Примеры разглашения коммерческой тайны
Разглашение — это не обязательно какие-либо действия: похищение базы данных или конфиденциальных сведений. Разглашением могут признать и бездействие, например непринятие мер безопасности, в результате которого информация стала известна посторонним. И неважно, как это произошло, — источником утечки может стать документ, оставленный на столе, или невыключенный компьютер.
Судебная практика по увольнению за разглашение крайне неоднозначная.
Вот пример из суда. Сотрудник банка рассылал служебную информацию через мессенджер. Служба безопасности об этом узнала, и сотрудника уволили. Он обратился в суд.
В суде он заявил, что мессенджеры защищены шифрованием, а получателем файлов вообще являлась служба безопасности банка. А раз так, то нет и разглашения.
Суд проверил документы. В них было сказано, что пересылать файлы можно только с письменного согласия начальника службы безопасности, а тот такого согласия не давал. Значит, нарушение было. Увольнение признали законным.
Другой пример. Работник пересылал сам себе на личную почту информацию, где была коммерческая тайна. Это стало известно, и работника уволили. Он не согласился и обратился в суд.
Суды решили, что разглашение имело место. Почта, на которую он отправлял эту информацию, действительно была его личной, но пересылка осуществлялась через почтовый сервер «Мэйл-ру». А значит, информация попадала к третьему лицу.
Мужчина дошел до Конституционного суда РФ, который решил, что в данном случае разглашения не было: сторонняя организация, через сервер которой осуществлялась рассылка, не являлась обладателем самой информации. А значит, решения об увольнении подлежат пересмотру.
Чаще всего встречаются следующие примеры разглашения коммерческой тайны:
- Непосредственное похищение информации — вынос документов, дисков и других носителей. Избежать его можно, если регистрировать все документы и носители, на которых хранится коммерческая тайна, и вести учет их движения внутри организации.
- Копирование информации — как с помощью компьютера, так и путем фотосъемки. Иногда злоумышленников интересуют даже фотографии с экрана компьютера. От фотографирования документации защищают системы видеонаблюдения в офисе, от копирования с компьютера и пересылки по электронной почте — программы типа «Даллас лок» и ее аналоги, настройка контроля за электронной почтой.
- Внедрение вредоносных программ на компьютеры предприятия. Этого можно отчасти избежать, если своевременно обновлять программное обеспечение и его настройки.
Какой перечень информации, составляющей коммерческую тайну на территории РФ, может являться образцом?
Если организация устанавливает режим КТ в отношении какой-либо информации, то необходимо создать внутренние положения по соблюдению этого режима с указанием мер ответственности за их нарушения, а также зафиксировать перечень составляющих коммерческую тайну сведений. Сотрудники, работающие с закрытой информацией, должны быть ознакомлены с правилами конфиденциальности и с перечнем составляющих коммерческую тайну сведений. В этот перечень может входить любая информация, которая имеет коммерческую ценность в данный момент или в будущем в связи с тем, что она не известна третьим лицам и у них нет свободного доступа на законном основании к этим данным.
Примерный перечень сведений, составляющих коммерческую тайну, может выглядеть таким образом:
О том, как утвердить режим КТ, читайте в статье «Положение о коммерческой тайне — образец 2021 года».
За разглашение коммерческой тайны может быть предусмотрена дисциплинарная, материальная и даже уголовная ответственность. Когда можно привлечь сотрудника к ответственности рассказывают эксперты КонсультантПлюс. Получите пробный доступ и бесплатно изучите материал.
УТВЕРЖДЕНРаспоряжением ОАО «РЖД» от 28 ноября 2011 года N 2546р
Порядок предоставления доступа к информационным системам ОАО «РЖД»
Общие положения
Настоящий Порядок устанавливает единую процедуру организации доступа к информационным системам ОАО «РЖД» работников аппарата управления, филиалов, других структурных подразделений ОАО «РЖД», их обособленных подразделений, а также сторонних организаций.
