Как обеспечить режим коммерческой тайны комплексно
Обладание данными о рынках сбыта, потребностях клиентов, уникальных методах и подходах к реализации продукции или оказанию услуг создает конкурентные преимущества для организаций. В силу этого в современных реалиях предприятиям важно уделять внимание вопросам защиты ценной для них информации. Как обеспечить такую защиту, расскажем в статье.
Наиболее значимый шаг для защиты информации организации, предусмотренный Законом о коммерческой тайне, – это установление в отношении ее режима коммерческой тайны. Такой режим включает следующие меры (ст. 8 Закона о коммерческой тайне):
– ограничение доступа к коммерческой тайне путем установления порядка обращения с носителями коммерческой тайны, а также контроля за соблюдением такого порядка;
– учет лиц, получивших доступ к коммерческой тайне;
– регулирование отношений, связанных с доступом работников к коммерческой тайне, на основании трудового договора (контракта), а также на основании обязательства о неразглашении коммерческой тайны, дополнительно заключаемого по требованию нанимателя с работником, получающим доступ к коммерческой тайне;
– регулирование отношений, связанных с доступом контрагентов к коммерческой тайне, на основании гражданско-правового договора;
– определение работников, ответственных за принятие мер по обеспечению конфиденциальности сведений, составляющих коммерческую тайну.
Документ:
Закон Республики Беларусь от 05.01.2013 № 16-З «О коммерческой тайне» (далее – Закон).
Наряду с мерами, указанными выше, владелец коммерческой тайны вправе применять не запрещенные законодательством технические средства и методы защиты информации, а также другие меры, не противоречащие законодательству.
Далее мы дадим практические рекомендации по контролю за соблюдением порядка обращения с носителями коммерческой тайны, учету получивших доступ к коммерческой тайне лиц, определению ответственных работников в вопросах обеспечения конфиденциальности сведений, составляющих коммерческую тайну предприятия.
Контроль нахождения на территории предприятия
Установление правил нахождения на территории предприятия – важный аспект обеспечения контроля за соблюдением порядка обращения с носителями коммерческой тайны, а также за получением доступа к коммерческой тайне только уполномоченными лицами. Рекомендуется разработать на предприятии соответствующий локальный нормативный правовой акт (Положение о пропускном режиме), который бы определял:
– правила пропуска на территорию организации работников (по отпечаткам пальцев, по пропускам, по беджам и т.д.). Введение указанных правил позволит минимизировать риск нахождения на территории организации посторонних лиц;
– правила допуска на территорию посетителей (установление времени для возможного нахождения посетителей на территории организации, регистрация посетителей). Установление в Положении о пропускном режиме правила о ношении всеми посетителями беджей уменьшит потенциальный риск несанкционированных действий со стороны посетителей под видом работника предприятия (например, нахождение в рабочих кабинетах). Рекомендуется устанавливать в организации ответственного за каждого посетителя с регистрацией фамилии такого ответственного в журнале посетителей под его роспись. На такого ответственного Положением о пропускном режиме следует возлагать обязанность сопровождать посетителя в течение всего периода его нахождения в организации;
– правила проноса (выноса) на (с) территории организации документов и ноутбуков. Например, для целей обеспечения осуществления рабочего процесса и нахождения рабочих документов исключительно на компьютерах нанимателя можно установить правило о невозможности проносить на территорию предприятия личные ноутбуки.
После разработки Положения о пропускном режиме оно должно быть утверждено руководителем предприятия. С Положением о пропускном режиме необходимо ознакомить всех работников организации под роспись, а в дальнейшем осуществлять ознакомление с ним всех новых сотрудников в день их приема. Ознакомление работников с указанным локальным нормативным правовым актом следует фиксировать в специальном журнале или листе ознакомления, который будет прикреплен (пришит) к Положению о пропускном режиме.
Контроль за распространением информации
Для целей контроля за соблюдением порядка обращения с носителями коммерческой тайны можно предпринимать ряд технических мер, направленных на ограничение возможности копирования работниками данных с рабочих компьютеров на материальные носители.
