Коммерческая тайна может быть одним из ключевых факторов в деятельности компании. И чтобы эффективно ее использовать и минимизировать риски, связанные с ее разглашением, важно правильно оформить режим коммерческой тайны в компании.
Для введения режима коммерческой тайны необходимы следующие шаги:
- Определить перечень информации, составляющей коммерческую тайну
- Издать приказ о введении режима коммерческой тайны и утвердить Положение о коммерческой тайне
- Оформить материальные носители, содержащиеся информацию, отнесенную к коммерческой тайне
- Ограничить доступ к информации, отнесенной к коммерческой тайне
- Включить в договоры нормы о защите коммерческой тайны
- Применять технические средства защиты информации
К информации, относящейся к коммерческой тайне, может быть отнесена любая информация, разглашение которой может нанести экономический вред компании. Чаще всего к коммерческой тайне относят сведения о заключенных ранее или планируемых договорах; способы увеличения продаж; материалы и результаты маркетинговых исследований и др.
Перечень сведений, на которые не может распространяться режим коммерческой тайны, указан в ст. 5 ФЗ о коммерческой тайне, и с учетом положений п. 11 ст. 5, при определении информации, составляющей коммерческую тайну, следует изучить нормативно-правовые акты, регулирующие деятельность компании, и выяснить, нет ли в них норм, запрещающих ограничивать доступ к той или иной информации, в том числе путем введения в ее отношении режима коммерческой тайны.
Перечень информации, составляющей коммерческую тайну, можно составить в свободной форме. Обычно он оформляется в виде приложения к Положению о коммерческой тайне.
Положение о коммерческой тайне – это локальный нормативный акт организации, регулирующий все основные аспекты работы с информацией, отнесенной организацией к коммерческой тайне, а также ее охраны. Обычно в этот документ включают условия о порядке отнесения информации к коммерческой тайне; порядке изменения перечня информации, составляющей коммерческую тайну; порядке учета лиц, имеющих доступ к информации, составляющей коммерческую тайну и др.
На материальные носители (документы, журналы, карты памяти и т.д.) должен быть нанесен гриф «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц – полное наименование и место нахождения, для ИП – ФИО и место жительства).
Для обеспечения ограниченного доступа к информации, составляющей коммерческую тайну необходимо утвердить перечень лиц, допущенных к информации, составляющей коммерческую тайну. Важно учитывать, что уровень доступа к такой информации того или иного сотрудника зависит от того, насколько такая информация необходима ему для выполнения трудовых обязанностей. Также можно определить перечень действий, которые может совершать в отношении этой информации конкретный сотрудник (например, только ознакомиться или ознакомиться и копировать).
В трудовые договоры с работниками следует включить условия о неразглашении коммерческой тайны, а также пункт, который предупреждает об ответственности за разглашение конфиденциальных сведений и обязанности сотрудника компенсировать материальный ущерб. Работников также следует ознакомить с положением о коммерческой тайне.
Также в случаях, когда информация, составляющая коммерческую тайну, вверяется контрагенту или его сотрудникам в связи с выполнением условий договора, в такой договор следует включить условия о конфиденциальности и обязанности в полном объеме компенсировать ущерб, причиненный разглашением тайны.
Под техническими средствами защиты информации подразумеваются всевозможные устройства различных типов (механические, электронные и т.д.), которые препятствуют несанкционированному доступу к информации, например, путем ее блокировки, маскировки и т.д.
В качестве таких средств обычно используются: DLP-системы (контролируют движение трафика, потенциальные каналы утечек, места хранения информации, действия пользователей на рабочих станциях), SIEM-системы (сбор логов из различных программных и аппаратных источников, приведение событий к единому формату с использованием стандартных операторов, анализ событий и формирование инцидентов в соответствии с правилами, автоматическое извещение ответственных лиц об инцидентах), криптография, контроль компьютеров сотрудников и мониторинг использования учётных записей.