Организация защиты конфиденциальной информации

Меры защиты и ответственность

В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия. Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта. Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица. 
Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ. Закон запрещает распространение персональных данных в рамках служебного положения. 

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности

Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.  

Что такое личная информация или личные данные

Личными или персональными данными человека называют информацию, которая относится к конкретному физическому лицу и позволяет его идентифицировать. К ней относятся: 

• паспортные данные: в первую очередь, ФИО, дата рождения, семейное положение;

• социальное и имущественное положение;

• информация о банковской карте, включая номер, PIN-код и CVV2/CVC2-коды.

• телефонные номера.

Городской телефонный номер тоже относится к личным данным. Мобильный – только в том случае, если он зарегистрирован на определенного человека. Впрочем, в России большинство SIM-карт оформлены с использованием паспортных данных, поэтому мобильный номер – такая же конфиденциальная информация. А вот электронная почта к этому виду данных не относятся. 

Информационная система персональных данных и оператор – что это?

Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

# Какие предприятия должны защищать персональные данные?

Определение

Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.

Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

Обработка персональных данных

Любую информацию, которая непосредственно связана с лицом, определяет его и способна его идентифицировать, можно отнести к категории персональных данных. Закон предусматривает определенные правила обработки персональной информации. Без согласия физического лица запрещена деятельность по получению, владению, использованию и обработке информации о его жизни. Это же касается и действий, которые нарушают личную либо семейную тайну, вторгаются в конфиденциальную переписку и прочие коммуникации, телефонные переговоры, корреспонденцию и иные сообщения. Исключения составляют действия, основанные на законном судебном решении.

Обязанности работодателя при работе с персональной информацией работников регламентируются Трудовым кодексом. Служащие, которые имеют доступ к ее обработке, перед приемом на работу подписывают соглашение о своих правах и обязанностях при работе в этой сфере.

Требование о неразглашении персональной информации применимо и к служащим органов ЗАГС, как и к работникам консульств, на которых возложены идентичные функции по регистрации актов граждан, находящихся на территории иностранных государств. Закон накладывает на работников органов ЗАГС или консульств обязательство о неразглашении информации, полученной ими в ходе служебной деятельности. Данные, которые содержат акты регистрации, приравниваются к закрытой информации и не могут иметь свободный доступ.

За незаконный сбор и распространение информации о частной жизни граждан возможно уголовное преследование. Кодекс запрещает раскрытие личной либо семейной тайны, распространение таких данных, публичную их демонстрацию или публикацию в средствах информации. Уголовная ответственность наступает, если подобные действия:

• производились без согласия обладателя данных;
• были совершены в соответствии с корыстными интересами либо иной заинтересованностью третьего лица;
• причинили моральные страдания, нанесли ущерб законным интересам либо нарушили права гражданина.

Ответственность за разглашение конфиденциальной информации

Несанкционированное распространение конфиденциальных сведений может повлечь за собой практически весь спектр законодательных мер ответственности от гражданско-правовой до уголовной. Тяжесть наказания зависит от последствий нарушения конфиденциальности.

Владелец информации может потребовать компенсации вреда в рамках гражданского процесса. Можно требовать не только возмещения убытков от выпуска сведений в свободный доступ, но и оплаты моральных страданий от такого действия.

Руководитель или собственник организации может привлечь к дисциплинарной ответственности наемного работника за разглашение коммерческой или служебной информации. В этом случае тяжесть наказания также будет зависеть от наступивших последствий и наличия умысла сотрудника на распространение конфиденциальных сведений. Наказать могут как переводом на работу, не связанную с такими данными, или замечанием (выговором), так и увольнением.

Обязательным условием привлечения к ответственности является информированность работника о запрете на разглашение конфиденциальных сведений.

Если документ, подтверждающий ознакомление с политикой конфиденциальности или нормами законодательства, ограничивающими распространение сведений, отсутствует, то привлечь работника к ответственности нельзя.

Разглашение конфиденциальной информации может стать поводом для привлечения к административной ответственности. Для обычного гражданина это подразумевает уплату штрафа до 1 000 рублей, а должностное лицо может быть наказано штрафом до 5 000 рублей.

