Конфиденциальность в ИТ является весьма злободневной темой на сегодняшний день. Причем понятия конфиденциальности практически у каждого из представителей современного бизнеса существуют собственные. Безусловно, касаясь вопросов российского и белорусского законодательства, правильнее будет применять понятие "коммерческая тайна". Однако, поскольку в ИТ-компаниях все чаще применяется данный термин - именно "конфиденциальность", мы также будем пользоваться им.

Для чего вообще требуется охранять конфиденциальную информацию? Может быть, в этом и вовсе не имеется никакого смысла?

Основная идея защиты конфиденциальных данных весьма и весьма проста: если вы защищаете ценную для вас информацию - вам удается сохранить конкурентное преимущество. На лестнице компаний-конкурентов вы всегда будете занимать первую ступень. Если же создаваемые вами проекты требуют от вас выхода на рынок в самый последний момент, то у вас появится время, которое позволит вам занять определенную нишу - к примеру, если вы занимаетесь разработкой мобильных либо же финансовых приложений.

Следующей причиной является то, что на просторах СНГ фактически в каждой стране действует законодательство о коммерческой тайне. И для того, чтобы это условие сохранялось, необходимо внедрение соответствующего режима. Работает коммерческая тайна только в том случае, если вы предприняли определенные меры внутри компании. Это касается России, Украины, Казахстана, Молдовы и, естественно, Беларуси.

Еще одной причиной, согласно которой необходимо принимать меры по защите конфиденциальной информации, является сотрудничество с зарубежными партнерами. В нашей стране практически 70% ИТ-компаний работают на зарубежный рынок, и заказчиками их выступают европейские и американские предприятия. В каждом из случаев заключения контракта с иностранным заказчиком, компания-разработчик берет на себя обязательство перед данным предприятием о сохранении конфиденциальности в отношении той разработки, в которой она участвует. Соответственно, если вы не свяжете своих сотрудников такими же релевантными соглашениями, то будете, как минимум, нарушать обязательства перед вашим контрагентом. По максимуму - данная информация уйдет из компании вместе с одним из сотрудников и появится в другой. А вы потеряете клиентов.

Какую информацию в IT-компании есть смысл охранять? В первую очередь, конечно, исходные коды. Они обязательно должны попасть в список конфиденциальной информации. Помимо этого, политики конфиденциальности должны затрагивать бета-версии программных продуктов, методологию программирования, технику дизайна, техническую документацию, а также все спецификации, которые подписываются в рамках проектов. Это могут быть как контрактные спецификации, так и проектные спецификации, которые хранятся внутри системы разработчика программного обеспечения. Если вы применяете какие-то уникальные методологии, разработали внутренние системы по созданию программного обеспечения - их также необходимо включать в список конфиденциальной информации.

Особое внимание следует уделять защите идей - в отличие от авторского права, охранять которое невозможно, коммерческая тайна как раз позволяет это сделать. Если вы путем мозгового штурма создаете ряд новых разработок - мобильных приложений или компьютерных игр - и этот брейнсторминг каким-либо образом документируется, это тоже необходимо отразить в качестве конфиденциальной информации и охранять ее.

Очень актуальной информацией является логическое построение бизнес-процессов. Звучать это может достаточно размыто, однако на самом деле построение в компании бизнес-процессов по разработке программного обеспечения во многих случаях позволяет создать уникальное конкурентное преимущество данной компании. Компания может достаточно грамотно выстроить политику бизнес-рекрутинга, а также рекламных мероприятий, проведения собеседований. Все эти процессы являются достаточно уникальными и позволяют с легкостью подыскивать новых компетентных специалистов. Их также обязательно необходимо включать в список конфиденциальной информации.

Еще одним требованием является неизвестность третьим лицам. На законном основании к конфиденциальной информации не должно быть свободного доступа заинтересованным субъектам. Существует регистр юридических лиц. При этом вы с легкостью можете получить за деньги информацию о любом из них. Подобного рода информация является общедоступной и не может быть отнесена к коммерческой тайне. Информация не должна представлять собой государственный секрет. Согласно существующему в нашей стране закону "О государственных секретах", брать информацию для своего списка из подобных источников не представляется возможным. Помимо этого, информация не должна наносить ущерб государственным интересам. К подобной информации, к примеру, относятся сведения о нерациональном природопользовании, чрезмерном загрязнении окружающей среды, несоблюдении техники безопасности.

Чтобы тайна оставалась тайной

Для того чтобы вы могли привлечь кого-либо к ответственности за разглашение конфиденциальной информации, необходимо пройти определенные этапы внутри самой компании. Они также достаточно хорошо прописаны в законодательстве и, как правило, отражаются в положении "О коммерческой тайне", которое должно быть разработано в каждой из компаний.

