Срок неразглашения конфиденциальной информации

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа, разработана совместно с ЗАО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

В некоторых договорах с контрагентами установлено, что договор, его приложения и иные документы по договору являются конфиденциальной информацией и не подлежат разглашению без согласия другой стороны.
Договоры, в которых содержатся указанные условия, на сегодняшний день исполнены надлежащим образом. Специальных сроков действия условий о конфиденциальности договоры не предусматривали. В некоторых договорах содержатся положения о штрафных санкциях за нарушение условий о конфиденциальности, в других они отсутствуют.
На какой срок действуют эти положения, если в договоре установлен только срок его действия "до полного надлежащего исполнения сторонами своих обязательств по договору"?
Могут ли быть предъявлены контрагентом штрафные санкции в случае, если копия договора и актов приемки будут приложены к конкурсной заявке для участия в процедуре по Федеральному закону от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" в качестве документов, подтверждающих опыт (согласно конкурсной документации)?

Прежде всего отметим, что гражданское законодательство практически не регулирует вопрос, связанный с конфиденциальностью условий гражданско-правового договора. В нем лишь содержатся отдельные указания на то, что условия некоторых договоров должны быть конфиденциальными, если иное не предусмотрено законом и/или соглашением сторон. Так, например, это касается содержания корпоративного договора, заключенного между участниками непубличного хозяйственного общества (п. 4 ст. 67.2 ГК РФ), условий о предмете договора на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ (п. 1 ст. 771 ГК РФ). Кроме того, гражданское законодательство может устанавливать обязанность поддерживать конфиденциальность информации, полученной в ходе переговоров о заключении договора или в процессе его исполнения (ст. 434.1, п.п. 1 и 2 ст. 771, ст. 1032 ГК РФ). Чуть более детально вопрос о конфиденциальности информации решается в нормах главы 75 ГК РФ, касающихся права на секрет производства (ноу-хау), вся возможность существования которого зависит от сохранения информации, составляющей ноу-хау, в тайне.
Вместе с тем каких-либо общих норм, посвященных непосредственно условиям договора о конфиденциальности, тем более введенным в него исключительно по воле и желанию сторон, гражданское законодательство не содержит. В частности, в нем нет положений, которые регулировали бы содержание, применение, сроки действия таких условий, а также устанавливали бы специальную ответственность за их нарушение.
В связи с изложенным следует иметь в виду, что вопрос об отнесении той или иной информации к конфиденциальной регулируется прежде всего Указом Президента РФ от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера" (далее – Указ N 188). Анализ данного нормативного акта показывает, что к сфере, регулируемой гражданским законодательством (ст. 2 ГК РФ), относятся сведения, указанные в п. 5 и п. 6, а именно: сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна), и сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Очевидно, что сведения об условиях того или иного гражданско-правового договора, а также о ходе и результатах его исполнения могут быть отнесены только к сведениям, связанным с коммерческой деятельностью, которые, как это следует из положений Указа N 188, охраняются в режиме коммерческой тайны.
В свою очередь, п. 2 ст. 3 Федерального закона от 29.07.2004 N 98-ФЗ "О коммерческой тайне" (далее – Закон N 98-ФЗ) относит к информации, составляющей такую тайну, сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. При этом отнесение информации к информации, составляющей коммерческую тайну, определение перечня и состава такой информации принадлежит ее обладателю (ч. 1 ст. 4 Закона N 98-ФЗ), то есть в рассматриваемом случае сторонам договора.
Учитывая приведенные нормы, а также то, что сведения о содержании гражданско-правового договора, ходе его исполнения и полученных результатах не относятся к сведениям, которые не могут составлять коммерческую тайну (ст. 5 Закона N 98-ФЗ), такие сведения также могут быть отнесены к коммерческой тайне и охраняться соответствующим образом.
Вместе с тем необходимо принимать во внимание, что нормы Закона N 98-ФЗ также не содержат каких-либо положений, которые бы на законодательном уровне регулировали срок действия условий гражданско-правового договора о конфиденциальности сведений, составляющих коммерческую тайну, или предусматривали бы конкретные санкции за нарушение режима коммерческой тайны. Они лишь определяют порядок предоставления такой информации органам государственной власти и органам местного самоуправления и дальнейшего обращения с ней (ст. 6 и ст. 13 Закона N 98-ФЗ), устанавливают права обладателей этой информации (ст. 6.1 Закона N 98-ФЗ), порядок охраны информации, составляющей коммерческую тайну, в том числе в трудовых отношениях (ст. 10 и ст. 11 Закона N 98-ФЗ), а также содержат общие, без конкретных санкций, нормы об ответственности за нарушение режима коммерческой тайны и за непредставление составляющих ее сведений, если обязанность предоставить их вытекает из закона (ст. 14 и ст. 15 Закона N 98-ФЗ). Причем из содержания ч. 1 ст. 10 Закона N 98-ФЗ следует, что регулирование отношений по использованию информации, составляющей коммерческую тайну, сторонами гражданско-правовых договоров осуществляется на основании гражданско-правовых договоров.
