Рабочий треугольник
Как защитить конфиденциальную информацию при работе с контрагентами
1 октября 2014 года вступили в силу поправки в Гражданский кодекс и в закон «О коммерческой тайне», направленные на защиту компаний от партнеров и сотрудников, имевших доступ к конфиденциальной информации. Для того чтобы воспользоваться своими правами на защиту информации, бизнес должен выполнять ряд организационных и технических требований. И лишь после этого отстаивать свои права в суде. О том, какие организационные меры необходимо предпринять, чтобы обезопасить компанию от утечки конфиденциальной информации при взаимодействии с подрядчиками и контрагентами, рассказывает Станислав Шиляев, эксперт по информационной безопасности компании «СКБ Контур».
— В каких ситуациях компании вынуждены раскрывать коммерческую тайну контрагентам или подрядчикам?
— Такие ситуации возникают при выполнении договорных обязательств. С этим связана деятельность аудиторов, консалтинговых агентств, обслуживающих организаций. Компании могут вести совместную исследовательскую работу, доступ к результату которой должен быть ограничен для третьих лиц. Примеров, когда результат взаимодействия компаний представляет ценность, может быть много. Важно заранее предусмотреть инструменты по работе с закрытой информацией и зафиксировать их в договоре или отдельном соглашении.
— Как определить, является ли информация, которую компания доверяет контрагенту, коммерческой тайной?
— Только владелец информации знает, насколько она является ценной для организации. Можно пользоваться критериями, которые зафиксированы в ФЗ № 98 «О коммерческой тайне»:
«Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».
Это могут быть секреты производства, программный код, рецепты, база клиентов, уникальные условия сотрудничества и т.д.
— Какие меры необходимо принять компании, чтобы обезопасить себя от утечки критически важной информации при работе с контрагентами?
— Можно следовать следующему алгоритму:
1. Определить ценность информации как актива компании. Составить перечень информации и информационных ресурсов, подлежащих защите.
2. Определить угрозы и уязвимости, последствия их реализации.
3. Проанализировать список угроз. Оставить наиболее вероятные и те, которые могут привести к тяжелым последствиям.
4. Выбрать меры защиты, нейтрализующие реальные угрозы, и внедрить их.
5. Зафиксировать в проектах гражданско-правовых договоров либо в виде отдельного соглашения о конфиденциальности инструменты, регулирующие отношения с контрагентами по использованию защищаемой информации.
6. Установить в компании режим коммерческой тайны.
До начала взаимодействия с подрядчиком необходимо убедиться, что доступ к защищаемой информации ограничен и все защитные механизмы работают должным образом. Не помешает изучить сведения о судебных делах, задолженностях, экономическом состоянии, деловой репутации контрагента.
— Какие формальности нужно соблюсти во время оформления отношений с подрядчиком?
— В гражданско-правовой договор либо в отдельное соглашение следует внести положения, регулирующие отношения по использованию информации, составляющей коммерческую тайну. Данный документ должен содержать:
определение информации, составляющей коммерческую тайну;
- определение сторон, участвующих во взаимодействии;
- установление ограничений по работе с информацией, составляющей коммерческую тайну;
- обязательство о неразглашении информации;
- процедуру запроса и получения информации;
- права обладателя коммерческой тайны;
- права и обязанности участников информационного взаимодействия;
- ответственность сторон;
- срок действия соглашения.
— Время на выполнение всех мероприятий может растянуться на несколько месяцев… Как понять, что сделан необходимый минимум?
— Необходимый минимум — это принятие мер, достаточных для установления режима коммерческой тайны в соответствии со статьей 10 ФЗ № 98:
1) Определение перечня информации, составляющей коммерческую тайну.
2) Ограничение доступа к этой информации. Для этого применяются как организационные, так и технические меры. Например, настройка механизмов идентификации/аутентификации пользователей, правил на межсетевом экране, списков контроля доступа к защищаемым объектам.
3) Учет лиц, получивших доступ к информации, составляющей коммерческую тайну. Например, с помощью ведения специального журнала. При этом должна поддерживаться его актуальность, то есть если сотруднику больше не требуется доступ к коммерческой тайне, должна быть выполнена соответствующая настройка по прекращению доступа и сделана отметка в журнале.
4) Внесение пунктов в трудовые соглашения и договоры с контрагентами, в которых говорится об ответственности за разглашение конфиденциальной информации.
5) Нанесение грифа «Коммерческая тайна» и данных обладателя информации на материальные носители, содержащие информацию, составляющую коммерческую тайну.
www.kontur.ru/security
8 800 500 10 58