Конфиденциальная информация — определение и виды в российском законодательстве

Обработка персональных данных

Любую информацию, которая непосредственно связана с лицом, определяет его и способна его идентифицировать, можно отнести к категории персональных данных. Закон предусматривает определенные правила обработки персональной информации. Без согласия физического лица запрещена деятельность по получению, владению, использованию и обработке информации о его жизни. Это же касается и действий, которые нарушают личную либо семейную тайну, вторгаются в конфиденциальную переписку и прочие коммуникации, телефонные переговоры, корреспонденцию и иные сообщения. Исключения составляют действия, основанные на законном судебном решении.

Обязанности работодателя при работе с персональной информацией работников регламентируются Трудовым кодексом. Служащие, которые имеют доступ к ее обработке, перед приемом на работу подписывают соглашение о своих правах и обязанностях при работе в этой сфере.

Требование о неразглашении персональной информации применимо и к служащим органов ЗАГС, как и к работникам консульств, на которых возложены идентичные функции по регистрации актов граждан, находящихся на территории иностранных государств. Закон накладывает на работников органов ЗАГС или консульств обязательство о неразглашении информации, полученной ими в ходе служебной деятельности. Данные, которые содержат акты регистрации, приравниваются к закрытой информации и не могут иметь свободный доступ.

За незаконный сбор и распространение информации о частной жизни граждан возможно уголовное преследование. Кодекс запрещает раскрытие личной либо семейной тайны, распространение таких данных, публичную их демонстрацию или публикацию в средствах информации. Уголовная ответственность наступает, если подобные действия:

• производились без согласия обладателя данных;
• были совершены в соответствии с корыстными интересами либо иной заинтересованностью третьего лица;
• причинили моральные страдания, нанесли ущерб законным интересам либо нарушили права гражданина.

Чем полезны VPN для предприятия. Преимущества использования

Сегодня предлагаются десятки различных впн-сервисов. Глобального различия между ними нет. Они отличаются только скоростью подключения и абонентской платой. 

Благодаря использованию частных сетей VPN организация получает ряд преимуществ, основные из них:

• можно нанять штат удаленных работников и сэкономить на аренде офиса и всех сопутствующих затратах;
• появляется возможность нанять квалифицированных сотрудников из других городов и регионов, сотрудничество с которыми ранее было невозможно;
• увеличивается продолжительность рабочего времени – многие согласны работать по ночам и на выходных. 

Но самое главное – компания получает быстрый безопасный Интернет с каналами, открытыми только для внутренних нужд. 

По статистике консалтинговых компаний, более 20% россиян на конец 2018 года работали удаленно. В 2019 году показатель увеличился уже до 31%. Это означает, что потребность в защищенных сетях для беспрепятственного доступа к операционным системам организации растет и будет расти. Сетевым компаниям удобнее и дешевле нанимать удаленных сотрудников, чем арендовать офисы в разных уголках страны. 

Персональные данные в нормативно-правовых актах

Вопрос защиты персональных данных различных категорий и порядок работы с ними определен в следующих нормативно-правовых актах:

• Федеральный закон «Об информации, информатизации и защите информации»;
• Федеральный закон «О персональных данных»;
• Глава 14 Трудового кодекса РФ.

ПДн в законе «Об информации»

В тексте настоящего федерального закона больше внимания уделено порядку работы с биометрическими данными граждан, а также работе с данными в информационных системах.

Основные моменты закона:

• В процессе обработки биометрических персональных данных государственные органы, банки и иные организации должны руководствоваться нормами закона «О персональных данных».
• Контроль и надзор за безопасностью обработки биометрических ПДн осуществляет федеральный уполномоченный орган.
• В случае нарушения прав субъектов персональных данных в части размещения информации о них в открытой форме, обнародование должно быть прекращено по решению суда.

Закон «О персональных данных»

Этот документ, принятый 25 июля 2006 года, наиболее полно отражает порядок работы с ПДн, а также определяет меры ответственности за нарушение законодательства.

Основные понятия закона:

• Персональные данные, к которым относится любая информация, имеющая прямое или косвенное отношение к определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.
• Обработка ПДн – любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Главное условие работы операторов с ПДн, согласно закону, четко определять цели обработки данных и использовать данные только в очерченных рамках. Причем хранение данных оператор обязан осуществлять в пределах срока их обработки, т.е. по достижении цели ПДн необходимо удалять, если срок хранения не установлен иными законодательными актами и договорами.

ПДн в Трудовом кодексе РФ

Порядок обработки персональных данных работников регламентирует глава 14 ТК РФ. К ПДн работника гражданское законодательство относит общие сведения о физическом лице, которые необходимы работодателю в связи с возникновением трудовых правоотношений. К ним относятся:

• фото работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности;
• приказы или распоряжения о приеме на работу, поощрении, увольнении, личная карточка, документы по оплате труда.

При этом в статье 86 указано, что каждый работник имеет право на защиту своих данных. Данное право предусматривает:

• наличие свободного доступа работника к личным данным;
• получение полной информации об обработке ПДн;
• возможность вносить правки в ПДн, если они содержат ошибочную информацию или обработаны с нарушением законодательства;
• возможность обжаловать в суде неправомерные действия или бездействие работодателя по защите прав субъекта ПДн.

