Правовое регулирование конфиденциальной информации

Содержание и особенности, подписанных соглашений

Компании работают по разным производственным направлениям. Руководители и учредители предприятий стараются защитить себя от распространения тайн по характеру:

• научно-техническому;
• технологическому;
• финансовому;
• деловому.

Для сохранения секретности в учреждениях подписывают соглашения, что в рабочих процессах информация является конфиденциальной и не подлежит разглашению.

Специалисты подписывают обязательства по содержанию:

• после изучения и знакомства с любыми данными не использовать их для собственных нужд;
• сообщать руководству сведения о попытках сторонних лиц узнать производственные секреты;
• соответствовать в работе нормам и требованиям относительно конфиденциальности;
• когда прекратится допуск к секретным разработкам, соблюдать срок сохранения тайны, в течение периода, установленного локальным актом.

Сотрудник после подписания соглашения дает согласие на дисциплинарную или другую ответственность, предусмотренную договором. Персонал перед принятием на работу и после, когда он приступит к своим обязанностям, неоднократно проверяется службой безопасности организации. Вначале досконально изучают переданные документы. Дают подписать трудовой договор и соглашение о неразглашении. Предоставляют испытательный срок, знакомят с доступом к конфиденциальным данным. В этот период специалиста оценивают не только по профессиональным навыкам, но и по его разговорам. Когда происходит увольнение, бывшего коллегу предупреждают о последствиях в случае разглашения ему не принадлежащих тайн.

Что значит политика конфиденциальности

Начнём с того, что значит политика конфиденциальности и где она применяется

Обращали ли Вы при заполнении форм обратной связи, быстрых заказов и подобных скриптов внимание на небольшую приписку ниже? В ней говорилось о согласии на обработку персональных данных и о принятии политики конфиденциальности компании. Ставя галочку и продолжая работу с сайтом, пользователь выражает свою готовность передать данные.

Что происходит с личными данными дальше? Именно это регламентирует политика конфиденциальности сайта. В ней указано, как будет обработана полученная информация и что с ней будут делать. Большинство сайтов используют разные виды защиты личной информации пользователей. Например, если Вы знаете про SLL-сертификат: что это и как он защищает от потери личных данных, создание политики конфиденциальности не покажется бесполезным.

По законодательству РФ нет шаблона этого документа. Да, политика конфиденциальности – не призрачное понятие, а вполне конкретный текст. Если вы создаёте онлайн курсы СЕО продвижения и рекламируете их на собственном сайте, стоит задуматься о составлении политики. Его наличие регламентирует закон № 152-ФЗ «О персональных данных» от 27.07.2006 года.

Сведения, которые не считаются конфиденциальными

Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.

Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.

Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.

Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.

К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.

Образец приказа о неразглашении коммерческой тайны

Теперь мы подошли к самой главной части нашей статьи – примеру приказа о неразглашении коммерческой тайны

Надо сказать, что этот документ хоть и не особо сложен, но имеет некоторые тонкости и нюансы, на которых стоит акцентировать внимание. Воспользовавшись нашими рекомендациями и на основе представленного ниже образца вы без особого труда создадите свой приказ

В начале бланка напишите

• наименование предприятия,
• номер документа,
• дату,
• место создания документа.

Далее укажите обоснование – в качестве него обычно вписывается реальный повод для формирования распоряжения (в данном случае, к примеру, это может быть защита интересов организации), и основание – под ним понимается ссылка на норму закона, в соответствии с которым издается приказ, или какую-либо внутреннюю бумагу (например, служебную записку одного из работников). После этого идет собственно текст распоряжения.

Первым делом опишите здесь то, что в вашей компании относится к коммерческой тайне. Это можно сделать списком или в виде таблицы, также допустимо не перечислять все прямо в приказе, а оформить данный перечень отдельным приложением.

Потом укажите, что все работники, имеющие доступ к секретным сведениям обязаны хранить коммерческую тайну, а если необходимо кому-либо ее передать, они должны просить разрешения об этом у руководства.

Затем попунктно распишите порядок работы с конфиденциальной коммерческой информацией, в том числе при взаимодействии с государственными органами, контрагентами и т.д. После этого обозначьте меру ответственности за разглашение секретов фирмы. В завершение назначьте ответственное за исполнение данного приказа лицо и соберите подписи:

• директора,
• ответственного работника,
• а также тех сотрудников, которых это распоряжение касается напрямую.

Firefox (модифицированный и настроенный на конфиденциальность)

Firefox представляет собой отличный в целом браузер с хорошим уровнем конфиденциальности и защиты. Он предлагает серьёзные функции конфиденциальности, множество вариантов настроек, отличную безопасность и регулярные обновления благодаря активной команде разработчиков. Последние версии Firefox быстрые и достаточно лёгкие, с многочисленными настройками.

По умолчанию Firefox обеспечивает не максимальную конфиденциальность, но его можно настроить и сделать более надёжным. Не забудьте отключить телеметрию, которая собирает технические данные и сведения о взаимодействии с браузером, а также проводит исследования.

В разделе настроек «Приватность и защита» есть много полезных опций для обеспечения различных уровней конфиденциальности: «Стандартная», «Строгая», «Персональная».

Ещё одним достоинством Firefox является возможность устанавливать расширения, которые могут усилить конфиденциальность и безопасность.

Отличительные черты Firefox:

• Открытый исходный код, который могут проверять независимые эксперты.
• Активная разработка обеспечивает регулярные обновления.
• Отличные функции конфиденциальности и многочисленные варианты настроек.
• Поддержка множества расширений.
• Телеметрию и отслеживание нужно отключить вручную.
• Требуются модификации для усиления конфиденциальности и безопасности.

Если вы хотите использовать старые расширения, которые не поддерживаются в последних версиях Firefox, можно задействовать версию Firefox Extended Support Release (ESR). Если вы хотите конфиденциальную версию Firefox на Android, скачайте Firefox Focus.

Другие шоу в конфиденциальном формате

По популярности Doctor Who Confidential , Доктор Кто спин-офф Торчвуд был произведен со своим собственным набором закулисных документальных фильмов под названием Торчвуд Рассекреченная . BBC также транслировала « Герои без масок» в том же формате, рассказываемые Энтони Хэдом, чтобы дополнить сериал NBC « Герои» на BBC Two , и « Греческие раскрытые» , рассказанные Ферном Коттоном , для комедийной драмы « Греческий», когда она была показана на BBC Three. В BBC Radio 7 Трансляции Большого Финиш Доктора Кто аудио драма следует в 15-минутной программой за кулисы под названием Beyond Вихря .

Сведения об изобретениях и разработках

Изобретатели и новаторы могут использовать патентирование как способ защиты своих прав. Пока действующая модель или образец, произведенный промышленным способом, не представлены общественности, данные о сущности изобретения, его чертежи и технические расчеты являются конфиденциальными данными. Разрешается регулировать степень доступности информации об изобретениях до ее официальной публикации и получения патента. Способы организации безопасной среды для таких данных и схемы применения защитных мер для подобной информации устанавливаются внутренними регламентами конструкторских бюро.

***

Существует много видов информации с ограниченным доступом: государственная, личная, коммерческая, служебная и профессиональная. Правовой режим большинства из этих групп представлен в отечественном законодательстве. К сожалению, между некоторыми законодательными актами существуют противоречия, которые могут приводить к потере ценных данных. Устранять такие несоответствия в процессе работы, создавая внутренние инструкции и правила по работе с информацией ограниченного доступа — одна из главных задач руководителя.

Зачем серьезно подходить к вопросу защиты конфиденциальной информации?

