Знание государственной тайны, речь о которой шла в прошлом выпуске нашего курса конечно дело хорошее, но как спрашивается быть, если в России оставшихся гос. структур, что называется кот наплакал? Как выживать в условиях тотальной коммерциализации предприятий? На чём можно поднять бабла типичному безопаснику желающему пробиться в этой суровой конкурентной среде?

Закон о коммерческой тайне (98-ФЗ)

Zip File, мамкины. С вами, Денчик и в сегодняшнем видео мы поговорим о так называемом хлебе для безопасников, который нам обеспечивает 98-ФЗ. Речь пойдёт, как вы уже могли догадаться из названия ролика о самой что ни на есть коммерческой тайне.

Появилась эта история конечно же не спроста. Ведь, если регулятор придумал закон способный обезопасить важнейшие гос. структуры от утечки инфы, то, что спрашивается делать каким-нибудь частным научным центрам и исследовательским лабораториям? 

Да и вообще любым другим коммерческим органам. Каким образом они могут защитить плоды своей интеллектуальной деятельности платя налоги и прилежно следуя букве закона?

Тут то на сцене и появляется 98-ФЗ регулирующий отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации и предупреждением недобросовестной конкуренции.

Сразу оговорюсь, что речь идёт об информации, имеющей действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

Ну например какой-нибудь программный код разработчика, который ваяет закрытую операционку. Или рецепт бодрейшей шавухи из ларька, стоящего возле вашей шараги.

Всё это, теоретически может относиться к коммерческой тайне. Причём ценность уникального рецепта той же шавухи устанавливает его владелец. И на практике она может значительно превышать стоимость продукта в конечной стадии.

Важно помнить, что формально такая информация не квалифицируется, как сведения. Термин сведения – применим сугубо к гос. тайне. Коммерческая же тайна – это режим.

Но те специалисты по инфобезу, что прогуливали пары в шараге зависая с девочками по клубам, как правило этого нюанса не знают и в диалогах обычно употребляют выражение «сведения, составляющие коммерческую тайну».

Это конечно дико неправильно. Но не критично. Просто имейте ввиду, что знающий чел может легко подловить вас на этом моменте.

Что относится к коммерческой тайне? 

Само собой пример с шаурмой и с кодом я привёл для максимально упрощения и лучшего понимания сути. Разумеется, прежде чем отнести какую-то информацию к коммерческой тайне нужно прежде всего убедиться, что она так или иначе совпадает с формулировкой, указанной в нормативной документации.

Т.е. определить, что перед нами действительно сведения любого характера (производственные, технические, экономические, организационные и т.д.), к которым у третьих лиц на законном основании нет свободного доступа.

И в отношении которых обладателем таких сведений введен режим коммерческой тайны. Речь может идти в том числе о результатах интеллектуальной деятельности или об уникальных подходах к выполнению тех или иных производственных целей.

Если, конечно, они действительно представляют какую-то ценность с коммерческой точки зрения в силу неизвестности третьим лицам. В противном случае такую инфу нельзя будет подвести под КТшку. 

Также, к коммерческой тайне нельзя отнести сведения, содержащиеся в учредительных документах юр. лиц и в соответствующих государственных реестрах.

Т.е. если бухи сдают какую-то отчётность в налоговую, а она потом всплываем на каком-нибудь рус-профайле или контур-фокусе, такую инфу уже нельзя отнести к коммерческой тайне, т.к. она находится в открытых реестрах.

Сведения о составе имущества любого унитарного предприятия или государственного учреждения, а также об использовании ими бюджетных средств тоже априори не могут относиться к коммерческой тайне.

В редких случаях такая инфа подпадает под гос. тайну, но на практике вряд ли с этим столкнётесь. А вот с чем вы точно столкнётесь, так это со спорным моментом, подпадают ли под КТ сведения о зарплате сотрудников обслуживаемой организации.

Запомните, любые сведения об оплате труда, в том числе и размер заработной платы относятся к системе оплаты труда. Поэтому деюро тот факт, сколько кэша вам ежемесячно приходит на карту не является коммерческой тайной.

Да-да. И информацию о составе работников, об их общей численности, о наличии свободных рабочих мест и даже о профессиональной заболеваемости вы под КТ тоже не подведёте, как бы не топал ножкой свирепый заказчик.

Короче, по-хорошему, нужно идти от обратного. Просто берёте все данные, имеющиеся в организации. Клиентскую базу, сведения о закупках, данные по статистике и прогоняете всё это дело через фильтр из вышеперечисленных пунктов.

Таким образом по итогу вы получите сведения, которые уже можно отнести непосредственно к вашей коммерческой тайне и собственно останется только определиться с сотрудниками, которые выступят в роли владельцев столь секретной инфы.

Обладатели доступа к коммерческой тайне 

Перво-наперво определяемся с тем, кому на законных основаниях будем вменять владение сведениями, в отношении которых вы установите режим коммерческой тайны.

Как только определитесь со списком доверенных лиц – можете сразу приступать к информированию сотрудников об официальной процедуре, подразумевающую ознакомление всех причастных. 

Это может быть доп. соглашение, которое подпишут сотрудники согласные с такими условиями. А тех, кто не согласен, лучше сразу уволить к чертям собачим. Только проблемы от таких мамкиных бунтарей.

Далее мы отсеиваем тех, кто в данный момент, по сути, имеет незаконный доступ к сведениям, подпадающим под коммерческую тайну на нашей фирме. Напоминаю, что законно это когда либо есть договор, либо доп. соглашение, регламентирующее эту историю.

Всё остальное – это уже левак. Слезливое нытьё, что какой-то сотрудник не знал о том, что эти сведения являются тайной, или получил их случайно, узнал от коллеги в курилке, подглядел у админа и прочие детские вещи – сразу же пресекайте.

Те же админы, очень любят читать переписки своих ген. диров и бухов имея непосредственный доступ к почтовому серверу. Правда те, кто по смекалистее об этом, конечно, помалкивают, но грамотные то люди сразу всё понимают.

Ох, чёт я уже малёха лишнего вам наболтал. Надеюсь, что вся эта инфа останется сугубо между нами и вы не будете почём зря дрючить моих собратьев по цеху, когда станете матёрыми безопасниками и займёте должность в Газпроме или Норникеле.

А то ведь, работка у нас и так не весёлая. Впрочем, как и любая другая движуха в IT. Окей. Чтобы такой ситуации конкретно у вас не случалось, давайте немного поговорим о мерах, которые вы со своей стороны, как ИБшник можете предпринять.

Меры защиты информации 

Первым делом, после того как вы определились с перечнем информации, которая составляет коммерческую тайну в вашей организации, ограничили к ней доступ и провели учёт лиц, необходимо поработать с регулированием отношений.

Т.е. составить все доп. соглашения, не нарушая права и свободы сотрудников. А дальше останется только технически разграничить доступ к инфе и нанести на носители гриф коммерческой тайны.

О том, что такое грифы и каким образом их обозначают на носителях информации мы с вами уже разговаривали в уроке о государственной тайне, поэтому если запамятовали – можете просто пересмотреть его снова. 

И только после всего вышеперечисленного, режим коммерческой тайны считается официально установленным в вашей организации. Также не забудьте, помимо допников, ознакомить работников под расписку с перечнем всей информации, относящейся к КТхе.

Объяснить, что будет в случае нарушения и какие последствия это за собой повлечёт. Ну и под занавес, создайте им все необходимые условия для соблюдения введённого вами режима коммерческой тайны.

Сотрудники в свою очередь обязуются соблюдать этот режим. Не разглашать секретную информацию, а в случае неумения держать язык за зубами – возмещать работодателю все убытки.

При увольнении все работники, владеющие сведениями составляющими КТ обязаны передать работодателю материальные носители, выданные им для работы с защищённой инфой.

