СёрчИнформ 14 октября 2024

Как внедрить режим комтайны в организации: 5 шагов к защите бизнеса

Как правильно оформить режим коммерческой тайны и сделать так, чтобы он реально защищал бизнес, рассказывает ведущий аналитик «СерчИнформ» Леонид Чуриков

Леонид Чуриков
Ведущий аналитик «СерчИнформ»

Участник российских и международных конференций по информационной безопасности. Спикер и модератор профильных форумов Road Show SearchInform, «Код ИБ»

В современном мире информация ценится на вес золота. Охотников до коммерческих секретов хватает, ведь они дают конкурентное преимущество на рынке: помогают переманить клиентов и редких специалистов, усилить продукцию за счет «чужих» уникальных ноу-хау и прочее. Введение режима коммерческой тайны может обезопасить ваши разработки, технологии, клиентские базы и другую чувствительную информацию.

О том, как правильно оформить режим коммерческой тайны и сделать так, чтобы он реально защищал бизнес, рассказывает ведущий аналитик «СерчИнформ» Леонид Чуриков.

Что важно знать о комтайне

Коммерческая тайна охраняется законом. За ее разглашение грозит ответственность вплоть до уголовного преследования по статье №183 УК РФ. Однако не всю информацию по закону можно прятать под гриф конфиденциальности. Например, сведения о количестве работников, их зарплате, условиях труда, информацию, которая влияет на безопасность людей, к примеру, токсичность производства, засекретить нельзя.

Поэтому, чтобы защитить ценные данные, компаниям нужно предпринять следующие шаги к внедрению режима коммерческой тайны.

1. Определите подробный перечень конфиденциальной информации. Это могут быть данные о продукте, внутренние отчеты, маркетинговые стратегии, клиентские базы, ноу-хау, если компания занимается разработками. Встречаются и общие подпункты — например, размер заработной платы. Но размеры долгов по зарплате скрыть нельзя, запрещается все тем же законом о «Коммерческой тайне».

2. Создайте внутреннюю политику. Разработанная инструкция по обращениям с конфиденциальной информацией поможет сотруднику компании понять, что считается коммерческой тайной, а что нет.

3. Маркируйте конфиденциальные документы грифом «КТ», указывая, кто имеет право с ними работать. Маркировка не только дисциплинирует: без грифа и указания, кто имеет доступ к материалу, значительно труднее доказать секретность сведений, если произойдет утечка, а также установить виновника инцидента.

4. Заключить с сотрудниками, которые имеют доступ к коммерческой тайне, соглашение о ее неразглашении. NDA следует сразу включить в трудовой договор с новыми специалистами, или оформить дополнительное соглашение с действующими. Также пункт о NDA следует включать в договоры с контрагентами.

5. Мониторинг и контроль. Регулярно проверяйте, как соблюдаются установленные правила. Одни и те же инструкции разные сотрудники воспринимают и выполняют по-разному. Контроль объективной ситуации поможет выявить проблемы на ранних стадиях и предотвратить утечку информации.

Под надежной защитой

Дополнительно следить за соблюдением ограничений и выявлять нарушения помогают системы контроля, использование которых законом не запрещается. Например, если информация хранится в «цифре» и сотрудники с ней работают за ПК, полезны будут DLP-системы. Они контролируют перемещение конфиденциальных файлов внутри компании и за ее пределы, фиксируют попытки «слива» информации и блокируют утечки.

Помимо удобства контроля DLP дают еще одно важное преимущество: собранную сертифицированными и легально используемыми системами информацию в качестве доказательств принимают суды. Требуя при этом, чтобы были соблюдены все необходимые процедуры.

Вот как это выглядит на практике.

Кейс №1

Что произошло: DLP-система обнаружила, что сотрудница в рабочее время общается по почте с представителем конкурентной фирмы. Сотрудник СБ написал докладную записку об инциденте и запросил расследование.

