Защита финансовой информации: как избежать утечек
Узнать больше98-ФЗ (29.07.2004) устанавливает перечень информации, который относится к категории коммерческой тайны. Согласно этому нормативному акту в особую категорию сведений относятся финансово-экономические, производственные, научно-технические данные о компании, которые необходимы для ведения деятельности, поддержании конкурентоспособности, увеличения прибыли. Эти сведения являются собственностью организации, подлежат защите и не могут быть никак обнародованы без разрешения владельца.
Что такое коммерческая тайна
Коммерческая тайна — это сведения, от которых напрямую зависят финансовые результаты деятельности компании, ее конкурентоспособность, положение и доля на рынке, а также другие рыночные показатели. К коммерческой тайне относится информация производственного, технического, организационного, экономического характера, которая представляет конкретную коммерческую ценность. Примерами коммерческой тайны являются базы данных клиентов, рыночная стратегия, условия работы с подрядчиками и поставщиками, рецептура, особенности технологического процесса и так далее.
Защита коммерческой тайны от разглашения, доступа третьих лиц и утечек является для многих компаний первоочередной задачей.
Категории коммерческой тайны
Важность информации вправе обозначить и установить сам владелец. Это поможет определить ценность данных, установить порядок обращения с ними. Одним из известных вариантов классификации сведений коммерческой тайны является следующий:
-
Сведения особой секретности. Сюда относят коммерческие данные приоритетного характера. Например, оборот средств компании, условия договоров и сделок с партнерами, собственные технологии и наработки, на которых основывается производство или деятельность организации.
-
Сугубо конфиденциальная информация. Включает сведения, которые связаны с перспективами развития бизнеса, управлением. Например, стратегия развития на следующий год, список потенциальных партнеров с которыми ведутся переговоры, перспективы использования и модернизации отдельных видов деятельности.
-
Конфиденциальные данные. Включают сведения, которые непосредственно связаны с текущей деятельностью, могут стать причиной убытков. Например, кредитные обязательства перед банками, расходы на закупки товаров и услуг, список актуальных поставщиков и условия работы с ними.
-
Информация ограниченного доступа. Речь идет про внутренние документы, правила, стандарты, которые используются при ведении деятельности. Например, структурные подразделения организации, порядок управления филиалами, внутренние правила ведения деятельности.
Что входит в составляющие коммерческой тайны?
В качестве примеров, иллюстрирующих понятие коммерческой тайны, можно привести следующие виды данных:
-
Список клиентов и поставщиков организации.
-
Данные, отражающие условия заключения договоров с клиентами и партнерами.
-
Сведения, относящиеся к ведению переговоров с контрагентами.
-
Деловая переписка с партнерами.
-
Методы и подходы к ценообразованию услуг или реализуемых товаров.
-
Данные, содержащие и отражающие размеры, виды, условия кредитования организации.
-
Сведения, раскрывающие заработную плату и премии персонала.
-
Данные, содержащие и показывающие методы управления организацией.
-
Информация о присутствующих и незапатентованных разработках, ноу-хау.
-
Стратегические и управленческие данные: бюджет на развитие, план деятельности, маркетинговые исследования и анализ рынка, рекламные кампании.
-
Сведения, отражающие технологические параметры производимой продукции.
-
Информация, указывающая на виды и приоритеты используемого ПО в организации.
-
Сведения, дающие возможность получить доступ к ПО и технике, используемой в организации.
-
Любые данные, описывающие системы безопасности и охраны компании.
Режим коммерческой тайны
Коммерческая тайна приобретает свою ценность и значимость только в том случае, если ее владелец позаботился об этом. Для этого должны быть выполнены правовые, организационные, технические мероприятия со стороны владельца сведений и четко обозначен их список. Чтобы установить в организации режим коммерческой тайны необходимо:
-
Издать указ, который определяет перечень сведений, составляющих коммерческую тайну.
-
Обозначить важные документы и носители специальной маркировкой, указывающей на класс сведений.
-
Подписать с сотрудниками компании соглашение о защите коммерческой тайны.
-
Разработать правила доступа и порядок обращения с особо ценной информацией.
-
Создать круг ответственных лиц, занимающихся обработкой, хранением конфиденциальных сведений.
-
Обозначить ответственность за разглашение коммерческих данных.
Положение о коммерческой тайне
Чтобы грамотно и понятно обозначить ценную информацию, подлежащую охране, используют такой внутренний документ как положение о коммерческой тайне. Он составляется руководителем в свободной форме. Рекомендуется включить в него следующие пункты:
- Цель, назначение документа.
- Права владельца информации.
- Перечень прав, обязанностей, ответственность руководителя организации.
- Подробный список со сведениями особой секретности.
- Порядок установленного режима коммерческой тайны.
- Круг лиц, наделённый полномочиями доступа к конфиденциальным сведениям.
- Перечень организационных и технических мер по защите данных.
