Соглашение о неразглашении: цель составления, виды, последствия нарушения

Соглашение о неразглашении: цель составления, виды, последствия нарушения

Обоснование разработки, чем регулируется

Я выделю два метода обоснования необходимости разработки каких-либо решений, регламентации процессов и принятия мер ИБ:

  1. Экспертный.
  2. Нормативный.

Экспертный метод основан на формализованном, документированном мнении экспертов в области ИБ. Владелец активов на базе экспертного мнения принимает решение о необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами путём разработки и подписания соглашений о неразглашении.

По поводу экспертной оценки. Регламентация процессов информационной безопасности при взаимодействии с контрагентами — это организационная мера, обоснование и выбор которой зависит от множества факторов. Описывать, комментировать различные методики оценки рисков, моделирования угроз можно много и долго.

Более подробно остановимся на требованиях нормативных документов.

В соответствии с ФЗ «О коммерческой тайне» одной из мер для установления режима коммерческой тайны является регулирование отношений с контрагентами, а именно — наличие гражданско-правового договора, в котором отражены вопросы защиты сведений, составляющих КТ, в том числе условия сохранения конфиденциальности и меры по её охране.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

доступ к информации, составляющей коммерческую тайну, — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

передача информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

контрагент — сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Статья 10. Охрана конфиденциальности информации

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

… 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; …

Соглашение о неразглашении: цель составления, виды, последствия нарушения

Следующий нормативный документ для тех, кто принял решение строить систему менеджмента информационной безопасности на базе стандарта 27001.

Перечислю основные пункты 27001, требующие регулирования отношений, связанных с обеспечением ИБ при передаче (предоставлении доступа) к информации ограниченного доступа контрагентам.

А.13 Безопасность систем связи
А.13.2 Передача информации
Соглашение должно предусматривать безопасную передачу служебной информации контрагентам. А.13.2.2
Должны быть определены требования по соблюдению конфиденциальности или разработаны соглашения о неразглашении. Также, они должны регулярно пересматриваться и документироваться. А.13.2.4
А.15 Отношения с поставщиками
А.15.1 Информационная безопасность в отношениях с поставщиками
Требования информационной безопасности по снижению рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиками и документированы. 15.1.1
Все соответствующие требования информационной безопасности должны быть определены и согласованы с каждым поставщиком, который имеет доступ, может обрабатывать, хранить, передавать информацию организации или предоставлять какие-либо компоненты ИТ инфраструктуры. 15.1.2
Соглашения с поставщиками должны содержать требования в отношении рисков информационной безопасности, связанных с цепочкой поставок продукции и услуг информационных и коммуникационных технологий. 15.1.3

С кем заключается соглашение о неразглашении

Также соглашение о неразглашении может быть заключено между организацией — работодателем и сотрудником компании. Так, при приеме на работу сотрудника организация-работодатель подписывает договор о конфиденциальности с работником. После подписания неразглашение этих сведений станет для работника обязанностью.

Предлагаем ознакомиться  Трудовой договор с испытательным сроком

Формат соглашения

Требований к формату соглашения нет, поэтому каждый решает для себя сам в каком виде оно будет представлено:

  • в виде раздела в заключаемом гражданско-правовом договоре;
  • в виде отдельного документа — Соглашения.

Со своей стороны, я рекомендую использовать именно второй вариант – самостоятельный документ, подписанный с обеих сторон. Такой формат соглашения позволит согласовать меры и регламентировать требования по ИБ еще до заключения договора с контрагентом. Например, для проведения маркетинговых исследований, переговоров.

Наиболее часто используемые формулировки наименования NDA:

  • cоглашение о неразглашении;
  • cоглашение о неразглашении конфиденциальной информации;
  • cоглашение о конфиденциальности.

Идентификация защищаемой информации, маркировка носителей

Одна из основных ошибок при разработке соглашения — это неоговоренный способ маркировки носителей и идентификации защищаемой информации, что может привести к недопониманию при идентификации защищаемой информации, а соответственно, несоблюдению соответствующих мер защиты информации.

Действующим законодательством какие-либо конкретные требования к документу о неразглашении не предъявляются.

Следовательно, стороны сами могут установить не только форму, но и содержание соглашения о неразглашении.

Условие о неразглашении может быть выражено в виде:

  • согласия одной из сторон не разглашать полученную информацию;

  • отдельного документа, подписанного сторонами;

  • раздела в договоре (например, стороны могут предусмотреть пункт договора о конфиденциальности и неразглашении информации).

При составлении соглашения о неразглашении необходимо прописать все условия договора как можно детальнее.

