Несколько слов о коммерческой тайне

Несколько слов о коммерческой тайне

И. Н. Худой, специалист по защите информации

Применение Закона: объективные трудности

К объективным трудностям, возникающим в ходе применения указанного Закона, в первую очередь необходимо отнести несовершенство законодательной базы выстраиваемой системы защиты коммерческой тайны.

Так, Законом определены условия, при наличии которых информация признается коммерческой тайной:

• информация имеет действительную или потенциальную ценность для ее обладателя в силу неизвестности третьим лицам;
• доступ к информации должен быть ограничен;
• для информации установлен режим коммерческой тайны.

Для четкого определения того, какая информация и когда имеет действительную или потенциальную ценность, необходимо заранее определить ее статус во внутренних нормативных документах организации. Таковым прежде всего является перечень информации, составляющей коммерческую тайну. В нем могут быть приведены как конкретные сведения, так и категории (группы) сведений. Простым, но эффективным критерием действительной или потенциальной ценности информации может стать ответ на вопрос: "Будет ли иметь место вред моей организации, если оцениваемая информация завтра будет опубликована в СМИ?"

Организация доступа к информации

Доступом к информации принято считать процедуру ознакомления человека (работника, контрагента и т.д.) с конкретными данными с санкции соответствующего должностного лица.

Различают организационный и технический доступ.

Первый должен включать в себя разработку комплекса внутренних нормативных документов, регламентирующих порядок доступа тех или иных должностных лиц к информации, составляющей коммерческую тайну, а также объем тех данных, с которыми они могут ознакомиться. Решение о разработке таких документов принимается начальником службы безопасности и руководителем организации. Каждая компания обязана:

• иметь список должностных лиц организации, допущенных к информации, составляющей коммерческую тайну, — утверждается руководителем компании с указанием, к каким данным лицо допускается и в каком объеме;
• иметь перечень функциональных (служебные, должностные и т.д.) обязанностей по защите коммерческой тайны для лиц, допущенных к информации, составляющей коммерческую тайну;
• вести специальное делопроизводство для носителей информации, содержащей коммерческую тайну;
• неукоснительно выполнять (касается всех работников организации) корпоративные требования по порядку хранения, обращения и копирования документов (носителей), содержащих конфиденциальную информацию, а также по неразглашению коммерческой тайны предприятия;
• реализовывать принцип работы руководства компании (организации) с персоналом всех уровней: "каждый должен знать ровно столько, сколько ему необходимо знать для выполнения своих обязанностей";
• осуществлять другие необходимые мероприятия.

Технический доступ в своей основе предполагает применение таких технических средств, которые будут обеспечивать ограничение доступа служащих к тем или иным информационным ресурсам, а также в определенные зоны, на объекты, территории, в здания и т.д.

Режим коммерческой тайны

Информация приобретает статус коммерческой тайны, если отнесена к коммерческой информации на законном основании и к ней применены меры по ограничению на ее распространение, то есть в отношении нее введен режим коммерческой тайны. Составными элементами этого режима выступают следующие меры по охране конфиденциальности данных:

• правовые — соблюдение норм законодательства по защите информации (законы "Об информации, информатизации и защите информации", "О государственной тайне", Гражданский кодекс, Указ Президента РФ 1997 г. № 188, постановление Правительства РФ 1991 г. № 35 и т.д.). Для работы с правовыми документами компаниям следует привлекать специального юриста;
• организационные — установление такого порядка организации, обращения, хранения и уничтожения информации, составляющей коммерческую тайну, при котором исключается или становится маловероятной ее утечка;
• технические — комплексное применение технических средств защиты информации, охраны, разграничения доступа персонала и т.д.;
• другие меры по охране конфиденциальности информации.

Однако нужно отметить, что вышеперечисленные меры в Законе носят рамочный характер — в нем не указано, какие конкретно документы должны быть отработаны, какие конкретно действия предприняты, в чем они должны выражаться и т.д. Исключением является статья 10 Закона, определяющая меры по охране конфиденциальности: в ней прямо сказано, что режим коммерческой тайны считается установленным после выполнения таких мер, как:

• разработка перечня информации, составляющей коммерческую тайну;
• ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну;
• учет лиц, получивших доступ к информации, составляющей коммерческую тайну;
• реализация договорных отношений между работниками, контрагентами по использованию данных, являющихся коммерческой тайной;
• нанесение на материальные носители, содержащие конфиденциальную информацию, грифа "Коммерческая тайна".

