Вы обладаете коммерческой тайной? Сочувствую…
М. Емельянников
CIO | № 2(57).2007
Емельянников Михаил Юрьевич, эксперт в области информационной безопасности, автор более 20 публикаций в специализированной прессе, председатель программного комитета конференции Infosecurity Russia, член программного комитета международной конференции «Безопасность и доверие при использовании инфокоммуникационных сетей и систем», ведущий и спикер на крупнейших международных и российских форумах по проблемам безопасности, автор курса Учебного центра «Информзащита» по реализации режима коммерческой тайны.
До 2004 года специалисты самых разных направлений — в области безопасности, права, финансов, кадрового менеджмента и т. п. — активно обсуждали проблему защиты законных прав собственников (в тогдашней терминологии российских законов) сведений, составляющих коммерческую тайну. В том, что таковые имеются, ни у кого сомнений не было. Что интересы надо защищать — тоже. Вот только как применять существующие на тот момент правовые нормы Гражданского и Уголовного кодексов, Кодекса об административных правонарушениях, обеспечивающие защиту этих самых прав, никто толком не понимал. Казалось бы, принятие Федерального закона «О коммерческой тайне» должно было все вопросы снять. Какие-то действительно сняло. Но новых добавило… не сосчитать.
Информационная безопасность — вовсе не безопасность компьютерная
Первая и, может быть, главная проблема, с которой приходится сталкиваться при реализации предусмотренного законом режима коммерческой тайны — сам подход к обеспечению информационной безопасности. С легкой руки вендоров и системных интеграторов практически с самого начала построения систем информационной безопасности они воспринимались как некие подсистемы информационных систем, вычислительных сетей или просто компьютеров. Разграничение доступа с использованием механизмов администрирования, авторизации и аутентификации, защита периметра сети, включающая межсетевое экранирование, выявление и предупреждение атак, противодействие вредоносному контенту (антивирусная защита и антиспам), шифрование данных при передаче их по открытым каналам, ну, еще и резервное копирование в лучшем случае — вот то, к чему часто сводятся меры, определяемые как «информационная безопасность». Но речь в этом случае чаще всего идет все-таки не о защите информации, а о защите данных, которые хранятся, обрабатываются и передаются в информационных системах. Огромные пласты организаций, в которых создается именно информация, оставались при реализации этих мер совершенно нетронутыми. Защита сведений при организации доступа к ним собственного персонала, акционеров, представителей контрагентов и государственных органов очень плохо описывается в терминах экранирования, антивирусных продуктов или использования идентификаторов пользователей. Когда же вышел закон о коммерческой тайне, оказалось, что он вовсе не технологический, и, с точки зрения этого закона, абсолютно все равно, хранятся ли защищаемые сведения в базе данных Oracle или в шкафу с технической литературой, используется ли в качестве механизма доступа резолюция босса на бумажном документе или двухфакторная аутентификация с применением цифрового сертификата формата Х. 509. Все колоссальные усилия и затраты на создание «системы информационной безопасности» в традиционном понимании сводятся в законе к короткой констатации того, что «обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации» (часть 4 ст. 10), да и то только «наряду с мерами, указанными в части 1 настоящей статьи». Все остальное, описанное в законе, — вовсе не компьютерная безопасность. Но требования надо соблюдать, ибо только при реализации описанного в законе механизма установления режима коммерческой тайны можно рассчитывать на правовую помощь государственных институтов, в первую очередь — судов.
А вот здесь начинается самое сложное…
Отнесение к коммерческой тайне — уже проблема
Закон выдвигает два принципиальных, но в чем-то противоречивых требования (статья 10). С одной стороны, должен быть исключен «доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя», а с другой стороны, необходимо обеспечить «возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны». А теперь представьте — крупная компания, серверы баз данных, приложений, электронной почты, файл-серверы. И на каждом из них есть информация, составляющая коммерческую тайну… Сетевые администраторы, администраторы серверов, администраторы безопасности, пользователи обычные и привилегированные… Вы уверены, что доступ можно разграничить так, чтобы и режим (очень жесткий в законе, кстати) не нарушить, и обеспечить при этом возможность нормально функционировать бизнес-процессу, не остановив его окончательно? Если проплыть без потерь между этими Сциллой и Харибдой не удастся, информацию к коммерческой тайне лучше не относить, какой бы важной она ни казалась, все-таки главное — это бизнес, а не сохранность секретов. Кому они будут нужны, если остановится бизнес?