В частности, можно:
– обеспечить контролируемую блокировку работы USB-портов на всех компьютерах в организации;
– обеспечить наличие на всех системных блоках компьютеров организации наклеек контроля вскрытия для выявления фактов доступа к винчестерам рабочих компьютеров;
– установить на компьютерные системы организации специальное ПО, которое будет сигнализировать о любой отправке с рабочего почтового ящика файлов с определенным типом расширения или превышающих определенный размер (например, свыше 1 Мб).
Рекомендация
Рекомендуется приказом руководителя назначить лицо, ответственное за обеспечение вышеуказанных мер в организации (например, системного администратора или иное лицо, отвечающее за компьютерные системы и сети). Соответствующие обязанности можно закрепить как в должностной инструкции такого работника, так и в Положении о коммерческой тайне в блоке, определяющем обязанности отдельных должностных лих по принятию технических мер для обеспечения сохранности сведений, составляющих коммерческую тайну.
Также следует довести до сведения всех работников, что они должны воздерживаться от действий, направленных на копирование информации (на материальные носители, посредством отправки файлов по электронной почте и т.д.), составляющей коммерческую тайну предприятия. Полагаем, что эффективным будет включение таких норм в Положение о коммерческой тайне. Дополнительно их можно продублировать в Правилах внутреннего трудового распорядка.
Контроль доступа к информации
В рамках трудовой деятельности работник может получить на предприятии доступ к самым различным ресурсам, внутренним чатам, базам данным, сервисам и т.д. Важно, чтобы предоставление такого доступа работнику и использование полученной им в результате этого информации осуществлялось с соблюдением режима коммерческой тайны.
Для эффективного учета лиц, получивших доступ к коммерческой тайне, рекомендуется определить перечень ресурсов (баз данных), к которым работникам в целом может предоставляться доступ. При этом может быть осуществлено их разграничение на ресурсы и базы, к которым:
1) работник получает доступ по умолчанию и которые не содержат в себе конфиденциальных сведений;
2) работник получает доступ в особом порядке в связи с тем, что они содержат данные, в отношении которых установлен режим коммерческой тайны.
В отношении второй категории ресурсов целесообразно определить алгоритм предоставления к ним доступа. Например, необходимость доступа к определенному ресурсу должна быть подтверждена вышестоящим по отношению к работнику уполномоченным лицом и такое подтверждение посредством электронной почты должно быть направлено в адрес системного администратора или иного лица, отвечающего за доступ к определенному ресурсу. Рекомендуется такой алгоритм закрепить документально (например, в должностной инструкции системного администратора и (или) в Положении о коммерческой тайне в блоке, определяющем обязанности отдельных должностных лих по принятию технических мер для обеспечения сохранности сведений, составляющих коммерческую тайну).
Особую значимость имеет закрепление обязанности работников сохранять в строгой секретности все пароли, коды доступа к внутренним системам и ресурсам организации, к которым такой работник получил доступ. Такую обязанность целесообразно включить в Положение о коммерческой тайне.
Весомую роль играет контроль за отключением доступа работника к внутренним системам и ресурсам организации после его увольнения. Рекомендуется предусмотреть для этого отдельный алгоритм. Такие обязанности работников могут быть закреплены в их должностных инструкциях и продублированы в Положении о коммерческой тайне в блоке, определяющем обязанности отдельных должностных лих по принятию технических мер для обеспечения сохранности сведений, составляющих коммерческую тайну.
Пример
В день увольнения работника уполномоченное должностное лицо (например, специалист по кадрам или специалист по безопасности в организации) делает рассылку по перечню лицам, ответственным за предоставление доступа к различным внутренним ресурсам организации, с тем, чтобы они отключили (аннулировали) доступ к ним увольняемого лица и подтвердили этот факт в письменной форме (например, посредством электронной почты).
Таким образом, обеспечение режима коммерческой тайны в отношении сведений, представляющих для организации определенную ценность, является комплексным процессом и не должно ограничиваться исключительно разработкой Положения о коммерческой тайне. Рекомендуется проанализировать все внутренние процессы предприятия для целей эффективной правовой регламентации тех из них, которые затрагивают различные аспекты обращения со сведениями, составляющими коммерческую тайну.
Екатерина Рудько, юрист
Редактор рекомендует:
Сейчас читают:
-
161
-
150
-
132
-
130
-
127
-
122