Соглашение о неразглашении (NDA) — рекомендации

© ISWIKI.RU, 30.09.2017
  1. Обоснование разработки
  2. Формат соглашения
  3. Предмет соглашения
  4. Основные понятия
  5. Идентификация защищаемой информации, маркировка носителей
  6. Меры по защите
  7. Порядок взаимодействия при событиях ИБ и инцидентах
  8. Лица ответственные за контроль
  9. Срок неразглашения и условия снятия грифа

NDA (non-disclosure agreement)

Обоснование разработки, чем регулируется

Я выделю два метода обоснования необходимости разработки каких-либо решений, регламентации процессов и принятия мер ИБ:

  1. Экспертный.
  2. Нормативный.

Экспертный метод основан на формализованном, документированном мнении экспертов в области ИБ. Владелец активов на базе экспертного мнения принимает решение о необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами путём разработки и подписания соглашений о неразглашении.

По поводу экспертной оценки. Регламентация процессов информационной безопасности при взаимодействии с контрагентами — это организационная мера, обоснование и выбор которой зависит от множества факторов. Описывать, комментировать различные методики оценки рисков, моделирования угроз можно много и долго. Подход и выбор методик должен быть индивидуальным для организации, в зависимости от её контекста (внутренних, внешних факторов, сферы деятельности, стиля руководства и т.д.).

Более подробно остановимся на требованиях нормативных документов.

Для нормативного обоснования необходимости регламентации процессов обеспечения ИБ при взаимоотношении с контрагентами рассмотрим требования Российского законодательства, в частности, Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее по тексту – ФЗ «О коммерческой тайне») и международного стандарта ИСО/МЭК 27001:2013 «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования» (далее по тексту – 27001).

Разумеется, можно было бы провести более глубокий анализ нормативных документов, как РФ, так и международных, в том числе, в разрезе отраслевых направлений, но для разработки рекомендаций, считаю достаточным рассмотреть только указанные выше документы.

Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне»

В соответствии с ФЗ «О коммерческой тайне» одной из мер для установления режима коммерческой тайны является регулирование отношений с контрагентами, а именно — наличие гражданско-правового договора, в котором отражены вопросы защиты сведений, составляющих КТ, в том числе условия сохранения конфиденциальности и меры по её охране.

 Приведу формулировки соответствующих статей ФЗ «О коммерческой тайне»:

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

доступ к информации, составляющей коммерческую тайну, — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

передача информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

контрагент — сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.

Статья 10. Охрана конфиденциальности информации

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

… 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; …

Следующий нормативный документ для тех, кто принял решение строить систему менеджмента информационной безопасности на базе стандарта 27001.

Международный стандарт ИСО/МЭК 27001:2013 (ISO/IEC 27001:2013) «Информационные технологии – Методы обеспечения безопасности – Системы менеджмента информационной безопасности – Требования»

Перечислю основные пункты 27001, требующие регулирования отношений, связанных с обеспечением ИБ при передаче (предоставлении доступа) к информации ограниченного доступа контрагентам.

А.13 Безопасность систем связи
А.13.2 Передача информации
Соглашение должно предусматривать безопасную передачу служебной информации контрагентам. А.13.2.2
Должны быть определены требования по соблюдению конфиденциальности или разработаны соглашения о неразглашении. Также, они должны регулярно пересматриваться и документироваться. А.13.2.4

 
А.15 Отношения с поставщиками
А.15.1 Информационная безопасность в отношениях с поставщиками
Требования информационной безопасности по снижению рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиками и документированы. 15.1.1
Все соответствующие требования информационной безопасности должны быть определены и согласованы с каждым поставщиком, который имеет доступ, может обрабатывать, хранить, передавать информацию организации или предоставлять какие-либо компоненты ИТ инфраструктуры. 15.1.2
Соглашения с поставщиками должны содержать требования в отношении рисков информационной безопасности, связанных с цепочкой поставок продукции и услуг информационных и коммуникационных технологий. 15.1.3

Формат соглашения

Требований к формату соглашения нет, поэтому каждый решает для себя сам в каком виде оно будет представлено:

  • в виде раздела в заключаемом гражданско-правовом договоре;
  • в виде отдельного документа — Соглашения.

Со своей стороны, я рекомендую использовать именно второй вариант – самостоятельный документ, подписанный с обеих сторон. Такой формат соглашения позволит согласовать меры и регламентировать требования по ИБ еще до заключения договора с контрагентом. Например, для проведения маркетинговых исследований, переговоров.

Наиболее часто используемые формулировки наименования NDA:

  • cоглашение о неразглашении;
  • cоглашение о неразглашении конфиденциальной информации;
  • cоглашение о конфиденциальности.