В настоящем Порядке используются следующие основные понятия:
информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационная система общего пользования — глобальная информационная система (сеть Интернет), доступ к которой в соответствии с настоящим Порядком предоставляется за счет ресурсов ОАО «РЖД» внутренним пользователям для выполнения ими должностных обязанностей;
информационные технологии — процессы и методы поиска, сбора, хранения, обработки, предоставления и распространения информации;
подразделение ОАО «РЖД» — подразделение аппарата управления, филиал (его обособленное подразделение) или другое структурное подразделение ОАО «РЖД»;
внутренний пользователь — работник подразделения ОАО «РЖД», использующий информационные системы;
внешний пользователь — работник сторонней организации (в том числе дочернего или зависимого общества ОАО «РЖД») или индивидуальный предприниматель, имеющий доступ к информационным системам ОАО «РЖД»;
обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации;
доступ к информационной системе — возможность ознакомления пользователя со сведениями, находящимися в информационной системе, и использования обеспечивающих их обработку информационных технологий и технических средств;
ответственный за оформление заявок — назначаемый приказом по подразделению ОАО «РЖД» работник, оформляющий доступ пользователей к информационной системе;
распорядитель информационной системы (раздела информационной системы) — подразделение ОАО «РЖД», реализующее полномочия обладателя информации по предоставлению доступа к информационной системе в соответствии с требованиями настоящего Порядка, а также других нормативных документов ОАО «РЖД» (как правило, функциональный заказчик информационной системы);
зона ответственности подразделения, осуществляющего эксплуатацию информационной системы, — область функционирования информационной системы, где данное подразделение несет ответственность за ее работоспособность;
руководитель подразделения ОАО «РЖД» — начальник (заместитель начальника) подразделения ОАО «РЖД», имеющий право подписи исходящих документов:
сеть передачи данных ОАО «РЖД» — корпоративная транспортная инфраструктура передачи данных, предназначенная для обмена информацией между пользователями, подключенными к сети передачи данных, а также обеспечения доступа пользователей к информационным системам ОАО «РЖД»;
Организация доступа пользователей к информационным системам ОАО «РЖД»
Предоставление пользователям доступа к информационным системам ОАО «РЖД» осуществляется на основании их заявок, которые оформляются с использованием автоматизированных систем обработки заявок на доступ к информационным системам ОАО «РЖД».
Подразделение ОАО «РЖД», инициирующее подключение пользователя к информационной системе (разделу информационной системы), обеспечивает оформление заявки на его доступ к информационной системе (разделу информационной системы). Заявка на доступ к информационной системе заполняется в автоматизированной системе обработки заявок ответственным за оформление заявок или самим пользователем, при этом указывается цель подключения и прилагается основание для предоставления доступа.
При отсутствии возможности использования автоматизированной системы обработки заявок заявка оформляется согласно приложениям N 1 или 2 и вместе с сопроводительным письмом, в котором указываются цель подключения и основание для предоставления доступа к информационной системе, пересылается почтой с соблюдением требований настоящего Порядка.
Основанием для предоставления доступа к информационной системе внутреннего пользователя являются его должностные обязанности, а также письменное указание руководства ОАО «РЖД» или руководителя филиала (структурного подразделения) ОАО «РЖД», копия (выписка) которого прилагается к заявке.
Срок действия заявки внутреннего пользователя — 2 года с даты ее утверждения.
Внешние пользователи в качестве основания для предоставления доступа к информационной системе указывают договор (соглашение) между организацией внешнего пользователя и ОАО «РЖД» об электронном обмене данными, а также соответствующие приказ или распоряжение ОАО «РЖД» (при необходимости), копии которых прилагаются. Срок действия заявки внешнего пользователя — один год с даты ее утверждения, но не более срока действия указанного договора (соглашения).
В сопроводительном письме внешние пользователи дополнительно указывают наименование информационной системы (раздела информационной системы), а также направляют вместе с заявкой копию утвержденной типовой схемы предоставления доступа к указанной информационной системе (разделу информационной системы), оформленной согласно приложению N 3, и копию договора (соглашения) об электронном обмене данными.
