Театр начинается с вешалки, а официальные взаимоотношения компаний с подписания NDA – соглашения о неразглашении конфиденциальной информации. Вроде все просто. Подписал бумажку да пошел дальше. Но нет. На этом этапе часто начинаются разногласия между юристами и/или безопасниками двух компаний. Споры возникают из-за разных вещей. Например, из-за способа передачи конфиденциальной информации. Для одной компании будет приемлемо осуществлять обмен посредством электронной почты, а для другой – только в бумажном виде с составлением акта приема-передачи.
Меня зовут Степаненко Василий, я генеральный директор облачного провайдера NUBES и в этой статье поделюсь комментариями к NDA, которые пишу как ИБшник, ведь им являюсь уже 17 лет. С ними обычно соглашаются коллеги с другой стороны, так как эти комментарии можно назвать золотой серединой, и они помогают составить NDA так, чтобы снизить риски и с точки зрения информационной безопасности, и с точки зрения правового поля.
Подписывать двусторонние соглашения
Бывают односторонние соглашения, когда одна компания является строго «передающей», а другая — только «принимающей». Но односторонняя передача информации — явление редкое. Прямо как в информационных сетях. Обычно обе стороны друг другу что-то передают, и для упрощения лучше подписывать взаимные соглашения о неразглашении, где каждый из участников может быть как «передающей», так и «принимающей» стороной.
Например, банк передает интегратору схему сети для реализации проекта по ее модернизации и ждет эту схему обратно, но уже с конкретными предложениями, которые тоже будут конфиденциальны.
Нам, как бизнесу, крайне важно управлять рисками при работе с персональными данными, так как внутренние риски компании могут повлиять и на наших клиентов. Для Nubes это ключевой момент. В SLA мы прописываем финансовые обязательства перед партнерами и за утечки отвечаем рублем. Поэтому в рамках работы мы подписываем двусторонние соглашения с клиентами и со всеми контрагентами. Пока никого это не смутило.
Шифровать конфиденциальные документы
Лет 10 назад во многих NDA был запрет на передачу информации в электронном виде. Обмен осуществлялся исключительно на бумаге с актом о факте приема-передачи. Но теперь многие перешли на электронный документооборот и появилось желание пересылать конфиденциальные документы через ЭДО. Это, конечно, удобно. Но не стоит забывать, что ЭДО в первую очередь про формализованные документы: акты, накладные, УПД, счета. Неформализованный документ отправить тоже можно, но если он конфиденциальный, то его необходимо зашифровать, чтобы оператор ЭДО (а ведь есть роуминг, тогда операторов ЭДО два) не мог ничего прочитать.
Понятно, что с оператором ЭДО у каждой стороны есть свое соглашение о неразглашении (скорее всего, по форме оператора), но это третья сторона, и ее необходимо исключить. Как вариант, можно зашифровать документ посредством его архивации с паролем (может быть и GPG, или КриптоПРО), а потом передавать этот архив через ЭДО. Эта же история актуальна и для облачных сервисов. Их можно использовать для обмена конфиденциальной информацией сторон, но только если шифровать выкладываемые файлы, а облачные сервисы подконтрольны сторонам (есть договор с провайдером, и у одной из сторон подписан NDA). Личный google-диск, к которому расшарили доступ, не подходит.
Исключить запрет на раскрытие информации о факте заключения NDA
Иногда в NDA прописывают полный запрет раскрытия кому-либо информации даже о факте заключения соглашения о неразглашении между сторонами. Так делать не стоит. Как минимум потому, что может прийти запрос правоохранительных органов, подразумевающий раскрытие информации, принятой от передающей стороны. Если запрета на раскрытие информации о факте заключения нет, то можно указать этим органам на то, что данные переданы в рамках NDA и в отношении этих данных необходимо блюсти конфиденциальность.
Обозначить условия хранения бэкапа и сроки его уничтожения
Почти во всех NDA есть пункт про возврат или уничтожение информации по требованию передавшей стороны. И обычно к данному требованию указывается срок. Например, в течение 10 дней с момента получения запроса данные необходимо стереть или вернуть.
Но здесь важно понимать, что если «получающая сторона» – надежная компания (а ненадежной не стоит передавать свою конфиденциальную информацию), то она делает бэкап, в который наверняка попала и конфиденциальная информация передающей стороны. Точечно стирать из бэкапа данные не получится, только бэкап целиком. Но его уничтожение несет в себе риски ИБ для получившей стороны, особенно сейчас, когда вирусы-шифровальщики так активны.
Требования по возврату и уничтожению могут касаться любой информационной системы, но для примера можно взять файловое хранилище, которое использует персонал принимающей стороны для работы и хранения информации. Оно может бэкапироваться с глубиной хранения резервных данных от двух недель до бесконечности.
