+375 (17) 311-10-14
+375 (17) 311-10-14
Попробовать бесплатно
Попробовать бесплатно
+375 (17) 311-10-14
    Защита информации
    06.02.2025
    9 мин.

    Разглашение коммерческой тайны

    Режим коммерческой тайны — это первый рубеж защиты ваших данных. Введенный на предприятии, он позволяет привлекать к ответственности нарушителей — в том числе уголовной — и дает право требовать компенсацию в случаях, когда права владельца информации были нарушены.

    В этой статье мы расскажем, чем чревато разглашение коммерческой тайны для нарушителя.

    Помимо этого, в материале мы рассмотрим:

    1. Что мы называем коммерческой тайной?

    2. Сведения, относящиеся к коммерческой тайне

    3. Введение режима коммерческой тайны на предприятии

    4. Способы разглашения коммерческой тайны

    5. Ответственность за разглашение коммерческой тайны

    6. Что делать, если украли коммерческую тайну?

    7. Как DLP-система помогает защитить коммерческую тайну?

     Что мы называем коммерческой тайной?

    Определение понятию дано в пункте 2 ст.3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» и звучит следующим образом:

     Сведения, относящиеся к коммерческой тайне

    Чтобы данные были классифицированы как коммерческая тайна, они должны удовлетворять следующим условиям:

    • представлять фактическую и потенциальную ценность для коммерческой деятельности предприятия в силу неизвестности третьим лицам;
    • быть конфиденциальными, не распространяться свободно;
    • обозначаться соответствующим образом с использованием грифа конфиденциальности или другой подобной маркировки.

    К КТ можно отнести корпоративные сведения, в том числе отчеты об аудитах, маркетинговые стратегии, секреты производства, персональные данные клиентов организации и проч.

    Согласно ст. 5 ФЗ-98, сведения нельзя отнести к коммерческой тайне, если они:

    • содержатся в уставных документах юридических лиц и в бумагах, удостоверяющих внесение информации о юридических лицах и ИП в государственные регистрационные списки;
    • служат доказательством права на предпринимательскую деятельность;
    • включают сведения о текущем состоянии активов муниципальных  или госпредприятий, а также об их тратах из бюджета;
    • содержат данные о негативных изменениях в экологической обстановке, надежности системы пожарной безопасности, контроле качества продуктов питания, выполнении санитарно-эпидемиологических требований и обеспечении радиационной защиты, а также о благополучии населения;
    • содержат данные о количестве сотрудников, их квалификации, условиях работы;
    • свидетельствуют о текущей задолженности нанимателя перед сотрудниками;
    • включают информацию о вакантных позициях и проч.

    Изучить тему подробнее можно в нашей статье «Перечень сведений, относящихся к коммерческой тайне».

     Введение режима коммерческой тайны на предприятии

    Первым шагом в управлении КТ является идентификация и оценка информационных активов компании (далее — ИА). Затем нужно классифицировать их по уровню конфиденциальности и критичности потери. Также необходимо провести учет всех носителей чувствительной информации.

    Следующий шаг — ограничение доступа к ИА, включая:

    • установление процедур обработки и хранения секретной информации и систематический контроль за их реализацией;
    • учет лиц с доступом к конфиденциальной информации;
    • создание системы ограничения доступа на основе ролей и прав пользователей;
    • определение порядка работы с охраняемыми сведениями в соглашениях и договорах гражданско-правовой и трудовой направленности, которые заключаются с контрагентами и сотрудниками;
    • установка системы классификации и маркировки информации на основе грифов секретности.

    Изучить тему подробнее можно в нашей статье «Применение грифов конфиденциальности».

    Владелец коммерчески ценных данных в праве использовать аппаратные и технические средства для обеспечения безопасности данных.

    Только после принятия всех необходимых мер для защиты секретных сведений можно будет перейти к этапу утверждения Положения о коммерческой тайне компании.

    Положение о коммерческой тайне

    Положение о КТ — это документ, который регулирует работу с коммерчески ценными данными на предприятии.

