Как защитить секреты фирмы

2217
Астапенко Наталья
заместитель генерального директора по организационному развитию ООО «Торговый дом «Межреспубликанский винзавод»
Многие компании декларируют, что заботятся о неразглашении информации, которая является их коммерческой тайной. Однако на практике они подчас забывают разработать необходимые документы либо ознакомить с ними персонал. В подобных ситуациях, даже поймав за руку нечистоплотного сотрудника, работодатель не сможет возместить понесенные убытки, а во многих случаях и уволить проштрафившегося.

Под коммерческой тайной принято понимать ту информацию, которая позволит ее обладателю увеличить возможный доход, снизить расходы, сохранить и упрочить положение на рынке или же получить иную выгоду, производственную либо финансовую1. Ценность такой информации обусловлена тем, что она недоступна и неизвестна третьим лицам. Чтобы эти условия выполнялись, обладатель информацией вводит режим коммерческой тайны. Наша компания на практике столкнулась с проблемой защиты производственных секретов.

Разумная достаточность защиты

МВЗ – крупнейший холдинг винодельческой отрасли, созданный в 2005 году, входит в тройку лидеров российского алкогольного рынка2, активно развивает мощности семи заводов по производству алкогольной продукции. Численность персонала свыше 3 тыс. человек. В компании существует служба маркетинга, в ней несколько направлений, одно из них – брендинг – отвечает за стратегию продвижения товарных знаков. Для более глубокого понимания рынка компания периодически заказывает дорогостоящие исследования ведущих маркетинговых агентств, которые затем используются для решения стратегических вопросов. Поэтому вопрос защиты информации очень актуален для нашего холдинга.

Для обеспечения безопасности информации понадобилось сделать следующее:
– определить перечень информации, составляющей коммерческую тайну;
– ограничить доступ к ней, закрепив «допущенных» списком;
– урегулировать использование коммерческой тайны работниками и контрагентами;
– нанести на материальные носители (секретные документы) соответствующий гриф.

Если доступ любых лиц к информации без согласия ее обладателя исключен, но при этом есть возможность ее использования работниками или передачи контрагентам без нарушения режима коммерческой тайны, то очевидно, что принятые меры по охране конфиденциальности разумны и достаточны.

Личный опыт
Александр Ларионов, директор по финансам и экономике ОАО «Инпром» (Таганрог)

Полагаю, что любая компания должна выполнить хотя бы элементарные процедуры для собственной безопасности, в частности:
– обеспечить разграничение прав доступа к информации в локальной сети организации и к рабочим станциям;
– ограничить доступ посторонних на территорию компании (пропускная система);
– тщательно отбирать персонал при найме на работу;
– утвердить регламент документооборота (в том числе электронного) и разграничить права доступа к документации;
– ограничить возможности записи информации пользователями на съемные и мобильные носители информации;
– утвердить регламент пользования электронной почтой, в том числе общедоступными онлайн-сервисами;
– защитить локальную сеть от несанкционированного доступа извне.

Практическое воплощение

В разработке документов и процедур приняли участие руководители разных подразделений, но основная нагрузка легла на плечи службы безопасности и кадровой службы.

Было разработано Положение о коммерческой тайне, которое в обязательном порядке подписывают все сотрудники при устройстве на работу. При этом каждый принимает на себя определенные обязательства в связи с неразглашением сведений, составляющих коммерческую тайну, от «строго хранить» и «не использовать в личных целях» до согласия соблюдать правила хранения документов. Обязанности работника в связи с сохранением коммерческих секретов и целый ряд запретов (делать выписки, знакомиться с чужими документами, предоставлять третьим лицам свой компьютер) дополнительно прописали в Памятке о конфиденциальной информации.

Личный опыт
Николай Переверзев, директор по экономике и финансам ОАО «Сибур-Нефтехим» (Нижний Новгород)

Наши коммерческие тайны многообразны. Это и технологическая, и производственная, финансово-экономическая, иная информация (в том числе ноу-хау), закрепленная в первом разделе специального «Перечня сведений конфиденциального характера ОАО «Сибур-Нефтехим». К ней нет свободного доступа, а поддерживать режим коммерческой тайны позволяет целый ряд регламентов и положений – Положение о коммерческой тайне, Регламент по конфиденциальному делопроизводству, Обязательство о неразглашении.