Причем требования на глубину хранения могут быть как от аудиторов и регуляторов, так и реальной внутренней необходимостью. Например, многие атаки вирусов-шифровальщиков проявляются спустя месяцы после взлома и заражения системы. Достаточная глубина хранения позволяет при компрометации системы найти версию бэкапа, которая еще точно не была заражена, и использовать ее для восстановления. Такие обстоятельства порождают ситуацию, когда в актуальном хранилище конфиденциальная информация уже была удалена, но все еще находится в холодном хранении, где-нибудь на «ленточке».
Поэтому стоит в этом пункте делать оговорку, дающую возможность стороне, получившей конфиденциальную информацию, сообщить стороне ее передающей о сроках уничтожения и об условиях хранения бэкапа.
Заменить аудит принимающей стороны на запрос реализованных мер защиты
Для серьезных компаний важно, чтобы принимающая сторона защищала полученную информацию не хуже, чем защищает свою. В связи с этим в некоторые соглашения о неразглашении вносится пункт, предусматривающий аудит передающей стороной (или компанией, которой эту функцию делегировали) мер защиты принимающей стороны. Иногда разговор заходит даже про pentest. В реальной жизни вряд ли кто-то действительно такое допустит.
Возможность запросить реализованные меры защиты (SIEM, DLP, обучение пользователей, сроки хранения логов и т.д.) у принимающей стороны для оценки их достаточности — более адекватный вариант. Заодно при передаче списка принятых мер можно обкатать процедуры передачи информации по NDA, ведь принятые меры защиты обычно считаются конфиденциальной информацией. Мы практикуем именно эту историю с партнерами, и она хорошо себя показала.
Синхронизировать сроки в NDA компания-компания и NDA компания-работник
Помимо NDA между компаниями, есть NDA между компанией и ее работниками. И если соглашение о неразглашении внутри компании с работниками предусматривает 3 года, то и между юридическими лицами стоит делать соглашение на 3 года с момента последней передачи информации. Если нужно по каким-то причинам установить 10 лет в NDA между юридическими лицами, то следует обозначить, что получающая сторона должна со своими работниками также заключить NDA на срок не менее 10 лет. Во всяком случае с теми, кто работает с полученной информацией.
Согласовывать изменения по электронной почте
В NDA я часто встречаю неудобные формы согласования, которые не будут работать. Например, если изменился состав лиц, допущенных к обработке информации, то в течение 5 дней требуется в письменной форме сообщить об этом передающей стороне. Если коммуникация ведется по электронной почте, то шансов, что это действие вообще будет выполнено гораздо больше. Электронное письмо, полученное с корпоративного ящика (причем можно заранее определить список лиц, участвующих в официальной переписке сторон), на мой взгляд, ничем не хуже присланного курьером бумажного письма с той же информацией, ведь, по сути, это электронное письмо подписано простой электронной подписью (ПЭП), в соответствии с 63-ФЗ «Об электронной подписи».
Заранее определить компанию, которая будет выступать «рефери», и проводить расследование
Из-за того, что NDA может быть подписан, информация передана, но Договор при этом не случился, в текст NDA принято включать раздел с ответственностью. Не буду размышлять про желаемые штрафы, лучше подсвечу необходимость заранее определить компанию, которой обе стороны доверят проведение расследования утечки информации, если вдруг она случится. С этой компанией обе стороны будут делиться всеми необходимыми логами, давать доступ в свои системы для аудита, чтобы объективно выяснить, произошла ли утечка на стороне подозреваемой в этом компании. Возбуждение уголовного/административного дела — долгий процесс, и к моменту расследования уже может быть невозможно установить обстоятельства. Когда в NDA указывается возможность урегулирования споров путем переговоров, стоит в этом же пункте договариваться и о перечне компаний, которым может быть доверено проведение расследования, тем более что их не так уж и много.
Все эти комментарии важно учитывать при составлении NDA. Часть из них упрощает жизнь, а часть снижает вероятность утечки. Но заморачиваться с такими тонкостями стоит только в том случае, если действительно важно защитить конфиденциальную информацию. В противном случае лучше не тратить время на NDA.
YDR
Тема NDA достаточно важная, рассмотрены интересные аспекты, но не рассмотрены существенные. Мне недавно предлагали подписать соглашение, но я его почитал, и отказался, перечислив причины.
Считаю, что
1) Перечень закрываемой информации должен быть четко определен.
2) Защищаемая информация обязательно должна быть маркирована.
3) требование уничтожения носителей должно соответствующим образом финансироваться
4) нельзя просто взять и произвольно запретить вообще всё. Как (юридически) отделить то, что я узнал в процессе взаимодействия от того, что знал ранее?
