Разъясняет эксперт: меры защиты коммерческой тайны и персональных данных при посещении предприятия

Вопрос:
Какие меры и подходы целесообразно применить для обеспечения защиты конфиденциальной информации в организации (АО) при посещении предприятия гостями, потенциальными заказчиками, проверяющими органами?

В процессе посещения запрашиваются: личные данные сотрудников, технологические документы, техническая документация на все виды оборудования, зданий, сооружений, финансовая отчетность и т.д.

Как оформлять внутренние документы для обеспечения защиты конфиденциальной информации в организации и за ее пределами? Какие требования необходимо учесть при выстраивании данного процесса?

Ответ:

1. В отношении такой категории сведений конфиденциального характера, как коммерческая тайна, с точки зрения угроз со стороны посетителей целесообразно разработать основные правила организации посещения (приема) с целью защиты режима коммерческой тайны на предприятии (пропускной режим с присвоением идентификатора, разделение потоков сотрудников и посетителей, различных категорий посетителей и пр.).

2. В отношении такой категории сведений конфиденциального характера, как персональные данные, с точки зрения угроз со стороны посетителей прежде всего целесообразно определить порядок доступа лиц в помещения, в которых ведется обработка персональных данных.

Обоснование:

Указом Президента РФ от 06.03.1997 № 188 утвержден Перечень сведений конфиденциального характера, включающий в том числе (пункты 1, 5):

— сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

— сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

Именно указанные категории конфиденциальной информации наверняка используются (содержатся в перечисленных в вопросе документах и сведениях) в организации и, соответственно, требуют принятия мер защиты при посещении организации указанными посетителями — гостями, потенциальными заказчиками, проверяющими органами.

1. Коммерческая тайна

К информации, составляющей коммерческую тайну, относятся сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у последних нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны (пункт 2 статьи 3 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»).

По условиям вопроса под посетителями организации понимаются лица, не являющиеся сотрудниками компании: представители государственных органов и учреждений (работники проверяющих органов и т.п.); потенциальные заказчики (работники потенциальных клиентов и партнеров); гости как частные лица, с которыми компания не имеет деловых отношений.

Посещение организации перечисленными представителями и лицами с точки зрения сохранения режима коммерческой тайны должно находиться под внимательным контролем, так как, если они относятся к категории злоумышленников, спектр исходящей от них опасности достаточно велик (несанкционированное получение ценных сведений у персонала, утрата информации посредством установки подслушивающего устройства, фотографирования документов на столе сотрудника, силовое воздействие в целях получения нужных сведений и пр.).

На случай посещения организации и приема руководителем или работниками организации указанных категорий и групп посетителей в организации можно разработать локальный акт, содержащий следующие основные правила организации посещения (приема) с целью защиты режима коммерческой тайны на предприятии (или включить эти правила в положение о коммерческой тайне — локальный нормативный акт, устанавливающий режим коммерческой тайны в организации, порядок его применения и контроля, а также ответственность за нарушение такого режима), например:

— целесообразно для приема посетителей выделить специальные часы, в течение которых сотрудник не работает с документами и базами данных, содержащими коммерческую тайну и не относящимися к визиту того или иного лица;

— различные категории посетителей целесообразно принимать в разные часы;

— нежелательно принимать посетителей во время, выделенное для работы с документами и базами электронных данных, содержащими конфиденциальные сведения. Подобные документы следует хранить в запертом сейфе или металлическом шкафу;

— можно закрепить, что в часы приема руководителем посетителей любые сотрудники могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя (но не по служебным вопросам);

— посетители не должны входить в кабинет руководителя или другого сотрудника в верхней одежде или иметь при себе объемные кейсы, чемоданы, сумки — их следует оставлять в приемной, гардеробе, холле и пр.;

— не допускается оставлять посетителя одного при выходе сотрудника из своего кабинета. Во время отсутствия сотрудника никто из посетителей не должен входить в его кабинет;

