Кибератаки, бывшие сотрудники, вирусы — всё это может стоить компании кучи денег. Эксперты LF Академии разложили по полочкам, как реально защитить данные, не превращая офис в крепость. Главный секрет — не одна бумажка, а комплекс политик. Что именно нужно внедрять?
1. **Политика конфиденциальности.** В России есть режим коммерческой тайны, но он слишком формализован. Юлия Гуриева (старший юрист, преподаватель НИУ ВШЭ) говорит прямо: состыковать его с глобальными политиками иностранных компаний почти невозможно. Приходится выходить за рамки закона и внедрять именно политику конфиденциальности.
2. **Ноу-хау.** Это секреты производства, которые ценны именно тем, что их никто не знает. Защищать их через закон о коммерческой тайне — не обязательно. Есть прецедент: 17-й арбитражный апелляционный суд взыскал более 5 млн рублей убытков с бывших сотрудников, ушедших в конкуренты. У них не было официального режима коммерческой тайны, но были подписки о неразглашении, пункты в трудовых договорах и уведомления о работе с интеллектуальными результатами. Считается, что мер было достаточно.
3. **Политика интеллектуальной собственности.** Наталья Гуляева (управляющий партнер международной фирмы) объясняет: этот документ регламентирует, что делать с результатами труда. Сотрудник создал что-то? Куда бежать, кого уведомлять. Обычно там жесткий режим: никаких незащищенных каналов связи, оценка необходимости патентования — только ограниченным кругом менеджеров.
4. **Персональные данные.** Тут всё строго. Юлии Гуриевой напоминает: это актив, потеря которого ведет к убыткам. Категории разные (биометрия, здоровье, судимости), основания для обработки — свои. Для сотрудников проще всего — письменное согласие. Роскомнадзор проверяет всё по чек-листу: есть ли локальные акты (Положения, Политики), назначены ли ответственные, локализованы ли данные, есть ли сейфы для носителей. Технические меры тоже на месте: классификация ИСПДн, оценка угроз.
5. **IT-политика.** Технический документ, формализующий защиту. В международных корпорациях это стандарт, у нас — реже, хотя многие просто молчат. Иногда даже не стоит афишировать её существование среди рядовых сотрудников — секретность тут на руку.
6. **BYOD (Bring Your Own Device).** Личный смартфон сотрудника — дыра в безопасности. Наталья Гуляева предупреждает: хакеру не всегда нужен вирус, иногда достаточно доступа к личному девайсу. Политика регулирует использование гаджетов, требует установки защитного ПО и проверки файлов. Важно четко прописать: что можно, а что категорически нельзя.
7. **Договорное обеспечение.** Внутренние политики не покрывают всё. Данные контрагентов, текущие проекты, стратегии переговоров, маркетинговые исследования — всё это ценно. Тут на помощь приходят простые договоры NDA.
Подробности о последствиях нарушений — в вебинаре Натальи Гуляевой и Юлии Гуриевой.
Кибератаки, бывшие сотрудники, вирусы — всё это может стоить компании кучи денег. Эксперты LF Академии разложили по полочкам, как реально защитить данные, не превращая офис в крепость. Главный секрет — не одна бумажка, а комплекс политик. Что именно нужно внедрять?
1. **Политика конфиденциальности.** В России есть режим коммерческой тайны, но он слишком формализован. Юлия Гуриева (старший юрист, преподаватель НИУ ВШЭ) говорит прямо: состыковать его с глобальными политиками иностранных компаний почти невозможно. Приходится выходить за рамки закона и внедрять именно политику конфиденциальности.
2. **Ноу-хау.** Это секреты производства, которые ценны именно тем, что их никто не знает. Защищать их через закон о коммерческой тайне — не обязательно. Есть прецедент: 17-й арбитражный апелляционный суд взыскал более 5 млн рублей убытков с бывших сотрудников, ушедших в конкуренты. У них не было официального режима коммерческой тайны, но были подписки о неразглашении, пункты в трудовых договорах и уведомления о работе с интеллектуальными результатами. Считается, что мер было достаточно.
3. **Политика интеллектуальной собственности.** Наталья Гуляева (управляющий партнер международной фирмы) объясняет: этот документ регламентирует, что делать с результатами труда. Сотрудник создал что-то? Куда бежать, кого уведомлять. Обычно там жесткий режим: никаких незащищенных каналов связи, оценка необходимости патентования — только ограниченным кругом менеджеров.
4. **Персональные данные.** Тут всё строго. Юлии Гуриевой напоминает: это актив, потеря которого ведет к убыткам. Категории разные (биометрия, здоровье, судимости), основания для обработки — свои. Для сотрудников проще всего — письменное согласие. Роскомнадзор проверяет всё по чек-листу: есть ли локальные акты (Положения, Политики), назначены ли ответственные, локализованы ли данные, есть ли сейфы для носителей. Технические меры тоже на месте: классификация ИСПДн, оценка угроз.
5. **IT-политика.** Технический документ, формализующий защиту. В международных корпорациях это стандарт, у нас — реже, хотя многие просто молчат. Иногда даже не стоит афишировать её существование среди рядовых сотрудников — секретность тут на руку.
6. **BYOD (Bring Your Own Device).** Личный смартфон сотрудника — дыра в безопасности. Наталья Гуляева предупреждает: хакеру не всегда нужен вирус, иногда достаточно доступа к личному девайсу. Политика регулирует использование гаджетов, требует установки защитного ПО и проверки файлов. Важно четко прописать: что можно, а что категорически нельзя.
7. **Договорное обеспечение.** Внутренние политики не покрывают всё. Данные контрагентов, текущие проекты, стратегии переговоров, маркетинговые исследования — всё это ценно. Тут на помощь приходят простые договоры NDA.
Подробности о последствиях нарушений — в вебинаре Натальи Гуляевой и Юлии Гуриевой.