Разглашение коммерческой тайны

Все компании владеют эксклюзивной информацией, которая помогает им развивать бизнес и удерживать конкурентные преимущества на рынке. В отношении такой информации действует особый режим конфиденциальности — режим коммерческой тайны. Он позволяет защитить ценную информацию и привлечь к ответственности виновных за ее разглашение. Рассказываем, как ввести режим коммерческой тайны и предотвратить инциденты ИБ.

Что такое коммерческая тайна

Коммерческая тайна — это режим конфиденциальной информации, позволяющий ее обладателю: избежать неоправданных расходов, увеличить доходы, сохранить положение на рынке товаров/услуг, получить иную коммерческую выгоду.

Команда Solor Dozor

К сведениям, которые должны защищаться в рамках режима коммерческой тайны, относятся:

Информация, составляющая коммерческую тайну (КТ), — сведения любого характера, которые:

• Имеют действительную или потенциальную коммерческую ценность.
• Неизвестны третьим лицам (из-за отсутствия к ним свободного доступа в силу закона).
• Подпадают под действие режима коммерческой тайны.

Иная конфиденциальная информация (КИ) — сведения, которые:

• Не имеют действительной или потенциальной коммерческой ценности.
• Подпадают под действие режима коммерческой тайны, введенного ее владельцем. Так как предание КИ огласке может нанести ущерб интересам ее обладателя и/или иным лицам (контрагентам, работникам).

Можно спутать режим коммерческой тайны с соглашением о неразглашении (NDA). Режим коммерческой тайны подразумевает целостную, документально подкрепленную систему защиты определенной категории данных. Эти сведения имеют соответствующую маркировку(гриф) и не могут использоваться сотрудниками без надлежащих полномочий.

Режим коммерческой тайны: что он дает и как его ввести

Режим коммерческой тайны дает право ограничивать доступ к конфиденциальной информации на законных основаниях. При его введении компаниям проще защищать свои интересы при спорах и добиваться взыскания ущерба при утечках. Как действовать, чтобы оформить все по закону:

• Определить, какие сведения будут относиться к коммерческой тайне и к иной конфиденциальной информации. Компания должна составить и утвердить перечень таких сведений.
• Разработать положение о введении режима коммерческой тайны. В документе нужно указать меры по защите и ограничению доступа к этим сведениям, правила обращения с носителями данных, порядок передачи информации третьим лицам, ответственность для нарушителей.
• Ограничить доступ. Компания должна определить, кто может работать со сведениями, составляющими КТ, и КИ, какие операции выполнять и при каких условиях.
• Закрепить обязательства о неразглашении КТ и КИ работниками. Нужно внести соответствующие изменения в действующие трудовые договоры, документы для партнеров и подрядчиков, дополнительные соглашения.
• Ознакомить сотрудников с правилами режима КТ под подпись. Работники, подрядчики и партнеры должны знать, какие сведения не подлежат разглашению, как можно использовать такие данные.
• Промаркировать документы и носители данных. На материалы со сведениями, подпадающими под определение КТ и КИ, необходимо нанести соответствующий гриф.
• Внедрить меры защиты, контроль доступа и использования данных. Компания со своей стороны должна сделать все, чтобы сведения, составляющие КТ и КИ, не попали к третьим лицам.

Некоторые компании задумываются о защите сведений, составляющих коммерческую тайну или иную конфиденциальную информацию, уже после их разглашения или утечки. Но позаботиться об этом стоит еще до того, как информацию начнут использовать в работе и передавать подрядчикам/партнерам. Если ввести режим КТ постфактум, доказать правоту при конфликтах и инцидентах ИБ будет сложнее.

Какие данные относятся к коммерческой тайне, а какие — нет

Чтобы ввести ответственность за неразглашение сведений, составляющих коммерческую тайну, компания должна дать четкое определение этим данным. Что можно и чего нельзя защитить при введении режима КТ:

Формы и способы разглашения коммерческой тайны и иной конфиденциальной информации

Незаконное разглашение коммерческой тайны и иной конфиденциальной информации — общее понятие, к которому относятся любые нарушения и способы обхода правил использования таких данных. Самые распространенные сценарии и виды утечки секретных сведений:

• Прямая передача данных. Сотрудники с доступом к КТ и КИ могут продать их из личной выгоды или «подарить» конкурентам при переходе в другую компанию.
• Непреднамеренное разглашение. Работники могут выдать КТ и КИ в разговоре с коллегами или знакомыми либо случайно отправить в переписке.
• Преднамеренное хищение. Это мошенническая схема, в рамках которой работник умышленно поднимается по карьерной лестнице, чтобы получить доступ к секретным сведениям и потом использовать их в своих целях.
• Свободный доступ к секретным сведениям. Утечка происходит по вине самой компании, которая слабо организовала защиту и не контролирует действия сотрудников.
• Разглашение КТ и КИ работником после увольнения. Сотрудник после внутреннего конфликта с коллегами или работодателем может унести с собой секретные сведения и целенаправленно причинить компании вред.
• Использование личных устройств и небезопасных каналов связи. Риски утечки возрастают, если сотрудники работают с КТ и КИ со своих компьютеров через незащищенные сети либо публичные облачные сервисы.
• Утечка через подрядчиков. Законно переданные секретные сведения могут попасть к третьим лицам из-за слабой защиты или недобросовестности партнеров.

Утечки часто становятся следствием формального отношения компании к защите секретных данных, отсутствия четких правил работы сотрудников и подрядчиков. Чтобы избежать последствий для бизнеса, нужно продумать стратегию защиты — от назначения доступа до внедрения надежных СЗИ.