В случае наличия умысла не причинение вреда и наступления особо тяжелых негативных последствий для владельца конфиденциальной информации, для допустившего утечку данных лица наступает уголовная ответственность. Она зависит от множества факторов и может выражаться либо в уголовном штрафе, либо в запрете на занятие определенных должностей (осуществление определенных видов деятельности), либо в фактическом лишении свободы на длительные сроки.

Например, умышленное разглашение гостайны может быть квалифицировано как шпионаж и стоить нарушителю двадцати лет свободы.

Конфиденциальность определенных сведений состоит в необходимости ограничения их распространения. Это связано в первую очередь с негативными последствиями от свободного хождения таких сведений. Владельцами конфиденциальной информации могут быть обычные люди, субъекты хозяйствования и государство.

Для защиты конфиденциальной информации в российском законодательстве предусмотрены различные меры ответственности для виновников разглашения конфиденциальных сведений — от дисциплинарной (для наемного персонала), до уголовной. Защитить свои интересы владельцы конфиденциальных данных могут и в гражданско-правовом порядке возмещения причиненного вреда.

Конфиденциальная информация — что к ней относится

Первоначальное разделение всего массива информации на данные свободного и ограниченного доступа дает закон РФ об информации (№ 149-ФЗ). Кроме того, этот документ определяет и понятие конфиденциальности информации.

Конфиденциальная информация — это сведения, к которым человек получает доступ, но распространить их он может только с согласия владельца данных.

Право на ограничение свободы хождения конфиденциальной информации дают различные нормативные акты (закон РФ № 149-ФЗ).

Одной из самых охраняемых категорий конфиденциальных данных является персонифицирующая личность человека информация.

К персональным данным относятся сведения, позволяющие четко идентифицировать их владельца. Это информация:

• о Ф.И.О., месте и дате рождения;
• реквизиты удостоверения личности и место жительства;
• личного, имущественного или семейного характера;
• об образовании;
• о профессии или месте работы;
• об иных идентифицирующих признаках.

При этом разглашение одного или нескольких данных не всегда ведет к персонализации их владельца.

Например, достаточно распространенные в России и ближнем зарубежье фамилии Иванов, Семенов, Сидоров, само по себе ничего не скажут об их владельце. Людей с такими данными миллионы. Или информация «Сидоров, живущий на улице Ленина». В разговоре конкретных людей такое уточнение упоминаемой персоны позволяет полностью идентифицировать одного человека. Вместе с тем, постороннему слушателю данного разговора эти данные ничего не скажут, так как улицы с таким названием есть практически в любом городе, а на одной из них может быть пара сотен многоквартирных домов, где проживают несколько людей с такой фамилией.

А вот ситуацию с упоминанием «Петрова Марата Сигизмундовича, работающего на текстильной фабрике» уже можно считать разглашением персональных данных, поскольку такое сочетание фамилии, имени, отчества и места работы позволяет точно определить их принадлежность к одному человеку.

Без согласия владельца персональных данных их разглашение допустимо только в определенных законодательством случаях (закон № 152-ФЗ).

Эта категория сведений, помимо всего прочего становится и частью обозначенных в законодательстве профессиональных тайн.

Врачи обязаны сохранять в секрете данные о своих пациентах, адвокаты, нотариусы, финансовые учреждения обязаны хранить в тайне взаимоотношения с клиентами. Сохранение данных в этом случае тесно переплетается с понятием профессиональной тайны в соответствующих сферах трудовой деятельности и регулируется нормативными актами, регламентирующими отдельные профессиональные области.

Гарантии общедоступности информации

Руководителям организаций стоит помнить, что закон определяет некоторые виды информации, к которым должен быть обеспечен доступ широкой общественности. В эту категорию входят:

• законодательство и нормативы, которые содержат гарантии гражданских прав и свобод. Запрещено ограничивать сокрытие от граждан сведений об их законных правах. В открытом доступе должны храниться и сведения об обязанностях граждан;
• правовая база формирования и функционирования различных органов власти. Сведения о полномочиях силовых и прочих структур власти;
• сведения о решениях органов власти, отдельных руководителей госструктур и коллективных выборных органов самоуправления, за исключением особых случаев, предусмотренных соответствующим законодательством;
• сведения о состоянии бюджетов разных уровней, о трате бюджетных средств и об изменениях, вносимых после их утверждения. Исключение составляют данные, которые подпадают под определение «государственная (служебная) тайна»;
• фонды библиотек и архивных служб с открытой информацией, экспозиции государственных музеев;
• данные в системах информирования, которые создают органы власти для донесения своих решений до общества;
• данные проверок экологического благополучия и мониторинга состояния окружающей среды;
• прочие сведения, закрытие доступа к которым запрещено. Например, благотворительные обязаны публиковать ряд данных о своей структуре и деятельности.

Перечень конфиденциальных данных, определенных законодательством

       Вид      конфиденциальной   информации   

           Перечень сведений           

 Законодательная      норма     

Информация,     составляющая    коммерческую    тайну           

Сведения любого характера              (производственные, технические,        экономические, организационные и       другие), в том числе о результатах     интеллектуальной деятельности в научно-технической сфере, а также сведения о  способах осуществления профессиональнойдеятельности, которые имеют            действительную или потенциальную       коммерческую ценность в силу           неизвестности их третьим лицам         

Статья 3Федерального    закона от       29.07.2004      N 98-ФЗ "О      коммерческой    тайне"          

Банковская      тайна           

Сведения об операциях, о счетах и      вкладах организаций - клиентов банков икорреспондентов                        

Статья 26Федерального    закона от       02.12.1990      N 395-1 "О      банках и        банковской      деятельности"   

Адвокатская     тайна,          нотариальная    тайна           

Сведения, связанные с оказанием        адвокатом юридической помощи своему    доверителю; сведения, которые стали    известны нотариусу в связи с его       профессиональной деятельностью         

ОсновызаконодательстваРоссийской      Федерации о     нотариате (утв. ВС РФ 11.02.1993N 4462-1); ст. 8Федерального    закона от       31.05.2002      N 63-ФЗ "Об     адвокатской     деятельности и  адвокатуре в    Российской      Федерации"      

Сведения,       связанные с     аудитом         организации     

Любые сведения и документы, полученные и (или) составленные аудиторской       организацией и ее работниками, а также индивидуальным аудитором и работниками,с которыми им заключены трудовые       договоры, при оказании услуг,          предусмотренных настоящим Федеральным  законом, за исключением:               1) сведений, разглашенных самим лицом, которому оказывались услуги,           предусмотренные настоящим Федеральным  законом, либо с его согласия;          2) сведений о заключении с аудируемым  лицом договора о проведении            обязательного аудита;                  3) сведений о величине оплаты          аудиторских услуг                      

Статья 9Федерального    закона от       30.12.2008      N 307-ФЗ "Об    аудиторской     деятельности"   

На практике режим конфиденциальности определяется:

• перечнем сведений, составляющих коммерческую тайну; перечнем конфиденциальной информации в организации;
• договорным регулированием отношений с работниками;
• договорным регулированием отношений с контрагентами путем установления соответствующих положений в договоре;
• нанесением на материальные носители конфиденциальной информации ограничительных отметок и грифа конфиденциальности с указанием ее обладателя.

Кроме указанных мер в компании могут при необходимости применяться средства и методы технической защиты конфиденциальной информации, а также другие меры, не противоречащие законодательству Российской Федерации.

Режим коммерческой тайны не может быть установлен в отношении следующих сведений:

• содержащихся в учредительных документах юридического лица и документах, подтверждающих факт внесения записей о юридических лицах в государственные реестры;
• содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
• о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
• о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, наличии свободных рабочих мест;
• о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
• о нарушениях законодательства РФ и фактах привлечения к ответственности за их совершение;
• о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
• о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
• сведений, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена федеральными законами до вступления в силу Закона N 98-ФЗ.

Рассмотрим порядок установления перечня в конкретной компании.

Наказание за разглашение закрытой информации

В случае несанкционированного разглашения закрытых данных пострадавшее лицо вправе обратиться за защитой в правоохранительные или судебные органы. При этом заявитель должен будет доказать в судебном порядке наличие факта разглашения данных.

В качестве доказательной базы может выступать:

• Факт пересылки сотрудником электронной документации третьим лицам. Зафиксировать это можно с помощью системных администраторов компании, отследив IP-адреса отправителя и получателя.
• Свидетельские показания других работников компании.
• Обнаружение у сотрудника копий конфиденциальных документов, сделанные им по собственной инициативе без соответствующего распоряжения начальства.
• Записи камер видеонаблюдения, на которых работник без разрешения вынимает документы из хранилища, передаёт их кому-либо, снимает с них копию, фотографирует.
• Косвенные признаки. Например, когда установлен явный факт утечки, в то время как доступ к информации имел только один человек.