Кроме того, специальными регламентами закреплены у нас порядок уничтожения конфиденциальных документов, регистрации таких документов на бумажных носителях; созданы журналы учета дел, содержащих конфиденциальные сведения, учета специальных изданий, магнитных носителей. Наконец, передать документы, содержащие коммерческую информацию, от подразделения к подразделению также можно лишь с отметкой в соответствующем реестре.

Может, кому-то мы и покажемся бюрократами, зато у нас ни разу не было утечки данных, чем по праву гордимся.

Был сформирован список лиц, которые получили право пользования информацией, составляющей коммерческую тайну, а также тех, кому такая информация может быть предоставлена или передана. Так, условия продаж контрагентам, клиентская база, относятся к зоне ответственности коммерческого директора. Именно он имеет доступ к полным сведениям, в отличие от менеджеров коммерческого департамента, которые используют в работе лишь ограниченный список клиентов.

На соответствующие документы нанесен гриф «Коммерческая тайна» с указанием обладателя данной информации, а для их хранения заказаны несгораемые шкафы и сейфы. Определились и с тем, кто из сотрудников получит доступ к шкафам и сейфам. Наконец, ввели систему тренингов по соблюдению мер конфиденциальности. После посещения тренинга сотрудники ставили свою подпись в специально заведенном журнале учета.

Личный опыт
Евгений Тюленев, директор департамента информации ОАО «Нижфарм» (Нижний Новгород)

В нашей компании существует специальный документ – «Перечень сведений, составляющих коммерческую тайну». Он был разработан при участии заинтересованных подразделений, сотрудников практически всех направлений бизнеса и утвержден генеральным директором. При отнесении той или иной информации к коммерческой тайне мы не только основывались на положениях законов, но также исходили из того, может ли утечка данных повлечь экономический ущерб. Чтобы не допустить этого, мы реализовали целый комплекс мер – организационных, технических и профилактических.

Сотрудники, имеющие доступ к коммерческим секретам, дают подписку о неразглашении. Разработаны Положение о защите коммерческой тайны, утверждены процедуры обращения с конфиденциальной информацией, доступ к ней ограничен.

Нарушения, чреватые утечкой информации, попытки «скачать» сведения на электронные носители случались. Виновные после разбирательства наказывались в дисциплинарном порядке. Однако реального нанесения экономического ущерба ни разу не выявлено.

Я уверен, что система защиты коммерческой тайны будет надежной там, где не только «специально обученные люди» занимаются вопросами сохранности внутренней информации, но и каждый исполнитель видит в добросовестном отношении к секретам фирмы частицу своих функциональных обязанностей.

Отметим, что кропотливая работа по подготовке к охране информации, соблюдению Положения о коммерческой тайне вызывала внутреннее недовольство и даже явный протест со стороны работников. Они расценивали происходящее исключительно как лишнюю бюрократическую процедуру. Однако время показало, что принятые нами меры не только оказались своевре менными, но и принесли весьма ощутимый результат.

Личный опыт
Алексей Данильченко, заместитель генерального директора по финансам и инвестициям ИД «Комсомольская правда» (Москва)

Круг сведений, считающихся конфиденциальными, у нас довольно широк. Это информация о продуктах, клиентах, персонале; о применяемых технологиях, планах развития; финансовая ин формация – уровень расходов, доходов, рентабельности проектов.

По сути, конфиденциальной является любая информация, кроме размещенной в открытых источниках (сайт, пресса). Каждый сотрудник при приеме на работу дает подписку о неразглашении внутренней информации. Доступ к сведениям и документам регулируется специальными режимами. Возможно, поэтому пока и не было проблем с неконтролируемым разглашением информации. О наших новациях на рынке становится известно, когда мы сами о них рассказываем.

Что касается рекомендаций, то обратите внимание на разъяснительную работу с сотрудниками. Например, объясните Иванову, что если при переходе к конкуренту он «сольет» информацию, то работодатель-конкурент будет опасаться аналогичного поведения с его стороны при переходе на новые позиции. Значит, и продвижение Иванова по службе, и срок его «жизни» в компании будут серьезно ограничены.

Одна «паршивая овца»

О разглашении коммерческой тайны сотрудниками компании, как правило, рано или поздно становится известно работодателю. Так случилось и в нашем холдинге. Один из контрагентов сообщил, что за определенную плату можно купить исследования известного маркетингового агентства. Когда мы заинтересовались этим вопросом, то выяснилось, что на продажу предлагалось исследование, исключительно для нас предназначенное, нами же заказанное и оплаченное. Генеральный директор МВЗ дал указание начать по выявленному факту служебное расследование. Вести его должна была специальная комиссия в составе директора по маркетингу, специалистов службы безопасности и кадровой службы.