Иными словами, вышеизложенное указывает на то, что в гражданско-правовых отношениях все основные условия соблюдения режима коммерческой тайны в отношении тех или иных сведений, включая определение перечня таких сведений, сроков, в течение которых такие сведения являются конфиденциальными, а также меры ответственности за нарушение режима коммерческой тайны должны определяться условиями, установленными соглашением сторон*(1).
Однако в рассматриваемом случае, как это следует из вопроса, срока действия режима коммерческой тайны в отношении условий заключенного сторонами договора и хода его исполнения такой договор не устанавливает. Не предусмотрен этот срок и каким-то отдельным, специальным соглашением сторон. Следовательно, в отсутствие специального нормативного правового регулирования на этот счет, необходимо, на наш взгляд, руководствоваться общими положениями о действии обязательств, вытекающих из договора.
В частности, из п. 3 ст. 425 ГК РФ следует, что, если иное не предусмотрено договором, он признается действующим до определенного в нем момента окончания исполнения сторонами обязательства. Данная норма коррелирует с положениями п. 1 ст. 408 ГК РФ, согласно которым надлежащее исполнение прекращает обязательство.
Безусловно, существуют условия договоров, которые действуют даже после прекращения последних, например те, которые в силу своей природы предполагают их применение и после прекращения договора (например, гарантийные обязательства в отношении товаров или работ; условие о рассмотрении споров по договору в третейском суде, соглашения о подсудности, о применимом праве и т.п.) либо имеют целью регулирование отношений сторон в период после прекращения (например, об условиях возврата предмета аренды после прекращения договора, о порядке возврата уплаченного аванса и т.п.) (смотрите также п. 3 постановления Пленума ВАС РФ от 06.06.2014 N 35 "О последствиях расторжения договора"). Тем не менее, на наш взгляд, условие о необходимости соблюдать конфиденциальность в отношении содержания договора и хода его исполнения не относится к таковым, если только стороны прямо не предусмотрели его действие и после прекращения договора. Иное толкование характера такого условия приводило бы к тому, что без специального указания закона или соглашения сторон оно налагало бы на стороны фактически бессрочную обязанность по соблюдению режима коммерческой тайны в отношений сведений, которые такое значение, по сути, утратили. Данный вывод подтверждается и судебной практикой, которая приходит к выводу о правомерности привлечения к ответственности за нарушение условий договора о конфиденциальности, в качестве основного аргумента используя то обстоятельство, что такое нарушение было допущено еще в период действия договора, таким образом косвенно подтверждая, что после прекращения договора привлечение к ответственности по общему правилу было бы невозможно (смотрите, например, постановление ФАС Западно-Сибирского округа от 25.07.2014 N Ф04-6725/14).
В связи с изложенным, если в рассматриваемой ситуации иное не было предусмотрено соглашением сторон договора, мы полагаем, что обязательства по сохранению конфиденциальности условий договора и хода его исполнения прекращаются одновременно с иными условиями этого договора (не считая тех условий, которые по смыслу разъяснений, данных в п. 3 постановления Пленума ВАС РФ от 06.06.2014 N 35, или прямого соглашения сторон применяются и после прекращения договора).
Таким образом, мы считаем, что штрафные санкции, установленные ст. 15 и ст. 393 ГК РФ, а также договорами, указанными в вопросе, за разглашение сведений, признанных сторонами конфиденциальными, не подлежат применению к стороне, которая после прекращения таких договоров исполнением приложила их тексты и акты приемки выполненных по ним работ (оказанных услуг) к конкурсной заявке для участия в конкурентных процедурах, предусмотренных Федеральным законом от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".
Разумеется, сделанный нами вывод не может затрагивать той ситуации, когда сам договор или документация, сопутствующая его исполнению, содержат сведения, которые в силу ст. 1465 ГК РФ признаются секретом производства (ноу-хау). В этом случае применению в регулировании сроков неразглашения такой информации подлежат нормы главы 75 ГК РФ.
В заключение обращаем Ваше внимание на то, что в силу ст. 431 ГК РФ окончательное толкование условиям договора, в том числе условиям договора о конфиденциальности и сроке ее действия, может дать лишь суд с учетом анализа полного текста такого договора, а также всех соответствующих обстоятельств, включая предшествующие договору переговоры и переписку, практику, установившуюся во взаимных отношениях сторон, обычаи, последующее поведение сторон. Поэтому сделанные нами в настоящей консультации выводы являются лишь нашим экспертным мнением, основанным на информации, содержащейся в вопросе.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

