Организация защиты информации и режим коммерческой тайны
Авторы:
Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука» |
Евгения Заяц Старший консультант отдела консалтинга АО «ДиалогНаука» |
Основным нормативным правовым актом, регулирующим отношения в области защиты коммерческой тайны, как одного из типов информации ограниченного доступа, является Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне», который устанавливает основные требования и принципы режима коммерческой тайны. Не менее важным является Трудовой кодекс РФ, который регулирует вопросы обработки информации, составляющей коммерческую тайну в рамках трудовых отношений, а также Гражданский кодекс РФ, регулирующий отношения по использованию прав на секрет производства.
С точки зрения закона, коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Но во многих случаях разглашение информации, составляющей коммерческую тайну, несет репутационные риски.
Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны.
В соответствии с требованиями Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» режима коммерческой тайны должен включать как минимум следующие меры по охране конфиденциальности информации:
1) Определение перечня информации, составляющей коммерческую тайну (при этом необходимо учитывать ограничения законодательства – доступ к некоторым сведениям не может быть ограничен).
2) Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка.
3) Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4) Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Как правило, доступ к информации, составляющей коммерческую тайну, предоставляется:
- работникам;
- физическим лицам, с которыми заключен договор гражданско-правового характера на выполнение работ/оказание услуг, связанных с обработкой информации, составляющей коммерческую тайну;
- физическим лицам, являющимся представителями/сотрудниками юридических лиц - контрагентов, с которыми заключены договора гражданско-правового характера или с которыми ведётся работа по подготовке заключения таких договоров;
- уполномоченным представителям надзорных органов.
Таким образом, должны быть определены процедуры предоставления доступа и регламентированы требования к обработке информации, составляющей коммерческую тайну, для каждой категории лиц.
Уполномоченные представители надзорных органов допускаются к информации, составляющей коммерческую тайну при наличии письменного запроса, обоснования.
5) Установка ограничительных пометок на материальные носители (документы) содержащие информацию, составляющую коммерческую тайну.
Кроме указанных обязательных мер, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, и другие, не противоречащие законодательству меры. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
1) Исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
2) Обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
Наиболее эффективными мерами для поддержания режима коммерческой тайны являются:
1) Определение владельцев информационных ресурсов.
2) Создание ролевой модели доступ к информационным ресурсам и информационным системам, обрабатывающим информацию, составляющую коммерческую тайну.
3) Предоставление доступа только к тем информационным ресурсам и информационным системам, доступ к которым необходим для выполнения должностных обязанностей и договорных обязательств.
4) Внедрение механизмов контроля информационных потоков с целью выявления несанкционированной передачи информации, составляющей коммерческую тайну.
5) Внедрение механизмов логирования действий пользователей с информационными ресурсами и определение критериев выявления подозрительных действий и операций.
PDF-версия статьи "Организация защиты информации и режим коммерческой тайны"