Ответственность за разглашение

Напоследок давайте капнем небольшую ложечку дёгтя и рассмотрим статьи, по которым можно смело привлекать сотрудника передавшего флешку с секретным рецептом шавухи от вашей бабули какому-нибудь Ашоту из соседней палатки. 

За незаконное разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну можно впаять работнику 183 статью Уголовного Кодекса. А это на минуточку до 2 лет лишения свободы и штраф в пол мульта деревянных.

Также есть материальная ответственность, которая подпадает под 243 статью гражданского кодекса и увольнение без лишних прелюдий за разглашение тайны по 81 ТК РФ. 

Поэтому составляйте договора таким образом, чтобы работники фирмы даже не помышляли о том, чтоб разглашать секретные сведения в каждом уютном баре в которых они залипают по пятницам не спеша ковыляя домой в ипотечные хаты.

Да, и помните, что причиненные работником убытки не возмещаются, если разглашение информации, произошло в следствии несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действия третьих лиц или непреодолимой силы.

Допустим на улицах вашего города были погромы, и вандалы вынесли все сервера с регистраторами из серверной на 1 этаже разбив там окно молотками. Тут уж сами понимаете, предъявлять за разглашение попросту некому.

Окей, друзья. Думаю, на сегодня было достаточно душноты. Давайте немножечко подытожим всё вышесказанное. Во-первых, режим коммерческой тайны можно установить только на информацию не доступную третьим лицам.

В противном случае, смысла в этом в принципе нет никакого. Во-вторых, режим КТ считается установленным только после выполнения всех законодательных требований, которые мы с вами сегодня рассматривали.

В-третьих, все кто принял этот режим должны строго его соблюдать, выполняя меры по защите инфы, а в случае нарушения этих мир – все убытки должны быть возмещены нарушителем по полной программе.

Да, ребятки. По большей части всё упирается в бумаги и переписывание одних и тех же приказов, если в вашей компании постоянно происходит какая-либо движуха.

Никакой романтики. Никаких взломов, пентестов, отражения кибератак, а только унылое ежедневно созерцание огромной кипы бумаг. Именно эта деятельность составляет 80% рабочего времени типичного безопасника.

Хорошо это или плохо – не знаю. Я лишь хочу показать, что от вас в конечном итоге захочет увидеть среднестатистический работодатель, которому ваша очкаристая персона обходится в 2500 долларов в месяц. 

И за инфу, которую я рассказываю в этой серии роликов люди отдают либо 5 лучших лет жизни протирая задницу в ВУЗе, либо платят тысячи долларов за специализированные курсы центрам повышения квалификации.

Но я искренне надеюсь, что среди подписчиков найдутся те, кто оценит этот труд по достоинству и вместе мы наполним организации грамотными, а главное технически и законодательно подкованными безопасниками.

На сим у меня нынче всё. Не забываем выполнять домашку по теме. Ссылку, я как обычно, прикреплю в описании к ролику. Пока что почти все справляются с заданиями успешно, но есть несколько человек, кому пришлось отправить на доработку.

В следующем выпуске, мы с вами рассмотрим самый близкий закон для каждого безопасника, а именно 152 федеральный закон о персональных данных. 

Так что, если впервые забрёл на канал, не щёлкай клювом и обязательно оформи подписку. Так ты точно не пропустишь очередную вкусняшку на тему ИБ и будешь в курсе всей безопасной движухи.

Ну а с вами, как обычно, был Денчик. В заключении, по традиции, хотелось бы пожелать всем удачи, успеха и самое главное, знания нужных законов. Берегите себя и свои предприятия, грамотно составляйте документацию.

И помните, именно от вашей работы зависит, как долго бизнес сможет развиваться и в целом существовать. Так что не забивайте на совершенствование собственных знаний и регулярно качайте свой мозг. До новых встреч, многоуважаемые камрады. Всем пока.