12 апреля 2018 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Отметим, что в случае отсутствия в договоре условий о специальных мерах ответственности за разглашение конфиденциальных сведений сторона договора, нарушившая соответствующее условие о конфиденциальности, может в силу ч. 1 ст. 14 Закона N 98-ФЗ, ст. 15 и ст. 393 ГК РФ быть привлечена к ответственности в виде обязанности возместить другой стороне причиненные разглашением убытки.

© ООО "НПП "ГАРАНТ-СЕРВИС", 2019. Система ГАРАНТ выпускается с 1990 года. Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО "НПП "ГАРАНТ-СЕРВИС", 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru

Отдел рекламы: +7 (495) 647-62-38 (доб. 3161), adv@garant.ru. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Срок охраны коммерческой и служебной тайны — важный временной параметр, ограничивающий преждевременное разглашение конфиденциальных сведений. Кем, когда и как он устанавливается — узнайте из нашего материала.

Срок действия режима конфиденциальности информации: термины и определения

Под сроком охраны информации понимается временной период, в течение которого в отношении информации ее обладателем (или законным пользователем) проводится комплекс специальных мероприятий по защите от несанкционированного разглашения или утечки.

Спецмероприятия носят название режима сохранения информации (коммерческая тайна, служебная тайна, государственная тайна, профессиональная тайна), а понятие «обладатель информации» означает лицо:

• самостоятельно создавшее информацию;
• либо получившее право ею распоряжаться (ограничивать к ней доступ или разрешать).

Право распоряжаться информацией лицо может получить на основании:

• закона (например, законы о гостайне, о коммерческой тайне и др.); или
• договора.

Вышеуказанные термины и определения могут уточняться и (или) иметь специфическое толкование в зависимости от того, к какому виду информации они относятся. К примеру, в законе «О коммерческой тайне» от 29.07.2004 № 98-ФЗ термин «обладатель информации» расшифровывается как лицо:

• владеющее коммерческой информацией на законном основании;
• ограничившее к ней доступ;
• установившее в отношении этой информации режим коммерческой тайны.

С особенностями расшифровки терминов «коммерческая информация» и «служебные сведения», а также иными сопутствующими определениями вас познакомит следующий раздел.

Знакомство с разнообразной терминологией вам обеспечат размещенные на нашем сайте материалы:

Что относится к коммерческой и служебной тайне?

В соответствии с пунктами 3–5 Перечня, утвержденного Указом Президента РФ от 06.03.1997 № 188, информация, составляющая служебную и коммерческую тайну, считается сведениями конфиденциального характера (СКХ).

Термин «конфиденциальность информации» расшифрован в п. 7 ст. 2 закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать ее третьим лицам без согласия обладателя.

Определение конфиденциальной коммерческой информации приведено в п. 2 ст. 3 закона № 98-ФЗ. Это сведения:

• любого характера (организационные, технические, экономические и т. п.);
• о результатах интеллектуальной деятельности в научно-технической сфере;
• о способах осуществления интеллектуальной деятельности.

Все указанные группы сведений будут относиться к секретной коммерческой информации, если:

• они имеют коммерческую ценность в силу неизвестности третьим лицам;
• они не могут находиться в свободном доступе в силу закона;
• в отношении такой информации обладатель ввел режим коммерческой тайны.

Поскольку посвященного служебной тайне закона в настоящее время нет, для расшифровки понятия «служебная тайна» воспользуемся терминологией других нормативных актов. К примеру, в соответствии с формулировкой п. 3 вышеуказанного Перечня (утв. указом № 188) под служебной тайной понимаются служебные сведения:

• доступ к которым ограничен органами госвласти;
• ограничение доступа производится на основании ГК РФ и федеральных законов.