Предмет соглашения

Предмет соглашения является типовым и, разумеется, связан с сохранением конфиденциальности, соблюдением условий защиты и т.д. Однако, необходимо чётко определить границы обмена информацией, подлежащей защите.

Согласно ФЗ «О коммерческой тайне» передача информации происходит в объёме и на условиях, указанных в договоре с контрагентом.

Что делать?

  1. Формулируем: Предметом настоящего соглашения является сохранение конфиденциальности информации, составляющей коммерческую тайну Сторон, соблюдение условий её защиты от утраты, нарушения целостности… и т.д.
  2. Формулируем цель использования защищаемой информации:
    • В рамках исполнения договора № 111 от 21.01.2018 «О предоставлении …»
    • В рамках проекта № 387234024753 выполняемого по договору № 111 от 21.01.2018 «О предоставлении …».
    • маркетинговые исследования (письмо от 21.11.2018, № …).
    • переговоры с целью заключения договора на … и т.д.

Основные понятия

 Вопрос: Зачем вводить понятия, если они и так есть в нормативной документации ?

Отвечаю:

  1. Не вся нормативная документация обязательна для исполнения организациями.
  2. Действительно, законодательство РФ определяет термины в области обработки информации, информационной безопасности, например ФЗ «О коммерческой тайне», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Однако, возникает необходимость уточнить определение, например для сужения рамок рассматриваемой информации, доработать под специфику договора и т.д. Возможно это сделать, но при соблюдении следующих условий:
    • определение не должно противоречить законодательству, в первую очередь закону, который даёт это определение.
    • определение не должно обобщать, делать рамки рассматриваемой области шире, чем в определении, данном в законе. Только уточняем и детализируем в рамках предмета взаимоотношений.

Что делать?

  1. При отсутствии необходимости уточнения определений, данных в законодательстве РФ — не дублируем их в NDA.
  2. При наличии необходимости уточнения — дублируем с детализацией (см. выше).
  3. Если определение дано в нормативной документации, не обязательной для исполнения, тогда:
    1. или делаем ссылку на документ, который находится в публичном доступе. Например: В настоящем соглашении используются термины и определения из ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.
    2. или дублируем определение в своём NDA. Доработка — на усмотрение экспертов, но в рамках законодательства.
  4. Обратить внимание на актуальность терминов и определений, например:

Термин «Информация, составляющая коммерческую тайну». В определении которого присутствовал «Секрет производства». Однако, он исключен из  ФЗ «О коммерческой тайне» в 2014 году (п. 2 в ред. Федерального закона от 12.03.2014 N 35-ФЗ). А правоотношения, связанные с секретом производства регулируются 75 главой ГК РФ. Определение дано в ст. 1465 ГК РФ. Также, в соответствии со статьей 1469 ГК РФ предоставление права на использование соответствующего секрета производства должно происходить на основании лицензионного договора.

Термин «Конфиденциальная информация», который Федеральное законодательство не определяет. и т.д.

Идентификация защищаемой информации, маркировка носителей

Одна из основных ошибок при разработке соглашения — это неоговоренный способ маркировки носителей и идентификации защищаемой информации, что может привести к недопониманию при идентификации защищаемой информации, а соответственно, несоблюдению соответствующих мер защиты информации.

Маркировка носителей информации

Содержание грифов маркировки может быть любым — на усмотрение отправителя. Однако, для того, чтобы организация смогла защищать свои интересы в суде, например в рамках ФЗ «О коммерческой тайне», необходимо соблюсти основные требования к содержанию грифа:

  • Нанесение на носитель грифа «Коммерческая тайна» или включение его в состав реквизитов документов.
  • Указание полного наименование организации.
  • Указание места нахождения организации.

Например:

Коммерческая тайна
Общество с ограниченной ответственностью
«Рога и копыта»
Российская Федерация, г. Москва, ул. Ленина, 111
Экз. № ___

Идентификация защищаемых сведений в электронном виде

  • В соглашение могут быть включены требования к содержанию файла, например, включение грифа в состав реквизита электронного документа;
  • При отправке сведений электронной почтой, в теле письма можно указать на конфиденциальность сведений во вложении или в теле самого письма.

Идентификация защищаемых сведений, переданных устно

Может возникнуть ситуация, когда сведения конфиденциального характера будут передаваться устно в рамках совещания или переговоров. Рекомендуется в соглашении учесть способ идентификации передаваемой информация слушателями и как зафиксирован факт передачи сведений, например:

  • Пример идентификации сведений: предупредить о конфиденциальном характере сведений, которые будут передаваться в устном порядке в последующее время.
  • Пример фиксации передачи: составить акт переданных сведений за подписью сторон с указанием даты, перечня сведений, краткого описания, лиц, основания передачи, реквизиты соглашения и т.д.