Типовая схема предоставления доступа внешнего пользователя к информационной системе ОАО «РЖД» согласовывается с Главным вычислительным центром или с информационно-вычислительным центром — структурным подразделением Главного вычислительного центра в случае подключения к информационной системе (разделу информационной системы), расположенной в зоне ответственности информационно-вычислительного центра. В последнем случае схема также согласовывается с соответствующим региональным центром безопасности.
После этого схема предоставления доступа внешних пользователей к информационной системе согласовывается с департаментом безопасности и утверждается департаментом информатизации и корпоративных процессов управления.
В договоре (соглашении) между организацией внешнего пользователя и ОАО «РЖД» об электронном обмене данными указываются информационная система (раздел информационной системы), содержание передаваемой информации, порядок приостановления или прекращения доступа внешнего пользователя к информационной системе, требования по обеспечению защиты информации в соответствии с политикой и стандартами безопасности ОАО «РЖД», а также следующие обязательства организации внешнего пользователя:
обеспечивать конфиденциальность информации, составляющей коммерческую тайну ОАО «РЖД»;
передавать полученную информацию третьим лицам только с письменного согласия ОАО «РЖД»;
незамедлительно сообщать ОАО «РЖД» о допущенном организацией внешнего пользователя либо ставшем ей известном факте разглашения или об угрозе разглашения, о незаконном получении или незаконном использовании третьими лицами информации, составляющей коммерческую тайну ОАО «РЖД»;
возместить убытки ОАО «РЖД» в случае разглашения организацией внешнего пользователя информации, составляющей коммерческую тайну ОАО «РЖД», а также в других случаях нарушения внешним пользователем требований информационной безопасности;
обеспечить средства электронно-вычислительной техники, подключаемые к информационной системе, антивирусной защитой и защитой от несанкционированного доступа в соответствии с политикой и стандартами информационной безопасности ОАО «РЖД».
Договор (соглашение) об электронном обмене данными согласовывается с распорядителем информационной системы и с департаментом безопасности (с региональным центром безопасности в случае предоставления доступа к информационной системе в зоне ответственности информационно-вычислительного центра).
Доступ внешних пользователей к информационной системе (разделу информационной системы), содержащей информацию, обладателем которой является дочернее или зависимое общество ОАО «РЖД», возможен только при наличии письменного согласия обладателя информации.
Доступ внутренних и внешних пользователей к информационной системе обеспечивается путем подключения рабочей станции или персональной электронно-вычислительной машины (далее — ПЭВМ) пользователя к средствам информационного обмена Главного вычислительного центра или информационно-вычислительного центра — структурного подразделения Главного вычислительного центра, которыми для внутренних пользователей является сеть передачи данных ОАО «РЖД», а для внешних пользователей — защищенные узлы доступа из внешних сетей.
Доступ внешних пользователей к информационным системам осуществляется через узлы доступа Главного вычислительного центра (информационно-вычислительных центров — структурных подразделений Главного вычислительного центра) в соответствии со схемой предоставления доступа к информационным системам (разделу информационной системы) по технологиям, предусмотренным проектными решениями узлов доступа, в том числе с применением сертифицированных средств криптографической защиты.
Подключение внешних пользователей к электронно-почтовой системе ОАО «РЖД» для производственно-хозяйственной деятельности допускается только при соблюдении требований законодательства Российской Федерации.
Подключение по схеме «информационная система ОАО «РЖД» — автоматизированная система внешней организации», а также подключение технологического оборудования (стоек, терминалов, банкоматов и т. ) осуществляется на основании разрабатываемого для каждого случая проекта, который согласовывается в установленном порядке с Главным вычислительным центром, департаментом безопасности и департаментом информатизации и корпоративных процессов управления.
Подключения пользователей подразделяются по типу на:
информационное — для получения справочных сведений из информационной системы в процессе выработки управленческих решений;
технологическое — для обмена данными с информационной системой в процессе производственной деятельности пользователя;
обеспечивающее — для сопровождения и обеспечения эффективного функционирования информационной системы (раздела информационной системы).
Подразделение — распорядитель информационной системы (раздела информационной системы) принимает решение о целесообразности и возможности предоставления конкретному пользователю доступа к данной информационной системе (разделу информационной системы). Указанное подразделение по согласованию с департаментом безопасности и департаментом информатизации и корпоративных процессов управления может делегировать часть своих полномочий распорядителя информационной системы подразделениям ОАО «РЖД» дорожного уровня в зоне ответственности соответствующего информационно-вычислительного центра — структурного подразделения Главного вычислительного центра.
Работник, ответственный за организацию работы с информацией, составляющей коммерческую тайну, в подразделении ОАО «РЖД» — распорядителе информационной системы, обеспечивает ведение учета заявок на подключение пользователей к информационной системе, содержащей сведения, составляющие коммерческую тайну ОАО «РЖД».
В Главном вычислительном центре (информационно-вычислительном центре — структурном подразделении Главного вычислительного центра) заявки на доступ к информационной системе (разделу информационной системы) рассматриваются соответствующими подразделениями (уполномоченными работниками), которые обеспечивают:
учет заявок на подключение пользователей к информационной системе (при отсутствии автоматизированной системы обработки заявок);
контроль правильности оформления заявки (при отсутствии автоматизированной системы обработки заявок);
физическое подключение ПЭВМ пользователя к сети передачи данных (если ранее ПЭВМ не была подключена) или подтверждение факта ее физического подключения;
организацию (при необходимости) работы по установке автоматизированных рабочих мест информационной системы на ПЭВМ пользователя;
предоставление прав доступа к информационной системе (разделу информационной системы) с передачей пользователю идентификационной информации;
безопасность подключения и доступа к информационной системе (разделу информационной системы).
В департаменте безопасности (региональном центре безопасности) заявки на доступ к информационным системам рассматриваются отделом (уполномоченными работниками), который:
проверяет полноту оформления документов и легитимность подписей, в том числе электронных цифровых;
проверяет оформление допуска пользователя к сведениям, составляющим коммерческую тайну, при подключении его к информационной системе (разделу информационной системы), содержащей такие сведения;
оценивает целесообразность продления сроков подключения пользователя к определенной информационной системе (разделу информационной системы) исходя из имеющейся информации о нарушениях, допущенных данным пользователем при работе в этой информационной системе (разделе информационной системы);
контролирует соблюдение настоящего Порядка, политики и стандартов информационной безопасности ОАО «РЖД», а также правил работы внутренних пользователей.
Срок рассмотрения заявки на доступ пользователей к информационной системе ОАО «РЖД» каждым из причастных подразделений ОАО «РЖД» не превышает трех рабочих дней.
Применение введенных до 2011 года в эксплуатацию автоматизированных систем обработки заявок на доступ к информационным системам допускается при их соответствии требованиям настоящего Порядка и требованиям к работе систем с использованием электронной цифровой подписи. В указанных системах использование электронной цифровой подписи руководителями подразделений ОАО «РЖД» — распорядителей информационных систем (разделов информационных систем), служб корпоративной информатизации железных дорог ОАО «РЖД», а также уполномоченными в соответствии с настоящим Порядком работниками Главного вычислительного центра (информационно-вычислительного центра), департамента безопасности (регионального центра безопасности) и департамента информатизации и корпоративных процессов управления является обязательным.
Эксплуатируемые автоматизированные системы обработки заявок должны обеспечивать соответствие данных о подключаемых внутренних пользователях сведениям, содержащимся в информационной системе кадрового учета (ЕК АСУТР).
При наличии ошибок (неточностей) в заявках, сопроводительных письмах, прилагаемых материалах и при нарушении порядка их согласования доступ к информационным системам не предоставляется, о чем автора заявки уведомляет работник, принявший решение об отказе в предоставлении доступа.
