Категорирование информации в РФ на сегодняшний день довольно обширное. Одних только тайн по видам более 50. Сегодня мы рассмотрим одну из них, но, на наш взгляд, очень важную в контексте корпоративной защиты от внутренних угроз информационной безопасности – коммерческую тайну (далее КТ).
Опираясь на Федеральный закон (далее ФЗ), проанализируем и логически разложим цели, задачи и особенности введения режима КТ, а также связку закона о КТ с другими нормативно-правовыми актами. Анализ будем проводить в контексте корпоративной защиты от внутренних угроз информационной безопасности. Для удобства восприятия информации всё это мы «замариновали» в инфографике, полная версия которой представлена в конце статьи.
Почему именно КТ так важна с точки зрения построения комплексной системы корпоративной защиты от внутренних угроз информационной безопасности? Отвечая на данный вопрос можно выделить несколько причин. Во-первых, процедуры, связанные с введением режима КТ, достаточно прозрачно дополняют аудит информационной безопасности и информационных активов организации, который в свою очередь обеспечивает грамотную, эффективную настройку DLP (Data Leak Prevention) системы. Во-вторых, можно обозначить следующую связку:
Нет режима – нет КТ.
Нет КТ – нет защиты в суде.
Нет DLP – режим КТ малоэффективен.
Расшифруем данную связку. Если мы хотим с максимальным эффектом отстоять свои законные права и интересы в суде в случае утечки конфиденциальной информации, составляющей КТ, тогда вводим соответствующий режим, предусмотренный ФЗ. Хотим максимально минимизировать риски, а также иметь достаточные доказательства в суде, в случае утечки, внедряем DLP систему, которая обеспечит сбор и фиксацию данных материалов.
Таким образом, с одной стороны мы следим за тем, чтобы не «наступить себе на шею», например, не нарушить права работников, с другой – как нам помогает закон, например, в суде при хищении конфиденциальной информации, и с помощью каких инструментов мы будем это доказывать.
Итак, Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» (далее ФЗ).
В начале пути все «хмуро» (это мы о инфографике в том числе :), но мы будем последовательно двигаться вперед и в финале будет все ясно: для чего, как и почему? как говорится «без единого облачка на небе». Сразу отметим, что данная статья не ставит целью описание детализации документальных процессов введения режима КТ. Документальные шаблоны являются общедоступными, простыми для понимания и не представляют интереса в данном контексте рассмотрения проблемы.
Основная цель ФЗ – регулирование отношений по установлению, изменению и прекращению режима КТ, направленного на защиту информации, составляющей коммерческую тайну
ФЗ формулирует понятийный аппарат. Рассмотрим базовые понятия, которые понадобятся нам при рассмотрение особенностей введения режима КТ.
«..Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду..»
Теперь рассмотрим, какая информация может содержать коммерческую тайну с точки зрения ФЗ.
«..Информация, составляющая коммерческую тайну – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны..»
Далее будем двигаться по составляющим элементам закона, сгруппированным нами по смыслу.
ФЗ определяет субъекты правовых отношений:
«…
• обладатель информации, составляющей коммерческую тайну, — лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;
• контрагент – сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию;
..»
ФЗ определяет способы передачи информации относящейся к КТ:
«…
• Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.
• Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.
..»
Также ФЗ определяет право обладателя информации на отнесение информации к КТ. Иными словами владелец информации самостоятельно определяет какую именно информацию относить к КТ.
ФЗ определяет действия с информацией, относящейся к КТ:
«…
• доступ к информации, составляющей коммерческую тайну, – ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;
• передача информации, составляющей коммерческую тайну, – передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;
• предоставление информации, составляющей коммерческую тайну, – передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций; обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.
• разглашение информации, составляющей коммерческую тайну, – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
..»
ФЗ определяет права обладателя информации:
Обладатель информации, составляющей коммерческую тайну, имеет право:
«…
1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором;
2) использовать информацию, составляющую коммерческую тайну, для собственных нужд в порядке, не противоречащем законодательству Российской Федерации;
3) разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
4) требовать от юридических лиц, физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;
5) требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации;
6) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.