Угрозы и способы их распространения

Доступ в Интернет открыт для всех пользователей. Любой компьютер или иное устройство, подключенное к Сети, может стать объектом атаки мошенников. Владелец не всегда имеет представление о том, что его файлы находятся под угрозой и нужно только уметь до них добраться. Они могут быть похищены, изменены или удалены. Физические способы защиты информации от несанкционированного доступа в данном случае малоэффективны.

Чаще всего несанкционированный доступ к чужой информации реализуется с помощью программного обеспечения, которое засылается на компьютер пользователя разными способами:

Принцип работы вредоносного ПО (или, как его обычно называют, компьютерных вирусов) заключается в том, что в оперативную память или на жесткий диск загружается небольшой самораспаковывающийся архив. Когда файл, содержащий вирус, загружен и запущен, вирус восстанавливает свой объем и встраивается в операционную систему. После этого его программа запускается и начинает действовать. Например, сканирует специальные разделы операционных систем и находит пароли, после чего отсылает их злоумышленнику. Примечательно, что большинство подобных вирусов действует вслепую, т. е. мошенник не всегда знает, кто оказался его жертвой.  

Описанный вид враждебного ПО – лишь пример. Подобных программ огромное множество. Некоторые из них создаются из хулиганских побуждений, так как их функция может заключаться в переименовании папок, изменении настроек монитора, запуске некоторых программ, открывании лотка дисковода и прочих нелепых действиях. Авторами подобных «шуток» обычно являются студенты-программисты, для которых создание вирусов – лишь способ развлечься и отработать навыки кодирования.

Существуют другие разновидности вирусов. Наиболее опасны те, которые устанавливают на устройство пользователя клиентское приложение для удаленного доступа

Злоумышленник получает доступ к файлам и папкам с важной информацией. Это дает вору возможность использовать все сведения данного компьютера – скопировать, удалить, изменить их по своему усмотрению

Если на жестком диске хранятся научные исследования, дипломные или курсовые работы, списки должников или лиц, находящихся в розыске, и другая важная информация, она находится под серьезной угрозой и нуждается в надежной защите. 

В общем смысле специалисты различают следующие виды вредоносного ПО:

• Вирусы. Способны размножаться, копируя себя на всех носителях, где оказываются;
• Черви. Разновидность вирусов, способная к самостоятельному проникновению на другие носители, поскольку всегда находится в активном состоянии;
• Троянские программы. Предназначены для передачи информации злоумышленникам. Способны маскироваться под обычные программы. Обеспечивают удаленный доступ злоумышленникам. 

Также выделяют специализированные вредоносные программы:

• Снифферы. Способны перехватывать трафик и использовать чужую информацию;
• Сканеры. Выполняют поиск паролей, логинов соцсетей и прочих конфиденциальных данных;
• Кейлоггеры. Это клавиатурные шпионы, отслеживающие порядок нажатия на клавиши. Запоминают всю последовательность, позволяя отследить набранные пароли или иные важные сведения.

Существуют еще и руткиты – утилиты, спутники вредоносного ПО. Это специальные программные средства, скрывающие следы присутствия вирусов в системе. Удалить их довольно сложно, поскольку они внедряются в систему перед загрузкой ядра ОС.

Распространение вирусного ПО и руткитов происходит разными способами. Иногда это нестандартные пути проникновения на компьютер. Вредоносные программы могут быть записаны на внешне безопасные носители. Например, новая флешка в упаковке может быть заражена вирусом. Поэтому надо быть осторожнее при первом использовании накопителей и других внешних носителей информации. Первый раз флешку надо подключить в компьютер с установленной и обновленной антивирусной программой. При этом, носитель не следует открывать, а сразу отформатировать, как только он определится системой.

Перечислить все виды вредоносных программ невозможно. Их очень много, и каждый день появляются модификации известных вирусов, разрабатываются новые, ранее не известные образцы. Сайт, электронное письмо, скачанная песня или фильм могут заразить систему, о чем сам пользователь не будет иметь понятия. Например, необновленный флеш-плеер или вредоносное содержимое необдуманно открытого электронного письма способны передать в компьютер пользователя вредоносный скрипт.

Меры по обеспечению защиты информации

Все мероприятия, целью которых является обеспечение безопасности информации, можно разделить на две группы:

• защита массивов информации от несанкционированного доступа;
• защита личного состава от психологического воздействия.

Первая группа представляет собой комплекс мероприятий технического характера. В число активных действий входят следующие:

Помимо этого, необходимо применять все стандартные средства защиты информации на компьютерах – установка сложных паролей, шифрование данных, переименование папок.

Вторая группа мер защиты информации состоит из следующих действий: 

• защита личного состава от психологического воздействия;
• проверка и исправление информации, поступающей из внешних источников. Она может исходить от потенциального противника, поэтому необходимо тщательно контролировать содержание поступающих сведений.

Все мероприятия проводятся силами подразделений информационной безопасности, численность которых должна соответствовать объемам баз данных и численности личного состава части или другого подразделения.