    Как правило, в Положении описывают:

    • общие положения;
    • инструкции по управлению доступом к конфиденциальным данным, устанавливающие конкретные функции каждой из сторон в поддержании режима ИБ на предприятия;
    • время после прекращения трудовых отношений, в течение которого бывшему сотруднику запрещено раскрывать КТ организации;
    • меры, принимаемые в отношении работников, виновных в разглашении коммерческой тайны предприятия;
    • принятые на предприятии меры по охране сведений;
    • реестр сотрудников и других лиц, имеющих допуск к КТ организации.

    Важно! Перечень сведений, составляющих коммерческую тайну, можно оформить в виде приложения к Положению и обновлять его по мере необходимости.

    Положение о КТ вводят в действие отдельным приказом. Положение сотрудники и контрагенты подписывают вместе с основным договором. 

    Что еще нужно знать о введении режима коммерческой тайны?

    Согласно законодательству Российской Федерации, перед введением режима КТ на предприятии руководитель обязан:

    • под подпись ознакомить сотрудников с текстом Положения и полным перечнем сведений, составляющих КТ;
    • создать условия, в которых персонал организации может соблюдать режим КТ.

     Как могут похитить или разгласить данные, которые составляют коммерческую тайну?

    В ст. 3 п. 9 ФЗ-98 предложена такая формулировка действий, которые можно назвать разглашением КТ:

    Сведения, составляющие КТ, могут быть похищены или разглашены следующим образом.

    1. Халатное обращение с данными. Не всегда данные разглашаются злонамеренно. Сотрудники компании  или контрагенты могут случайно разгласить коммерческую тайну, например, через социальные сети, электронную почту или другие каналы коммуникации.
    2. Деятельность инсайдеров, промышленный шпионаж. Инсайдеры, имеющие доступ к охраняемым данным, могут передать или продать их конкурентам.
    3. Фишинг и социальная инженерия. Злоумышленники могут использовать фишинговые письма, поддельные веб-сайты и другие мошеннические методы для получения доступа к конфиденциальной информации. Таким образом, невнимательность сотрудников вашей организации может привести к серьезным утечкам данных, составляющих КТ. Сократить риски таких утечек можно через секьюритизацию персонала.
    4. Кража или потеря носителей информации. Отсутствие контроля за носителями информации может привести к их хищению, что в свою очередь может привести к эксфильтрации охраняемых данных.
    5. Взлом информационной системы компании — и, как следствие, несанкционированный доступ. Мошенники могут попытаться взломать системы компании, чтобы получить доступ к КТ. Взлом может подразумевать использование уязвимостей внутри информационной системы (далее — ИС), внедрение вредоносного ПО, хищение или подбор паролей, а также иные методы несанкционированного доступа.

     Ответственность за хищение и разглашение коммерческой тайны

    Статья УК РФ ст. 183 предусматривает следующую ответственность за хищение и разглашение КТ.

    Помимо этого, сотрудники предприятия или контрагенты, осуществившие незаконное получение или разглашение информации, составляющей служебную или коммерческую тайну, несут обязанность по возмещению нанесенного ущерба.

    Под ущербом понимаются расходы, которые понесет владелец КТ вследствие утраты или повреждения имущества, расходы на восстановление нарушенного права, а также упущенная выгода, то есть доходы, которые должен был получить владелец КТ в обстоятельствах, при которых его права не были нарушены.

    Важно! Согласно ст. 11 п. 5. ФЗ-98, при отсутствии достаточных мер по защите КТ сотрудник, работающий в компании или уже расторгнувший трудовые отношения, не обязан возмещать убытки владельцу информации в случае ее разглашения.

    Проблемы контроля за оборотом КТ в современных информационных системах

    Обеспечить контроль за движением конфиденциальных данных внутри современной организации сегодня значительно сложнее, чем десятилетие назад, потому что традиционные методы защиты (например, ограничение физического доступа) больше не работают.

    Контроль за распространением информации становится особенно сложным в условиях активного использования интернета, в том числе мессенджеров, социальных сетей, электронной почты, и современных съемных носителей данных большого объема. В компаниях, в которых не установлен запрет на использование личных устройств (компьютеров, телефонов, съемных носителей), защитить данные практически невозможно.