В первую очередь были изучены возможные источники утечки информации, определен круг подозреваемых лиц. С использованием современных интернет- и других технологий был вычислен нечистый на руку сотрудник. Им оказался бренд-менеджер, лишь недавно прошедший испытательный срок и получивший полномочия на использование маркетинговой информации. Именно он под псевдонимом и предлагал ее к продаже.

Дальше все было делом техники. Была организована игра «продавец – заказчик», с бренд-менеджером велась переписка, а затем была осуществлена «контрольная закупка» исследования с участием сотрудников ОБЭП. Задержание работника, его препровождение в наручниках в службу безопасности для дачи показаний, сообщение о случившемся имели эффект разорвавшейся бомбы. В какой-то мере это стало и наглядной агитацией: все сотрудники смогли убедиться, что предприятие контролирует их деятельность для защиты собственных интересов.

После выявления факта разглашения коммерческой тайны и задержания виновного следует немедленно составить акт о разглашении конфиденциальной информации, что и было сделано нами. Акт послужил основанием для дальнейшего наказания виновного.

Если же работник откажется давать объяснения, то об этом составляется соответствующий акт в присутствии и под подписи трех свидетелей. Этот документ при необходимости может использоваться в последующем судебном разбирательстве.

Личный опыт
Дмитрий Новоселов, финансовый директор ОАО «Отечественные лекарства» (Москва)

Вся информация, связанная с разработками новых продуктов, отношениями с покупателями и поставщиками, а также управленческая отчетность у нас относится к разряду коммерческой тайны. Существует ряд регламентов, связанных с пресечением несанкционированного распространения информации. Особо важным документам присвоены соответствующие статусы, например – «строго конфиденциально», а при приеме на работу все сотрудники подписывают обязательство хранить коммерческую тайну. Видимо, из-за такого серьезного подхода у нас пока не было случаев утечки информации.

Однако, на мой взгляд, самый лучший способ защиты – повышение лояльности сотрудников компании. Лояльный сотрудник не заинтересован в ухудшении состояния компании, что возможно при разглашении «секретов фирмы». А подстраховаться от случайностей можно за счет жесткой регламентации бизнес-процессов.

Уволить сложно, но возможно

Несмотря на понятное желание работодателей немедленно отстранить злоумышленника от работы, сделать это не так-то просто. Есть риск вступить в конфликт с трудовым законодательством. Российский Трудовой кодекс позволяет немедленно отстранить от работы сотрудника, появившегося на работе в состоянии алкогольного (наркотического, токсического) опьянения, в случае нарушения правил охраны труда, по медицинским показаниям и т.д. – перечень подобных ситуаций приведен в ст. 76 ТК РФ и является закрытым. Нам удалось уволить злоумышленника на основании подп. «в» п. 6 ч. 1 ТК РФ, в котором предусмотрены некоторые из причин для расторжения трудового договора по инициативе работодателя, а именно:
– однократное грубое нарушение работником трудовых обязанностей;
– разглашение охраняемой законом тайны (государственной, коммерческой, служебной или иной), ставшей известной работнику в связи с исполнением трудовых обязанностей.

Соответствующая запись была внесена в трудовую книжку работника. Правда, последний обратился в суд, ссылаясь на незаконность увольнения. Отстоять свою правоту в судебном споре компании удалось только благодаря ранее предпринятым мерам: мы смогли предоставить документы о неразглашении коммерческой информации, заверенные работником, предъявить журналы инструктажей с его подписями.

Статистика потерь

Согласно исследованию КПМГ «Утрата данных: статистический анализ»3, к концу 2008 года ожидается свыше 400 случаев похищения (утери) конфиденциальной информации в компаниях. В период с 2005-го по июнь 2008 года в компаниях по всему миру КПМГ выявлено следующее:
– зафиксировано 1034 инцидента с утратой данных, в которые вовлечены более 280 млн человек;
– потери есть во всех секторах экономики, но 19% случаев приходится на государственные организации;
– 25% инцидентов связаны с кражами персональных компьютеров;
– в половине случаев утечка информации произошла по вине сотрудников компании;
– 46% утраченных данных не были защищены.

