К вопросу о совершенствовании мер охраны коммерческой тайны

В статье автор исследует вопросы совершенствования мер охраны конфиденциальности информации, составляющей коммерческую тайну, предусмотренных ст. 10 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» применительно к области обеспечения информационной безопасности субъекта коммерческой тайны.

Ключевые слова : коммерческая тайна, меры охраны конфиденциальности информации, составляющей коммерческую тайну, утечки коммерческой тайны, информационная безопасность.

При анализе мер по охране конфиденциальности информации, составляющей коммерческую тайну, предусмотренных ст. 10 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее по тексту — Закон 98-ФЗ) нельзя преуменьшать роль материально-технических средств защиты информации, особенно в области информационно-коммуникационных технологий, поскольку угроза нарушения режима коммерческой тайны с их повсеместным внедрением в связи с развитием информационного общества в РФ только продолжает нарастать [1]. Зачастую разработка методов защиты от атак в информационном пространстве отстает от действий правонарушителей, которые находят все новые и новые способы их обхода. Об этом говорит и имеющаяся статистика, анализирующая утечки, связанные с информацией, составляющей коммерческую тайну. По данным последнего аналитического отчета «Россия: утечки информации ограниченного доступа в 2022 г». российского акционерного общества «Инфовотч», занимающегося разработкой компьютерного программного обеспечения, утечка информации, составляющей коммерческую тайну, выросла на 4,8 % — с уровня 4,3 % в 2021 году до уровня в 9,1 % в 2022 году, возросла нагрузка на предпринимателей так называемого «малого бизнеса», где доля утечек выросла на 10,2 % — с уровня 10,8 % в 2021 году до уровня в 21 % в 2022 году [2, с. 11–13]. Одной из причин подобной тенденции стал больший уход субъектов коммерческой тайны в цифровое поле предпринимательской деятельности в связи с нарастающей долей цифровизации экономики в разгар пандемии COVID-19 в конце в 2019-го г., 2020-го г., первой половины 2021-го г., приведшей на определенное время к невозможности осуществления предпринимательской деятельности классическим образом по модели «покупатель-продавец» лицом к лицу по медицинским соображениям, что повлекло за собой большое скопление информации, составляющей коммерческую тайну не на классических материальных носителях, которые можно в негативно складывающейся ситуации уничтожить, а в цифровом пространстве, не имеющего материального выражения, а значит, более склонного к несанкционированному распространению. Это и привело к резкому скачку утечек информации в 2022-ом году в 710 случаев против 334 случаев в 2021- ом году, 440 случаев в 2020 — ом году и 469 случаев в 2019 — ом году соответственно [2, с. 5].

Особенно стоит отметить, что специалисты «Инфовотч» отмечают, что увеличивается тенденция уменьшения сведений, позволяющих идентифицировать и классифицировать причину утечки — внутреннюю или внешнюю, что вынудило в проводимых исследованиях ввести дефиницию «гибридный вектор утечки», который сочетает в себе как внутренний, так и внешние факторы. Доля сведений, где не удалось определить вектор такой утечки, составила 80, 4 % и носит лавинообразный характер, затрудняя идентификацию правонарушителей, что фактически вынуждает менять подход к выработке мер охраны информации, составляющей коммерческую тайну, концентрируясь не на классическом их разделении на охрану от внешнего и внутреннего воздействия, а на унификации, выработке комплексного подхода, который бы сочетал в одной норме оба этих фактора одновременно [2, с. 7].

Стоит отметить также и то, что наметившаяся тенденция роста утечек информации, составляющей коммерческую тайну, в связи с ростом цифровизации субъектов коммерческой тайны и экономики, не является только лишь российской, а наблюдается во всем мире, что выводит масштаб проблемы на уровень глобальной. Так, согласно аналитическому отчету «Утечки информации ограниченного доступа в мире, 2022 год» акционерного общества «Инфовотч» количество утечек информации, составляющей коммерческую тайну в зарубежных странах выросло в 5,7 % — с 8,9 % в 2021 году до 14,6 в 2022 году, причем наибольшие темпы роста утечек информации отмечены в тех странах, где активно размещаются цифровые сервисы, услуги связи, интернет-торговля, что означает, по-видимому, отставание уровня информационной безопасности от развития цифровых технологий — интернет становится основным (доминирующим) каналом утечек (компрометация данных через веб-сервисы, подключенные к Сети хранилища, репозитории, корпоративные информационные системы и т. д.) [3, с. 12, с. 19]. Справедлива и тенденция постепенного снижения количества утечек на волне пандемии COVID-19 инфекции, а потом резкий скачок таких случаев в 2022 году, когда значительная часть субъектов коммерческой тайны перевела часть своей предпринимательской деятельности или ее полностью в цифровое пространство — тенденция снижения продолжалась от 2499 случаев в 2019-ом году, 2308 случаев в 2020-ом году, 1920 случаев в 2021-ом году до скачка до 6856 случаев в 2022 году (по сравнению с 2021 годом увеличение произошло больше, чем в 3 раза!) [3, с. 19]. Не обошла стороной зарубежные страны и гибридность факторов утечек, включающая в себя внутренний и внешний характер угроз одновременно.

