Как защитить коммерческую тайну в условиях дистанционной работы

При работе в офисе наниматель может достаточно жестко контролировать безопасность циркуляции данных в своей информационной системе. Однако даже это порой не спасает.

Так, по данным специалистов, в 2019 году на 48% выросло число утечек коммерческой информации, производственных секретов и ноу-хау. Из них только 15% стало результатом случайности. Остальные же были совершены умышленно. Причем в 56% виновниками становятся сотрудники компании, относящихся как к рядовому персоналу, так и к среднему и даже высшему управленческому звену.

В условиях же удаленной работы обеспечивать безопасность данных становится вдвойне сложнее. Разберемся, какие меры необходимо предпринять нанимателю, чтобы минимизировать риск утечки данных при переводе сотрудников на такой режим работы.

1. Проверьте, правильно ли введен режим коммерческой тайны

Довольно часто компании относятся к установлению режима коммерческой тайны поверхностно, разрабатывают пакет документов и на этом останавливаются, не проводят на практике изложенные на бумаге меры. Документы должны содержать инструменты, которые компания реально использует.

Для того чтобы ввести режим коммерческой тайны, наниматель должен разработать и внедрить следующий минимальный набор документов: положение о коммерческой тайне, перечень информации, составляющей коммерческую тайну. Работников необходимо ознакомить с данными документами под роспись. Также нужно включить в контракты и должностные инструкции работников обязанности по соблюдению коммерческой тайны.

Режим коммерческой тайны включает в себя не только правовые меры, но еще организационные (определение ответственных лиц, организация учета лиц, получивших доступ к коммерческой тайне, и т.д.) и технические (установление системы паролей на компьютеры, использование программ для шифрования доступа к сведениям, использование отдельных компьютеров для работы с конфиденциальной информацией и т.д.).

Судебная практика идет по такому пути, что если работник был уволен за разглашение коммерческой тайны, но при этом у нанимателя состав сведений, подлежащих охране в режиме коммерческой тайны, не определен либо работнику не созданы необходимые условия для соблюдения установленного режима коммерческой тайны, то работник подлежит восстановлению на работе. Поэтому важно ввести режим коммерческой тайны правильно.

2. Заключите с работниками NDA (если вы еще это не сделали)

Если работник разгласил коммерческую тайну, его можно привлечь как к дисциплинарной, материальной, административной, уголовной, так и гражданско-правовой ответственности. Для того чтобы взыскать с работника заранее определенный штраф, важно заключить с ним обязательство о неразглашении коммерческой тайны (NDA). Данное обязательство является гражданско-правовым договором и заключается с работником дополнительно к трудовому договору.

3. Адаптируйте режим коммерческой тайны под дистанционную работу

Если режим коммерческой тайны не предусматривает меры по удаленной защите данных компании, то необходимо эти меры ввести.

Так, рекомендуется выдать работникам для удаленной работы служебные ноутбуки или компьютеры и установить, что использовать данные средства работник может исключительно для выполнения своих трудовых обязанностей.

Также рекомендуется ограничить на таких компьютерах права доступа к различным информационным ресурсам, не используемым работником в служебных целях; установить на них антивирусы и прочие подобные системы, предназначенные для защиты от взлома, при пересылке электронных документов и писем, которые содержат конфиденциальную информацию, включить предупредительную запись об этом; сделать невозможным копирование информации с рабочего компьютера на другие носители; разработать систему паролей для доступа к определенным программам компании и т.д.

4. Внедрите DLP-систему

Эффективным механизмом по предотвращению утечки данных компании является внедрение DLP-системы – программы, которая устанавливается на рабочие устройства работника (компьютер, телефон, планшет и др.) и фиксирует все его действия (копирование/передачу/удаление информации через интернет или на другие устройства, движения в социальных сетях, звонки). Собранные системой данные передаются на специальный аналитический сервер, который проводит анализ полученной информации и в случае обнаружения нарушений уведомляет об этом нанимателя.

При этом на рабочих устройствах работника может содержаться информация и личного характера, в связи с чем существует риск нарушения конституционных прав работников на частную жизнь, тайну переписки и проч. Поэтому важно ответственно подойти к вопросу внедрения DLP-системы и принять комплекс организационно-правовых мер. В частности, подготовить локальный правовой акт, в котором описать порядок работы DLP-системы; установить запрет на использование сотрудниками рабочих устройств не в служебных целях; уведомить работников под роспись о том, что в компании используются DLP-системы; взять у каждого работника письменное согласие на доступ и ознакомление нанимателя с его личными данными и сообщениями.

Следует помнить, что любой контроль за действиями работников должен быть обоснован, в т.ч. использование DLP-системы.

5. Предоставляйте доступ к коммерческой тайне по мере необходимости

Доступ к коммерческой тайне должен предоставляться только тем работникам, которым он нужен для исполнения своих трудовых обязанностей, и только на время работы с конфиденциальными сведениями. Если необходимость в использовании сведений отпала, то доступ нужно прекратить.

Например, система 1С может содержать огромные объемы данных о компании, ее финансово-экономическом состоянии, клиентах, контрагентах и проч.

Соответственно необходимо провести ревизию сотрудников, которые имеют доступ к данной системе, а также их прав доступа.

Правильно установленный режим коммерческой тайны и внедрение эффективных мер позволит компании снизить риски утечки информации и ее неправомерного использования работниками при работе в удаленном режиме.