Включение в режим коммерческой тайны информации в электронном виде

Когда информация относится к коммерческой тайне

Законодательством установлены критерии, по которым информация может быть отнесена к КТ. В частности, защищаемые сведения должны одновременно соответствовать следующим требованиям:

— не являться общеизвестными или легкодоступными третьим лицам в тех кругах, которые обычно имеют дело с подобного рода сведениями;

— иметь коммерческую ценность для их обладателя в силу неизвестности третьим лицам;

— не являться объектами исключительных прав на результаты интеллектуальной деятельности;

— не относиться в установленном законодательством порядке к государственным секретам.

Рассмотрим основные инструменты, которые используются на практике для защиты КТ.

Положение о коммерческой тайне

Положение о КТ составляется самой организацией и утверждается приказом. В положении целесообразно отразить:

• перечень сведений, составляющих КТ;

• перечень лиц, получивших доступ к КТ;

• обязательство о неразглашении;

• соглашение о конфиденциальности;

• лист ознакомления с положением и приложениями к нему;

• порядок отнесения информации к КТ;

• предоставление работникам доступа к данным сведениям;

• контроль за соблюдением порядка обращения с носителями КТ;

• ответственность за разглашение.

Также целесообразно включить следующие приложения: общие положения и термины, порядок предоставления доступа к сведениям, их составляющих, оборот носителей КТ.

Работники

В трудовом договоре (контракте) рекомендуем указывать общие положения о КТ, установленные у нанимателя.

С работниками, которые получают доступ к КТ, следует дополнительно заключить обязательство о неразглашении тайны, в котором урегулировать:

• права и обязанности сторон;

• порядок обращения со сведениями и носителями КТ;

• ответственность сторон;

• срок действия такого обязательства;

• ответственность нанимателя за ненадлежащее выполнение обязанности по уведомлению об отмене режима КТ.

Электронная защита

Основными мерами защиты внесенной информации являются:

• системы шифрования информации;

• системы учета доступа к выдаваемой информации;

• DLP-системы.

Справочно.
DLP-системы — это программные средства защиты конфиденциальной информации, используемые для предотвращения ее утечек из информационной системы организации.

Для внедрения такого рода мер в компании рекомендуется предпринять следующие действия:

— ввести правила допустимого использования информационной системы и сервисов, Интернета и корпоративной почты, запретив использовать их, а также служебные компьютеры и телефоны для отправки сообщений личного плана;

— уведомить работников под роспись о том, что в компании в целях осуществления контроля за информационной безопасностью, соблюдением режима КТ, порядком использования предоставленных нанимателем оборудования и информационных ресурсов используются DLP-системы. Отметим, что наиболее распространенными целями, которые преследуют наниматели при установке DLP-системы, являются:

• контроль использования рабочего времени и рабочих ресурсов сотрудниками;

• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);

• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность;

— получить письменное согласие работника на доступ и ознакомление нанимателя с личными данными и сообщениями, перепиской работника, полученными в ходе осуществления указанного выше контроля;

— установить локальными актами регламент порядка использования DLP.

Здесь также поясним что речь идет лишь о той, информации, которая проходит через корпоративные устройства сотрудника – выдаваемые компанией с установленным софтом для сбора информации. Таким образом, сотрудника также стоит уведомить об этом – ведь на практике строго разделить корпоративные и личные переписки и звонки работника с одного устройства не представляется возможным, особенно в глазах системы сбора информации.

Как включать новую информацию? 

Включение новой информации в режим КТ должно сопровождаться внесением изменений в перечень информации, для которой установлен режим КТ, и уведомлением об этом работников под роспись. Данное действие оформляется приказом нанимателя о внесении изменений в положение о КТ.

При включении информации в электронном виде в режим КТ необходимо указывать местонахождение данной информации – это позволит в случае нарушения со стороны работника установить его вину. Так, в случае нахождения информации на сервере компании разумным будет указать название файла, описать суть содержащейся в нем информации (например, «План развития на 2020–2025 годы», «Стратегия экспансии на новые рынки»), путь к каждому файлу. В случае, если информация в режиме КТ хранится в облаке (Google Drive, Яндекс.Диск), целесообразно также указать ссылку на данный диск в соответствующем приложении к положению о КТ.

Также на документах в электронном виде возможно проставление грифа «Коммерческая тайна», однако целесообразность таких действий зависит от специфики компании. С одной стороны, такое обозначение позволит сотруднику определить содержание документа, не открывая его. С другой стороны, оно может привлечь излишнее внимание сотрудников.