Глобальные вызовы, связанные с ростом утечек информации, составляющей коммерческую тайну, ставят перед российским законодателем серьезную задачу по разработке дополнительных мер по охране коммерческой тайны в цифровом пространстве, особенно с учетом того, что перечень уже существующих мер, предложенных в ст. 10 Закона 98-ФЗ недостаточно широк. Как и ранее было сказано, он в основном направлен на гражданско-правовой оборот, связанный с реальным взаимодействием по формуле «человек-человек», но не предусматривает культуры взаимодействия между человеком и цифровым инструментом, который представляет из себя компьютерные технологии, особенно это ярко проявляется в п. 5 ч. 1 ст. 10 Закона 98-ФЗ, который особый акцент делает на обязательной мере защиты информации, составляющей коммерческую тайну, посредством включения ее в состав материального носителя и нанесения соответствующей маркировки «Коммерческая тайна», в то время как в информационном пространстве материальный носитель практически всегда отсутствует. Попытку приблизиться к надлежащему правовому регулированию можно увидеть в ч. 4 ст. 10 Закона 09-ФЗ в виде права субъекта коммерческой тайны применять при необходимости средства и методы технической защиты конфиденциальности информации, однако, такая общая формулировка не дает понимания неспециалисту в области компьютерных технологий, какие можно применять современные технические технологии при взаимодействии с информационным пространством, при том условии, что перечень таких технологий достаточно обширен, составляющих как физическое ограничение возможности утечки информации, так и на уровне информационного пространства. К тому такие меры технической защиты не являются обязательными, поскольку их обеспечение — это право, а не обязанность субъекта коммерческой тайны, в соответствии с буквальным толкованием ч. 4 ст. 10 Закона 98-ФЗ, что снижает степень ответственного отношения к вопросам информационной безопасности со стороны субъекта коммерческой тайны и не решает проблему образования новых утечек информации, составляющей коммерческую тайну.

В качестве основных технических методов защиты информации можно рассмотреть меры, предложенные В. В. Сомоновым, К. Р. Коломойцевой, В. С. Коломойцевым [4, с. 124–125]:

1. Создание субъектом коммерческой тайны собственной локальной сети, в которую будут выводиться по защищенным каналам для хранения охраняемые данные.
2. Использование устройств для криптографической защиты, осуществляющие шифрование данных на рабочих станциях, комплексах и серверах компании, передаваемых по каналам связи;
3. Использование различных средств антивирусной защиты
4. Использование SIEM-систем и DLP-систем, обеспечивающих закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика;
5. Использование сетевых фильтров, файерволов, устройств для контроля доступа к серверам;
6. Физическая защита средств коммутации с использованием специальных замков или блокировок
7. Использование автоматизированных систем по обработке информации, составляющей коммерческую тайну, среди которых — автоматизированная система управления результатами интеллектуальной деятельности (РИД).

При решении вопроса о том, какими мерами технического характера необходимо защищать информацию, составляющую коммерческую тайну, можно обратиться также к выработанным на практике документам национальной системы стандартизации, среди которых можно выделить [5]:

1. ГОСТ Р 50922–2006 Защита информации. Основные термины и определения
2. ГОСТ Р 51275–2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
3. ГОСТ Р 51583–2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
4. ГОСТ Р 53114–2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
5. ГОСТ Р 52069.0–2013 Защита информации. Система стандартов. Основные положения
6. ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования.

Однако необходимо понимать, что применение таких документов в практике субъектов коммерческой тайны не является обязательным, они применяются добровольным образом (в соответствии с ч. 1 ст. 26 Федерального закона от 29.06.2015 N 162-ФЗ «О стандартизации в Российской Федерации»), а значит, их применение тоже не гарантировано, а значит, и безопасность информации, составляющей коммерческую тайну [6].

Таким образом, обобщая вышесказанное, предлагается разработать обязательный к применению российский национальный стандарт информационной безопасности в области сохранения конфиденциальности информации, составляющей коммерческую тайну, который будет содержать минимально необходимый набор постоянно обновляемых по мере развития технологического процесса обязательных требований в области информационной безопасности к субъектам коммерческой тайны, внести изменения ч. 1 ст. 10 Закона 98-ФЗ путем введения отсылочной нормы но указанный стандарт. В таком случае отсылка ч. 4 ст. 10 Закона 98-ФЗ на ч. 1 ст. 10 Закона 98-ФЗ с предоставлением права субъекту коммерческой тайны при необходимости применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры будет распространяться и на стандарты информационной безопасности. Тем самым, если субъект коммерческой тайны не желает воспользоваться своим правом, то он все равно получает минимально необходимый объем гарантий для обеспечения информационной безопасности для информации, составляющей коммерческую тайну и не выпадает из поля правового регулирования, а более сознательные субъекты коммерческой тайны смогут дополнять стандарт информационной безопасности самостоятельно, повышая качество локального нормотворчества и выводя степень собственной информационной безопасности на более высокий уровень, чем базовый, который предусмотрит законодатель.

1. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне // CЗ РФ. — № 32. — Ст. 3283;
2. Россия: утечки информации ограниченного доступа в 2022 г. — Текст: электронный // InfoWatch: [сайт]. — URL: https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-rossii-za-2022-god.pdf (дата обращения: 16.12.2023).
3. Утечки информации ограниченного доступа в мире, 2022 год. — Текст: электронный // InfoWatch: [сайт]. — URL: https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-ogranichennogo-dostupa-v-mire-2022-g.pdf (дата обращения: 16.12.2023).
4. Сомонов, В. В. К вопросу об охране коммерческой тайны на предприятиях аддитивного производства в условиях необходимости удаленного взаимодействия подразделений компании / В. В. Сомонов, К. Р. Коломойцева, В. С. Коломойцев. — Текст: непосредственный // Труды по интеллектуальной собственности. — 2022. — № 1. — С. 124–125.
5. Сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации «защита информации» (тк 362). — Текст: электронный // ФСТЭК России Федеральная служба по техническому и экспортному контролю: [сайт]. — URL: https://fstec.ru/tk-362/standarty/perechen-natsionalnykh-standartov (дата обращения: 16.12.2023).
6. Федеральный закон от 29.06.2015 N 162-ФЗ «О стандартизации в Российской Федерации // CЗ РФ. — № 27. — Ст. 3953.