Сохранение внутренней информации IT компании в тайне выгодно для каждого бизнеса ввиду нескольких довольно очевидных причин:

1. Конкурентное преимущество: еще Ротшильды сказали, что тот, кто владеет информацией – владеет миром. Если у Вас появилась идея революционного проекта или невероятного технологического решения, вряд ли Вы захотите, чтобы о нем узнали Ваши конкуренты. Хранить в тайне информацию о проектах, корпоративной культуре, методиках подбора персонала и т.д. – значить всегда иметь козырь в рукаве.
2. Ценность конфиденциальной информации: особенно в случае с IT компаниями, стоимость информации или данных, которыми они владеют (клиентская база, уникальный софт, алгоритмы работы и т.д.) может во много раз превышать стоимость их материальных активов (офисное помещение, оборудование, техника и т.д.). В случае разглашения клиентской базы или информации о грядущем проекте потери компании в моменте могут быть колоссальными, не говоря о потерях в перспективе.
3. Работа с иностранными клиентами: в своем большинстве, клиенты отечественных IT компаний находятся за рубежом – США, Европа, Великобритания и т.д. С одной стороны, зарубежные контрагенты ценят, когда бизнес ведется четко, правильно, надежно и в полном соответствии с законом (что включает в себя отлаженные механизмы защиты информации). С другой стороны, при работе с иностранными клиентами вы получаете в распоряжение их секреты, их информацию, а поэтому становитесь ответственными уже не только перед самими собой, но и перед клиентами. Поэтому для спокойного сна по ночам нужно иметь надежную систему защиты.
4. Требование законодательства: самая банальная, но из-за этого не менее важная причина – требования законодательства. Законодательство каждой страны устанавливает свои собственные, но неизменно строгие и конкретные обязательства по защите конфиденциальной информации и персональных данных. Если Ваша компания не будет их соблюдать – Вы запросто можете оказаться в суде лицом к лицу с представителями госорганов или клиентом/заказчиком, с конфиденциальной информацией которого случилась неприятность.

Законодательное регулирование

Конфиденциальность — это достаточно серьезная тема, которая затрагивает практически все сферы общественной жизни. Именно поэтому регулирование данного вопроса уже давно происходит на законодательном уровне. Так, в соответствии со специальным Указом президента Российской Федерации конфиденциальными считаются следующие виды информации:

• вся личная информация, идентифицирующая человека, а также факты, касающиеся его частной жизни (исключения составляют сведения, предоставленные в средства массовой информации, а также подписание документов, разрешающих распространение данных);
• данные о ведении расследования и судебные документы, а также информация о лицах, которым обеспечивается защита в рамках государственных программ;
• служебная тайна, к которой относятся данные о работе государственных органов, научных лабораторий, а также предприятий оборонного сектора;
• сведения о таких видах деятельности, как медицинская, адвокатская, аудиторская, судебная, следственная и так далее;
• коммерческая тайна, заключающаяся в подробностях о производственном и технологическом процессе, а также организации работы предприятия в целом;
• сведения о научных разработках до момента получения патентной документации или же до внедрения в эксплуатацию.

Данные ограниченного доступа

Любая другая информация о деятельности компании и ее сотрудниках, потенциально является конфиденциальной. 

Предприниматель вправе требовать у своих работников подписку о неразглашении информации, составляющей коммерческую тайну, а так же имеет право отказать гос.органам, их должностным лицам в доступе к такой информации.

При этом самостоятельно распоряжаться данными о других субъектах (контрагентах, сотрудниках), в том числе принимать решение о публикации или передаче таких данных, компания не может.

Правило №2

Если у вас есть интересующие данные, то это еще не означает, что вы вправе использовать их по своему усмотрению.

Информация, хранимая компанией, не всегда принадлежит ей, и свободно распоряжаться этими данными — нельзя.

Определитесь – является ли запрашивая информация собственностью компании. Если нет, то для ее передачи, как минимум, требуется согласие собственника.