Чем подробнее будут прописаны протоколы взаимодействия по передаче и, например, в случае нарушения - тем лучше (понятнее).
Меня смутила неопределенность.
Где-то читал, что если пункты о неразглашении входят в трудовой договор, то все это регулируется ТК. А если это отдельный договор, то там может быть разнообразный произвол.
Я предложил заключить ограниченный договор на темы для обсуждения (выбор тем для дальнейшей работы), а затем заключить договор подряда с пунктами о неразглашения. Компания пропала. Ну, в общем-то, и хорошо.
Это NDA мне предложили еще даже до разговора об оплате. Я понимаю, если (собеседование) или согласование цен уже прошло, и понятно, за что напрягаться. А тут мало ли - или их мои цены не устроят, или они мало предложат - и не будем работать. А договор уже заключен - зачем мне это за бесплатно?
Еще аспект - вот, предложили договор. Я не юрист. С кем можно его обсудить, кроме заинтересованного в неравноправных отношениях представителя заказчика?
Сумбурно написал, но, собственно, поэтому эти темы я и хотел бы увидеть разобранными в статье про NDA.
svs422 Автор
Про протоколы:
Именно, я поэтому и считаю, что NDA это не только документ юристов, но и ИБшников, ведь мало кто из юристов сможет прописать тех.протоколы взаимодействия. А если NDA лишь общие моменты описывает, без тех.деталей, то он и смысла большого не имеет при разбирательствах, ведь не будет понятно кто/что нарушил.
Про регулирование ТК:
Вы говорите про NDA компания-работник, а эта статья про NDA компания-компания. Согласен, NDA компания-работник должно быть доп.соглашением к трудовому договору. Замечание->выговор->увольнение на мой взгляд, не самое лучшее регулирование и защита, но порядка больше, NDA как приложение не потеряется хотя бы и выше шанс, что о нем работник не забудет. Кстати, если с кандидатом на вакантную позицию ведется детальный разговор до заключения договора с раскрытием конфиденциальной информации (например: программный код показывается, чтобы кандидат мог оценить потянет ли поддержку и доработку), то NDA компания-кандидат будет отдельное от основного Договора (Трудового или ГПХ). А потом еще один NDA компания-работник придется заключить, ведь демонстрация кода была до заключения трудового договора, т.е. дата демонстрации раньше, а стандартный набор подписания документов при заключении трудового договора лучше не нарушать.
Про аспект:
Хороший вопрос "с кем обсудить". Понятно, что можно заплатить за консультацию у юр.конторы, но как-то денег жалко. Как вариант (если нет того самого запрета на раскрытие даже факта наличия и текста NDA) то в соцсетях или на хабре попросить помощи по отдельным пунктам, без выкладки всего NDA и раскрытия стороны, предложившей его к подписанию.
Про перечень информации:
Несбыточная мечта отразить в NDA все все документы и информацию, которая является конфиденциальной. Но вот представьте, в NDA указываем как конфиденциальный документ, например: Политика информационной безопасности. А потом при запросе получаем выписку из Политики, или только приложение к Политике про пароли. Все, это уже не Политика целиком, а выписка и приложение. Если говорить о контексте, так тоже самое, например: конфиденциальна вся информация в отношении принятых мер защиты - но все мы операторы перс.данных, есть соответствующий реестр РКН, а там есть такая графа и она общедоступна. Т.е. уже не все принятые меры конфиденциальны :)
Я все же за подход маркировки, т.е. считаем, что эта информация конфиденциальна - значит так ее и помечаем. В информационных системах, где производится обработка конфиденциальной информации тоже лучше явно повесить баннер "внимание! вы работаете с конфиденциальной информацией" - но это тоже скорее мечта уже из-за тех.моментов.
Про уничтожение:
Согласен, либо финансироваться, ибо как я указал в статье, должно быть предусмотрено не безусловное уничтожение, а сообщение о том, что удалить не сможем еще условно 180 дней, так как информация на ленте в бэкапе и согласно плана ротации лент через 180 дней мы ее перезапишем. И указать в ответе как именно хранится лента с бэкапом, чтобы всем стало спокойнее.
Про знание до:
Очень правильный вопрос, на который увы нет ответа. ИТ/ИБ рынок узкий, переходов между компаниями много и люди общаются между собой. Уже давно это секрет Полишинеля, но некоторые компании продолжают блюсти таинство в отношении информации, давно известной всем. Я за то, чтобы говорить в рамках NDA о конкретной, маркированной информации, а не о абстрактных тайнах.
000111
Вы читали ничтожный nda, который противоречит ФЗ РФ 29.07.2004 # 98-ФЗ