Нельзя относить к коммерческой тайне сведения, прямо запрещенные Законом (статья 5), а также рядом других законов, впрямую, как, например, законами о благотворительной деятельности и некоммерческих организациях, или косвенно, как законом об акционерных обществах. Для всех остальных сведений ограничений на отнесение нет, но следует постоянно помнить, что информация становится способной к правовой охране в качестве коммерческой тайны, если только она действительно обладает коммерческой ценностью и к ней нет свободного доступа на законном основании. И это тоже создает сложности. Вполне разумно отнести к коммерческой тайне сведения о доходах работников. Но можете ли вы обязать работника хранить их в тайне? Как в таком случае должна выглядеть выдаваемая ему на руки форма 2-НДФЛ? Вы поставите ограничительный гриф на справке о доходах, предъявляемой в посольства для получения шенгенской, американской и британской виз? Ответы на эти вопросы — скорее отрицательные. А значит, и информацию отнести к коммерческой тайне нельзя — режимные меры для нее практически невыполнимы. И это только один возможный пример.
Без помощи владельцев бизнес-процессов и юристов при составлении перечня информации, составляющей коммерческую тайну, никак не обойтись. И поэтому серьезной ошибкой является распространенная практика возложения разработки перечня на службу безопасности. Не может она это сделать — ни по уровню квалификации, ни по самому смыслу, вкладываемому в перечень.
Отнесли? Это только начало…
Но вы решили идти до конца, сведения к коммерческой тайне относить, режим защиты их устанавливать, — и соответствующий перечень в конце концов составили. Можно начинать? Подождите…
Закон предусматривает всего три способа доступа к коммерческой тайне: собственного персонала — на основании трудового договора, контрагентов — на основании гражданско-правового договора, представителей органов госвласти и местного самоуправления — по их мотивированным запросам. К последнему случаю надо, видимо, относить и предоставление предусмотренной законом отчетности (например, налоговой, если она составляет коммерческую тайну). Таким образом, не заключив предварительно новых трудовых договоров (а в случае, если договор бессрочный, для заключения нового договора оснований нет) или дополнений к ним, с конфиденциальными сведениями нельзя знакомить даже собственных работников. Не имея специального договора о неразглашении, такие сведения нельзя передать партнерам, исполнителям работ, субподрядчикам. Чтобы, как сказано в законе, «установить режим коммерческой тайны», вам придется определить порядок обращения с конфиденциальной информацией и контроля за соблюдением такого порядка, то есть написать один или несколько внутренних нормативных документов, где этот порядок будет детально расписан, потому что всех работников необходимо «ознакомить под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение» (статья 11). В этих нормативных требованиях должен быть определен порядок нанесения на все носители информации, составляющей коммерческую тайну, непременного их атрибута — ограничительного грифа. И никаких там «конфиденциально», «строго секретно» или, скажем, просто «КТ». Только «коммерческая тайна», да еще и «с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)» (статья 10). В довершение всего надо продумать и организовать «учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана».
Сделали, подписали, ознакомили? Теперь — приказ руководителя об установлении режима коммерческой тайны, потому что устанавливается он не иначе, как в письменной форме (статья 7).
Проблемы CIO обладателя информации, составляющей коммерческую тайну
И все было бы хорошо, если бы речь шла о бумажных документах и организации обращения с ними. Но вот незадача — по оценкам экспертов, около 70% мирового совокупного продукта зависят тем или иным образом от информации, хранящейся в электронных информационных системах. И, конечно, сведения, составляющие коммерческую тайну, то есть финансовые, промышленные, технологические, коммерческие секреты, результаты исследований и т. п. , — вовсе не исключение. Они все там — в базах данных, информационных системах, на серверах и рабочих станциях пользователей, в виде записей, файлов и так далее.