..»
ФЗ определяет меры по охране конфиденциальности информации:
Охрана в рамках трудовых отношений:
Помимо обязанностей работодателя и работника данный пункт ФЗ также отражает некоторые их права и требования:
«…
1. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
4. Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.
5. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.
..»
обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.
Дабы повысить эффективность применения данного режима в организации необходимо учитывать законодательные ограничения по отнесению сведений к КТ.
Данный перечень состоит из 11 пунктов. Отразим их для протокола :-):
«…
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
..»
И в заключении ФЗ определяется ответственность за нарушение закона, в соответствии с законодательством РФ.
В частности:
1. Административная ответственность:
• КоАП ст.13.12 п.6 (нарушение правил защиты информации)
• КоАП ст.13.14 (разглашение информации с ограниченным доступом)
• КоАП ст.7.12 (нарушение авторских и смежных прав, изобретательских и патентных прав)
2. Гражданско-правовая ответственность:
• ГК РФ ст.1253 (особенности ответственности информационного посредника)
• ГК РФ ст.1301 (ответственность за нарушение исключительного права на произведение)
• ГК РФ ст.1472 (ответственность за нарушение исключительного права на секрет производства)
3. Уголовная ответственность:
• УК РФ ст.183? (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну)
• УК РФ ст.147? (нарушение изобретательских и патентных прав)
4. Дисциплинарная ответственность:
• ТК РФ ст.81 (расторжение трудового договора по инициативе работодателя)
• ТК РФ ст. 243 (случаи полной материальной ответственности)
Далее рассмотрим как ФЗ «О коммерческой тайне» связан, коррелируется с другим законодательством. Назовем данный раздел «Законодательный хаб»:
1. «Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ (ред. от 03.07.2016, с изм. от 13.12.2016) (с изм. и доп., вступ. в силу с 01.01.2017).
Глава 75. Право на секрет производства (ноу-хау).
Статья 1465. Секрет производства (ноу-хау).
Определение информации, составляющей коммерческую тайну, формулируемое ФЗ, пересекается с понятием секрета производства, отражаемого в ГК РФ:
Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, имеющие действительную или потенциальную коммерческую ценность вследствие неизвестности их третьим лицам, если к таким сведениям у третьих лиц нет свободного доступа на законном основании и обладатель таких сведений принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны.
Таким образом, само понятие информации, составляющей коммерческую тайну, значительно шире и включает в себя не только сведения о результатах интеллектуальной деятельности в научно-технической сфере и способах осуществления профессиональной деятельности.
2. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 18.06.2017) «Об информации, информационных технологиях и о защите информации».
Федеральный закон «Об информации, информационных технологиях и о защите информации» четко разделяет информацию на общедоступную и ограниченную по доступу, регулируемому соответствующими федеральными законами. В частности п.2 ст.5 данного ФЗ гласит, что «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Статья 8 данного закона отражает право на доступ к информации, но в тоже время «отправляет» нас к другим ФЗ, где дается более широкий список таких сведений. В нашем случае мы рассмотрели данную классификацию выше, когда говорили о КТ.
3. Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями и дополнениями) определяет данный перечень, выделяя в нем КТ:
«…
• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
• Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20 апреля 1995 г. N 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства», другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну.
• Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
• Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
• Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
• Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
..»
4. «Налоговый кодекс Российской Федерации (часть первая)» от 31.07.1998 N 146-ФЗ (ред. от 28.12.2016) (с изм. и доп., вступ. в силу с 01.07.2017).
Статья 102. Налоговая тайна.
В данном случае интерес представляет перечень того, что не может быть отнесено к КТ.
«… Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, следственными органами, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, плательщике страховых взносов, за исключением сведений:
1) являющихся общедоступными, в том числе ставших таковыми с согласия их обладателя – налогоплательщика (плательщика страховых взносов). Такое согласие представляется по выбору налогоплательщика (плательщика страховых взносов) в отношении всех сведений или их части, полученных налоговым органом, по форме, формату и в порядке, утверждаемым федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов;
2) об идентификационном номере налогоплательщика;
3) о нарушениях законодательства о налогах и сборах (в том числе суммах недоимки и задолженности по пеням и штрафам при их наличии) и мерах ответственности за эти нарушения;
4) предоставляемых налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам);
5) предоставляемых избирательным комиссиям в соответствии с законодательством о выборах по результатам проверок налоговым органом сведений о размере и об источниках доходов кандидата и его супруга, а также об имуществе, принадлежащем кандидату и его супругу на праве собственности;
6) предоставляемых в Государственную информационную систему о государственных и муниципальных платежах, предусмотренную Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
7) о специальных налоговых режимах, применяемых налогоплательщиками, а также об участии налогоплательщика в консолидированной группе налогоплательщиков;
8) предоставляемых органам местного самоуправления (органам государственной власти городов федерального значения Москвы, Санкт-Петербурга и Севастополя) в целях осуществления контроля за полнотой и достоверностью информации, представленной плательщиками местных сборов, для расчета сборов, а также о суммах недоимки по таким сборам;
9) о среднесписочной численности работников организации за календарный год, предшествующий году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи;
10) об уплаченных организацией в календарном году, предшествующем году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи, суммах налогов и сборов (по каждому налогу и сбору) без учета сумм налогов (сборов), уплаченных в связи с ввозом товаров на таможенную территорию Евразийского экономического союза, сумм налогов, уплаченных налоговым агентом, о суммах страховых взносов;
11) о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год, предшествующий году размещения указанных сведений в информационно-телекоммуникационной сети «Интернет» в соответствии с пунктом 1.1 настоящей статьи;
12) о постановке на учет в налоговых органах иностранных организаций
13) о постановке на учет в налоговых органах физических лиц..»
..»
«Таможенный кодекс Таможенного союза» (ред. от 08.05.2015).
Глава 3. Взаимоотношение таможенных органов с участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела.
Статья 16. Обязанности таможенного представителя.
«… Полученная от представляемых лиц информация, составляющая государственную, коммерческую, банковскую и иную охраняемую законом тайну (секреты), либо другая конфиденциальная информация не должна разглашаться или использоваться таможенным представителем и его работниками для собственных целей, передаваться иным лицам, за исключением случаев, предусмотренных законодательством государств — членов таможенного союза..»
Подводя итог еще раз отметим, что применение того или иного технического инструмента для контроля информационных потоков внутри корпоративной структуры само по себе плотно базируется на действующем законодательстве, а законодательство о КТ может рассматриваться как отправная точка в юридических вопросах внедрения DLP систем, как юридический инструмент, позволяющий подходить системно к вопросу корпоративной защиты от внутренних угроз ИБ.
pvp
Уныло. Не раскрыто, в частности, краеугольное понятие «режима КТ», содержащееся в 10 статье закона. Вернее, написано, что «работодатель обязан» кого-то там «ознакомить», но ничего не говорится о том, что мер пр охране, вообще-то, пять, и режим считается установленным только если применены все они.
Ну и в целом — текст на уровне «лошади едят овес и сено», написанный только для того, чтобы упомянуть в нем DLP.
Kharitonov_SV Автор
Цель и все вводные обозначены в начале. Статья — это анализ и декомпозиция законодательства в контексте корпоративной защиты от внутренних угроз ИБ. И конечно же тут упоминается DLP, так как это один из базовых инструментов реализации такой защиты. За "весельем" — это в правоприменительную практику.
pvp
Да нет, поржать я и здесь могу.
… пишете вы — и не упоминаете основную «особенность введения режима». Ну разве так можно?
Kharitonov_SV Автор
Ну зачем же ржать над законодательством? Повторюсь, все вводные в начале статьи
Kharitonov_SV Автор
И упоминания там же