Составление перечня защищаемой информации

Перечень информации, составляющей коммерческую тайну (далее — Перечень), является одним из основополагающих внутренних документов организации (предприятия), на основании которого какую-либо информацию можно считать коммерческой тайной в практической деятельности. Для составления этого документа целесообразно использовать такие критерии, как:

• информация не является общеизвестной;
• информация получена правомерно;
• информация имеет ценность для ее обладателя (позволяет получить или увеличить доход, избежать убытков, сохранить положение на рынке, избежать конкуренции и т.д.). Для определения значимости информации также можно использовать изложенный выше критерий действительной или потенциальной ценности;
• средства, необходимые для защиты информации, не превышают реально возможного дохода;
• нет запрета на отнесение данной информации к коммерческой тайне в соответствии с законодательством РФ. При этом в обязательном порядке необходимо учитывать требования ст. 3 Закона "Об информации, информатизации и защите информации", ст. 5 Закона "О коммерческой тайне" и других нормативных правовых
  актов.

Основными разделами Перечня информации могут быть:

• производственно-техническая и технологическая информация;
• информация о научно-исследовательской и опытно-конструкторской деятельности;
• планово-организационная и управленческая информация;
• информация о внешнеэкономической деятельности предприятия (организации);
• финансовая (валютно-финансовая) информация;
• информация о системе, применяемых методах и средствах защиты коммерческой тайны;
• информация об организации хранения и доставки финансовых и материальных средств;
• информация о системе коммуникаций предприятия;
• информация о детективной и охранной деятельности;
• информация о системах сигнализации, охраны, пропускном режиме и т.д.

Под определение "коммерческой тайны" может также подпадать информация о структуре организации, ее реализуемых проектах, планах расширения, инвестиций, закупок продаж и др.

В разработке Перечня должны участвовать руководители всех структурных подразделений организации (предприятия), в том числе юристы. Перечень должен подписываться соответствующим должностным лицом службы безопасности, утверждаться руководителем и доводиться до всех работников организации (предприятия), допущенных к конфиденциальной информации, в части, касающейся их.

Документы по ограничению доступа

Ограничение доступа тех или иных лиц к информации, составляющей коммерческую тайну, подразумевает организационно-технические мероприятия, основными из которых могут быть:

• разработка ограничительного списка работников организации (предприятия), утвержденного руководством в соответствии с занимаемыми должностями и выполняемыми обязанностями;
• разработка инструкции по организации защиты коммерческой тайны (определяет общую систему организации защиты коммерческой тайны);
• создание таких механизмов, при которых исключаются разглашения и утраты конфиденциальной информации; организация порядка хранения, обращения и уничтожения носителей, содержащих коммерческую тайну; определение обязанностей основных должностных лиц организации по защите данных и т.д.;
• организация и ведение специального делопроизводства носителей, содержащих коммерческую тайну;
• применение средств защиты информации от несанкционированного доступа, сертифицированных по требованиям безопасности конфиденциальной информации.

В зависимости от специфики деятельности той или иной организации могут быть разработаны другие внутренние нормативные документы (например, обязанности администратора по безопасности, обязанности пользователей при работе на ПЭВМ и сетях общего пользования и т.д.).

Другие меры по защите информации

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, должен вестись как по отношению к персоналу данной компании, так и ко всем организациям (предприятиям), получившим такую информацию. Учет должен носить абсолютно конкретный характер с указанием, кто, когда, на основании чего и какую информацию получил.

Регулирование отношений по использованию данных, являющихся коммерческой тайной, осуществляется работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Очевидно, что правильное и юридически наполненное содержание таких договоров, во-первых, позволяет привлечь к ответственности нерадивых работников самой организации (предприятия), а во-вторых, юридически закрепить ответственность той или иной стороны за разглашение коммерческой тайны организации.

Нанесение на материальные носители грифа "Коммерческая тайна" неразрывно связано с установленным порядком ведения специального делопроизводства и требует от всех работников неукоснительного выполнения правил обращения с документами, содержащими конфиденциальную информацию.