Наиболее уязвимыми для потери информации оказались учреждения образования и здравоохранения, прежде всего по причине общей культуры и ограниченного бюджета на безопасность. Потеря или кража съемных носителей, включая компакт-диски, флешки, – обычное дело, однако от этого страдает огромное количество людей. Установлено, что 62% съемных носителей были не украдены посторонними злоумышленниками, а потерялись либо похищены внутри организации. Для предотвращения потерь в подобных случаях достаточно было шифровать информацию или ограничить доступ к ней лишь кругом уполномоченных сотрудников. Однако, по данным исследования, в большинстве известных случаев утери или кражи съемных носителей данные не защищались даже паролем.

Трудней всего прогнозировать и контролировать нарушения, совершаемые извне, на которые приходится свыше 44% всех случаев утери и утраты данных. Тем не менее причины 50% всех случаев нарушений лежат внутри организаций.

Иан Колборн, партнер КПМГ, руководитель группы «Форензик» в России и странах СНГ4

В последнее время мы становимся свидетелями случаев, когда, планируя переход в конкурирующую компанию, сотрудники прихватывают с собой конфиденциальную информацию о внутренних процедурах, условиях договоров и клиентах. В текущих рыночных условиях, когда компании сталкиваются с необходимостью снижения расходов посредством сокращения штата, повышается риск того, что сотрудники будут стремиться воспользоваться этим «преимуществом», пытаясь найти работу в более жестких обстоятельствах. Россия традиционно воспринимается как страна со слабой системой защиты интеллектуальной собственности в целом и данных в том числе.

Новое законодательство и бескомпромиссная по отношению к нарушениям в этой сфере позиция властей приветствуются, но компании не могут позволить себе расслабиться, надеясь, что риски будут устранены. Многие компании, особенно в стратегических отраслях экономики, уже принимают активные меры по защите своих данных.

Правильный подход по отношению и к внешним угрозам, и к злоупотреблениям со стороны сотрудников – разработка плана реагирования. Это позволит принять эффективные ответные шаги в кратчайшие сроки. Компаниям следует подумать, насколько быстро удалось бы ответить на следующие вопросы:
1. Известно ли нам, откуда мы получаем данные, где они хранятся и как используются?
2. Понимают ли наши сотрудники важность правильного обращения с данными?
3. Уверены ли мы в надежности своих сетей и систем информационных технологий?
4. Имеется ли у нас четкий план действий в случае потери данных?

Ответственность за разглашение

С ответственностью за нарушение режима коммерческой тайны не все так однозначно, как представляется на первый взгляд. Формально закон предусматривает и дисциплинарную, и административную, и гражданско-правовую, и уголовную ответственность работника. Однако пострадавшая компания может понести весьма значительные убытки, тут и могут проявиться сложности.

Трудовой кодекс предусматривает взыскание с работника «прямого действительного ущерба», нанесенного компании (ст. 238 ТК РФ). Там же, в ст. 243, предусмотрена и полная материальная ответственность как раз за разглашение коммерческой информации. Однако выгода работодателя от присутствия таких норм призрачна, ведь речь может идти всего лишь о стоимости компакт-диска.

Мнение эксперта
Юлия Морозова, исполнительный вице-президент, руководитель юридической практики компании AGA Management (Москва)

За разглашение коммерческой тайны к работнику возможно применение административных мер в виде наложения штрафа до 5 тыс. руб. Дисциплинарная и материальная ответственность регулируется нормами Трудового кодекса РФ. Пунктом 7 ст. 243 ТК РФ предусмотрен случай полной материальной ответственности работника, разгласившего сведения, составляющие коммерческую тайну. При этом ответственность ограничена возмещением прямого действительного ущерба, причиненного работодателю. Упущенная выгода не подлежит взысканию с работника.

ГК РФ, в свою очередь, устанавливает, что лицо, чьи права нарушены, вправе потребовать полного возмещения убытка (реального ущерба и упущенной выгоды, если следовать п. 2 ст. 15). Причем в размере не меньшем, чем полученный нарушителем доход. Однако обосновывать величину ущерба должна пострадавшая компания (ст. 393 ГК РФ). И упущенную выгоду, и нанесенный ущерб подсчитать часто весьма сложно, особенно если речь идет о таких активах, как базы клиентов, подписчиков, планах развития и пр.

Личный опыт
Финансовый директор, пожелавший остаться неизвестным

У нас есть положение о коммерческой тайне, где прописано, что к ней следует относить. Однако, к сожалению, пока нет реально действующей системы предотвращения несанкционированного использования такой информации. И случаи разглашения были, но мы не стали предпринимать никаких действий для наказания виновных, поскольку процесс это очень трудоемкий, не слишком прозрачный, да и собрать убедительные доказательства оказалось вовсе не просто.