Как расследовали: Анализ переписки показал, что сотрудница зарабатывала на клиентской базе компании, в которой работала. Ее задача заключалась в том, чтобы переводить клиентов фирмы к конкурентам. Для полноты расследования «подняли» записи телефонных разговоров с клиентами, где сотрудница вводила собеседника в заблуждение относительно доступных ему условий обслуживания и затем прямо рекомендовала сотрудничать с компанией конкурента. Полученные сведения о клиентах, включая условия договоров с ними, она передавала конкурентам, тем самым разгласив информацию, составляющую КТ. Для расследования инцидента собрали комиссию из трех человек: представителя СБ, отдела кадров и юриста. Сотрудницу попросили написать объяснительную, но она отказалась. Был составлен акт об отказе, комиссия начала расследование. В расследовании использовались данные, полученные DLP-системой. Комиссия также рассмотрела все документы, подписанные сотрудницей при заключении контракта: согласие на мониторинг, согласие с принятым в компании положением о КТ, NDA.

Итог: Обвинительный приговор, лишение свободы на 3 года условно.

Кейс №2

Что произошло: Компания с помощью DLP-системы обнаружила, что один из сотрудников втайне просматривает почтовый ящик начальника управления.

Как расследовали: Подробный анализ показал, что часть писем пересылается конкурентам. В отправлениях содержались цены и условия контрактов с партнерами, результаты анализа рынка, детали стратегии по продвижению продукции за рубеж. Согласно принятому в компании положению о конфиденциальности, эти сведения составляли коммерческую тайну.

Внутреннее расследование показало, что сотрудник занимался этим на протяжении двух лет. В результате конкуренты получили преимущество, а компания стала фиксировать отток клиентов, потеряла рынки сбыта, понесла финансовый и репутационный ущерб.

Инсайдера уволили за грубое нарушение трудовых обязанностей на основании п. «в» ч.6 ст. 81 ТК РФ (разглашение охраняемой законом коммерческой тайны). Затем на инсайдера подали в суд. В качестве доказательств в суде представили распечатки писем конкуренту из почтового ящика, который принадлежал обвиняемому. К ним прилагалось подтверждение из DLP о том, что во всех случаях доступ к этому ящику осуществлялся с использованием учетной записи сотрудника.

Также предъявили заявку обвиняемого на право использования электронной почты, где он под подпись предупреждался об ответственности за несанкционированную отправку в Интернет конфиденциальных сведений. А заодно соглашался с проведением контроля содержимого его электронной почты специальными программно-техническими средствами. Плюс представили объяснительную. В ней инсайдер писал, что передавал конфиденциальные данные, потому что рассчитывал получить у конкурентов должность с большей зарплатой.

Кейс №3

Что произошло: Компания уволила сотрудника за попытку слива информации, как это предусмотрено ТК РФ. Работник обратился в суд с иском к работодателю о признании увольнения незаконным на том основании, что не согласен с выводами служебной проверки. Добивался восстановления на работе и взыскания невыплаченной премии.

Как расследовали: В суде пришлось восстанавливать хронологию изначального инцидента. Тогда сотрудник службы безопасности через модуль контроля съемных устройств в DLP-системе обнаружил передачу файлов на посторонний гаджет. При этом в компании было запрещено использование USB-портов.

Дальнейший анализ показал, что в копируемых файлах содержалась информация, подпадающая под гриф «секретно». Нарушитель уже попадал в поле зрения службы ИБ и входил в группу особого контроля, поэтому его заподозрили в передаче конфиденциальных данных третьим лицам.

В объяснительной работник не назвал объективной причины, зачем ему нужна была информация. Работодатель не выплатил премию и уволил нарушителя с работы. Сотрудник счел, что компания не доказала, что он действительно собирался сливать информацию на сторону, и поэтому оспорил заключения служебного расследования. Однако не учел главного: он был знаком с принятой в компании политикой безопасности и запрете на флешки, в чем добровольно расписывался. Кроме того, в положении о коммерческой тайне, с которым он также был ознакомлен, прямо указывалось, что файлы с грифом «секретно» нельзя копировать.

Наличие этих документов помогло работодателю обосновать факт нарушения, а данные из DLP — доказать факт копирования конфиденциальной информации на съемный диск.

Итог: Суд отказал работнику в исковых требованиях в полном объеме.

Заключение

Введение режима коммерческой тайны — это не просто формальность, а необходимый шаг для защиты интересов организации в условиях высокой конкуренции. Создание системы защиты информации, обучение персонала и юридическое оформление помогут не только сохранить конкурентоспособность, но и минимизировать риски. Основное правило — помнить, что эффективная защита начинается с осознания ценности информации и ответственного отношения к ее охране.