Таким образом, в разряд конфиденциальных сведений, доступ к которым защищается в силу требований закона, может попасть информация и коммерческого, и служебного характера.

Для чего нужно охранять конфиденциальные сведения?

Охрана относящейся к разряду служебной или коммерческой конфиденциальной информации необходима для защиты ее от:

• несанкционированного доступа, утечки, утери, кражи;
• порчи;
• разглашения.

При этом цель охраны информации имеет специфический оттенок для каждой группы рассматриваемых видов СКХ:

Вид режима конфиденциальности

Цель защиты информации

Режим коммерческой тайны

• сохранение положения предприятия на рынке товаров (работ, услуг);
• увеличение доходов;
• избежание неоправданных расходов;
• получение иной коммерческой выгоды

Режим служебной тайны

• обеспечение нормального функционирования госорганов (защита информации позволяет избежать негативных последствий при реализации госорганом законных полномочий);
• соблюдение прав лиц, в отношении которых должностными лицами госорганов в силу исполнения должностных обязанностей получена секретная информация

С видами наказаний за разглашение СКХ вас познакомят материалы:

Нормативные требования к срокам засекречивания конфиденциальных сведений

Среди нормативных актов РФ, регулирующих порядок защиты СКХ, сведения о сроках охраны информации содержит только закон «О государственной тайне» от 21.07.1993 № 5485-1. В ст. 13 указанного нормативного документа обозначено следующее:

• предельный срок охраны сведений, составляющих гостайну (срок засекречивания сведений), не должен превышать 30 лет;
• продление срока возможно в исключительных случаях по заключению межведомственной комиссии по защите гостайны;
• периодичность пересмотра перечня сведений, относимых к гостайне, — не реже чем через каждые 5 лет.

О сроках действия режима коммерческой тайны в действующей редакции закона № 98-ФЗ упоминание отсутствует. В предыдущей редакции этому вопросу была посвящена ст. 8 «Срок действия режима коммерческой тайны», в которой было установлено, что срок применения указанного режима определяется временем действия условий, необходимых и достаточных для признания соответствующих сведений коммерческой тайной.

Аналогичная ситуация складывается и в отношении нормативного регулирования вопроса о сроке действия режима служебной тайны — действующие редакции нормативных актов РФ, помещенных в открытом доступе, этот вопрос не рассматривают.

О временном периоде действия данного режима в п. 2 ст. 9 проекта № 124871-4 федерального закона «О служебной тайне» сказано следующее:

1. Срок действия режима служебной тайны не должен превышать 10 лет (если иной срок не установлен федеральным законом).

2. Вышеуказанный срок исчисляется с даты подписания должностным лицом документа с ограниченным доступом.

3. При установлении режима служебной тайны в отношении сведений, полученных в связи с исполнением должностными лицами своих обязанностей от иных лиц, срок охраны такой информации определяется, как:

• установленный должностным лицом срок охраны конфиденциальной информации (в отсутствии мотивированного ходатайства о продлении срока лица, предоставившего информацию);
• предельный срок, определенный предоставившим информацию лицом.

О каких сроках полезно знать налогоплательщику — см. материалы:

Каким документом может устанавливаться срок охраны секретной информации?

При отсутствии в федеральном законодательстве указаний на сроки охраны сведений, составляющих коммерческую или служебную тайну, временные рамки охранных режимов могут устанавливаться внутренними локальными актами предприятий и организаций (в приказах, инструкциях, положениях).

Кроме вопросов длительности охранных мероприятий в отношении СКХ, такие внутрифирменные локальные акты могут содержать и иные важные аспекты:

• обязанности сотрудников, работающих с СКХ;
• порядок подготовки документов и работы с ними (определение степени конфиденциальности, проставление и снятие на носителях информации спецотметок и др.);
• требования к распечатыванию и размножению СКХ;
• схемы проверки соблюдения режима охраны информации и т. п.

Как может выглядеть внутрифирменный локальный акт — узнайте из материалов:

С какой даты отсчитывается срок охраны сведений ограниченного доступа?

Формально дата отсчета срока охраны СКХ совпадает с моментом проставления на носителе с такими сведениями специального знака (грифа «Коммерческая тайна», «Служебная тайна», «Для служебного пользования» и т. п.). Однако законным проставление этого знака может быть только в том случае, если администрацией предприятия будут выполнены меры по установлению охранного режима.

Минимально необходимые мероприятия для установления в компании режима коммерческой тайны перечислены в п. 1 ст. 10 закона № 98. Они включают:

• определение списка секретной коммерческой информации;
• ограничение доступа к ней (разработка порядка обращения с этой информацией и контроля за его соблюдением);
• регулирование отношений по использованию конфиденциальной коммерческой информации;
• нанесение на материальные носители секретных сведений спецзнака.

В отношении конфиденциальной служебной информации необходимые минимальные меры охранного характера перечислены в постановлении Правительства РФ о порядке обращения со служебной информацией ограниченного распространения от 03.11.1994 № 1233 (п. 1.5):

• определены категории должностных лиц, уполномоченных относить служебную информацию к сведениям ограниченного доступа;
• установлены алгоритмы передачи такой служебной информации другим органам и организациям;
• разработан порядок снятия с носителей информации пометки «Для служебного пользования»;
• организована защита служебной информации ограниченного распространения.

Если информация, ранее не попадавшая в разряд сведений ограниченного доступа, была включена в соответствующий перечень СКХ, начальная дата охранных мероприятий совпадает с датой приказа (или иного локального акта), на основании которого в действующий перечень были внесены корректировки.

Где проставляется отметка о начале и окончании режима конфиденциальности?

Фиксация дат начала и окончания охранного режима для СКХ может осуществляться разными способами:

• в отдельном приказе или специальном регистре;
• в качестве отдельных реквизитов проставляемого на носителях такой информации спецзнака (элементы грифа «Коммерческая тайна», «Для служебного пользования» и др.);
• в качестве внесения специальных отметок в колонтитулы электронного документа;
• иными способами.

О каких датах необходимо знать налогоплательщику — см. в материалах:

Отдельные нюансы установления и прекращения срока защиты конфиденциальных сведений

Разнообразие информации, относимой в разряд СКХ, а также разные подходы к обеспечению конфиденциальности в части нормативных требований могут послужить причиной ошибок в установлении срока охраны СКХ.

Рассмотрим особенности установления и прекращения сроков охраны такой конфиденциальной информации, как ноу-хау.

Ноу-хау (секрет производства) — это массив информации:

• содержащий алгоритмы, формулы, схемы, необходимые для успешной организации производства (или иного дела);
• охраняемый режимом коммерческой тайны;
• способный стать предметом купли-продажи или использоваться для конкурентного преимущества над другими хозяйствующими субъектами.

В разряд ноу-хау могут попасть не ставшие всеобщим достоянием изобретения, оригинальные технологии, знания, имеющие практическую направленность результаты творческой деятельности и т. д.

В соответствии со ст. 1466 ГК РФ обладатель секрета производства владеет исключительным правом на него и может им распоряжаться. При этом:

• исключительное право на ноу-хау возникает в момент создания информации, составляющей ноу-хау;
• официального признания его охраноспособности (выдачи охранного документа и иных формальностей) и проведения госэкспертизы не требуется.

То есть начало отсчета срока охраны сведений, составляющих секрет производства, начинается непосредственно в момент его создания.

Кроме того, необходимо учесть положения следующих статей ГК РФ:

1. 1230, содержащей указание на период действия исключительного права (оно действует в течение определенного срока, т. е. не бессрочно).
2. 1467, определяющей, что исключительное право на ноу-хау действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих их содержание. С момента утраты такой конфиденциальности исключительное право на ноу-хау прекращается у всех правообладателей.

Таким образом, как только информация, составляющая ноу-хау, становится общеизвестной (в результате утечки, кражи или иных способов утраты информации), срок охраны такого вида коммерческой информации прекращается автоматически вне зависимости от желания правообладателя и ранее установленных им охранных сроков для такого вида информации.

Если разглашена информация из документа под грифом «Для служебного пользования» или такой документ утрачен, необходимо оформить акт, на основании которого производятся соответствующие отметки в учетных формах (п. 2.10 постановления Правительства РФ № 188).

Итоги

Охрана конфиденциальных сведений производится исходя из сроков, установленных во внутрифирменных локальных актах.

В отдельных случаях охранные сроки могут корректироваться (при пересмотре перечня секретных сведений, при несанкционированном разглашении информации и т. д.).

Для правильного определения сроков охраны информации следует ее обоснованно классифицировать и учитывать отдельные требования ГК РФ (и иных нормативных актов) по вопросу особенностей охраны подобного рода сведений.

NDA ( non-disclosure agreement )

Обоснование разработки, чем регулируется

Я выделю два метода обоснования необходимости разработки каких-либо решений, регламентации процессов и принятия мер ИБ:

Экспертный метод основан на формализованном, документированном мнении экспертов в области ИБ. Владелец активов на базе экспертного мнения принимает решение о необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами путём разработки и подписания соглашений о неразглашении.

По поводу экспертной оценки. Регламентация процессов информационной безопасности при взаимодействии с контрагентами — это организационная мера, обоснование и выбор которой зависит от множества факторов. Описывать, комментировать различные методики оценки рисков, моделирования угроз можно много и долго. Подход и выбор методик должен быть индивидуальным для организации, в зависимости от её контекста (внутренних, внешних факторов, сферы деятельности, стиля руководства и т.д.).

Более подробно остановимся на требованиях нормативных документов.

Для нормативного обоснования необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами рассмотрим требования Российского законодательства, в частности, Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее по тексту – ФЗ «О коммерческой тайне») и международного стандарта ИСО/МЭК 27001:2013 «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования» (далее по тексту – 27001).

Разумеется, можно было бы провести более глубокий анализ нормативных документов, как РФ, так и международных, в том числе, в разрезе отраслевых направлений, но для разработки рекомендаций, считаю достаточным рассмотреть только указанные выше документы.

Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

В соответствии с ФЗ «О коммерческой тайне» одной из мер для установления режима коммерческой тайны является регулирование отношений с контрагентами, а именно — наличие гражданско-правового договора, в котором отражены вопросы защиты сведений, составляющих КТ, в том числе условия сохранения конфиденциальности и меры по её охране.

Приведу формулировки соответствующих статей ФЗ «О коммерческой тайне»:

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

доступ к информации, составляющей коммерческую тайну, — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

передача информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

контрагент — сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Статья 10. Охрана конфиденциальности информации

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

… 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; …

Следующий нормативный документ для тех, кто принял решение строить систему менеджмента информационной безопасности на базе стандарта 27001.

Международный стандарт ИСО/МЭК 27001:2013 (ISO/IEC 27001:2013) «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования»

Перечислю основные пункты 27001, требующие регулирования отношений, связанных с обеспечением ИБ при передаче (предоставлении доступа) к информации ограниченного доступа контрагентам.

А.13 Безопасность систем связи
А.13.2 Передача информации
Соглашение должно предусматривать безопасную передачу служебной информации контрагентам.	А.13.2.2
Должны быть определены требования по соблюдению конфиденциальности или разработаны соглашения о неразглашении. Также, они должны регулярно пересматриваться и документироваться.	А.13.2.4

А.15 Отношения с поставщиками А.15.1 Информационная безопасность в отношениях с поставщиками Требования информационной безопасности по снижению рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиками и документированы. 15.1.1 Все соответствующие требования информационной безопасности должны быть определены и согласованы с каждым поставщиком, который имеет доступ, может обрабатывать, хранить, передавать информацию организации или предоставлять какие-либо компоненты ИТ инфраструктуры. 15.1.2 Соглашения с поставщиками должны содержать требования в отношении рисков информационной безопасности, связанных с цепочкой поставок продукции и услуг информационных и коммуникационных технологий. 15.1.3

Формат соглашения

Требований к формату соглашения нет, поэтому каждый решает для себя сам в каком виде оно будет представлено:

• в виде раздела в заключаемом гражданско-правовом договоре;
• в виде отдельного документа — Соглашения.

Со своей стороны, я рекомендую использовать именно второй вариант – самостоятельный документ, подписанный с обеих сторон. Такой формат соглашения позволит согласовать меры и регламентировать требования по ИБ еще до заключения договора с контрагентом. Например, для проведения маркетинговых исследований, переговоров.

Наиболее часто используемые формулировки наименования NDA:

• cоглашение о неразглашении;
• cоглашение о неразглашении конфиденциальной информации;
• cоглашение о конфиденциальности.

Предмет соглашения

Предмет соглашения является типовым и, разумеется, связан с сохранением конфиденциальности, соблюдением условий защиты и т.д. Однако, необходимо чётко определить границы обмена информацией, подлежащей защите.