А теперь очевидный переход — все, о чем говорилось в предыдущей главке, относится и к данным и документам в электронном виде. И нанесение ограничительного грифа на носители, и разграничение доступа к информации, исключающее несанкционированное ознакомление с нею, но позволяющее использовать ее в бизнесе без нарушения режима коммерческой тайны, и учет лиц, получивших доступ к таким сведениям. Необходимо установить порядок обращения с конфиденциальными данными при хранении, обработке и передаче с использованием средств вычислительной техники и организовать контроль за соблюдением такого порядка. В том числе — и при доступе с рабочих мест в Интернет, и при использовании электронной почты, и различного рода пейджеров и мессенджеров. Кто пытался — тот знает…
Коммерческая тайна и…
Между тем, несмотря на все сложности реализации закона и его несовершенство, другого пути защиты секретов, для которых патентное, авторское право и институт государственной тайны неприменимы, просто нет. К сожалению, в силу деликатности проблемы (процессуальные кодексы предусматривают рассмотрение дел о неправомерном обращении с коммерческой тайной в закрытых судебных заседаниях) данные о судебной практике применения в России защитных механизмов найти довольно сложно. Тем не менее, в компаниях, в первую очередь, крупных, режим коммерческой тайны вводится, закон и предусмотренные им виды ответственности за нарушение этого режима начинают применяться. Очень коротко — о конкретных примерах.
…персонал
Увольнение с работы по основаниям, указанным в пункте «в» части 6 ст. 81 Трудового кодекса РФ — в случае разглашения работником коммерческой тайны, ставшей известной ему в связи с исполнением трудовых обязанностей, становится повседневной практикой, особенно там, где соблюдение конфиденциальности является критическим для бизнеса. Кредитно-финансовые учреждения, высокотехнологичные компании, владеющие исключительными ноу-хау, аудиторские фирмы быстро поняли последствия недобросовестной конкуренции, нечистоплотности и халатности собственных работников. На интернет-форумах — масса жалоб уволенных по этой статье и отнюдь не доброжелательных откликов на эти жалобы. Не случайно Пленум Верховного суда РФ в своем Постановлении № 2 от 17. 03. 2004 четко определил основания, необходимые для признания такого увольнения обоснованным. Работодатель обязан доказать, что сведения, которые работник разгласил, действительно относятся к коммерческой тайне, данные сведения стали известны ему в связи с исполнением им трудовых обязанностей, и работник обязывался не разглашать такие сведения.
…конкуренты
Многократно описанный случай противостояния двух питерских компаний, по иронии судьбы работающих на рынке безопасности, — одно из дел о неправомерном использования конфиденциальных сведений конкурентом, доведенных до судебного разбирательства. компанией бывшего коммерческого директора его прежним работодателем еще как-то воспринималась, а вот «умыкание» в добавок и клиентской базы вызвало резкое возмущение, приведшее к вовлечению в конфликт правоохранительных органов и суда. Результат — деятельное раскаяние и покаянное письмо ответчика в специализированном издании. Попытка кражи промышленных секретов с «Уралмашзавода», раскрытая представителями ФСБ, закончилась возбуждением уголовного дела по признакам ст. 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»).
…органы государственной власти
Конфликты с органами государственной власти в связи с коммерческой тайной возникают в основном в двух случаях — отказа в предоставлении информации и неправомерного ее использования чиновниками. Уже есть примеры цивилизованного разрешения этих конфликтов — в суде или досудебном порядке, путем переговоров. И есть примеры вынесения решений как в пользу госорганов, так и коммерческих структур. Компаниям, действующим обоснованно, в соответствии с законом, удается доказать свое право на конфиденциальность.
Так, волжской сотовый оператор, даже под угрозой лишения лицензии сумел отстоять свое право не раскрывать коммерческую тайну о клиентах органам внутренних дел без достаточных на то оснований. А вот химическая компания по решению арбитражного суда должна была представить запрашиваемые сведения в Федеральную службу по финансовым рынкам, хотя и отнесла их к коммерческой тайне.