Наиболее актуальной мерой является формирование перечня сведений, которые составляют коммерческую тайну. Это и есть тот список, в который должны быть включены все сведения, считающиеся руководством компании конфиденциальными. Правильным вариантом оформления подобного документа является создание рабочей группы, куда может входить кто-то из службы безопасности, юрист, а также группа поддержки ИТ-инфраструктуры и обязательно кто-либо из производственного подразделения. Только в случае комплексной работы подобной группы происходит формирование правильного списка, который является специфичным для каждой из компаний.

Следующим требованием является порядок доступа к конфиденциальной информации, учет лиц и организация контроля, а также возложение ответственности за разглашение конфиденциальной информации. Все это по пунктам прописывается в соглашении о коммерческой тайне. Однако зачастую, во время формирования подобного положения, сотрудники сталкиваются с требованием по маркированию документов: никакой другой гриф, кроме "коммерческая тайна", ставить на них не разрешается. Именно поэтому для документов, содержащих коммерческую тайну, приходится делать обособленный документооборот. В ИТ-компании провести подобную меру достаточно сложно, поскольку наличия документов в бумажном виде практически нет - вследствие электронного документооборота.

Тем не менее, положение о коммерческой тайне должно быть принято, иначе в отсутствие данных требований, отлаженная система попросту не будет работать. Поэтому, в качестве вынужденного шага, рабочей группой должно быть отработано данное положение, взяты и включены в него основные законодательные императивы.

Данный документ может применим и в качестве доказательной базы для суда: в случае утечек конфиденциальной информации, судья изучит документы, включенные в перечень приложения о коммерческой тайне. В суде это позволит доказать, что конкретное лицо похитило у вас конфиденциальную информацию. Обязательно следует указывать и то, что не только бумажный, но и электронный документооборот является подчиняющимся положению о коммерческой тайне.

Не всегда сотрудники работают на условиях трудового договора и связаны законодательством через положение и требования. Есть подрядчики, есть контрактеры, фрилансеры, которых IT-компании очень часто привлекают для работы над проектами. На них, к сожалению, не распространяются все эти положения. Для них необходимо выстраивать отдельную юридическую цепочку обязательств по недопущению разглашения конфиденциальной информации. Как правило, часть из этих обязательств попадает в договор подряда, договор консультанта. И хорошая практика - заключение отдельного соглашения с этим фрилансером и субподрядчиком о неразглашении конфиденциальной информации.

Отдельную категорию составляют посетители предприятия. Ими могут стать и студенты-практиканты. Официального оформления в качестве стажеров у них может и не быть, однако определенное время на территории компании они проводят. С ними также должно быть подписано соглашение о неразглашении конфиденциальной информации, поскольку данная категория лиц обладает доступом к информационным системам и документам.

Помимо этого, зачастую компании зачастую пользуются консультационными услугами и проходят аудит. Перед тем, как вами будет заключен договор об оказании услуг, необходимо договориться с руководством данных организаций о том, что разглашение корпоративной информации и доступ ней третьим лицам, за исключением юриста, который непосредственно будет работать с вами, будет караться штрафом. Учитывая то, что аудиторы получают практически всю финансовую информацию, они связаны законодательством об аудите. Тем не менее, необходимо оговорить все вопросы конфиденциальности информации, прежде чем давать им доступ к корпоративным базам данных.

Существует такая банальная категория, как поставщики, представители которой зачастую находятся в помещении компании и контролировать их при этом достаточно сложно. В подобных случаях также должно быть составлено в простой и понятной форме соглашение не только с фирмой-поставщиком, но и с конкретными работниками.

Весьма внимательными нужно быть и с потенциальными инвесторами. Казалось бы, о своей компании вам необходимо рассказать все и раскрыть данные в лучшем свете. Однако, как известно, далеко не все инвестиционные переговоры в конце концов заканчиваются инвестициями. Между тем, уровень и глубина предоставляемой информации должны быть весьма серьезными. Тем не менее, какими бы полубогами-толстосумами они ни казались, соответствующее соглашение необходимо заключать и с ними. Даже если они не предлагают этого сами - а предлагать инвесторы и не должны - это должна быть полностью ваша инициатива. Все это может быть отменно проиллюстрировано на примере произошедшего недавно случая: команда молодых людей презентовала инвестору собственный проект. Это был сайт, который должен был служить поддержкой ИТ-компаниям в ведении бухгалтерии. Инвесторы с виду проявляли крайнюю заинтересованность в проекте. В итоге через несколько месяцев на просторах Рунета появился полный клон данного сайта. Итог вышесказанного достаточно прост: если вы собираетесь участвовать с собственным проектом в каком-то конкурсе, где собираются инвесторы, эксперты - в целом, большое количество публики - и вы этим экспертам должны давать информации больше, чем на стандартной презентации, настоятельно рекомендуем вам убедиться, что организаторы конкурса подписали с инвесторами и экспертами соглашение о неразглашении конфиденциальной информации. Хорошей практикой окажется, если вам покажут это соглашение. Потому что ваша идея может оказаться очень интересной.

(Продолжение следует)

Елена ХАРЛАМОВА