- Ответственность за разглашение информации (дисциплинарная, административная, материальная, уголовная).
Ответственность за разглашение коммерческой тайны
Ответственность за разглашение коммерческой тайны наступает только в том случае, если в компании правильно введен и используется режим коммерческой тайны. Если вы выполнили все 6 пунктов, описанных выше в разделе Режим коммерческой тайны, то можете рассчитывать на защиту своих законных интересов как в досудебном, так и судебном порядке.
Какая ответственность предусмотрена на разглашение коммерческой тайны?
-
Дисциплинарная ответственность
Дисциплинарные взыскания используются в рамках досудебного урегулирования споров. Чаще всего компании стремятся разрешить конфликты, связанные с разглашением и утечкой коммерческой тайны, в рамках собственных внутренних расследований. В этот процесс бывают вовлечены службы информационной, экономической безопасности, отдел кадров, непосредственный руководитель виновного сотрудника. А классическим инструментом, который помогает в сборе доказательств и проведении расследований, служат DLP-системы. Примерами дисциплинарного взыскания являются штраф, выговор и даже увольнение. -
Административная ответственность
КоАП РФ предусматривает штраф в размере от сорока тысяч до пятидесяти тысяч рублей для должностных лиц, альтернатива этому наказанию – запрет заниматься профессиональной деятельностью сроком до трех лет. Для организаций наказание в виде штрафа составляет от ста тысяч до двухсот тысяч рублей. -
Гражданско-правовая ответственность
В соответствии с ГК РФ, если компании нанесен ущерб вследствие разглашения коммерческой тайны, то с виновного лица можно взыскать эти убытки (но они должны быть обоснованы и доказаны). Виновным лицом могут быть не только сотрудники организации (внутренние инсайдеры), но и третьи лица, например, партнеры компании, подрядчики, специалисты, работающие на компанию в рамках аутсорсинга (специалисты по консалтингу, аудиторы) и т. д. -
Уголовная ответственность
Уголовная ответственность за разглашение коммерческой тайны предусмотрена статьей 183 УК РФ.
В каких случаях применяется уголовное наказание? -
Если коммерческая тайна стала доступна сотруднику, третьему лицу или группе лиц в результате обмана, шантажа, подкупа, угроз, хищения, и ее разглашение привело к крупному ущербу (и другим тяжким последствиям)
-
Если доступ к коммерческой тайне был получен благодаря служебному положению, и она была разглашена и использована без согласия ее владельца.
Таким образом, корысть, злой умысел и тяжкие последствия (например, крупный ущерб) – это основания для применения уголовного наказания, которое может состоять как в наложении штрафа (до 1,5 млн рублей), так и лишении свободы (вплоть до 5 лет).
Меры по защите коммерческой тайны
-
Ввести на предприятии действующий режим коммерческой тайны.
-
Обозначить все важные документы и носители данных специальной маркировкой, указывающей на особую ценность и неприкосновенность.
-
Ознакомить работников с правилами использования, хранения, передачи информации.
-
Подписать с персоналом соглашение о неразглашении тайных сведений.
-
Определить ограниченный круг лиц, который наделен повышенными полномочиями в плане обращения с особо ценной информацией.
-
Утвердить ответственных лиц, отвечающих за поддержание мер конфиденциальности.
-
Обозначить, утвердить перечень правовых, организационных технических мер направленных на сохранение сведений в неприкосновенном виде.
Сведения коммерческой тайны и способы их защиты
Сведения коммерческой тайны нуждаются в дополнительной защите во избежание инцидентов безопасности. Одним из очевидных решений считается применение автоматизированных систем, регулирующих права доступа персонала и собирающих сведения о поведении и действиях сотрудников. В этом плане как нельзя лучше подходят DLP-решения, например, Solar Dozor. Это программный комплекс, который осуществляет мониторинг, анализ событий, блокировку пользователей, если они нарушают политики безопасности. С точки зрения защиты конфиденциальных сведений DLP-системы решают следующие задачи:
-
Полный контроль за информацией на трех стадиях: использование, передача, хранение.
-
Отслеживание коммуникаций сотрудников на рабочем месте: электронная почта, мессенджеры, социальные сети, внешние ресурсы.
-
Выполнение фильтрации и анализа трафика для идентификации особо ценных сведений, раннего выявления угроз и предотвращения утечки.
-
Перехват трафика на шлюзе/прокси, рабочем компьютере с помощью снифферов.
-
Контроль активности персонала в рабочее время: копирование, пересылка информации, печать документов.
-
Мониторинг корпоративной сети на предмет выявления новых узлов, сервисов.
DLP-система подходит для защиты коммерческой тайны, потому что комплексно подходит к этому вопросу, позволяя гибко настраивать политики безопасности под требования конкретной организации. Утечку коммерческой тайны выгоднее остановить на ранней стадии или предотвратить, чем устранять финансовые и репутационные последствия после.