    При этом обеспечение безопасности информации, составляющей КТ, не должно сказываться на бизнес-процессах, то есть замедлять или запрещать их.

     Что делать, если украли коммерческую тайну?

    Даже при использовании самых современных методов защиты информации невозможно гарантировать ее абсолютную безопасность. Всегда есть риск упустить какие-либо тонкости законодательства или технические и организационные нюансы. Также не стоит забывать о вероятности того, что лица, имеющие доступ к конфиденциальной информации, могут нарушить закон и действовать против интересов компании по личным мотивам. 

    В случае утечки КТ может возникнуть необходимость обратиться в суд, а в некоторых ситуациях — и в правоохранительные органы для проведения уголовного расследования.

    Важно! Вы сможете наказать нарушителя только в том случае, если он подписал корректно составленное Положение о коммерческой тайне.

    С чего начать?

    1. Зафиксируйте факт нарушения и соберите документы. Чтобы повысить шансы на успешное разрешение вопроса, необходимо тщательно подготовиться: собрать доказательства и корректно оформить документы. Ниже мы рассмотрим, какая информация может считаться доказательством. Сила аргументов во многом определит исход дела.
    2. Отправьте нарушителю досудебную претензию. Подробно опишите факт нарушения и сошлитесь на конкретные пункты соглашения, которые были нарушены. В случае если в течение 30 дней после отправки претензии не будет получен ответ от нарушителя, необходимо подготовить исковое заявление. 
    3. Обратитесь в суд или в полицию. Обратиться в правоохранительные органы необходимо в ситуациях, когда в результате утечки пострадали третьи лица, а также в тех ситуациях, когда владелец КТ понес серьезный финансовый ущерб.

    Какая информация может считаться доказательством хищения КТ?

    1. Снимки экрана компьютера, на котором было совершено нарушение, а также логи программного обеспечения, которое осуществляет мониторинг активности сотрудников в течение трудового дня, в том числе логи DLP-систем.
    2. Логи операционной системы.
    3. Отправленные письма, логи переписок в мессенджерах.
    4. Снимки и видео с камер видеонаблюдения. 

    Также целесообразно собрать показания свидетелей, если такие имеются. Показания следует оформить документально и закрепить подписью свидетеля.

    Важно: предотвратить утечку информации с помощью специализированного программного обеспечения, в том числе DLP-систем, может быть проще и дешевле, чем устранять последствия, обращаться в суд и ждать выплаты ущерба.

     Как DLP-система помогает защитить коммерческую тайну?

    Законодательство не ограничивает применение технических средств, которые нужны для осуществления и защиты исключительных прав. Поэтому можно считать вполне законным использование DLP-системы как инструмента, который правообладатель применяет для реализации своего исключительного права на результаты интеллектуальной деятельности.

    Для предотвращения утечки корпоративной информации компания «ФалконГейз» рекомендует внедрить DLP-систему SecureTower в информационную систему организации.

    DLP-система в сочетании с организационными и правовыми мерами поможет предотвратить случайное или намеренное распространение корпоративной информации сотрудниками, а также позволит отслеживать рабочую активность персонала — без нарушения конституционных прав работников. 

    SecureTower, внедренная в ИС организации, обеспечивает:

    • защиту от утечек данных по вине персонала, в том числе данных, составляющих коммерческую тайну;
    • контроль за нецелевым использованием ресурсов организации;
    • контроль за активностью персонала в течение рабочего дня;
    • выявление потенциально опасных, неблагонадежных сотрудников и проч.

    Система перехватывает информацию в максимальном числе каналов коммуникации, анализирует ее на соответствие правилам безопасности и — если было настроено заранее — при выявлении нарушений оповещает уполномоченных и блокирует нежелательные операции. 

    Внимание!

     

    Для легитимного внедрения DLP-системы в корпоративную структуру организации необходимо под подпись ознакомить сотрудников с документом, в котором изложены следующие тезисы.