Согласно ФЗ «О коммерческой тайне» передача информации происходит в объёме и на условиях, указанных в договоре с контрагентом.

Что делать?

1. Формулируем: Предметом настоящего соглашения является сохранение конфиденциальности информации, составляющей коммерческую тайну Сторон, соблюдение условий её защиты от утраты, нарушения целостности… и т.д.
2. Формулируем цель использования защищаемой информации:
3. В рамках исполнения договора № 111 от 21.01.2018 «О предоставлении …»
4. В рамках проекта № 387234024753 выполняемого по договору № 111 от 21.01.2018 «О предоставлении …».
5. маркетинговые исследования (письмо от 21.11.2018, № …).
6. переговоры с целью заключения договора на … и т.д.

Основные понятия

Вопрос: Зачем вводить понятия, если они и так есть в нормативной документации ?

Отвечаю:

1. Не вся нормативная документация обязательна для исполнения организациями.
2. Действительно, законодательство РФ определяет термины в области обработки информации, информационной безопасности, например ФЗ «О коммерческой тайне», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Однако, возникает необходимость уточнить определение, например для сужения рамок рассматриваемой информации, доработать под специфику договора и т.д. Возможно это сделать, но при соблюдении следующих условий:
3. определение не должно противоречить законодательству, в первую очередь закону, который даёт это определение.
4. определение не должно обобщать, делать рамки рассматриваемой области шире, чем в определении, данном в законе. Только уточняем и детализируем в рамках предмета взаимоотношений.

Что делать?

1. При отсутствии необходимости уточнения определений, данных в законодательстве РФ — не дублируем их в NDA.
2. При наличии необходимости уточнения — дублируем с детализацией (см. выше).
3. Если определение дано в нормативной документации, не обязательной для исполнения, тогда:

1. или делаем ссылку на документ, который находится в публичном доступе. Например: В настоящем соглашении используются термины и определения из ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.
2. или дублируем определение в своём NDA. Доработка — на усмотрение экспертов, но в рамках законодательства.

Обратить внимание на актуальность терминов и определений, например:

Термин «Информация, составляющая коммерческую тайну». В определении которого присутствовал «Секрет производства». Однако, он исключен из ФЗ «О коммерческой тайне» в 2014 году (п. 2 в ред. Федерального закона от 12.03.2014 N 35-ФЗ). А правоотношения, связанные с секретом производства регулируются 75 главой ГК РФ. Определение дано в ст. 1465 ГК РФ. Также, в соответствии со статьей 1469 ГК РФ предоставление права на использование соответствующего секрета производства должно происходить на основании лицензионного договора.

Термин «Конфиденциальная информация», который Федеральное законодательство не определяет. и т.д.

Идентификация защищаемой информации, маркировка носителей

Одна из основных ошибок при разработке соглашения — это неоговоренный способ маркировки носителей и идентификации защищаемой информации, что может привести к недопониманию при идентификации защищаемой информации, а соответственно, несоблюдению соответствующих мер защиты информации.

Маркировка носителей информации

Содержание грифов маркировки может быть любым — на усмотрение отправителя. Однако, для того, чтобы организация смогла защищать свои интересы в суде, например в рамках ФЗ «О коммерческой тайне», необходимо соблюсти основные требования к содержанию грифа:

• Нанесение на носитель грифа «Коммерческая тайна» или включение его в состав реквизитов документов.
• Указание полного наименование организации.
• Указание места нахождения организации.

Например:

Коммерческая тайна
Общество с ограниченной ответственностью
«Рога и копыта»
Российская Федерация, г. Москва, ул. Ленина, 111
Экз. № ___

Идентификация защищаемых сведений в электронном виде

• В соглашение могут быть включены требования к содержанию файла, например, включение грифа в состав реквизита электронного документа;
• При отправке сведений электронной почтой, в теле письма можно указать на конфиденциальность сведений во вложении или в теле самого письма.

Идентификация защищаемых сведений, переданных устно

Может возникнуть ситуация, когда сведения конфиденциального характера будут передаваться устно в рамках совещания или переговоров. Рекомендуется в соглашении учесть способ идентификации передаваемой информация слушателями и как зафиксирован факт передачи сведений, например:

• Пример идентификации сведений: предупредить о конфиденциальном характере сведений, которые будут передаваться в устном порядке в последующее время.
• Пример фиксации передачи: составить акт переданных сведений за подписью сторон с указанием даты, перечня сведений, краткого описания, лиц, основания передачи, реквизиты соглашения и т.д.

Меры по защите

Необходимо предусмотреть следующие моменты при указании мер защиты информации в соглашении:

1. Сообщение информации о лицах, которые будут иметь право отправлять информацию / получать защищаемую информацию.
2. Условия и требования ИБ при обмене информации в бумажном виде:
3. Способ доставки: курьер, почта, экспресс-доставка. Требования к упаковке.
4. Документы, достаточные для подтверждения приема/передачи: акты, реестры, журналы и т.д.
5. Минимальные достаточные меры защиты информации в электронном виде:
6. допустимость передачи с помощью flash, электронной почты, облачных сервисов, ftp и т.д.
7. минимальные достаточные меры по защите при передаче по каналам связи: требования к каналам связи, шифрование, электронная подпись, размеры ключей, требования к паролям и т.д.
8. Минимальные достаточные меры при обработки, хранении полученной информации в организации. Как правило, меры формулируются не конкретно, а путём перечисления обобщенных угроз ИБ, которые должны быть учтены: нарушение конфиденциальности, целостности, нарушение законодательства, использование информации во вред репутации. Например: Получающая сторона при обработке информации должна соблюдать меры защиты, позволяющие обеспечить сохранность конфиденциальности сведений, их целостность… При необходимости, можно прописать более подробно о мерах, которые должна предпринять принимающая сторона.
9. Указать действия, которые запрещено производить в отношении защищаемой информации. Например, публикация, передача третьим лицам, продажа, раскрытие иными способами и т.д...
10. Возможность и условия передачи информации третьим лицам: органам государственной власти; иным организациям. Например, с согласия, обязательное уведомление, форма уведомления и т.д.

Порядок взаимодействия при событиях ИБ и инцидентах

Должен быть прописан порядок взаимодействия при событиях ИБ и инцидентах.

• Порядок уведомления.
• Ответственные лица от каждой стороны за управление инцидентами.
• Кто несёт ответственность по оплате расходов для ликвидации инцидентов. (зачастую ответственность по оплате расходов возлагается на виновную сторону)

Лица ответственные за контроль

Необходимо указать лиц, ответственных за контроль порядка использования защищаемой информации и принимаемых мер защиты. Как правило, руководители направлений, но зависит от размера организации и её структуры.

Срок неразглашения и условия снятия грифа

Зачастую, организации не указывают срок неразглашения защищаемой информации и условия снятия грифа.

Чем это грозит? Повышение нагрузки на обеспечение режима КТ на неопределенный срок:

1. рост количества документов в бумажном виде с неснятым грифом или срок конфиденциальности которых не определен контрагентом, — ежегодно растут трудозатраты персонала по сверке документов и проведения контрольных мероприятий. В крупных компаниях прирост документов с грифом может составлять до нескольких сотен, а то и тысяч в год. Осталось подсчитать прирост трудозатрат на сверку документов, архивацию, уничтожение, сопровождающееся документированием всех процедур.
2. Рост площадей и количества хранилищ защищаемой документации. Возьмем количество документов из п. 1 и умножим на количество листов в каждом документе. Особенно актуально для проектной организации, где каждый проект может быть представлен на 5 тыс. листах, а то и выше.
3. нагрузка на работу системы DLP, база индексов и правил которой растет при увеличении количества поступаемых документов с грифом КТ. Растет число анализируемых системой документов (которые ставятся на контроль в соответствии с политикой DLP). В связи с этим, отсутствует возможность прогнозирования потенциальных нагрузок на DLP.

Что делать?

1. Указывать конкретный срок действия соглашения.
2. Указывать срок неразглашения сведений. При определении сроков, рекомендую ориентироваться на перечень сведений, составляющих коммерческую тайну.
3. Определить от какого момента будет отсчитываться срок неразглашения: с момента получения, с даты документа, с даты прекращения действия соглашения, с даты, указанной в сопроводительном письме к документации и т.д.
4. Определить условия, при которых гриф может быть снят получателем:
5. истечение срока, указанного в п. 2;
6. при получении уведомления о снятии грифа от обладателя сведений;
7. при возникновении каких-либо событий. Например, при подписании акта выполненных работ по договору, при введении объекта в эксплуатацию и т.д…