С кибератаками сегодня может столкнуться любая организация. Бывшие работники, вирусы, конкурентная разведка, даже простая беспечность способны привести компанию к убыткам. Как правильно и результативно защитить свои корпоративные данные, рассказали эксперты LF Академии.
Самый верный способ для компании защитить свою конфиденциальную информацию – разработать и внедрить комплекс внутренних политик. Решать, какую именно политику включать или не включать в свою систему, организация должна сама с учетом своей отрасли, размера и особенностей. Однако важно знать обо всех ключевых видах защиты конфиденциальных данных, чтобы при необходимости быстро и естественно включить их в свое правовое поле.
1. Политика конфиденциальности. В понятие «конфиденциальная информация» включается любая информация, которая имеет коммерческую ценность. Компания имеет право самостоятельно определять, какие данные и как она собирается защищать. Российское законодательство для этого предоставляет уже готовый инструмент – режим коммерческой тайны. Однако он, как правило, не соотносится с глобальными политиками о конфиденциальности и не удовлетворяет иностранных агентов компании или головной офис, находящийся за рубежом.
«Режим коммерческой тайны довольно формализован. Каждый раз, когда на практике к нам приходит политика конфиденциальности какой-то глобальной компании, чтобы локализовать ее в России, состыковка с режимом коммерческой тайны, как правило, не проходит гладко. Приходится выходить за рамки определения закона и принимать не режим коммерческой тайне, а политику конфиденциальности», – рассказывает старший юрист международной юридической фирмы, приглашенный преподаватель НИУ ВШЭ Юлия Гуриева.
2. Защита секретов производства (ноу-хау). Ноу-хау – сведения любого характера о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность из-за неизвестности их третьим лицам.
Защитить свои ноу-хау компания может через закон о коммерческой тайне. Однако этот способ не является обязательным. «Можно использовать другие методы, назвать это конфиденциальной информацией и предусмотреть свой более широкий и детальный режим регулирования вопросов конфиденциальности», – советует Юлия Гуриева.
Подтверждением этого может стать недавний прецедент. «Случилась довольно типичная ситуация увода бизнеса работниками. От истца уволились трое сотрудников, которые организовали свой аналогичный бизнес, внедрили там разработки, которые были у их предыдущего работодателя. Тот обратился в суд, была проведена экспертиза – и в первой, и во второй инстанции истцу удалось отстоять то, что у него был ноу-хау, несмотря на то, что режим коммерческой тайны не был введен», – говорит Юлия Гуриева.
Семнадцатый арбитражный апелляционный суд установил, что истцом предпринимались разумные и достаточные меры для сохранения секрета производства. Так, работникам была дана подписка о неразглашении сведений, составляющих коммерческую тайну фирмы. Обязанность работников сохранять информацию, составляющую коммерческую тайну работодателя, была предусмотрена трудовым договором. Кроме того, сотрудники были дополнительно уведомлены, что работают с результатом интеллектуальной деятельности истца, составляющим секрет производства.
В конечном итоге первая инстанция взыскала убытки на больше чем 5 миллионов рублей.
3. Политика интеллектуальной собственности. «Документ регулирует режим обращения с результатами интеллектуальной деятельности, полученными в компании. Он устанавливает процедуру того, как должен поступать работник в случае, если им был создан результат интеллектуальной деятельности, какие внутренние действия сотрудник должен совершить, к кому он должен обратиться, какие уведомления сделать», – перечисляет управляющий партнер, глава практики интеллектуальной собственности, медиа и технологий и практики медицины и здравоохранения в России и странах СНГ международной юридической фирмы Наталья Гуляева.
Обычно политика защиты интеллектуальной собственности регламентирует крайне строгий режим конфиденциальности. Например, она может предполагать использование специальных средств защиты информации и отказ от пересылки результатов по незащищенным каналам связи.
Оценку информации относительно того, нужно ли ее сохранять конфиденциальной или на нее стоит получить защиту путем подачи заявки на изобретение в Роспатент, производит коллегиально ограниченный круг менеджеров.
4. Защита персональных данных. С персональными данными сталкивается каждая компания, часто к ним начинают относиться небрежно. «Персональные данные необходимо охранять не только потому, что так предписывает закон, но и потому что это один из ваших активов, при потере которого можно понести большие убытки и дополнительные проблемы», – считает Юлия Гуриева.
Категорий персональных данных множество: специальные категории персональных данных (например, состояние здоровья), биометрические, данные о судимости, дактилоскопические данные. Для каждой категории предусматривается свое основание для обработки (например, участие лица в судопроизводстве или достижение целей, предусмотренных международным договором или законом). Компаниям обычно требуются только данные работников, самым безопасным и универсальным основанием для их обработки является письменное согласие субъекта.
Для обеспечения безопасности персональных данных существует несколько видов мер: технические, организационные и правовые. «Все меры довольно детально прописаны в законе. Когда Роскомнадзор проводит проверку, он прямо галочками отмечает, что есть, а чего нет», – предупреждает Наталья Гуляева.
Правовые меры включают в себя специальные локальные акты (Положение об обработке персональных данных, Политика обработки персональных данных, Положение о защите персональных данных и другие), предоставление неограниченного доступа к политике по обработке персональных данных, разработку типовых документов, касающихся обработки персональных данных (согласие, анкеты) и заключение договоров, регулирующих передачу персональных данных.
Организационные меры предполагают назначение ответственных лиц, оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения, обеспечение локализации персональных данных, ознакомление работников с порядком обработки, хранение материальных носителей в сейфах, проведение внутреннего контроля и ограничение доступа к ИСПДн (Информационная система персональных данных).
К техническим мерам относится классификация ИСПДн, определение угроз безопасности персональных данных и необходимого уровня защищенности, а также обеспечение этого уровня.
5. Политика информационных технологий. IT-политика – технический документ, который формализует все меры, используемые компанией для защиты своих данных.
Чаще всего к унификации и прозрачности в имплементации технических мер защиты информации стремятся международные компании. Среди отечественных компаний внутригрупповая IT-политика не так распространена, хотя многие об этом просто открыто не сообщают. Даже информирование рядовых сотрудников о существовании IT-политики не всегда необходимо. Сохранение ее в режиме конфиденциальности может сберечь компанию от киберрисков.
6. BYOD (Bring Your Own Device)-политика. Не всегда хакерам и злоумышленникам нужно использовать специальный вирус шифрования для вскрытия данных компании – порой достаточно смартфона ее сотрудника. «Использование личных устройств часто является значительной проблемой в вопросах кибербезопасности», – считает Наталья Гуляева.
BYOD-политика предполагает регулирование использования работником и компанией переносных устройств (смартфонов, планшетов, ноутбуков). Для защиты информации и анализа действий с данными компании может понадобиться доступ к устройству, который используется сотрудником. Это необходимо для установки дополнительных защитных программ и проверки файлов, которые поступили на личные девайсы и являются небезопасными для других хранящихся там файлов.
В рамках BYOD-политики важно информировать сотрудников о том, как нужно пользоваться всеми устройствами и как категорически нельзя.
7. Договорное обеспечение конфиденциальности. Часто компания располагает значительно большим объемом ценной информации, чем предусматривает ее внутренняя политика. Например, это сведения контрагентов и потенциальных контрагентов или информация с временным конфиденциальным статусом: текущие проекты, стратегии ведения переговоров, судебные дела, информация о будущих мероприятиях. Не стоит также забывать о данных, которые собирают третьи лица, например в рамках маркетинговых исследований, сбора информации об эффекте рекламных кампаний и так далее.
Решить вопрос конфиденциальности данной категории информации зачастую можно за счет простого договора.
Подробнее о юридических последствиях нарушении политики конфиденциальности – в вебинаре Натальи Гуляевой и Юлии Гуриевой.