     

    1. Персоналу не разрешается использовать устройства и программное обеспечение работодателя в личных целях. Также запрещено использовать личную электронную почту, аккаунты в мессенджерах и социальных сетях при выполнении трудовых обязанностей.
    2. Для обеспечения эффективного управления и контроля за работой персонала работодатель вправе использовать специализированные программные средства, позволяющие отслеживать выполнение должностных обязанностей, а также осуществлять мониторинг данных, размещенных в корпоративной информационной системе.

    Осведомленность сотрудников об использовании специализированного ПО для контроля за выполнением трудовых обязанностей, как правило, способствует сокращению числа утечек данных, совершенных умышленно.

    Пример предустановленного правила безопасности в DLP-системе Falcongaze SecureTower

    В системе уже установлено некоторое количество правил безопасности, сработка которых может указывать на попытку хищения интеллектуальной собственности.

    DLP-система SecureTower

    Для удобства пользователей правила разделены на группы: «Контроль использования почты», «Контроль использования принтера», «Контроль переписок и звонков в мессенджерах», «Подозрительная деятельность», «Утечка информации», «Утечка логинов и паролей», «Утечки бухгалтерской и управленческой документации» и проч.

    Рассмотрим подробнее предустановленное правило «Утечка бухгалтерского баланса» из группы «Утечки бухгалтерской и управленческой документации». 

    Это правило по предустановленному словарю «Утечка бухгалтерского баланса». Если активировать это правило, система будет автоматически анализировать все документы на наличие слов из указанного словаря с порогом срабатывания в 3 слова. Помимо этого, в правиле настроен поиск документов с такими терминами, как ИНН, ОКВЭД, ОКЕИ, ОКУД, ОКПО в большом количестве каналов коммуникации. Также система будет контролировать кейлогер и данные, сохраненные в буфер обмена.

    В случае если ваш сотрудник попробует скопировать или передать бухгалтерскую документацию, система зафиксирует это как нарушение правила и оповестит офицера безопасности. При необходимости вы можете настроить запрет на копирование или передачу конфиденциальной информации. 

    Вы можете создавать и настраивать собственные правила, которые будут решать задачи информационной безопасности, характерные для сферы деятельности вашей компании. Правила, настроенные под конкретный бизнес, позволяют выявлять нарушения максимально точно и дают значительно меньшее число ложных сработок. Мы обучаем наших клиентов создавать правила безопасности, которые будут отвечать потребностям бизнеса. 

    DLP-система Falcongaze SecureTowerВы можете опробовать возможности DLP-системы Falcongaze SecureTower бесплатно в пробной версии в течение 30 дней. На этот период мы закрепим за вами технического специалиста и менеджера, которые обучат вас использовать систему эффективно, а также помогут настроить правила безопасности. По истечении пробного периода мы поможем составить итоговый отчет по результатам и возможностям SecureTower. 

    Оформить заявку на пробную версию системы можно тут.

    В заключение

    Рассматривая вопросы введения режима коммерческой тайны, следует признать, что невозможно создать решения, которые полностью устранят риски неправомерного вмешательства в информационную систему. По факту, чтобы исключить риски утечки данных, нужно отказаться от любой деятельности в принципе. 

    При этом, исключительные права предприятия на результаты интеллектуального труда, которые хранятся и обрабатываются в информационной системе, его нематериальные активы, коммерческая тайна, персональные данные и другие охраняемые сведения, сложно эффективно защитить без применения DLP-систем.

    Важно отметить, что DLP-системы — это практически единственный инструмент информационной безопасности, который направлен и на решение бизнес-задач, а не только на выполнение конкретных функций по обеспечению безопасности данных.