Меры по защите

Необходимо предусмотреть следующие моменты при указании мер защиты информации в соглашении:

  1. Сообщение информации о лицах, которые будут иметь право отправлять информацию / получать защищаемую информацию.
  2. Условия и требования ИБ при обмене информации в бумажном виде:
    • Способ доставки: курьер, почта, экспресс-доставка. Требования к упаковке.
    • Документы, достаточные для подтверждения приема/передачи: акты, реестры, журналы и т.д.
  3. Минимальные достаточные меры защиты информации в электронном виде:
    • допустимость передачи с помощью flash, электронной почты, облачных сервисов, ftp и т.д.
    • минимальные достаточные меры по защите при передаче по каналам связи: требования к каналам связи, шифрование, электронная подпись, размеры ключей, требования к паролям и т.д.
  4. Минимальные достаточные меры при обработки, хранении полученной информации в организации. Как правило, меры формулируются не конкретно, а путём перечисления обобщенных угроз ИБ, которые должны быть учтены: нарушение конфиденциальности, целостности, нарушение законодательства, использование информации во вред репутации. Например: Получающая сторона при обработке информации должна соблюдать меры защиты, позволяющие обеспечить сохранность конфиденциальности сведений, их целостность… При необходимости, можно прописать более подробно о мерах, которые должна предпринять принимающая сторона.
  5. Указать действия, которые запрещено производить в отношении защищаемой информации. Например, публикация, передача третьим лицам, продажа, раскрытие иными способами и т.д...
  6. Возможность и условия передачи информации третьим лицам: органам государственной власти; иным организациям. Например, с согласия, обязательное уведомление, форма уведомления и т.д.

Порядок взаимодействия при событиях ИБ и инцидентах

Должен быть прописан порядок взаимодействия при событиях ИБ и инцидентах.

  • Порядок уведомления.
  • Ответственные лица от каждой стороны за управление инцидентами.
  • Кто несёт ответственность по оплате расходов для ликвидации инцидентов. (зачастую ответственность по оплате расходов возлагается на виновную сторону)

Лица ответственные за контроль

Необходимо указать лиц, ответственных за контроль порядка использования защищаемой информации и принимаемых мер защиты. Как правило, руководители направлений, но зависит от размера организации и её структуры.

Срок неразглашения и условия снятия грифа

Зачастую, организации не указывают срок неразглашения защищаемой информации и условия снятия грифа.

Чем это грозит? Повышение нагрузки на обеспечение режима КТ на неопределенный срок:

  1. рост количества документов в бумажном виде с неснятым грифом или срок конфиденциальности которых не определен контрагентом, — ежегодно растут трудозатраты персонала по сверке документов и проведения контрольных мероприятий. В крупных компаниях прирост документов с грифом может составлять до нескольких сотен, а то и тысяч в год. Осталось подсчитать прирост трудозатрат на сверку документов, архивацию, уничтожение, сопровождающееся документированием всех процедур.
  2. Рост площадей и количества хранилищ защищаемой документации. Возьмем количество документов из п. 1 и умножим на количество листов в каждом документе. Особенно актуально для проектной организации, где каждый проект может быть представлен на 5 тыс. листах, а то и выше.
  3. нагрузка на работу системы DLP, база индексов и правил которой растет при увеличении количества поступаемых документов с грифом КТ. Растет число анализируемых системой документов (которые ставятся на контроль в соответствии с политикой DLP). В связи с этим, отсутствует возможность прогнозирования потенциальных нагрузок на DLP.

Что делать?

  1. Указывать конкретный срок действия соглашения.
  2. Указывать срок неразглашения сведений. При определении сроков, рекомендую ориентироваться на перечень сведений, составляющих коммерческую тайну.
  3. Определить от какого момента будет отсчитываться срок неразглашения: с момента получения, с даты документа, с даты прекращения действия соглашения, с даты, указанной в сопроводительном письме к документации и т.д.
  4. Определить условия, при которых гриф может быть снят получателем:
    • истечение срока, указанного в п. 2;
    • при получении уведомления о снятии грифа от обладателя сведений;
    • при возникновении каких-либо событий. Например, при подписании акта выполненных работ по договору, при введении объекта в эксплуатацию и т.д…

 

  1. Обоснование разработки
  2. Формат соглашения
  3. Предмет соглашения
  4. Основные понятия
  5. Идентификация защищаемой информации, маркировка носителей
  6. Меры по защите
  7. Порядок взаимодействия при событиях ИБ и инцидентах
  8. Лица ответственные за контроль
  9. Срок неразглашения и условия снятия грифа