Пример

Партнер запросил сведения о дипломе сотрудника, который потенциально будет являться исполнителем работ. Данные о дипломе хранятся в кадровой службе предприятия. Желание партнера узнать квалификацию исполнителя – понятно. Менеджер планирует отправить партнеру копию диплома.

В свободном доступе не публикуются сведения о дипломах, выданных физическим лицам. Следовательно информация, содержащаяся в дипломе, потенциально является конфиденциальной.

Сотрудник – это самостоятельное физическое лицо и принимать решение о передаче своих личных данных вправе только он. Конечно, при приеме на работу сотрудник предоставил оригиналы или копии своих личных документов и дал согласие на их хранение и обработку в определенных целях (в целях ведения кадрового учета компании), но разрешения на использование информации для других целей сотрудник не давал.

Следовательно, даже в случае наличия в кадровой службе нужных данных, для передачи информации партнеру, необходимо предварительно запросить разрешение у сотрудника. Либо отказать партнеру в выдаче информации, поскольку она является конфиденциальной.

Правило №3

Если вы по каким-либо причинам собираете и храните чужие персональные данные, то вы обязаны обеспечить их защиту.

Если компания собирает и хранит персональные данные физических лиц (включая данные сотрудников), то необходимо

• Утвердить перечень персональных данных, необходимых и достаточных для выполнения задач компании. Это документ, утвержденный руководством компании, в котором описано какие именно данные собирает компания и для каких целей.

• Принять правовые, организационные и технические меры для защиты данных. Например, необходимо определить состав конфиденциальных данных, ограничить доступ сотрудников к этой информации, определить порядок доступа.

• Зафиксировать согласие сотрудников на сбор и обработку их персональных данных.

• Разработать процесс по уничтожению персональных данных в случае достижения цели их сбора и обработки. Сотрудники должны быть оповещены не только о сроках и условиях хранения данных, но и порядке уничтожения данных. Вы же не хотите оказаться в центре скандала, если ваш подчиненный выбросит кипу личных анкет соискателей, а ветер разнесет эти листики по всему городу?.

В законе О персональных данных и их защите можно найти более подробную информацию о требованиях к владельцу или оператору, осуществляющих сбор и обработку персональных данных.

Браузер Tor

Дальше в нашем списке располагается Tor. Это усиленная версия Firefox, которая предназначается для работы в сети Тор. По умолчанию браузер Tor защищает пользователей от снятия цифровых отпечатков, но есть у него и некоторые недостатки.

Поскольку используется сеть Tor, где трафик направляется по трём разным узлам, скорость входящего соединения очень медленная. Кроме того, версия браузера по умолчанию может неправильно отображать некоторые сайты из-за блокировки скриптов. У самой сети Tor тоже есть недостатки, включая вредоносные исходящие узлы, высокую задержку, зависимость от финансирования со стороны правительства США. Некоторые считают, что сеть в целом находится под наблюдением. Многие сайты блокируют IP-адреса из сети Tor.

Другой вариант заключается в использовании браузера Tor с отключенной сетью Tor. В таком случае он работает как любой другой браузер. При этом можно включить VPN. Как и сеть Tor, VPN шифрует ваш трафик и скрывает IP-адрес, но работает значительно быстрее.

С осторожностью меняйте настройки браузера Tor, поскольку это может ухудшить конфиденциальность и безопасность

Пример соглашения о конфиденциальности и неразглашении информации

Соглашение о конфиденциальности и неразглашении информации

г. Сочи 20 марта 2018 г.

Общество с ограниченной ответственностью «Палермо», ОГРН 115896418581, адрес местонахождения: 189254, Россия, Краснодарский край, г. Краснодар, ул. Октябрьская, 2, в лице директора Семенова Константина Владимировича, действующего на основании Устава, именуемое «Раскрывающая сторона» с одной стороны, и

Индивидуальный предприниматель Солнцев Игорь Алексеевич, ОГРНИП 449629562, адрес регистрации: 354089, Краснодарский край, г. Сочи, ул. Ялтинская, 24, именуемый в дальнейшем «Получающая сторона», с другой стороны,

вместе именуемые «Стороны», заключили настоящее соглашение о нижеследующем:

Раскрывающая сторона передает Получающей стороне определенную информацию, которая считается конфиденциальной или секретом фирмы, а именно касающуюся конструкции тележек 81/781-320 ОКА. Получающая сторона получает указанную в п. 1 настоящего Соглашения информацию в целях изготовления 20 рам дл указанных тележек на основании договора подряда от 19 марта 2017 г. № 4912, заключенного между Сторонами. Конфиденциальной информацией следует считать информацию, представленную Раскрывающей стороной Получающей стороне в устном, письменном, электронном или ином виде и относящуюся к предмету коммерческой деятельности и техническим возможностям Раскрывающей стороны, а также к изделиям, услугам, фактическим или аналитическим данным, заключениям и материалам, включая, но не ограничиваясь, заметками, документацией и переписками

Стороны подтверждают понимание важности вопроса и соглашаются принять на себя следующие обязательства:

В течение 3 лет с даты заключения настоящего Соглашения Получающая сторона не будет разглашать конфиденциальную информации, полученной от Раскрывающей стороны, не будет использовать эту информацию для своей собственной выгоды

Получающая сторона будет соблюдать столь же высокую степень секретности во избежание разглашения или использования этой информации, какую соблюдала бы в отношении своей собственной конфиденциальной информации такой же степени важности

В предмет настоящего соглашения не входит и не считается конфиденциальной информация, которая является или становится публично известной в результате неправильного, небрежного или намеренного действия Раскрывающей стороны, легально получена от третьей стороны без ограничения и без нарушения настоящего Соглашения, представлена третьей стороне Раскрывающей стороной без аналогичного ограничения на права третьей стороны, самостоятельно разработана Получающей стороной, при условии, что ни Получающая сторона лично, ни лица, при участии которых она была разработана, не имели доступа к конфиденциальной или являющейся секретом фирмы информации Раскрывающей стороны, разрешена к выпуску письменным разрешением Раскрывающей стороны, раскрыта в силу закона

Получающая сторона несет ответственность за умышленное или неосторожное разглашение конфиденциальной информации. В случае причинения убытков Раскрывающей стороне в результате разглашения конфиденциальной информации Получающая сторона обязана возместить причиненные убытки в полном объеме

Ни одна из Сторон не будет разглашать факт существования настоящего договора без предварительного согласия другой Стороны. Настоящий договор подлежит толкованию в соответствии с законами РФ. Настоящий договор вступает в силу с момента его подписания. Реквизиты и подписи Сторон

Генеральный директор ООО «Палермо» К.В. Семенов

ИП Солнцев И.А.

Защита конфиденциальности в информационных системах

Поскольку разнородные информационные системы с разными правилами конфиденциальности связаны между собой и информация является общедоступной, устройства политик должны будут согласовывать, обеспечивать соблюдение и контролировать все большее количество правил (и законов) политики конфиденциальности. Существует две категории технологий для защиты конфиденциальности в коммерческих ИТ-системах: коммуникация и обеспечение соблюдения.

Политическая коммуникация

P3P — Платформа для настроек конфиденциальности. P3P — это стандарт для обмена информацией о методах обеспечения конфиденциальности и их сравнения с предпочтениями отдельных лиц.

Применение политики

• XACML — расширяемый язык разметки контроля доступа вместе с его профилем конфиденциальности — это стандарт для выражения политик конфиденциальности на машиночитаемом языке, который программная система может использовать для обеспечения соблюдения политики в корпоративных ИТ-системах.
• EPAL — Enterprise Privacy Authorization Language очень похож на XACML, но еще не является стандартом.
• WS-Privacy — «Конфиденциальность веб-службы» будет спецификацией для сообщения политики конфиденциальности в веб-службах . Например, он может указывать, как информация о политике конфиденциальности может быть встроена в конверт SOAP сообщения веб-службы.