     

    Важные публикации

    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    Обновления SecureTower
    Вышла новая версия DLP-системы Falcongaze SecureTower 7 Helium
    5 ноября 2024 года мы выпустили обновленную версию DLP-системы SecureTower 7 Helium, в которой была усовершенствована система защиты информации и предотвращения утечек конфиденциальных и персональных данных, а также добавлены новые полезные функции — все для удобства пользователей.
    Дайджест SecureTower: обновления августа 2024 года
    Новости Falcongaze
    Дайджест SecureTower: обновления августа 2024 года
    Перед вами дайджест улучшений системы Falcongaze SecureTower за август 2024 года. Приятного просмотра!
    DLP-системы – что это такое и как это работает
    DLP-система
    DLP-системы – что это такое и как это работает
    Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Информационная безопасность
    Информационная безопасность предприятия: что это такое и зачем нужна компании
    Современное предприятие является обладателем огромного пула информации в разных вариациях. Как обеспечить ее защиту? В какой форме контур безопасности информации в компании будет обеспечен полностью? И в общем: что такое информационная безопасность предприятия? Об этом в статье.
    Профайлинг
    Управление персоналом
    Профайлинг
    Психология внедрена в корпоративную жизнь достаточно плотно. Есть задачи, которые решаются только с помощью таких приемов. И даже используются специальные методы определения личности – профайлинг, когда анализируют психологический портрет окружения. Что такое профайлинг и как он применяется?
    Угрозы информационной безопасности
    Информационная безопасность
    Угрозы информационной безопасности
    Угрозы информационной безопасности решаются комплексом мер по предупреждению, выявлению и обнаружению, локализации и смягчении последствий от наступивших угроз ИБ. Об этом подробнее в статье Falcongaze.
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность
    Документы по информационной безопасности: общие и частные примеры
    Информационная безопасность – важная тема для многих. О мерах ИБ задумываются в какой-то мере все участники общества: и частные лица, и организации, и само государство в целом. При таком разнообразии подходов и необходимости адаптации процессов под каждый отдельный случай важно создать четкий план действий. Для этого и созданы документы по информационной безопасности. Предлагаем сегодня рассмотреть эту тему.
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность
    Информационная безопасность: определение, требования, модели и этапы
    Информационная безопасность – это одно из основных направлений защиты бизнеса каждой современной компании. Сегодня, в эпоху всесторонней цифровизации, именно информация становится главным оружием в конкурентной гонке.
    Защита персональных данных
    Защита информации
    Защита персональных данных
    Персональные сведения представляют собой информацию, которая позволяет определить личность определенного человека или сделать его узнаваемым. Эти сведения включают такие данные, как ФИО, адреса, телефоны, финансовую информацию и др. В данной статье мы рассмотрим суть защиты персональных данных и их конфиденциальности, а также различия между ними. Кроме того, мы ознакомимся с основными требованиями законодательства в отношении защиты персональных данных и методами их соблюдения.
    Что такое CRM-системы управления клиентскими отношениями
    Технологии
    Что такое CRM-системы управления клиентскими отношениями
    CRM (Customer Relationship Management) — это системы управления отношениями, которые помогают компаниям налаживать эффективную коммуникацию с клиентами, повышать уровень обслуживания, усиливать лояльность и увеличивать доходы. Использование CRM в комбинации с DLP – это инвестиция в мощный инструмент в качестве системы управления компанией.
    Система защиты информации: принципы, методы, преимущества
    Информационная безопасность
    Система защиты информации: принципы, методы, преимущества
    Система защиты информации (СЗИ) – это комплекс мер и технологий, деятельность которых направлена на предотвращение утечки защищаемой информации из-за несанкционированного доступа, случайности, либо злонамеренности сотрудника. К основным методам относятся DLP и SIEM системы. В конце прописан порядок внедрения системы информационной безопасности в организацию.
    Средства и системы контроля и управления доступом
    Управление персоналом
    Средства и системы контроля и управления доступом
    Безопасность организации или предприятия – одна из основных задач руководителя. Чтобы сократить риски реальной угрозы возникновения чрезвычайной ситуации, во многих случаях следует обеспечивать физическую защиту и охрану проектируемых или функционирующих объектов. Сегодня такие задачи возлагают на специальные средства и системы контроля и управления доступом (СКУД). В статье специалисты аналитического центра Falcongaze SecureTower собрали основную информацию, которую необходимо знать руководителю о СКУД.
    Показать больше

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации