1. Адвокатська фірма GORO legal
  2. Публікації
  3. Безпека в IT-компанії. Яких заходів необхідно вжити?

Безпека в IT-компанії. Яких заходів необхідно вжити?

Кузіна Ілона
автор
Кузіна Ілона
14 / 05 / 2021

Хотілося б розпочати, як і завжди, з визначення основного поняття теми. Проте цього разу це не так і легко зробити. А все через те, що наразі в нормативно-правових актах немає визнання безпеки як такої. Пояснюється це тим, що кожен закон, постанова чи наказ має чітко окреслену сферу дії, а тому термін "безпека", якщо й використовується в них, то з певними обмежувальними характеристиками. 

Наприклад, у Законі України "Про основні засади забезпечення кібербезпеки України" кібербезпеку визначено як захищеність життєво важливих інтересів людини й громадянина, суспільства й держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання та нейтралізація реальних і потенційних загроз національній безпеці України в кіберпросторі. Своєю чергою, Кодекс цивільного захисту України оперує поняттями "пожежна безпека" і "техногенна безпека", а Закон України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007 – 2015 роки" – терміном "інформаційна безпека" такого змісту: "інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації". 

З наведеного вище можна зробити висновок, що для забезпечення безпеки, чи то в державі, чи то в IT-компанії, для початку потрібно зрозуміти, що саме ми захищаємо, а вже тоді визначатися з конкретними заходами. 

В IT-компанії предметом захисту можуть бути людські ресурси, інтелектуальна власність, фінанси, рухоме й нерухоме майно тощо. Усе залежить від специфіки роботи та пріоритетів. 

Отже, спробуємо сформувати своєрідний список заходів (превентивних і не тільки), яких необхідно вжити в IT-компанії. 

Розпочнімо із самого початку, тобто зі створення самої IT-компанії. 

І. Домовлятися краще "на березі". Для того, аби уникнути непередбачуваних ситуацій у майбутньому та не ставити під загрозу всю компанію, її засновникам потрібно ще на етапі створення проговорити всі ключові моменти й зафіксувати їх у статутних документах. Ідеться про: 

  • порядок прийняття рішень: які з них приймає одноособово директор, а для яких необхідно збирати дирекцію чи навіть погодження загальних зборів; 
  • особливості змін (примусових і добровільних) складу засновників/учасників/керівників IT-компанії; 
  • алгоритм розподілу прибутку, виплати дивідендів і, що не менш важливо, розподілення витрат. 

У деяких випадках доречним буде укладення корпоративного договору. Навіть якщо всі нюанси не було враховано під час створення IT-компанії, цим не варто нехтувати вже під час ведення її діяльності. Ба більше, кожному органу може бути присвячено не просто розділ у статуті, а окреме положення, у якому урахують усі без винятку особливості й побажання. 

ІІ. Співробітники й контрагенти – не виняток. Те саме можна сказати і про співробітників IT- компанії, і про її контрагентів. Зважаючи на специфіку роботи IT-компаній, межа між першими й другими доволі тонка. Однак у будь-якому разі не варто забувати про такі інструменти, як: 

  • NDA – угода про нерозголошення інформації; 
  • NCA – угода про заборону конкуренції (неконуренцію); 
  • Byoutclause (releaseclause) – положення договору, що надає замовнику право безпосередньо й самостійно працювати із співробітниками або підрядниками виконавця, за умови, що замовник виплатить виконавцю певну винагороду; 
  • Згода на обробку персональних даних. 

Окремо потрібно подбати про наявність власних шаблонів типових договорів, які враховуватимуть усі ваші інтереси, зокрема, міститимуть:

  • права та порядок одностороннього розірвання договору; 
  • порядок обміну інформацією й документами (наприклад, актами приймання-передання виконаних робіт / наданих послуг); 
  • відповідальність, штрафні санкції;
  • усі нюанси щодо інтелектуальної власності на результат виконаних робіт;
  • порядок коригування домовленостей і, як наслідок, унесення змін до самого договору. 

ІІІ. Налагодження процесів. Здавалося б, доволі очевидний пункт, однак тут мовиться не про основну діяльність IT-компанії, а про налагодження другорядних, однак від цього не менш важливих процесів. Ідеться про: 

  • пропуск на територію / в офіс / в будівлю IT-компанії; 
  • порядок використання співробітниками/контрагентами IT-компанії техніки (комп'ютерів, принтерів, сканерів, змінних носіїв); 
  • особливості зберігання/передання інформації (роздрукованих документів, сканованих документів, інформації, результатів робіт); 
  • порядок отримання кореспонденції (зокрема, документів від державних органів) і реагування на неї (подальші дії). 

На цьому етапі доречним буде розроблення інструкцій, алгоритмів, порядків, правил, обов'язкових для певних співробітників і контрагентів, проведення тренінгів. Також варто подбати про наявність шаблонів договорів/заяв. 

IV. Плановий моніторинг. Окремо необхідно подбати про оперативне отримання інформації про: – судові справи щодо IT-компанії;

  • виконавчі провадження;
  • планові й позапланові перевірки контролюючих органів; 
  • внесення змін до офіційних реєстрів (наприклад, Єдиного державного реєстру юридичних осіб, фізичних осіб – підприємців та громадських формувань, Державного реєстру речових прав на нерухоме майно). 

На сьогодні є досить багато зручних сервісів для автоматичного отримання більшості з перелічених вище даних. 

V. Last but not least. Також не варто забувати й про наявність підписаного договору з адвокатом / адвокатським об'єднанням / адвокатським бюро, оскільки в деяких (найбільш критичних) ситуаціях IT-компанії може знадобитися саме допомога адвоката, а не просто юридична. 

Загалом, більшість із зазначених вище заходів є загальновідомими. Проте кількість неприємних ситуацій через їх ігнорування не зменшується. А це означає, що саме час переглянути статут вашої IT-компанії й додати кілька нових розділів до шаблону договору про виконання робіт.