Защита конфиденциальности в Интернете

В Интернете многие пользователи предоставляют много информации о себе: незашифрованные сообщения электронной почты могут быть прочитаны администраторами почтового сервера , если соединение не зашифровано (без HTTPS ), а также поставщиком услуг Интернета и другими стороны, прослушивающие сетевой трафик этого соединения, могут узнать его содержимое. То же самое относится к любому типу трафика, генерируемому в Интернете, включая просмотр веб-страниц , обмен мгновенными сообщениями и другие. Чтобы не выдавать слишком много личной информации, электронную почту можно зашифровать, а просмотр веб-страниц, а также другие действия в Интернете можно осуществлять без отслеживания с помощью анонимайзеров или распределенных анонимайзеров с открытым исходным кодом, так называемых смешанных сетей . Хорошо известные сети с открытым исходным кодом включают I2P — The Anonymous Network и Tor .

Повышение конфиденциальности за счет индивидуализации

Конфиденциальность компьютера можно улучшить за счет индивидуализации . В настоящее время сообщения безопасности предназначены для «среднего пользователя», то есть одно и то же сообщение для всех. Исследователи предположили, что индивидуализированные сообщения и меры безопасности, созданные на основе индивидуальных различий и личностных качеств пользователей, могут быть использованы для дальнейшего улучшения соблюдения каждым человеком требований компьютерной безопасности и конфиденциальности.

Серьезная ответственность

По УК РФ осуждают за уголовные преступления. За разглашение конфиденциальной информации статья 183 регламентирует наказания, если граждане незаконно получили и распространили сведения, принадлежащие к коммерческим, налоговым, банковским тайнам. Когда были похищены документы, происходил подкуп, давление на лиц с помощью угроз, проступки попадают под действие Федерального закона № 193 или № 420.

Степень ответственности зависит от тяжести преступления:

• штрафные санкции по размеру зарплаты или годичного дохода;
• исправительные или принудительные работы;
• лишение свободы.

Только Уголовный кодекс предусматривает реальный тюремный срок за проступки, попавшие под действия его юрисдикции.

Правила обращения со служебной информацией

Перечень «сведений конфиденциального характера» утвержден соответствующим указом Президента. В перечне определен комплекс понятий, действие которых раньше регулировалось исключительно внутренними приказами служб и предприятий. Служебная тайна здесь внесена как комплекс служебных данных, доступ к которым при необходимости могут ограничивать представители государственной власти. 

Постановлением Правительства определен порядок оборота служебной информации с лимитированным доступом. К служебной тайне причисляют несекретную информацию, которая касается деятельности государственных учреждений, если вследствие служебной необходимости ее разглашение ограничено. Постановление предписывает, что документы и их копии, которые содержат служебную информацию с ограниченным доступом, должны обрабатываться и храниться отдельно от основного документооборота.

Итоги

В общем и целом, защита конфиденциальной информации – это не вопрос пяти минут. Скорее, это можно сравнить с поддержанием спортивной формы: этим нужно заниматься постоянно, методично и с умом, а даже самый короткий перерыв может привести если не к необратимым последствиям, то к довольно серьезным потерям.

Также, не стоит забывать, что это должно быть комплексным процессом. Подписать со всеми сотрудниками договора без внедрения реальных механизмов обеспечения конфиденциальности или наоборот – разработать и внедрить хорошую систему и алгоритмы защиты информации, работая без документов «под честное слово» —  любой из таких вариантов не будет работать. Машина без двигателя, по большому счету, бесполезна, как и двигатель – без машины.

Поэтому заботьтесь о конфиденциальности и будьте образцовой IT компанией.