— для решения задач обеспечения информационной безопасности организации всех посетителей можно классифицировать следующим образом в зависимости от конкретной ситуации: по степени разрешенного им доступа в помещения организации (во все помещения, только в определенные помещения, только к определенному сотруднику, только в помещение общего доступа) и по степени разрешенного им ознакомления с информацией (только с рекламными изданиями, только с материалами, касающимися заинтересованной структуры или лица, только с материалами по определенному вопросу, только с открытыми служебными материалами фирмы, только с конкретными конфиденциальными сведениями). Так легче будет контролировать процесс приема и разрешенные посетителям действия;

— для сотрудника, ответственного за организацию работы с посторонними посетителями, целесообразно прописать алгоритм такой работы, включающий подготовительный этап, этап идентификации и регистрации посетителя, этап организации приема посетителя конкретным сотрудником и этап организации дальнейших действий посетителя;

— следует исключить бесконтрольное пребывание посетителя в здании организации. Для этого целесообразно после идентификации посетителя организовать выдачу ему заранее подготовленного соответствующего визуального идентификатора (пропуска), регламентирующего его права в помещениях компании. Все перемещения посетителя в здании осуществляются в строгом соответствии с выданным ему идентификатором, желательно в сопровождении менеджера, секретаря, сотрудника службы безопасности или иного специалиста.

Если режим конфиденциальности был нарушен посетителем, необходимо учитывать, что, как показывает судебная практика, при наличии введенного режима коммерческой тайны и применении соответствующего комплекса мер по защите конфиденциальной информации есть реальная возможность привлечь нарушителя к ответственности (например, применить санкции по договору) и взыскать убытки (например, Постановление Суда по интеллектуальным правам от 09.07.2020 № С01-645/2020 по делу № А71-23503/2018; Определением Верховного Суда РФ от 12.10.2020 № 309-ЭС20-16838 отказано в передаче дела № А71-23503/2018 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного постановления; Постановление Седьмого арбитражного апелляционного суда от 17.06.2019 № 07АП-3353/2019 по делу № А45-47738/2018).

2. Персональные данные

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (пункт 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Это как персональные данные (ПДн) сотрудников самой организации, так и, например, ПДн сотрудников, иных представителей клиентов, заказчиков, партнеров организации, которые обрабатываются ею (как оператором ПДн) на законных основаниях. По общему правилу операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (статья 7 Закона № 152-ФЗ).

Посещение организации указанными в вопросе посетителями с точки зрения сохранения режима конфиденциальности ПДн прежде всего может быть урегулировано определением порядка доступа лиц в помещения, в которых ведется обработка персональных данных (этот порядок можно включить в Положение об обработке и защите персональных данных в организации, а можно разработать в качестве отдельного ЛНА). В нем следует прописать, что:

— обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается соблюдением правил доступа в помещения, где они обрабатываются (как в информационных системах, так и без использования средств автоматизации). Следует также указать конкретные объекты охраны — категории таких помещений: помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых; помещения, в которых установлены компьютеры, серверы и коммутационное оборудование, участвующие в обработке персональных данных; помещения, в которых хранятся материальные носители персональных данных; помещения, в которых хранятся резервные копии персональных данных;

— для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц и визуального просмотра ПДн посторонними лицами. На практике это означает, что может организовываться пропускной режим, помещения оснащаются охранной сигнализацией, системой видеонаблюдения, а доступ посторонних лиц (посетителей) в помещения, в которых ведется обработка персональных данных, осуществляется только ввиду служебной необходимости и только в сопровождении сотрудников организации. На момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол либо находятся в непрозрачной папке (накрыты чистыми листами бумаги);

— при хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Так, помещения оборудуются шкафами, столами, имеющими отсеки, запирающиеся на ключ; отдельные помещения оборудуются металлическими шкафами, сейфами. В нерабочее время в помещениях, в которых ведется обработка персональных данных, все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы;

— техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборку помещения, в котором ведется обработка персональных данных, а также проведение других работ следует осуществлять в присутствии служащего или сотрудника, работающего в данном помещении;

— ответственность за соблюдение порядка доступа лиц в помещения, в которых ведется обработка персональных данных, несут сотрудники структурных подразделений, обрабатывающих персональные данные, а также руководители структурных подразделений, а внутренний контроль за соблюдением этого порядка проводится лицом, ответственным за организацию обработки персональных данных.

Данный ответ подготовлен экспертом, находится в ПСС «Техэксперт» и носит справочный характер.