NDA здорового человека
Театр начинается с вешалки, а официальные взаимоотношения компаний с подписания NDA — соглашения о неразглашении конфиденциальной информации. Вроде все просто. Подписал бумажку да пошел дальше. Но нет. На этом этапе часто начинаются разногласия между юристами и/или безопасниками двух компаний. Споры возникают из-за разных вещей. Например, из-за способа передачи конфиденциальной информации. Для одной компании будет приемлемо осуществлять обмен посредством электронной почты, а для другой — только в бумажном виде с составлением акта приема-передачи.
Меня зовут Степаненко Василий, я генеральный директор облачного провайдера NUBES и в этой статье поделюсь комментариями к NDA, которые пишу как ИБшник, ведь им являюсь уже 17 лет. С ними обычно соглашаются коллеги с другой стороны, так как эти комментарии можно назвать золотой серединой, и они помогают составить NDA так, чтобы снизить риски и с точки зрения информационной безопасности, и с точки зрения правового поля.
Подписывать двусторонние соглашения
Бывают односторонние соглашения, когда одна компания является строго «передающей», а другая — только «принимающей». Но односторонняя передача информации — явление редкое. Прямо как в информационных сетях. Обычно обе стороны друг другу что-то передают, и для упрощения лучше подписывать взаимные соглашения о неразглашении, где каждый из участников может быть как «передающей», так и «принимающей» стороной.
Например, банк передает интегратору схему сети для реализации проекта по ее модернизации и ждет эту схему обратно, но уже с конкретными предложениями, которые тоже будут конфиденциальны.
Нам, как бизнесу, крайне важно управлять рисками при работе с персональными данными, так как внутренние риски компании могут повлиять и на наших клиентов. Для Nubes это ключевой момент. В SLA мы прописываем финансовые обязательства перед партнерами и за утечки отвечаем рублем. Поэтому в рамках работы мы подписываем двусторонние соглашения с клиентами и со всеми контрагентами. Пока никого это не смутило.
Шифровать конфиденциальные документы
Лет 10 назад во многих NDA был запрет на передачу информации в электронном виде. Обмен осуществлялся исключительно на бумаге с актом о факте приема-передачи. Но теперь многие перешли на электронный документооборот и появилось желание пересылать конфиденциальные документы через ЭДО. Это, конечно, удобно. Но не стоит забывать, что ЭДО в первую очередь про формализованные документы: акты, накладные, УПД, счета. Неформализованный документ отправить тоже можно, но если он конфиденциальный, то его необходимо зашифровать, чтобы оператор ЭДО (а ведь есть роуминг, тогда операторов ЭДО два) не мог ничего прочитать.
Понятно, что с оператором ЭДО у каждой стороны есть свое соглашение о неразглашении (скорее всего, по форме оператора), но это третья сторона, и ее необходимо исключить. Как вариант, можно зашифровать документ посредством его архивации с паролем (может быть и GPG, или КриптоПРО), а потом передавать этот архив через ЭДО. Эта же история актуальна и для облачных сервисов. Их можно использовать для обмена конфиденциальной информацией сторон, но только если шифровать выкладываемые файлы, а облачные сервисы подконтрольны сторонам (есть договор с провайдером, и у одной из сторон подписан NDA). Личный google-диск, к которому расшарили доступ, не подходит.
Исключить запрет на раскрытие информации о факте заключения NDA
Иногда в NDA прописывают полный запрет раскрытия кому-либо информации даже о факте заключения соглашения о неразглашении между сторонами. Так делать не стоит. Как минимум потому, что может прийти запрос правоохранительных органов, подразумевающий раскрытие информации, принятой от передающей стороны. Если запрета на раскрытие информации о факте заключения нет, то можно указать этим органам на то, что данные переданы в рамках NDA и в отношении этих данных необходимо блюсти конфиденциальность.
Обозначить условия хранения бэкапа и сроки его уничтожения
Почти во всех NDA есть пункт про возврат или уничтожение информации по требованию передавшей стороны. И обычно к данному требованию указывается срок. Например, в течение 10 дней с момента получения запроса данные необходимо стереть или вернуть.
Но здесь важно понимать, что если «получающая сторона» — надежная компания (а ненадежной не стоит передавать свою конфиденциальную информацию), то она делает бэкап, в который наверняка попала и конфиденциальная информация передающей стороны. Точечно стирать из бэкапа данные не получится, только бэкап целиком. Но его уничтожение несет в себе риски ИБ для получившей стороны, особенно сейчас, когда вирусы-шифровальщики так активны.
Требования по возврату и уничтожению могут касаться любой информационной системы, но для примера можно взять файловое хранилище, которое использует персонал принимающей стороны для работы и хранения информации. Оно может бэкапироваться с глубиной хранения резервных данных от двух недель до бесконечности.
Причем требования на глубину хранения могут быть как от аудиторов и регуляторов, так и реальной внутренней необходимостью. Например, многие атаки вирусов-шифровальщиков проявляются спустя месяцы после взлома и заражения системы. Достаточная глубина хранения позволяет при компрометации системы найти версию бэкапа, которая еще точно не была заражена, и использовать ее для восстановления. Такие обстоятельства порождают ситуацию, когда в актуальном хранилище конфиденциальная информация уже была удалена, но все еще находится в холодном хранении, где-нибудь на «ленточке».
Поэтому стоит в этом пункте делать оговорку, дающую возможность стороне, получившей конфиденциальную информацию, сообщить стороне ее передающей о сроках уничтожения и об условиях хранения бэкапа.
Заменить аудит принимающей стороны на запрос реализованных мер защиты
Для серьезных компаний важно, чтобы принимающая сторона защищала полученную информацию не хуже, чем защищает свою. В связи с этим в некоторые соглашения о неразглашении вносится пункт, предусматривающий аудит передающей стороной (или компанией, которой эту функцию делегировали) мер защиты принимающей стороны. Иногда разговор заходит даже про pentest. В реальной жизни вряд ли кто-то действительно такое допустит.
Возможность запросить реализованные меры защиты (SIEM, DLP, обучение пользователей, сроки хранения логов и т.д.) у принимающей стороны для оценки их достаточности — более адекватный вариант. Заодно при передаче списка принятых мер можно обкатать процедуры передачи информации по NDA, ведь принятые меры защиты обычно считаются конфиденциальной информацией. Мы практикуем именно эту историю с партнерами, и она хорошо себя показала.
Синхронизировать сроки в NDA компания-компания и NDA компания-работник
Помимо NDA между компаниями, есть NDA между компанией и ее работниками. И если соглашение о неразглашении внутри компании с работниками предусматривает 3 года, то и между юридическими лицами стоит делать соглашение на 3 года с момента последней передачи информации. Если нужно по каким-то причинам установить 10 лет в NDA между юридическими лицами, то следует обозначить, что получающая сторона должна со своими работниками также заключить NDA на срок не менее 10 лет. Во всяком случае с теми, кто работает с полученной информацией.
Согласовывать изменения по электронной почте
В NDA я часто встречаю неудобные формы согласования, которые не будут работать. Например, если изменился состав лиц, допущенных к обработке информации, то в течение 5 дней требуется в письменной форме сообщить об этом передающей стороне. Если коммуникация ведется по электронной почте, то шансов, что это действие вообще будет выполнено гораздо больше. Электронное письмо, полученное с корпоративного ящика (причем можно заранее определить список лиц, участвующих в официальной переписке сторон), на мой взгляд, ничем не хуже присланного курьером бумажного письма с той же информацией, ведь, по сути, это электронное письмо подписано простой электронной подписью (ПЭП), в соответствии с 63-ФЗ «Об электронной подписи».
Заранее определить компанию, которая будет выступать «рефери», и проводить расследование
Из-за того, что NDA может быть подписан, информация передана, но Договор при этом не случился, в текст NDA принято включать раздел с ответственностью. Не буду размышлять про желаемые штрафы, лучше подсвечу необходимость заранее определить компанию, которой обе стороны доверят проведение расследования утечки информации, если вдруг она случится. С этой компанией обе стороны будут делиться всеми необходимыми логами, давать доступ в свои системы для аудита, чтобы объективно выяснить, произошла ли утечка на стороне подозреваемой в этом компании. Возбуждение уголовного/административного дела — долгий процесс, и к моменту расследования уже может быть невозможно установить обстоятельства. Когда в NDA указывается возможность урегулирования споров путем переговоров, стоит в этом же пункте договариваться и о перечне компаний, которым может быть доверено проведение расследования, тем более что их не так уж и много.
Все эти комментарии важно учитывать при составлении NDA. Часть из них упрощает жизнь, а часть снижает вероятность утечки. Но заморачиваться с такими тонкостями стоит только в том случае, если действительно важно защитить конфиденциальную информацию. В противном случае лучше не тратить время на NDA.