Предусмотренная целым рядом законов ответственность чиновников за сохранность переданных им конфиденциальных сведений тоже потихоньку начинает применяться. В декабре 2005 г. прокуратура города Москвы сообщила о передаче в суд уголовного дела старшего инспектора Федеральной таможенной службы, пытавшегося продать сведения о бизнесе 100 компаний, составляющие коммерческую тайну.
…пресса
Для того чтобы показать, насколько институт коммерческой тайны может быть эффективен для предотвращения раскрытия сведений о деятельности коммерческой компании, процитирую «Ведомости» от 25. 08. 2005 г. : «Когда журналисты спрашивают у президента «Роснефти» Сергея Богданчикова, откуда у государственной компании, и без того обремененной долгами, деньги на приобретение «Юганскнефтегаза», Богданчиков ссылается на закон «О коммерческой тайне». При этом президент «Роснефти» не забывает сообщить, что соответствующий закон не просто дает ему право не отвечать на неудобные вопросы, но и предусматривает ответственность для тех журналистов, которые все-таки смогут добыть важную для рынка информацию собственными силами и решатся ее опубликовать».
Кстати, сходную позицию высказал и верховный суд Калифорнии в ходе дела Apple Computer против трех онлайн-журналистов, разгласивших сведения об очередной новинке компании: «Закон не предусматривает защиту тех, кто разглашает коммерческие тайны компаний».
…акционеры
Отношения компании со своими акционерами, связанные с коммерческой тайной, — одни из самых неурегулированных в нашей стране. Как уже упоминалось, закон предусматривает передачу коммерческой тайны либо при наличии трудового, либо гражданско-правового договора. Ни того, ни другого у акционера нет. Поэтому право доступа к каким-либо сведениям, прямо не подлежащим раскрытию (или отказа в таком доступе), акционерам и менеджменту приходится отстаивать в суде. И решения российскими судами принимались в пользу обеих сторон.
…рейдеры
Рейдерство в целом и корпоративный шантаж («гринмейл») начинаются с добывания информации о жертве, причем часто — вполне законными методами, наиболее простым из которых является покупка акций. А далее, ссылаясь на ст. 91 Закона «Об акционерных обществах», рейдеры получают (или пытаются получить) доступ к самому сокровенному — информации об активах и текущей деятельности предприятия. Если режим коммерческой тайны не установлен, а чувствительная информация к коммерческой тайне не отнесена, оградить сведения и, соответственно, интересы предприятия от захватчика будет крайне сложно.
Что делать? Учиться и учить. Другого пути нет.
Надеюсь, теперь понятно, почему в заголовок статьи вынесено слово «Сочувствую». Реализация режима коммерческой тайны — проблема крайне сложная, методологически в нашей стране, в силу ее новизны, не проработанная. Литература по этому вопросу, к сожалению, сводится к не всегда грамотным комментариям закона. Практики в стране мало, да и делиться ее результатами особого желания ни у кого нет. Однако зарубежный, а теперь и российский опыт показывает, что без эффективного построения системы охраны коммерческих секретов, в том числе — с привлечением государственных институтов к защите интересов обладателя конфиденциальных сведений обойтись невозможно. Противодействовать недобросовестной конкуренции можно только законными методами, среди которых институт коммерческой тайны занимает важнейшее место. Следовательно, надо учиться, в первую очередь — менеджменту, причем учиться у практиков или у тех, кто существующую практику в состоянии обобщить. А потом учить тех, кто работает с конфиденциальными сведениями на предприятии, причем не только сотрудников службы безопасности. Учить управленцев — владельцев бизнес-процессов, юристов, делопроизводителей, ИТ-специалистов. Переводить в цивилизованное русло отношения с персоналом, контрагентами, государственными чиновниками, внешними членами советов директоров и правлений, собственными акционерами, а набивание шишек минимизировать за счет чужого опыта.