- Minecraft на каком языке программирования
- Мп5 тень варфейс достижения
- За какой клуб начать карьеру в fifa 21
- 7 days маска вокруг глаз
- Titan quest описание
Насколько серьёзна утечка информации, определит суд или следствие, если
вы подадите заявление в полицию.
Специалистов, которым по долгу службы открыли коммерческую тайну,
и они её разгласили, можно привлечь к административной
ответственности и наложить взыскания, если тяжесть нарушения не подходит
под уголовную статью. Штраф в таком случае составит: до 1 000 рублей — для
граждан, до 5 000 рублей — для должностных лиц и адвокатов.
Если кто-то случайно или по ошибке получил доступ
к коммерческой тайне и разгласил её, не подозревая о том, что нарушает закон,
он не несёт ответственности
за это. Однако вы можете после этого обязать его хранить информацию в секрете,
и повторное разглашение не останется безнаказанным.
Режим коммерческой тайны может ввести любая компания. Засекречивать можно
что угодно, кроме тех сведений, которые по закону нельзя скрывать.
Чтобы придать сведениям статус коммерческой тайны, нужно нанести на них
гриф «Коммерческая тайна», указать правообладателя, прописать режим обращения с секретными
данными и ознакомить с ними выбранных лиц. Всё это важно зафиксировать
в документах компании и договорах с персоналом.
Если госорганы направляют мотивированное требование раскрыть коммерческую
тайну, её обладатель обязан это сделать.
Разглашение сведений, составляющих коммерческую тайну, влечёт за собой
дисциплинарную, гражданско-правовую, административную или уголовную ответственность.
Меры по защите коммерческой тайны
Отличить документ, содержащий коммерческую тайну, очень просто. В правом верхнем углу у него обычно ставится гриф ограничения доступа.
Выглядеть он может так:
Но одного этого недостаточно. Сказать, что теперь эта информация никому не должна передаваться, мало. Надо начать ее реально защищать и принимать меры, чтобы она не стала известна посторонним.
Владелец такой информации должен реально ограничить доступ к ней без своего согласия. А еще нужно обеспечить возможность использования работниками информации, составляющей коммерческую тайну, и передачи ее контрагентам без нарушения режима коммерческой тайны.
Для этого на предприятии нужно установить режим коммерческой тайны. Вот как это делается:
- Определите перечень информации, которая будет коммерческой тайной. Перечень должен быть предельно конкретным. Например, рецепт печенья — это конкретная технология, которая может быть коммерческой тайной, как и описание производственного процесса приготовления этого печенья. Но нельзя написать, что к тайне относятся все технологии, которые используются при производстве этого печенья. Если дело дойдет до суда, расплывчатые формулировки будут только мешать доказывать, что именно имелось в виду.
- Установите порядок обращения с такой информацией и контроль за соблюдением такого порядка. Сделать это нужно документально — устные указания здесь не работают. Проще всего прописать это в отдельным приказе, распоряжении или положении — в зависимости от того, как это принято в конкретной организации. Там можно указать, что к коммерческой тайне имеют доступ Иванов, Петров и Сидоров, храниться эта информация будет в сейфе у Иванова и нигде больше, а передавать ее можно только с письменного разрешения руководителя.
- Организуйте учет лиц, получивших доступ к информации, составляющей коммерческую тайну. Если документы бумажные, можно завести специальный журнал. Получил человек документ — расписался в журнале. Сдал — ответственный за хранение ставит свою подпись о приеме. Если информация существует в электронном виде, можно ограничить приказом доступ к компьютеру, на котором она хранится, установить на нем пароль и выдавать его пользователям под подпись. А еще в этом случае очень хорошо помогает видеокамера, контролирующая доступ к компьютеру, главное — предупредить об этом сотрудников.
- Пропишите все, что связано с коммерческой тайной, в трудовых договорах работников, их должностных инструкциях и в гражданско-правовых договорах контрагентов. Каждый работник, допущенный к коммерческой тайне, должен не просто знать об этом. Его нужно ознакомить под подпись со всеми документами, где описан этот порядок: должностными инструкциями, положениями и дополнительными соглашениями.
- Нанести на носители с информацией, составляющей коммерческую тайну, специальный гриф «Коммерческая тайна» и указать обладателя такой информации. Для юридических лиц это полное наименование и местонахождение. Для ИП — фамилия, имя, отчество и место жительства. Способ нанесения грифа в законе не описан. Это может быть печать, надпись от руки, наклейка — если гриф проставляется, например, на флешке или жестком диске компьютера. А еще его можно печатать сразу на бланк документа. Главное, чтобы было видно, что информация на носителе относится к коммерческой тайне и кто ее владелец.
Это правильный гриф. Тут указано, кто владелец информации и что она является коммерческой тайной
А такие грифы закону не соответствуют. На них владелец не указан
Это минимум из того, что положено по закону. Если пропустить хотя бы один из пунктов, суд потом может решить, что режим коммерческой тайны был установлен неправильно, и привлечь работника к ответственности за разглашение не получится. Исполнение всех этих требований — это не право обладателя коммерческой тайны, а его прямая обязанность.
Все мероприятия по защите коммерческой тайны нужно зафиксировать на бумаге и ознакомить с ними сотрудников под подпись. Устные указания здесь не работают — в случае нарушения их существование сложно доказать в суде. Нужно изложить их в документе — приказе, указании, распоряжении. Назвать его тоже можно по-разному: об обеспечении охраны коммерческой тайны, установлении режима коммерческой тайны, установлении перечня сведений, составляющих коммерческую тайну или по-другому. Главное — его смысл должен быть понятен как работникам, так и суду, если дело вдруг дойдет до судебного разбирательства. Еще, как правило, в этом документе указывают нескольких сотрудников, которые ответственны за его исполнение.
Регламент работы по определению сведений, составляющих коммерческую тайну. Секреты компании могут меняться. И хранить в секрете информацию, которая и так всем известна, сложно и бессмысленно. А еще это дорого: системы безопасности стоят денег, а людям, которые занимаются охраной коммерческой тайны, приходится платить зарплату.
Поэтому создают регламент работы по определению сведений, составляющих коммерческую тайну. В нем прописывают, какие секреты важны, в каком случае они утрачивают актуальность и кто это определяет.
Дать примерный образец такого регламента невозможно. На некоторых предприятиях его вообще может не быть — руководство может определять такую информацию самостоятельно и прописывать, например, в отдельном приказе. Но для крупных предприятий я рекомендую его составить.
В этом документе нужно ответить на следующие вопросы:
- Какая информация может быть отнесена к коммерческой тайне.
- Кто может принять такое решение. Это может быть единолично руководитель, а могут быть сотрудники, например технолог или начальник службы безопасности. В этом случае такие полномочия нужно давать человеку отдельным приказом.
- В каких случаях информация перестает быть коммерческой тайной и кто принимает решение, что с нее снимается гриф ограничения доступа.
Положение о коммерческой тайне. Это обязательный документ, без которого не получится привлечь сотрудника к ответственности за разглашение и взыскать с него убытки.
Как правило, к такому документу в любой организации относятся очень серьезно. В нем дословно перечисляют нормы статей гражданского кодекса, закона о коммерческой тайне и понятия из этих законов, хотя это не требуется, достаточно ссылки на документ. Не обязательно делать его большим по объему — тут смысл важнее.
Расскажу, как избежать ошибок при составлении такого положения.
Главное — не использовать абстрактные формулировки типа «не разглашать вообще ничего» и «вся информация о фирме относится к коммерческой тайне». Перечень сведений должен быть максимально конкретным.
В положении можно предусмотреть возможность взыскания убытков. Но это не всегда рационально — убытки придется доказывать в суде. Например, разгласил работник рецепт лимонада конкурентам и владелец рецепта пошел в суд. А суд предложил обосновать, почему он считает, что понес убытков на миллион, а не на тысячу рублей. Это может оказаться не так просто. Решение проблемы — прописать в положении не только возмещение убытков, но и возможность взыскания штрафа за сам факт разглашения в судебном порядке.
В целом положение можно составить следующим образом:
- Кто на предприятии обладает коммерческой тайной, зачем она нужна предприятию.
- Кто определяет информацию как коммерческую тайну и что именно к ней относится.
- Какой порядок работы с такой информацией принят на данном предприятии.
Работники должны ознакомиться с положением под подпись и подписать обязательство о неразглашении коммерческой тайны.
Но этого, скорее всего, окажется недостаточно.
Одних юридических бумаг мало. Они нужны, когда информация уже ушла на сторону и нужно готовиться к судебному заседанию. Но лучше такой ситуации не допускать. Это возможно, хотя иногда и затратно.
Главное в защите любых секретов — это люди, техника и процессы. Расскажу, как это работает.
Люди. Главный ресурс любого предприятия — человеческий. Если на предприятии текучка системных администраторов, нужно быть готовым к тому, что эти системные администраторы кочуют вместе со всеми данными предприятия. И проконтролировать это очень сложно. Если главный технолог предприятия получает зарплату в среднем ниже, чем в других местах, надеяться на его порядочность сложно. По моему мнению, стабильные кадры на предприятии — одна из составляющих надежного хранения любых секретов. Хотя гарантий это не дает.
Процессы. Можно составить кучу разных бумаг и запугать работников ответственностью. Но эффект от этого будет нулевой, если бумаги с информацией ограниченного доступа передаются из рук в руки под честное слово, валяются на столах, пока сотрудники курят во дворе, или аккуратно складываются на ночь стопочкой на окне.
Как минимум я рекомендую сделать следующее:
- Приобрести сейфы или металлические шкафы для сотрудников, работающих с коммерческой тайной, и обязать их в должностной инструкции хранить все конфиденциальные документы только в них. А в нерабочее время сейф закрывать и опечатывать. За незапертый или неопечатанный сейф предусмотреть в должностной инструкции дисциплинарную ответственность.
- Вести учет движения документов для сотрудников, работающих с носителями, содержащими коммерческую тайну. Получил такой документ или флешку — распишись в получении. Передаешь другому человеку — пусть он тоже распишется и дату поставит.
В любом случае порядок движения любого документа с грифом «Коммерческая тайна» должен быть отрегулирован, а порядок передачи — прописан в документах.
Такой металлический шкаф стоит около 6 тысяч рублей
Вот так может выглядеть журнал учета выдачи документов
Техника. Сложно допустить, что секретные рецепты и технологии хранятся на бумагах, записаны в единственном экземпляре и от руки. Чаще их сохраняют в электронном виде. Для работы это удобно, но и для похитителей информации тоже.
Защитить компьютер можно следующими способами.
Самый бюджетный вариант — заклеить USB-порты и разъемы стикерами.
Такой рулон со стикерами стоит 53 , в нем 1000 стикеров. На них для дополнительной защиты можно поставить печать предприятия либо просто расписаться от руки — кому как удобнее
Такой стикер легко оторвать, но это сразу будет заметно. В этом случае можно проводить проверку, кто и зачем его оторвал.
Есть более надежный способ защиты от утечек — программный. Например, программа Dallas Lock сертифицирована ФСБ и предназначена именно для защиты информации. Она умеет программно блокировать порты USB, и они начинают видеть только те флешки и съемные диски, которые администратор разрешит. Еще она видит, какую информацию на диски копируют. С ней стикеры уже не нужны, но и стоит она дороже — от 3200 до 10 800 Р в зависимости от срока действия лицензии и функций программы. Эта программа не единственная, есть и другие с аналогичным функционалом. Если пользуетесь такими — напишите в комментариях.