Александр Ларионов, директор по финансам и экономике ОАО «Инпром» (Таганрог)

Полагаю, что на сегодня в России нет полноценного законодательства по сохранности коммерческой тайны, компании фактически не защищены от возможных убытков. Нет и специалистов нужной квалификации в стране, тех, кто мог бы внедрить целую систему мероприятий с допусками, личным ознакомлением, провести специальные технические мероприятия. Коммерческая тайна отлична от понятия «режим», принятого в «почтовых ящиках» бывшего СССР.

Вот и получается, закон есть, но люди продолжают перебегать из компании в компанию, унося с собой наработанные коммерческие связи, другую информацию, которую можно отнести к интеллектуальной собственности. Случаи, когда менеджеры уходят и вовсю пользуются, по сути, краденой информацией, – сплошь и рядом, и наша компания, увы, не исключение. Однако мы понимаем, что привлечь к ответственности такого вора в существующем правовом поле практически невозможно.

Несколько проще с контрагентами, получающими доступ к конфиденциальным сведениям: в договоре с ними можно прямо предусмотреть размер ответственности за возможные «утечки».

Мнение эксперта
Юлия Морозова, исполнительный вице-президент, руководитель юридической практики компании AGA Management (Москва)

Статьей 1472 ГК РФ предусмотрена гражданско-правовая ответственность работника в виде обязанности возместить убытки, причиненные нарушением исключительного права на секрет производства, в том числе разглашением информации, составляющей коммерческую тайну. Данную ответственность работник несет только при наличии вины. Однако по смыслу указанной статьи ГК РФ в договоре с работником возможно предусмотреть иные виды ответственности за разглашение коммерческой тайны, например взыскание убытков в твердой сумме.

Причиненные ущерб либо убытки не возмещаются работником вовсе, если разглашение коммерческой тайны произошло вследствие действия обстоятельств непреодолимой силы, крайней необходимости или неисполнения обязанности по обеспечению режима коммерческой тайны работодателем. Алексей Воинов, исполнительный директор ООО «Бизнес Медиа Коммуникации», обращает внимание еще на один момент, упоминаемый в п. 4 ст. 14 закона № 98-ФЗ. Возможна ситуация, когда лицо использовало информацию, составляющую коммерческую тайну, но при этом не было достаточных оснований считать такие действия незаконными. Например, доступ к этим сведениям получен в результате случайности или ошибки. В этом случае лицо не может быть привлечено к ответственности.

Некоторым утешением работодателю послужит то, что работника можно подвести под уголовную ответственность по ст. 183 УК РФ за незаконное получение и разглашение сведений, составляющих коммерческую тайну. Правда, взысканный штраф поступит в пользу государства, а от того, что злоумышленник может провести в местах не столь отдаленных от 3 до 10 лет, пострадавшая компания получит разве что моральное удовлетворение.

Остается добавить, что возмещения убытков работодатель может потребовать и после прекращения трудового договора, если в соглашении с работником был предусмотрен срок неразглашения. Либо в течение трех лет после прекращения трудового договора, если подобное соглашение не заключалось.

Отсутствие судебной практики по поводу возмещения убытков компаниям, пострадавшим в связи с нарушением работниками режима конфиденциальности, только подтверждает важность превентивных мер. Суд может встать на сторону работника, несмотря на колоссальные убытки компании, просто потому, что неправильно оформлены документы или, к примеру, своевременно не выдана печать с грифом «Коммерческая тайна». Если руководство спустя рукава отнесется к формальностям, в том же суде будет сложно доказать не только нанесение ущерба, но и сам факт того, что разглашенная работником информация является конфиденциальной.

1 Федеральный закон от 29.07.04 № 98- ФЗ «О коммерческой тайне». – Прим. ред.
2 По данным маркетингового агентства «Бизнес Аналитика». – Прим. ред.
3 Data Loss Barometer, September, 2008.
4 Группа «Форензик» занимается расследованием мошенничества в бизнесе, корпоративной разведкой, урегулированием коммерческих споров, борьбой с легализацией доходов, полученных преступным путем. – Прим. ред.

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка




© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Зарегистрируйтесь на сайте,
чтобы скачать образец документа

В подарок, на адрес электронной почты, которую Вы укажете при регистрации, мы отправим форму «Порядок управления дебиторской задолженностью компании»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании Прочитать книгу «Запасной финансовый выход» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль