Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

DLP-Эксперт

Организация обмена знаниями и опытом в области защиты от инсайдеров
Тел.: +7 (903) 101-1856
Сайт: www.bis-expert.ru
E-mail: Sedov@bis-expert.ru
Контактная информация: О компании
Разделы выставки: DLP-решения (защита от утечек)
Регионы работы: Москва
Статья

Устанавливаем режим коммерческой тайны

Прелюдия

По опыту общения с руководителями и менеджерами компаний, решивших установить у себя режим коммерческой тайны, знаю, что очень часто при оценке целесообразности этого шага исходят только из наличия охраноспособной информации, которая может быть отнесена к секретам производства. Гораздо реже при этом задумываются над тем, а к чему этот шаг приведет в отношении всего созданного за годы существования предприятия массива данных и документов, хранящихся и обрабатываемых как в информационной системе, так и в традиционном, архаичном, но живучем бумажном виде. Ответ на этот вопрос весьма не прост, а шаги, необходимые для реализации выдвигаемых законом требований, могут потребовать немалых ресурсов, как временных, так и денежных, а также серьезной юридической проработки.

Не будем рассматривать в данной статье, зачем и почему руководство предприятия решило устанавливать режим коммерческой тайны. Тема очень интересная, но вполне самостоятельная, да и написано об этом много. Подчеркну лишь, что я не случайно педалирую слова «руководство», «менеджмент» в самом начале статьи. Без их воли и полной поддержки проект по установлению режима коммерческой тайны успешным не будет. «Снизу», от службы безопасности, например, он не растет. Только «сверху», проверено много раз.

Итак, решение принято.

Понятно, что предприятие уже имеет свою историю, работает какое-то время, накопило нематериальные активы, хотя, может быть, еще это и само не осознало, и не оформило активы в том смысле, как это подразумевает Налоговый кодекс РФ. Как-то ни разу не сталкивался со стартапом, в котором режим коммерческой тайны устанавливается сразу, с момента учреждения компании и запуска в проработку идеи, послужившей основой для ее создания. Кстати, зря. Практически все стартапы – дети какой-либо «придумки», реализация которой обещает в перспективе большую или очень большую прибыль. То есть с потенциального секрета производства в чистом виде, у которого изначально есть два родовых признака из трех – потенциальная коммерческая ценность в силу неизвестности их третьим лицам и отсутствие у этих самых третьих лиц свободного доступа к этой самой идее на законном основании. А третий родовой признак ноу-хау – это как раз установление в отношении него режима коммерческой тайны.

Но у нас не новорожденное предприятие, как договорились, а некое поработавшее на рынке, накопившее идеи, технологии, исследования, в отношении которых хочется установить и реализовать исключительные права на объекты интеллектуальной собственности, предусматривающие возможность  ограничивать к ним доступ по своему усмотрению, разрешать или запрещать их использование и иными способами получать преимущества на рынке от единоличного владения этими секретами.

Первые шаги

Первое, что придется сделать после принятия решение об установлении режима коммерческой тайны, - разработать перечень информации, составляющей коммерческую тайну (ИКТ). Без него двигаться куда-либо бессмысленно. И это первый большой, острый и, конечно, подводный, камень на пути к конечной цели – снижению рисков утечек и получению правовой помощи государственных институтов в защите своих исключительных прав на секреты.

Подводный – потому что изначально эта задача кажется простой и очевидной. Большой и острый – потому что от того, как составлен перечень, в дальнейшем решающим образом зависит, будут ли конкретные сведения и документы относиться к коммерческой тайне их исполнителями и подписывающими их руководителями, или режим будет существовать только на бумаге, никак не затрагивая реальную деятельность предприятия.

Изначально перечень ИКТ чаще всего представляют собой одну страницу текста примерно с такими формулировками: «данные управленческого учета», «сведения о предприятии как о торговом партнере» или «информация о направлениях маркетинговых исследований» (все приведенные примеры – абсолютно реальные). Скажите, положа руку на сердце, прочитав это, вы поймете, на каком конкретно документе надо поставить гриф «Коммерческая тайна» с указанием правообладателя? Вот и работники предприятия тоже не поймут. В результате гриф не ставится нигде. А это значит, что нет охраняемой информации, нет в отношении нее исключительных прав и нет правовой защиты. Российские суды неоднократно отказывали в признании незаконными действий конкурентов или бывших работников предприятий, неправомерно использующих чужие наработки только на том основании, что ограничительного грифа и названия правообладателя на технологической документации не было. Не так давно пострадала от этого не последняя в России компания – «Уралвагонзавод», конкуренты которой наладили целое производство комплектующих, используя «позаимствованные» чертежи. Предприятие попыталось через суд добиться прекращение противоправной деятельности, но… Суды были непреклонны (цитирую постановление окружного арбитражного суда): «Окружной суд посчитал правомерным вывод предыдущих судов о непринятии ОАО «Уралвагонзавод» всех необходимых мер для охраны конфиденциальной информации. Как справедливо указали суды, рассматривавшие дело, в ст.10 ФЗ «О коммерческой тайне» установлено, что нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации является одной из таких мер. Доказательств нанесения соответствующей информации на чертежи своей продукции истец не представил, а потому в удовлетворении соответствующего требования истца отказано обоснованно».

Поэтому перечень ИКТ должен быть максимально конкретным, по прочтении которого работник, создавший документ, содержащий некие чувствительные для предприятия сведения, может четко соотнести его с тем или иным положением перечня и принять решение об отнесении сведений к ИКТ и простановке грифа. Дело это, конечно, непростое, но решаемое. Наше агентство, например, использует для этого методики, позволяющие получить по каждой категории сведений, включаемых в перечень ИКТ, конкретные ответы на вопросы о потенциальном «покупателе» такой информации, ее предполагаемой стоимости, влиянии разглашения на деятельность предприятия, сроках действия ограничений доступа, условиях его прекращения и т.д. Получение внятных ответов на них позволяет сформировать перечень уже несколько иного содержания, например, с такими категориями сведений: «Информация о предполагаемых сделках, цена которых превышает …» или «Материалы проверок департамента внутреннего аудита (до принятия решения Советом директоров)», «Условия проведения тендеров на закупку … стоимостью от …(до момента опубликования условий)» и т.д.

Обязательным условием формирования перечня ИКТ является его финальная проверка на соответствие положениям статьи 5 ФЗ «О коммерческой тайне», устанавливающей сведения, которые к коммерческой тайне отнесены быть не могут. И не забудет, что такие ограничения содержатся и в других федеральных законах, регулирующих вопросы доступа к информации. Если этим не озаботиться на этапе составления перечня, наличие в нем сведений, охрана которых в режиме коммерческой тайны запрещена законом, может привести к оспариванию перечня в суде, признания его юридически ничтожным со всеми отсюда вытекающими последствиями. Есть в законе о коммерческой тайне одна очень опасная и часто не замечаемая норма: режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 статьи 10 закона. А там первое требование – наличие перечня. Нет его (суд не согласился) – значит, и режима нет, и исключительных прав на секреты производства.

Как не утонуть в море информации

Перечень ИКТ сформирован. Теперь надо наладить работу по отнесению к ИКТ вновь создаваемых сведений и документов. При этом перечень должен рассматриваться не как «демон Максвелла», четко фильтрующий документы и однозначно раскладывающий в их в две корзины – «Общедоступные» и «Содержащие ИКТ», а как светофор, который зажигает желтый свет и заставляет подумать о необходимости и целесообразности ограничения доступа к тем или иным сведениям. Скажем, упоминавшаяся выше категория «Информация о предполагаемых сделках, цена которых превышает …» вовсе не означает автоматического отнесения всех договоров на сумму свыше установленной к ИКТ. Например, сведения о проведении косметического ремонта помещений вряд ли имеют ценность в силу неизвестности их третьим лицам, даже если здание большое и ремонт дорогой. И уж точно не позволит обладателю этих сакральных знаний «увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», что является целью установления режима коммерческой тайны по закону. Но заставит задуматься о том, надо ли относить информацию о заключении договора на установленную перечнем ИКТ сумму к ИКТ.

С вновь создаваемыми сведениями все более-менее просто. А вот что делать с той информацией, что была создана ранее, до установления режима коммерческой тайны? Вопрос совсем не простой.

С одной стороны, ответ кажется очевидным – найти и засекретить. Но это поверхностный, необоснованный и опасный ответ. И вот почему.

Мы помним про родовые признаки коммерческой тайны, в том числе  – отсутствие доступа к ней третьих лиц на законном основании. Есть еще один тонкий момент. Статья 1467 Четвертой части Гражданского кодекса РФ коротка и сурова: «Исключительное право на секрет производства действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих его содержание. С момента утраты конфиденциальности соответствующих сведений исключительное право на секрет производства прекращается у всех правообладателей».

 

И вот тут надо остановиться и задуматься. А все ли лица, включая уже уволившихся работников предприятия, приняли на себя обязательство хранить в тайне сведения, которые обладатель собирается защищать в режиме коммерческой тайны? И выводы для предприятия как работодателя могут оказаться весьма неутешительными. Отношения с работниками, связанные с коммерческой тайной, по закону регулируются исключительно трудовым договором, для обеспечения чего и Трудовой кодекс (ст.57), и Федеральный закон «О коммерческой тайне» (п.4 части 1 ст.10) предусматривают соответствующие нормы. Но работник, создавший объект интеллектуальной собственности, формально подпадающий под определение ноу-хау, уже уволился. До установления режима. И никаких обязанностей по охране конфиденциальности в соответствии с законом не имеет. Юридическая ловушка здесь заложена серьезная. Опять-таки, нельзя сказать, что не разрешимая. Но требующая значительных усилий по ее обходу.

Вторая значительная проблема заключается в том, что сведения, правомерно относимые к коммерческой тайне, и содержащиеся в конкретном документе, могут быть и в других, пока не загрифованных документах. Их надо найти в бумажных завалах, и, что сложнее, в информационной системе. Найти, проанализировать и, если надо, проставить на них гриф и наименование обладателя.

Вот здесь совершенно неоценимую помощь могут оказать обладателю секретов DLP-системы, которые могут на лету анализировать содержание документов с использованием методов контентного (лингвистического) анализа или цифровых отпечатков. Но правила анализа (ключевые слова и фразы) придется задавать вручную. Хорошо, если производитель подумал об этой проблеме и предлагает некие правила фильтрации. Очень хорошо, если они разработаны с учетом специфики отраслевой деятельности. Но все равно, подумать, попотеть и поработать руками придется. Если результат важен, конечно. Другой распространенный и приемлемый путь – выявляем электронный документ, фиксируем ту его часть, которая содержит ИКТ, делаем «цифровой отпечаток» этого фрагмента и ищем те электронные документы, где он встречается. Оптимальным является сочетание этих двух методов, поскольку позволяет снизить ошибки и первого (ложное срабатывание - принять за охраняемые сведения таковыми не являющиеся), и второго (пропустить критичную информацию) рода. И там, и там есть ограничения, но в целом методика выглядит примерно так.

Конечно, такая работа потребует времени и квалификации (найти – оценить – принять решение), но без этого обойтись при реальной заботе о сохранности секретов будет трудно.

Не забудем, что выявленные электронные документы, содержащие ИКТ, надо загрифовать. Для этого неплохо бы создать шаблоны форматирования, содержащие необходимые реквизиты (гриф, наименование и место нахождения обладателя), чтобы документы наиболее распространенных форматов (MS Office, pdf и другие - в зависимости от специфики деятельности предприятия) можно было оформить одним нажатием кнопки в соответствующем приложении (для чего написать плагин)  или в системе электронного документооборота (некоторые это уже умеют делать с тем или иным успехом).

Все это крайне важно по причине специфики российского законодательства, требующего нанесения грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полного наименования и места нахождения) на все без исключения материальные носители и документы. Не забудем и про базы данных, где сведения хранятся не в виде файлов, а как записи. Как минимум, в базу просится пара-тройка дополнительных полей. В российских судах уже достаточно много прецедентов отказов в защите прав обладателя секретов и привлечении работников к ответственности за неправомерное использование сведений из-за отсутствия грифа именно у данных, хранимых именно в электронном виде.

Отметим еще, что работа по анализу содержания информации в системе предприятия – процесс постоянный и не заканчивается никогда в период действия режима коммерческой тайны. Как и совершенствование базы контентной и лингвистической фильтрации, базы цифровых отпечатков. Часто и справедливо говорят, что обеспечение безопасности – это непрерывный, циклический процесс. И в ходе его, особенно в отношении информации, составляющей коммерческую тайну, еще не раз сможет помочь применение DLP-систем. Но это совсем другие истории.

Конечно, мы рассмотрели только в самых общих чертах и далеко не все аспекты, связанные с процессом установления режима коммерческой тайны, да и цели такой не стояло. За границами статьи осталось регулирование отношений с работниками и контрагентами, взаимодействие с органами власти в ходе предоставления им защищаемых сведений, учет доступа и осведомленности и многие другие аспекты. Но даже на примере рассмотренных вопросов отнесения сведений к охраняемым видна многогранность, сложность и масштабность проблемы защиты секретов производства.


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс