Анализ основных российских и зарубежных нормативных документов в области информационной безопасности. Часть 11. Защита коммерческой тайны



Руслан Рахметов, Security Vision

В одной из наших публикаций мы перечисляли некоторые из возможных типов охраняемой законом информации. Среди данных типов тайн присутствует и коммерческая тайна, работа с которой регламентируется положениями Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Поговорим о ней подробнее.

Итак, несмотря на несколько десятков видов тайн, среди них не так много тех, которые могут помочь бизнесу реально защитить свои интересы в области информации и информационных технологий. Действительно, налоговая, банковская или государственная тайна скорее накладывают на компанию дополнительные обязательства, которые зачастую не приносят реальной защиты бизнес-интересов. В случае же коммерческой тайны, при соблюдении положений законодательства, у компаний - обладателей ценной информации появляются реальные рычаги защиты информационных активов и возможность привлечения нарушителей к ответственности, вплоть до уголовной. Также существует возможность добиться от виновного компенсации ущерба интересам компании.

В соответствии с ч.1 ст.3 98-ФЗ под коммерческой тайной (далее - КТ) понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. При этом к данной информации у третьих лиц не должно быть свободного доступа на законном основании, а в её отношении должен быть введен режим коммерческой тайны (п.2 ст.3 98-ФЗ).

Положения 98-ФЗ регулируют отношения, связанные с установлением, изменением и прекращением режима КТ в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам. Режим КТ считается установленным только после принятия обладателем информации, составляющей коммерческую тайну, мер по ее охране (ч.2 ст.10 98-ФЗ).

Требования к мерам по охране конфиденциальности информации определены в ст.10 98-ФЗ и включают в себя:

·       определение перечня информации, составляющей коммерческую тайну, и его регулярную актуализацию;

·       ограничение доступа к КТ путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

·       учет лиц, получивших доступ к информации, составляющей КТ, и (или) лиц, которым такая информация была предоставлена или передана;

·       регулирование отношений по использованию КТ работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

·       нанесение на материальные носители, содержащие информацию, составляющую КТ, меток конфиденциальности.

В соответствии с п.5 ст.10 98-ФЗ меры по охране конфиденциальности информации признаются разумно достаточными, если:

·       исключается доступ к информации, составляющей КТ, любых лиц без согласия ее обладателя;

·       обеспечивается возможность использования информации, составляющей КТ, работниками и передачи ее контрагентам без нарушения режима КТ.

В соответствии с ч.1 ст.4 98-ФЗ право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит ее обладателю, при этом в ст.5 приведен перечень сведений, которые не могут составлять КТ (среди них информация из учредительных документов юридического лица, сведения об экологии и противопожарной безопасности и т.д.). Следует также учесть, что информация, в отношении которой не введен режим КТ, т.е. которая не была включена в перечень сведений, составляющих КТ, не может быть отнесена в коммерческой тайне.

Таким образом, для введения режима КТ компании следует выполнить следующие шаги:

1. Регламентировать введение режима КТ утверждением и подписанием Положения о КТ в компании.

2. Разработать список сведений, составляющих коммерческую тайну. При этом следует провести работу с бизнес-подразделениями для составления корректного, исчерпывающего перечня, а также согласовать и зафиксировать размер компенсации в случае утечки того или иного набора данных.

3. Разработать правила внутреннего трудового распорядка, включающие допустимые способы и порядок обработки информации в компании, правила работы с информационными ресурсами и регламент предоставления доступа к информации. В документе нужно будет указать, что работнику запрещается пользоваться теми или иными интернет-ресурсами (например, социальными сетями или облачными хранилищами) и техническими средствами (например, съемными USB-накопителями/смартфонами). В случае, если планируется использовать автоматизированные средства для контроля соблюдения режима КТ, такие как системы контроля за утечками данных (англ. DLP - Data Loss Prevention), системы мониторинга рабочего времени и интернет-трафика, следует во внутренних нормативных актах прописать право работодателя на использование таких систем и получить явное согласие работника на такой мониторинг.

Следует отдельно задокументировать, что компьютерное оборудование принадлежит работодателю, предоставляется работнику исключительно для выполнения служебных задач и его запрещается использовать в личных целях. Также имеет смысл отдельно подчеркнуть, что работодатель не является оператором связи и предоставляет принадлежащее ему сетевое оборудование и каналы связи исключительно для работы своих сотрудников, поэтому работодатель не обязан обеспечивать тайну связи в соответствии с 126-ФЗ «О связи». Таким образом будет подготовлена нормативная база для осуществления контроля соблюдения режима КТ автоматизированными средствами и легитимированы процедуры проведения внутренних проверок (расследований). При этом следует озаботиться также составом и регламентом работы комиссии по проведению таких внутренних проверок.

4. Далее всех действующих сотрудников следует под роспись ознакомить с указанными выше документами, а новые сотрудники обязаны будут подписывать данные документы при приеме на работу.