Российское законодательство предусматривает за подобное преступное деяние целый комплекс различных наказаний, в зависимости от вида проступка и его последствий:

• Дисциплинарное взыскание. Назначается нерадивому служащему в соответствии с решением руководства. Это может быть лишение премиальных выплат, выговор, замечание, а в крайнем случае – увольнение по статье КЗоТа. Постановление о наложении дисциплинарного взыскания должно быть оформлено законным образом в виде внутреннего приказа по организации.
• Административное взыскание. Подобная ответственность может налагаться в случае разглашения конфиденциальных данных как личного, так и коммерческого характера. Под действие административного кодекса не подпадает только разглашение сведений, составляющих гос.тайну. Максимальное наказание, предусмотренное административным кодексом за подобное правонарушение – наложение штрафа до 10 000 руб.
• Уголовное наказание. Под действие УК РФ может подпадать целый спектр деяний, связанных с разглашением секретной информации. Это может быть опубликование неких данных личного характера, промышленный шпионаж или же разглашение государственной тайны. В отличие от прочих правовых кодексов, подпадание правонарушения в сферу юрисдикции уголовного кодекса может означать наказание в виде реального тюремного срока.
• Гражданская ответственность. Наступает в ряде случаев, как в виде самостоятельного наказания, так и в виде сопутствующего взыскания. Примером подобного взыскания может служить вынесение судебными органами решения о возмещении пострадавшему морального вреда.

Любой вид законного наказания может назначаться только в результате соответствующего судебного постановления. То есть, для наложения на виновника разглашения взыскания, потребуется доказать, что в утечке данных виноват именно он. Вообще, разглашение конфиденциальной информации и персональных данных, является преступленным деянием весьма сложного состава. При рассмотрении и ведении подобных дел очень часто допускаются различные ошибки относительно правоприменения статей законодательства.

Ещё сложнее бывает пострадавшему защитить свои законные интересы. В этом случае необходимо правильно определить состав преступления, правильно подготовить исковое заявление, собрать всю необходимую доказательную базу. Всё это бывает крайне сложно произвести гражданину, далёкому от юридической практики. Лишь обратившись за помощью к квалифицированному специалисту, можно получить всю необходимую информацию по существу проблемы.

Ответственность сотрудников за разглашение конфиденциальной информации

Ответственность сотрудников нельзя урегулировать соглашением, она уже урегулирована законом. Так, в случае разглашения сведений КТ, работодатель может:

1. Уволить виновного работника на основании пп. «в» п. 6 ст. 81 ТК.
2. Взыскать причиненный в результате материальный ущерб через суд.
3. Написать заявление в полицию. В зависимости от обстоятельств, тяжести совершенного проступка и квалификации, его могут привлечь к:

• административной ответственности и оштрафовать на 5 тыс. рублей (ст. 13.14 КоАП);
• уголовной ответственности по ч. 2 ст. 183 УК и назначить наказание вплоть до 2 лет лишения свободы.

Какая информация относится к персональным данным?

Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д. 
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям. 

К перечню основных персональных данных относятся: 

• ФИО субъекта;
• место постоянного (временного) проживания;
• дата рождения;
• любые данные о семейном, финансовом положении;
• любые данные, связанные с родом деятельности, заработком, образованием. 

Все персональные данные принято делить на четыре группы:

1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках. 

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д. 

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК. 

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.

Персональными данными физических лиц по закону считаются:

• ФИО;
• ИНН и дата рождения;
• гражданство согласно гражданскому паспорту и место рождения;
• данные о регистрации и фактическом месте жительства;
• данные о родственниках и супругах;
• данные о дееспособности, свидетельство о смерти;
• сведения о наличии образования;
• сведения о пенсионных доходах;
• данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
• данные о налоговых платежах;
• информация о воинской обязанности. 

Персональными данными юридических лиц по закону считаются:

• наименование юрлица;
• юрадрес и организационно-правовая форма;
• местоположение юрлица;
• ОГРН;
• ИНН и КПП;
• номер расчетного счета.

К данному перечню также можно причислить сведения о руководителе. 

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными. В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону. Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.

Полномочия Роскомнадзора:

• может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
• может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
• может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
• рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2021 год составила 4 068 500 рублей.