В договоре о неразглашении необходимо указать следующие важные моменты:

  • определение объекта договорных отношений (конфиденциальные сведения);

  • реквизиты сторон (если это юридическое лицо, то должно быть указано его наименование, ИНН, ОГРН, адрес; для физического лица — Ф.И.О., адрес регистрации, паспортные данные);

  • какие сведения считаются секретными и не подлежат разглашению (нужно как можно конкретнее описать, какая информация считается секретной);

  • детальный перечень сведений, которые не являются конфиденциальными;

  • права и обязанности участников в отношении ограничения доступа к конфиденциальной информации;

  • порядок передачи данных (лично под подпись в бумажном виде, в электронном виде и т. п.);

  • список доверенных лиц, которым конфиденциальные сведения могут быть раскрыты частично или в полном объеме;

  • перечень ситуаций, которые будут признаны нарушением соглашения о неразглашении;

  • меры ответственности за разглашение секретной информации;

  • срок действия договора, на протяжении которого участники обязаны выполнять условия соглашения. Срок соглашения о неразглашении может предусматриваться сторонами. Если отдельное указание на это отсутствует, договор не имеет срока годности.

Отметим, что если сотрудничество носит длительный характер, и материалы передаются неоднократно, то недостаточно иметь подписанное соглашение о конфиденциальности.

В этом случае необходимо каждый раз составлять акт приема-передачи секретной информации.

При этом в этом акте следует максимально детально указывать сведения, которые передаются.

Предмет соглашения

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

Предмет соглашения является типовым и, разумеется, связан с сохранением конфиденциальности, соблюдением условий защиты и т.д. Однако, необходимо чётко определить границы обмена информацией, подлежащей защите.

Согласно ФЗ «О коммерческой тайне» передача информации происходит в объёме и на условиях, указанных в договоре с контрагентом.

Что делать?

  1. Формулируем: Предметом настоящего соглашения является сохранение конфиденциальности информации, составляющей коммерческую тайну Сторон, соблюдение условий её защиты от утраты, нарушения целостности… и т.д.
  2. Формулируем цель использования защищаемой информации:
    • В рамках исполнения договора № 111 от 21.01.2018 «О предоставлении …»
    • В рамках проекта № 387234024753 выполняемого по договору № 111 от 21.01.2018 «О предоставлении …».
    • маркетинговые исследования (письмо от 21.11.2018, № …).
    • переговоры с целью заключения договора на … и т.д.

Основные понятия

 Вопрос: Зачем вводить понятия, если они и так есть в нормативной документации ?

Отвечаю:

  1. Не вся нормативная документация обязательна для исполнения организациями.
  2. Действительно, законодательство РФ определяет термины в области обработки информации, информационной безопасности, например ФЗ «О коммерческой тайне», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Однако, возникает необходимость уточнить определение, например для сужения рамок рассматриваемой информации, доработать под специфику договора и т.д. Возможно это сделать, но при соблюдении следующих условий:
    • определение не должно противоречить законодательству, в первую очередь закону, который даёт это определение.
    • определение не должно обобщать, делать рамки рассматриваемой области шире, чем в определении, данном в законе. Только уточняем и детализируем в рамках предмета взаимоотношений.
Предлагаем ознакомиться  Сколько раз можно сдавать вождение по городу

Что делать?

  1. При отсутствии необходимости уточнения определений, данных в законодательстве РФ — не дублируем их в NDA.
  2. При наличии необходимости уточнения — дублируем с детализацией (см. выше).
  3. Если определение дано в нормативной документации, не обязательной для исполнения, тогда:
    1. или делаем ссылку на документ, который находится в публичном доступе. Например: В настоящем соглашении используются термины и определения из ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.
    2. или дублируем определение в своём NDA. Доработка — на усмотрение экспертов, но в рамках законодательства.
  4. Обратить внимание на актуальность терминов и определений, например:

Термин «Информация, составляющая коммерческую тайну». В определении которого присутствовал «Секрет производства». Однако, он исключен из  ФЗ «О коммерческой тайне» в 2014 году (п. 2 в ред. Федерального закона от 12.03.2014 N 35-ФЗ). А правоотношения, связанные с секретом производства регулируются 75 главой ГК РФ.

Термин «Конфиденциальная информация», который Федеральное законодательство не определяет. и т.д.

Структура соглашения о неразглашении

Ориентировочная структура документа может выглядеть следующим образом:

  • Вводная часть. Здесь указывают наименование документа, дату и место его составления, перечисляются стороны соглашения.

  • Раздел «Предмет соглашения». Здесь перечисляют информацию, попадающую под режим конфиденциальности.

  • Раздел «Обязательства и ответственность сторон». В этом пункте прописывают меры ответственности за разглашение конфиденциальной информации и требования по ее защите. Также здесь можно указать, какие именно обстоятельства не будут являться нарушением заключенного соглашения (к примеру, раскрытие информации по письменному запросу органов государственной власти).

  • Раздел «Прочие условия». В этот пункт можно включить порядок действий сторон при наступлении чрезвычайных ситуаций.

  • Раздел «Адреса, реквизиты и подписи сторон».

Меры по защите

Необходимо предусмотреть следующие моменты при указании мер защиты информации в соглашении:

  1. Сообщение информации о лицах, которые будут иметь право отправлять информацию / получать защищаемую информацию.
  2. Условия и требования ИБ при обмене информации в бумажном виде:
    • Способ доставки: курьер, почта, экспресс-доставка. Требования к упаковке.
    • Документы, достаточные для подтверждения приема/передачи: акты, реестры, журналы и т.д.
  3. Минимальные достаточные меры защиты информации в электронном виде:
    • допустимость передачи с помощью flash, электронной почты, облачных сервисов, ftp и т.д.
    • минимальные достаточные меры по защите при передаче по каналам связи: требования к каналам связи, шифрование, электронная подпись, размеры ключей, требования к паролям и т.д.
  4. Минимальные достаточные меры при обработки, хранении полученной информации в организации. Как правило, меры формулируются не конкретно, а путём перечисления обобщенных угроз ИБ, которые должны быть учтены: нарушение конфиденциальности, целостности, нарушение законодательства, использование информации во вред репутации. Например: Получающая сторона при обработке информации должна соблюдать меры защиты, позволяющие обеспечить сохранность конфиденциальности сведений, их целостность… При необходимости, можно прописать более подробно о мерах, которые должна предпринять принимающая сторона.
  5. Указать действия, которые запрещено производить в отношении защищаемой информации. Например, публикация, передача третьим лицам, продажа, раскрытие иными способами и т.д...
  6. Возможность и условия передачи информации третьим лицам: органам государственной власти; иным организациям. Например, с согласия, обязательное уведомление, форма уведомления и т.д.
Предлагаем ознакомиться  Обжаловать действия судебного пристава исполнителя сроки

Последствия за нарушение соглашения о неразглашении

Нарушение соглашения о конфиденциальности может нанести владельцу засекреченных сведений серьезный ущерб.

Лицо, допустившее разглашение данных без согласия их владельца, может быть привлечено:

  • к дисциплинарной ответственности, в том числе увольнение работника предприятия. Этот пункт может быть применен только к сотрудникам компании;

  • административной ответственности. Такая ответственность наступает только за разглашение сведений, доступ к которым ограничен законом. Статья 13.14 КоАП РФ предусматривает для нарушителей штрафные санкции в следующем размере:

  • для граждан – от 500 до 1000 руб.;

  • для должностных лиц – от 4000 до 5000 руб.;

  • гражданско-правовой ответственности. В этом случае можно требовать возмещения убытков или выплаты штрафа, если такие условия указаны в договоре о неразглашении.

  • уголовной ответственности. Если злоумышленник намеренно собирал информацию, составляющую коммерческую или охраняемую законом тайну, с целью дальнейшего разглашения, то ему придется отвечать по статье 183 УК РФ. Эта статья предусматривает в т.ч. лишение свободы сроком до 7 лет, если разглашение повлекло тяжкие последствия.

Выводы

Руководители многих организаций стремятся защитить ценные сведения от попадания в руки конкурентов. С этой целью они заключают с партнерами по бизнесу, нанятым персоналом и другими лицами, имеющими доступ к важным сведениям, соглашение о неразглашении конфиденциальной информации. Такие меры дают относительную гарантию безопасности и помогают избежать утечки данных.

Действующее законодательство крайне мало регулирует форму и содержание соглашения о неразглашении. Поэтому сторонам договора необходимо быть очень внимательными при составлении этого документа.

Срок неразглашения и условия снятия грифа

Зачастую, организации не указывают срок неразглашения защищаемой информации и условия снятия грифа.

https://www.youtube.com/watch?v=ytcreatorsru

Чем это грозит? Повышение нагрузки на обеспечение режима КТ на неопределенный срок:

  1. рост количества документов в бумажном виде с неснятым грифом или срок конфиденциальности которых не определен контрагентом, — ежегодно растут трудозатраты персонала по сверке документов и проведения контрольных мероприятий. В крупных компаниях прирост документов с грифом может составлять до нескольких сотен, а то и тысяч в год. Осталось подсчитать прирост трудозатрат на сверку документов, архивацию, уничтожение, сопровождающееся документированием всех процедур.
  2. Рост площадей и количества хранилищ защищаемой документации. Возьмем количество документов из п. 1 и умножим на количество листов в каждом документе. Особенно актуально для проектной организации, где каждый проект может быть представлен на 5 тыс. листах, а то и выше.
  3. нагрузка на работу системы DLP, база индексов и правил которой растет при увеличении количества поступаемых документов с грифом КТ. Растет число анализируемых системой документов (которые ставятся на контроль в соответствии с политикой DLP). В связи с этим, отсутствует возможность прогнозирования потенциальных нагрузок на DLP.

https://www.youtube.com/watch?v=ytpressru

Что делать?

  1. Указывать конкретный срок действия соглашения.
  2. Указывать срок неразглашения сведений. При определении сроков, рекомендую ориентироваться на перечень сведений, составляющих коммерческую тайну.
  3. Определить от какого момента будет отсчитываться срок неразглашения: с момента получения, с даты документа, с даты прекращения действия соглашения, с даты, указанной в сопроводительном письме к документации и т.д.
  4. Определить условия, при которых гриф может быть снят получателем:
    • истечение срока, указанного в п. 2;
    • при получении уведомления о снятии грифа от обладателя сведений;
    • при возникновении каких-либо событий. Например, при подписании акта выполненных работ по договору, при введении объекта в эксплуатацию и т.д…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Наверх
Adblock detector