5. Технические меры ограничения доступа к КТ могут включать в себя настройку правил доступа пользователей к корпоративным бизнес-системам, сетевым файловым, интранет- и интернет-ресурсам, настройку внутренних почтовых служб и мессенджеров, установку систем контроля за утечками данных, систем мониторинга рабочего времени и интернет-трафика. Рекомендуем использовать ролевую модель предоставления доступа, когда группам сотрудников, выполняющим одинаковые или сходные бизнес-функции в составе одного подразделения, назначается единый типовой, минимально необходимый уровень доступа как ко внутренним, так и ко внешним информационным ресурсам. Не следует забывать и о своевременном отзыве прав доступа при увольнении или изменении служебных обязанностей работника.

6. Учет лиц, получивших доступ к КТ, можно вести как с помощью автоматизированных средств, когда при необходимости получения доступа работник оформляет электронную заявку (например, при потребности в доступе к определенной папке на сетевом диске), так и в бумажном виде, когда сотрудник при приеме на работу или при изменении должности/функционала подписывает документ о необходимости использования тех или иных сведений в силу выполнения им служебных обязанностей.

7. Передачу контрагентам сведений, составляющих КТ, можно организовать с помощью подписания лицензионных договоров о предоставлении права использования секрета производства (ноу-хау) в соответствии со статьей 1469 ГК РФ.

8. Метки конфиденциальности на материальных и информационных носителях можно проставлять либо автоматически (этот функционал предоставляют некоторые DLP-решения и системы принтеризации), либо вручную простановкой печати на бумажных документах и носителях информации (CD/DVD-дисках, съемных накопителях, закрытых системных блоках).

Как мы видим, существует большое количество норм и правил, которые следует выполнить для того, чтобы режим КТ был введен корректно и, в случае необходимости, признан судом легитимным. Однако, разумеется, утечку данных лучше предотвратить, и в этом неоценимую помощь окажут не только корректно настроенные права доступа в объеме, минимально достаточном для выполнения служебных задач, но и упомянутые ранее технические системы. Системы DLP ведут свою историю с конца 90-х годов прошлого века, когда они ограничивались лишь минимальным функционалом вроде запрета на использование съемных накопителей и записи на диски. Современные решения не только контролируют почти все возможные каналы утечки информации (сеть, печать, внешние устройства), но и позволяют осуществлять продвинутый анализ действий пользователей, вплоть до обнаружения фактов приготовления к хищению информации или изменения психофизиологических характеристик сотрудников. Однако всем DLP-решениям для эффективного выполнения возложенных на них задач следует точно  «знать», что они защищают. Иными словами, настройка системы защиты от утечек включает в себя предоставление образцов компьютерной информации, содержащей защищаемые сведения. Далее DLP-системы анализируют обрабатываемые данные во всех контролируемых каналах, вычленяя из потоков информации структуры, сходные с заранее заданными.

Системы мониторинга рабочего времени сотрудников функционируют по иному принципу: они осуществляют детальное журналирование действий работников на технических средствах, включая запись экранов и введенных команд. Такие системы зачастую применяются для контроля использования привилегированных учетных записей (например, администраторов домена/предприятия), а также для записи действий подрядчиков/аутсорсеров.

Наконец, системы контроля сетевого трафика могут представлять собой отдельные решения, но чаще всего они встраиваются в сетевое оборудование, например, в прокси-серверы или межсетевые экраны нового поколения (Next Generation FireWalls). Данные решения позволяют задать правила доступа пользователей к сетевым ресурсам, а также получить информацию о сетевой активности того или иного работника.

Необходимо отметить, что вышеперечисленные технические системы при должной настройке позволят не только выявить возможного внутреннего нарушителя и предотвратить «слив» информации, но и помогут обнаружить несанкционированные действия, осуществленные вредоносным ПО или внешними нарушителями (хакерами). Так, одним их конечных этапов атаки по модели MITRE ATT&CK, о которой мы говорили ранее, является вывод (эксфильтрация) похищенной информации. По сути эти действия будут сходны с действиями инсайдера, тем более что зачастую хакеры пользуются украденными учетными записями ничего не подозревающих пользователей.

Решения Security Vision предоставляют широкие возможности по интеграции с различными средствами защиты информации, в том числе с системами DLP, системами мониторинга рабочего времени и интернет-трафика. Получая от данных систем события информации, продукты Security Vision помогают автоматизировать реагирование на выявленные инциденты утечки информации, порожденные как внутренними нарушителями (инсайдерами), так и внешними (хакерами). В условиях крайне сжатых сроков реагирования, когда украденная информация уже фактически выводится из инфраструктуры, каждая минута промедления может стоить миллионы. Решения Security Vision помогут приоритизировать реагирование на такие инциденты, оперативно оповестить ответственных лиц, предпринять автоматические меры реагирования, включая блокирование сетевых коммуникаций и рабочей станции злоумышленника.