Порядок отнесения сведений к конфиденциальным

Не все сведения относятся к конфиденциальным или строго конфиденциальным. Существует установленный порядок отнесения информации к различным степеням конфиденциальности. Для этого некоторые должностные лица наделяются соответствующими полномочиями. Уставом организации определяется перечень документов, которые принадлежат к конфиденциальной тайне.

Таким образом, можно говорить о том, что руководитель предприятия в пределах своей компетенции может установить порядок конфиденциальности различных сведений. В его полномочия входит:

• Назначение порядка формирования и введения в действия перечня сведений, которые будут определяться как конфиденциальные данные.
• Определение категории должностных лиц, которые могут распределять информацию по категориям конфиденциальности.
• Устанавливать порядок передачи конфиденциальной информации другим учреждениям или органам по их требованию.
• Определять каким образом информация будет выводиться из категории конфиденциальности.
• Организовывать защиту информации, которая приняла форму конфиденциальной тайны.

Руководитель имеет право:

• Разрешать доступ к конфиденциальным сведениям.
• Применять меры по отношению к сотрудникам, которые допустили разглашение сведений, находящихся под банковской или коммерческой тайной.
• Премировать сотрудников, которые смогли предотвратить разглашение конфиденциальных сведений.

Чтобы конфиденциальные сведения могли носить законную силу, они должны быть в обязательном порядке быть оформлены в виде специального перечня, который утверждается руководителем предприятия.

Разработать такой перечень должен ограниченный круг людей из административного сектора предприятия

Важно ознакомить всех сотрудников с ним, но только с той частью, которая касается непосредственно их обязанностей

Замечание 2

Полный перечень сведений учреждения, которые отнесены к категории конфиденциальности, должны содержаться под грифом высшей конфиденциальности.

Всё ещё сложно?
Наши эксперты помогут разобраться

Все услуги

Решение задач

от 1 дня / от 150 р.

Курсовая работа

от 5 дней / от 1800 р.

Реферат

от 1 дня / от 700 р.

Служебная и государственная тайна

Еще одной составляющей конфиденциальной информации является деятельность госорганов и государства в целом. В законодательстве эта категория ограниченных к распространению сведений относится к служебной и государственной тайнам. Служебная тайна аналогична по составу профессиональной тайне, но образуется такая информация в ходе деятельности государственных министерств и ведомств. К служебной тайне относят:

• персональную информацию о сотрудниках министерств и ведомств;
• данные из деклараций работников госорганов;
• сведения о клиентах МФЦ и подобных структур;
• тайну следствия и судопроизводства;
• данные лиц, на которых распространяются меры по госзащите;
• информацию о несовершеннолетних правонарушителях;
• тайну усыновления;
• данные контрактов по госзакупкам;
• налоговую тайну и финансовую информацию о пополнении бюджетных, пенсионных и страховых фондов (в разрезе плательщиков);
• персональные данные участников переписей и статопросов;
• сведения, полученные в ходе исполнения судебных решений;
• иную информацию, способную нанести вред интересам государства или граждан.

Государственная тайна подразумевает информацию, которая при свободном хождении может нанести существенный вред интересам государства. По степени предполагаемого ущерба она классифицируется на несколько групп — от информации ограниченного доступа до совершенно секретной. Как правило, к гостайне относят сведения из военной и разведывательной областей, политики или отдельных составляющих экономики государства в целом.

Нередко понятие служебной и государственной тайны перекликаются.

Например, в системе госзакупок служебной тайной будут являться данные контракта по приобретению канцтоваров для нужд муниципалитета, а гостайной станет контракт на разработку программного обеспечения для перспективной модели вооружения.

Защита служебной и государственной тайны, кроме общепринятых мер по сохранению информации, также подразумевает дополнительные проверки допущенного к этим данным персонала, особые меры по контролю за копированием и перемещением данных, создание специальных структурных подразделений по охране секретов, лицензирование допуска к ним и т. д.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149. 

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации. 

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
• соблюдение режима ограниченного доступа к ограниченным данным;
• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;
• своевременное обнаружение попытки незаконно получить доступ к информации;
• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
• постоянный мониторинг уровня защиты информации;
• возможность восстановить данные, которые были уничтожены;
• размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
• Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
• Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность. 

Правовые нормы закрепляют следующие виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
• Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
• Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.