверждается руководителем компании с указанием, к каким данным лицо допускается и в каком объеме;
  • иметь перечень функциональных (служебные, должностные и т.д.) обязанностей по защите коммерческой тайны для лиц, допущенных к информации, составляющей коммерческую тайну;
  • вести специальное делопроизводство для носителей информации, содержащей коммерческую тайну;
  • неукоснительно выполнять (касается всех работников организации) корпоративные требования по порядку хранения, обращения и копирования документов (носителей), содержащих конфиденциальную информацию, а также по неразглашению коммерческой тайны предприятия;
  • реализовывать принцип работы руководства компании (организации) с персоналом всех уровней: "каждый должен знать ровно столько, сколько ему необходимо знать для выполнения своих обязанностей";
  • осуществлять другие необходимые мероприятия.

Технический доступ в своей основе предполагает применение таких технических средств, которые будут обеспечивать ограничение доступа служащих к тем или иным информационным ресурсам, а также в определенные зоны, на объекты, территории, в здания и т.д.

Режим коммерческой тайны

Информация приобретает статус коммерческой тайны, если отнесена к коммерческой информации на законном основании и к ней применены меры по ограничению на ее распространение, то есть в отношении нее введен режим коммерческой тайны. Составными элементами этого режима выступают следующие меры по охране конфиденциальности данных:

  • правовые — соблюдение норм законодательства по защите информации (законы "Об информации, информатизации и защите информации", "О государственной тайне", Гражданский кодекс, Указ Президента РФ 1997 г. № 188, постановление Правительства РФ 1991 г. № 35 и т.д.). Для работы с правовыми документами компаниям следует привлекать специального юриста;
  • организационные — установление такого порядка организации, обращения, хранения и уничтожения информации, составляющей коммерческую тайну, при котором исключается или становится маловероятной ее утечка;
  • технические — комплексное применение технических средств защиты информации, охраны, разграничения доступа персонала и т.д.;
  • другие меры по охране конфиденциальности информации.

Однако нужно отметить, что вышеперечисленные меры в Законе носят рамочный характер — в нем не указано, какие конкретно документы должны быть отработаны, какие конкретно действия предприняты, в чем они должны выражаться и т.д. Исключением является статья 10 Закона, определяющая меры по охране конфиденциальности: в ней прямо сказано, что режим коммерческой тайны считается установленным после выполнения таких мер, как:

  • разработка перечня информации, составляющей коммерческую тайну;
  • ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну;
  • учет лиц, получивших доступ к информации, составляющей коммерческую тайну;
  • реализация договорных отношений между работниками, контрагентами по использованию данных, являющихся коммерческой тайной;
  • нанесение на материальные носители, содержащие конфиденциальную информацию, грифа "Коммерческая тайна".

Составление перечня защищаемой информации

Перечень информации, составляющей коммерческую тайну (далее — Перечень), является одним из основополагающих внутренних документов организации (предприятия), на основании которого какую-либо информацию можно считать коммерческой тайной в практической деятельности. Для составления этого документа целесообразно использовать такие критерии, как:

  • информация не является общеизвестной;
  • информация получена правомерно;
  • информация имеет ценность для ее обладателя (позволяет получить или увеличить доход, избежать убытков, сохранить положение на рынке, избежать конкуренции и т.д.). Для определения значимости информации также можно использовать изложенный выше критерий действительной или потенциальной ценности;
  • средства, необходимые для защиты информации, не превышают реально возможного дохода;
  • нет запрета на отнесение данной информации к коммерческой тайне в соответствии с законодательством РФ. При этом в обязательном порядке необходимо учитывать требования ст. 3 Закона "Об информации, информатизации и защите информации", ст. 5 Закона "О коммерческой тайне" и других нормативных правовых
    актов.

Основными разделами Перечня информации могут быть:

  • производственно-техническая и технологическая информация;
  • информация о научно-исследовательской и опытно-конструкторской деятельности;
  • планово-организационная и управленческая информация;
  • информация о внешнеэкономической деятельности предприятия (организации);
  • финансовая (валютно-финансовая) информация;
  • информация о системе, применяемых методах и средствах защиты коммерческой тайны;
  • информация об организации хранения и доставки финансовых и материальных средств;
  • информация о системе коммуникаций предприятия;
  • информация о детективной и охранной деятельности;
  • информация о системах сигнализации, охраны, пропускном режиме и т.д.

Под определение "коммерческой тайны" может также подпадать информация о структуре организации, ее реализуемых проектах, планах расширения, инвестиций, закупок продаж и др.

В разработке Перечня должны участвовать руководители всех структурных подразделений организации (предприятия), в том числе юристы. Перечень должен подписываться соответствующим должностным лицом службы безопасности, утверждаться руководителем и доводиться до всех работников организации (предприятия), допущенных к конфиденциальной информации, в части, касающейся их.

Документы по ограничению доступа

Ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну, подразумевает организационно-технические мероприятия, основными из которых могут быть:

  • разработка ограничительного списка работников организации (предприятия), утвержденного руководством в соответствии с занимаемыми должностями и выполняемыми обязанностями;
  • разработка инструкции по организации защиты коммерческой тайны (определяет общую систему организации защиты коммерческой тайны);
  • создание таких механизмов, при которых исключаются разглашения и утраты конфиденциальной информации; организация порядка хранения, обращения и уничтожения носителей, содержащих коммерческую тайну; определение обязанностей основных должностных лиц организации по защите данных и т.д.;
  • организация и ведение специального делопроизводства носителей, содержащих коммерческую тайну;
  • применение средств защиты информации от несанкционированного доступа, сертифицированных по требованиям безопасности конфиденциальной информации.

В зависимости от специфики деятельности той или иной организации могут быть разработаны другие внутренние нормативные документы (например, обязанности администратора по безопасности, обязанности пользователей при работе на ПЭВМ и сетях общего пользования и т.д.).

Другие меры по защите информации

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, должен вестись как по отношению к персоналу данной компании, так и ко всем организациям (предприятиям), получившим такую информацию. Учет должен носить абсолютно конкретный характер с указанием, кто, когда, на основании чего и какую информацию получил.

Регулирование отношений по использованию данных, являющихся коммерческой тайной, осуществляется работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Очевидно, что правильное и юридически наполненное содержание таких договоров, во-первых, позволяет привлечь к ответственности нерадивых работников самой организации (предприятия), а во-вторых, юридически закрепить ответственность той или иной стороны за разглашение коммерческой тайны организации.

Нанесение на материальные носители грифа "Коммерческая тайна" неразрывно связано с установленным порядком ведения специального делопроизводства и требует от всех работников неукоснительного выполнения правил обращения с документами, содержащими конфиденциальную информацию.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2005
Посещений: 31439

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Худой И.Н.

Худой И.Н.

Специалист по защите информации

Всего статей:  1

В рубрику "Актуально" | К списку рубрик  |  К списку авторов  |  К списку публикаций