Найти тему
CISOCLUB - информационная безопасность
8304 подписчика

Шаблон опросного листа по защите коммерческой тайны

12
8 мин
Оглавление

Введение режима коммерческой тайны (КТ) — решение, которое принимает руководство компании самостоятельно. Основной причиной служит необходимость ограничить доступ третьих лиц к ценной информации: ноу-хау, интеллектуальной собственности, базам данных клиентов и т. д. Для этого вводится специальный режим — комплекс организационных и технических мер, основанный на Федеральном законе № 98-ФЗ «О коммерческой тайне».

При соблюдении ряда обязательных требований режим КТ позволяет:

  • разрешать или запрещать доступ к определенной информации;
  • требовать от третьих лиц сохранения конфиденциальности этой информации;
  • законно защищать свои права в случае разглашения информации;
  • требовать возмещения убытков за нарушение режима КТ в судебном порядке.

Обращаясь в ИБ-компанию за помощью в введении режима коммерческой тайны, вы столкнетесь с просьбой заполнить специальный опросник. Он позволяет ИБ-специалистам получить базовые сведения о потребностях компании, определить область коммерческой тайны и начать подготовку документации. Своевременное заполнение опросника ускоряет работу.

Форма опросника может быть произвольной, однако наша практика показывает, что в него стоит включать следующие вопросы.

Шапка опросного листа

1 Наименование организации 2 Контактное лицо 3 Телефонный номер 4 Адрес электронной почты 5 Дата заполнения 6 Цель

Если первые пять строчек носят общий характер, то шестая нуждается в пояснениях.

Для любой компании-интегратора в области информационной безопасности работа с режимом коммерческой тайны начинается с определения целей и потребностей клиента. Соответственно, мы разделяем опросные листы на два типа:

  • Для проверки действующего режима коммерческой тайны на соответствие требованиям законодательства РФ.
  • Для установления режима коммерческой тайны.

В шестой графе указывается, какую из этих двух целей следует выполнить в рамках проекта. От этого зависит дальнейшее содержание и направление опросника.

Вопросы для оценки действующего режима коммерческой тайны на соответствие требованиям законодательства

Зачастую режим КТ уже введен, но остаются незащищенными важные аспекты функционирования компании.Чтобы специалисты по ИБ могли восполнить эти пробелы, им необходимо сопоставить перечень информации с видами деятельности организации. Из-за ошибок, допущенных при установлении режима коммерческой тайны, многие компании не могут впоследствии эффективно реализовать право на судебную защиту. Чтобы проверить корректность проведения необходимых процедур, нам важны ответы на следующие вопросы:

7 Основные виды деятельности компании В этой графе необходимо не просто продублировать перечень видов деятельности из ЕГРЮЛ, а рассказать, чем фактически занимается компания 8 Какие меры по охране конфиденциальности информации, содержащей коммерческую тайну, введены в компании? Например:
– определен перечень информации, составляющей коммерческую тайну (далее – ИКТ);
– ограничен доступ к ИКТ;
– ведется учет лиц, получивших доступ к ИКТ;
– с работниками и контрагентами регулируются отношения по использованию ИКТ;
– на всех материальных носителях с ИКТ нанесен гриф «Коммерческая тайна» с указанием обладателя ИКТ;
– применяются технические средства защиты ИКТ, например, DLP-системы (указать, какие);
– другие меры (указать, какие) 9 Какие локальные нормативные документы, регламентирующие режим коммерческой тайны, имеются в компании? Например:
– приказ об установлении режима коммерческой тайны; положение;
перечень ИКТ;
– перечень лиц, имеющих доступ к ИКТ;
– журнал учета лиц, получивших доступ к ИКТ;
– журнал учета передачи / предоставления ИКТ;
– журнал регистрации документов с ИКТ;
– журнал регистрации, учета и выдачи машинных носителей с ИКТ;
– типовой раздел по неразглашению ИКТ в трудовом и гражданско-правовом договорах;
– типовое соглашение о неразглашении ИКТ;
– другие документы (указать, какие).
Важно: Все имеющиеся документы необходимо приложить к опросному листу

Проанализировав специфику деятельности компании, можно определить сведения, требующие защиты, а также способы их передачи и обработки. Для формирования актуального перечня КТ проводятся встречи со структурными подразделениями организации.

Также компания предоставляет локальные документы по режиму КТ (приказы, положения, типовые соглашения, журналы учета), которые специалисты проверяют на соответствие 98-ФЗ. Вместе с ответами на дополнительные вопросы это составляет основу для оценки существующего режима КТ.

Важно правильно оформить локальные акты по режиму КТ: встречаются случаи, когда он вводится одним приказом без сопутствующих мер (учет допущенных лиц, грифование документов, ограничение доступа к материальными носителям ИКТ), что недостаточно для эффективной защиты.

Оценка зрелости организации в отношении КТ происходит через проверку ведения журналов доступа, полноты организационных мер по защите ИКТ и пр.

Вопросы для установления режима коммерческой тайны на предприятии

7 Основные виды деятельности компании 8 Циркулируют ли в компании сведения, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании? Является ли предприятие обладателем этих сведений? 9 Перечислить названия структурных подразделений или должностей, участвующих в формировании перечня информации, составляющей КТ 10 Название отдела управления персоналом в компании, в обязанности которого входят заключение договоров с работниками и контрагентами 11 Ф.И.О. и должность работника, который будет ответственным за ведение конфиденциального делопроизводства, регистрацию документов и машинных носителей информации, составляющей КТ, а также учет лиц, получивших доступ к информации, составляющей КТ, и передачи (представления) информации, составляющей коммерческую тайну 12 Планируется ли внедрение средств криптографической защиты информации? При наличии перечислить 13 Каким образом планируется ограничивать доступ к материальным носителям с информацией, содержащей КТ (сейфы, запираемые металлические шкафы)?

Ключевыми вопросами для определения перечня ИКТ являются: «Циркулируют ли в компании сведения, имеющие действительную или потенциальную коммерческую ценность из-за неизвестности третьим лицам?» и «Является ли компания обладателем этих сведений?». Ответы на них надо дополнить развернутым приложением, где эти сведения можно описать с разбивкой по типам.

Наименование сведений Срок действия, условия прекращения ограничений на доступ 1. Бизнес-планирование 1.1 Информация о стратегических планах развития компании До принятия решения об их раскрытии 1.2

Например, к ИКТ может быть отнесена информация, имеющая отношение к следующим типам деятельности:

  • бизнес-планирование (стратегические планы развития, результаты маркетинговых исследований рынка, протоколы совещаний);
  • производство (секреты производства, выраженные в форме документации, заявки на изобретения, которые готовятся к подаче в Патентное ведомство);
  • маркетинг (себестоимость закупаемой продукции, списки клиентов/контрагентов);
  • научная деятельность (НИР, НИОКР, информация о целях и задачах планируемых перспективных разработок, технологии и специфика их применения, исходные тексты программ и алгоритмы их работы);
  • торговля и экономическая деятельность (протоколы переговоров, позиция по тактике и условиям ведения переговоров, информация о проектах и заказах; расчеты с контрагентами);
  • финансово-хозяйственная деятельность (экономические показатели, которые не публикуются в бухгалтерской отчетности, методы реализации обязательств по договору);
  • организационная деятельность (содержание договоров, на конфиденциальности которого настаивает хотя бы одна сторона);
  • обеспечение безопасности (информация о физической охране, настройки безопасности операционных систем и средств защиты, схемы размещения систем защиты информации).

Приведенный список сведений, которые могут составлять коммерческую тайну, не является исчерпывающим. Компания может его дополнять, однако при этом необходимо иметь в виду, что согласно 98-ФЗ некоторые сведения не могут считаться КТ, например, заработная плата сотрудников (ст. 5).

Заключение

Одного только составления перечня сведений недостаточно для введения режима коммерческой тайны. Впоследствии необходимо ограничить доступ к документам с КТ, выполнить грифование всех материальных носителей с ИКТ, подготовить комплект документов в соответствии с законом — это трудоемкий и времязатратный процесс.

На простое заполнение опросника и формальное введение режима КТ обычно уходит около месяца. Время, которое уходит на документирование режима КТ, варьируется, в зависимости от заполнения опросника. Обычно большую его часть занимает формирование перечня ИКТ. Если у компании готов такой потенциальный перечень, то формальное введение режима КТ обычно занимает около месяца. При внедрении технических средств защиты и подробном анализе потенциальной ИКТ — до полугода и более.

После заполнения опросника проводится анализ сведений на предмет недопустимости отнесения к КТ. Разрабатывается комплект документов:

  • приказ об установлении режима коммерческой тайны;
  • положение;
  • перечень ИКТ;
  • перечень лиц, имеющих доступ к ИКТ;
  • журнал учета лиц, получивших доступ к ИКТ;
  • журнал учета передачи / предоставления ИКТ;
  • журнал регистрации документов с ИКТ;
  • журнал регистрации, учета и выдачи машинных носителей с ИКТ;
  • типовой раздел по неразглашению ИКТ в трудовом и гражданско-правовом договорах;
  • типовое соглашение о неразглашении ИКТ.

Документы являются проектами, компания может дорабатывать их под свои требования.

Просто составить перечень ИКТ недостаточно. Согласно ФЗ-98 требуется соблюдать меры по охране конфиденциальности: ограничение доступа, учет допущенных лиц, регулирование использования КТ, маркировка носителей, возможно применение технических средств защиты. По желанию заказчика возможно подобрать СЗИ (например, DLP-систему от утечки информации), разработать модель угроз, внедрить криптографию. Для передачи ИКТ рекомендуется применять СКЗИ.

Без соблюдения и регламентации перечисленных организационных мер суд может решить, что режим КТ установлен некорректно, и это помешает компании отстоять свои права.

Автор: Дарья Марченко, главный специалист по защите персональных данных компании «Бастион».

Оригинал публикации на сайте CISOCLUB: "Шаблон опросного листа по защите коммерческой тайны".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Безопасность и правопорядок
Общество
Найти тему
ЖКХ
История религии
Общественный транспорт
Здоровье и медицина
Экология
Мой Сочи
Мой Курск
Социальная поддержка и благотворительность
Мой Волгоград
Утилизация отходов
Земельные вопросы
Рынок такси
Мошенничество и кражи
Происшествия
Демография
Лотереи
Россия глазами иностранцев
Борьба и самбо
Общество
14,16 млн интересуются