Последствия и ответственность за разглашение коммерческой тайны и иной конфиденциальной информации

Утечка сведений, составляющих коммерческую тайну и иную конфиденциальную информацию, несет бизнес-риски для компании. Если данные попадут в руки конкурентов, компания может потерять свои преимущества. Особенно опасны случаи, когда утекают не отдельные документы, а информация о внутренних процессах, ценообразовании, сценариях работы с клиентами. Если конкуренты воспользуются этими знаниями, компания-жертва потеряет часть продаж и устойчивость на рынке, а это прямой финансовый ущерб.

Сотрудника можно привлечь к ответственности, если он подписывал положение о вводе режима коммерческой тайны и знает, какие данные под него подпадают. При решении споров в судебном порядке учитывается, создала ли компания надлежащие условия для работы с такой информацией. Также ответственность могут понести юридические лица, которые легальным путем получили доступ к коммерческой тайне и иной конфиденциальной информации. Например, контрагенты или контролирующие органы.

Признаки возможного разглашения коммерческой тайны и иной конфиденциальной информации работниками

Иногда до утечки можно заметить признаки, которые указывают на то, что сотрудник — потенциальный инсайдер. Они не доказывают, что инцидент ИБ произойдет, но позволяют компании принять проактивные меры. Поведенческие аномалии, на которые стоит обратить внимание:

1. Необычный интерес к данным. Работник неожиданно начинает запрашивать документы, которые не нужны ему для выполнения обязанностей.
2. Массовое копирование или выгрузка файлов. Сотрудник без видимой причины выгружает или скачивает документы в больших объемах, переносит данные на флешку либо отправляет на печать.
3. Работа в нетипичное время. Необоснованный выход сотрудника на работу в выходные, задержки после трудового дня. В это время он может копировать или пересылать чувствительные данные.
4. Использование общедоступных мессенджеров и личных аккаунтов в соцсетях. Работник может пересылать данные своим контактам, если компания не будет контролировать все каналы коммуникации.
5. Повышенный интерес к клиентским базам и внутренним разработкам. Выглядит подозрительным, если сотрудник обстоятельно расспрашивает коллег о вещах, которые не входят в поле его должностных интересов, изучает специфическую документацию и ищет дополнительные детали в интернете.
6. Явная неудовлетворенность условиями труда и конфликты в коллективе. Когда сотрудник открыто высказывает недовольство руководству или коллегам, это может указывать на потенциальное инсайдерство.
7. Попытки обойти внутренние правила. Сотрудник запрашивает дополнительные права доступа, пытается войти в корпоративные системы под чужими учетными записями, превышает полномочия в процессе работы.

Большинство паттернов инсайдера можно заметить еще до того, как сотрудник пойдет на нарушение. Даже на один признак нетипичного поведения стоит обратить внимание. Если признаков несколько, действия сотрудника следует усиленно контролировать.

Выявляйте потенциальных инсайдеров с помощью DLP-системы Solar Dozor

Узнать больше

Меры защиты от незаконного разглашения коммерческой тайны и иной конфиденциальной информации

Меры делятся на организационные и технические. К организационным относятся разработка регламентов работы с секретными сведениями, назначение доступов, обучающие тренинги для персонала, ведение внутренней документации. К техническим мерам относятся использование средств для защиты данных, контроля доступа и действий сотрудников. Какие решения помогут предотвратить незаконное разглашение коммерческой тайны и иной конфиденциальной информации:

Ключевую роль в предотвращении незаконного разглашения коммерческой тайны и иной конфиденциальной информации играют DLP-системыDLP-системы — решение для предотвращение внутренних утечек.. Они позволяют контролировать основные каналы утечек: электронную почту, мессенджеры, файлообменники, корпоративные сервисы, печать. С помощью DLP-систем также можно отслеживать действия сотрудников и блокировать те, которые противоречат внутренним политикам безопасности.

Как Solar Dozor помогает предотвратить разглашение коммерческой тайны и расследовать инциденты

Solar DozorSolar Dozor — отечественная DLP-система корпоративного класса. контролирует потоки данных, с помощью контентного и контекстного анализа обнаруживает признаки секретных сведений и может в режиме реального времени блокировать вредоносные действия. Благодаря модулю Endpoint Agent система «видит» все операции с данными на рабочих станциях: печать, загрузки, копирование на носители, отправку сообщений. Для контроля корпоративных почтовых систем существует отдельный модуль — Mail Connector.

Для выявления инсайдеров в Solar Dozor реализован модуль поведенческой аналитики UBA. Система анализирует поведение персонала по 20+ паттернам, отмечает нетипичные проявления. На основе данных формируются группы особого контроля, куда входят и работники, которые могут пойти на разглашение коммерческой тайны и иной конфиденциальной информации.

Solar Dozor может препятствовать утечкам данных в голосовом формате. В системе реализована запись звука с микрофонов на рабочих станциях. Анализировать полученные данные можно с помощью функции LiveSound. Модуль Detective позволяет собрать в одном месте все материалы по делу и предоставляет инструменты для управления ходом расследования.

Начните использовать Solar Dozor и предупредите инциденты, связанные с разглашением коммерческой тайны и иной конфиденциальной информации

Запросить консультацию

От регламентов к действиям

Защита от разглашения сведений, составляющих коммерческую тайну и иную конфиденциальную информацию, подразумевает организационные меры и использование специальных систем для предотвращения утечек. К таким решениям относится DLP-система Solar Dozor. Она позволяет выявлять потенциальных инсайдеров, обнаруживать чувствительные данные в массиве информации, контролировать основные каналы коммуникации. Решение подходит для сложных и геораспределенных инфраструктур, имеет простой интерфейс, не содержит иностранного ПО.

FAQ