Основные каналы утечки

При пересылке данных существует три способа их направления, отличающихся различным уровнем конфиденциальности. Самым защищенным является создание собственных физических каналов, но из-за дороговизны это доступно только для государственных или военных организаций. 

Возможна и аренда существующих каналов, как проводных, так и спутниковых. Это решение также будет недешевым, дополнительно оно потребует установки собственных аппаратных средств защиты.  

В большинстве случаев граждане и компании передают информационные пакеты по Интернету. При этом информация при ее направлении в рамках общедоступных каналов подвергается следующим рискам: 

• перехват;
• потеря;
• искажение. 

Риски могут носить как активный, целенаправленный, так и пассивный, не зависящий от воли третьих лиц, характер. Они связаны с ошибками программирования, конфигурации системы, человеческим фактором, непринятием мер по исключению несанкционированного доступа к информации. 

Чаще всего перехватываются сведения, передаваемая в рамках незащищенных Wi-Fi-сетей. Сайты, которые в работе с пользователями получают от них конфиденциальные сведения, пароли, номера кредитных карт, используют сложную систему авторизации и защищенные протоколы передачи данных. Достаточно сложно перехватить сведения, передаваемые через мессенджеры. 

Подслушивание

Подслушивание относится к наиболее популярным способам добычи ценной информации. Подслушивание осуществляется следующими методами:

• путем использования радиозакладок и миниатюрных диктофонов; 
• путем использования программного обеспечения для получения значимых сведений в ходе телефонных переговоров, передачи радиосигналов;
• путем использования различной техники, улавливающей (перехватывающей) аудиосигнал.

Практикуется также подслушивание при тайном присутствии. Для предупреждения утечки информации применяются устройства, заглушающие передачу сигнала за счет создания радиопомех. Однако такие устройства не помогут предотвратить запись разговора на миниатюрный диктофон, который незаметно устанавливается в непосредственной близости. Приборы, с помощью которых выполняется подслушивание, представляют собой хитроумные приспособления. Чаще всего злоумышленники предпочитают проводить подслушивание в общественных местах. Например, кафетериях. Подслушивающее или записывающее разговор устройство может быть легко закреплено на теле и оставаться незаметным. 

Цель регулирования

Государство наделило ведомство правом определять стратегические направления в сфере информационной безопасности, разрабатывать концепции и методики, утверждать руководящие документы, обязательные для применения участниками процесса защиты информации. Организации, приступающие к проектированию информационных систем, берут за основу не только международные стандарты и ГОСТы, в первую очередь они ориентируются на методики ФСТЭК России и используют одобренные ведомством программные и технические средства. 

Такой подход позволяет решать задачи единообразия государственного регулирования в сфере защиты информации различных классов. Но рекомендации ведомства не всегда успевают за современными моделями угроз. Уровень атак растет быстрее, чем ведомство вносит изменения в руководящие документы, но минимальные требования оно все же устанавливает.   

Выполнение рекомендаций регулятора обязательно в случаях: 

• получения лицензий на технические средства (ТЗКИ) и средства криптографической защиты (СКЗИ), разрешающих оказывать профессиональные услуги в сфере информационной безопасности;
• получения лицензии на работу с государственной тайной;
• работы с банковской тайной. В этом случае в первую очередь действуют требования регулятора, ЦБ РФ, опирающиеся на рекомендации ведомства; 
• выполнения функций оператора персональных данных;
• оказания телематических услуг (передача информации по Интернету). 

В каждом из этих случаев необходимо соблюдение требований ведомства. Отказ от этого приведет к проверкам, приостановке и отзыву лицензии, административным штрафам.

Разглашение конфиденциальной информации

Несмотря на запрет для передачи конфиденциальной информации третьим лицам, в законодательстве предусмотрены и случаи, когда такие данные могут быть переданы третьим лицам, как с согласия их владельца, так и без него.

К таким ситуациям относятся:

• запросы госорганов;
• вред от сокрытия информации выше, чем от ее распространения;
• разрешение владельца данных на передачу ограниченному кругу лиц;
• разглашение сведений пойдет на пользу их владельцу.

Право на безусловное получение большинства конфиденциальных данных имеют контролирующие органы. Более того, субъекты хозяйствования и обычные граждане обязаны предоставлять такую информацию, например, в налоговые органы.

Вместе с тем, может возникнуть необходимость в получении конфиденциальной информации в связи с контрольными мероприятиями или расследованиями. В этом случае, законодательство позволяет формировать запрос на разовое предоставление необходимых данных. При этом владелец сведений может и не быть поставлен в известность о таком интересе к его конфиденциальной информации.

Например, прокуратура оформит запрос в банк о счетах одного из клиентов. Банк предоставит финансовую информацию, но ставить своего клиента о таком интересе к его финансам служащие банковского учреждения не будут.

Должностные лица освобождаются от ответственности за разглашение конфиденциальной информации, в том случае, когда вред от ее сокрытия значительно превышает последствия разглашения. Чаще всего такие ситуации случаются в сфере здравоохранения.

Например, у пациента определено заболевание, которое может привести к массовому заболеванию населения и повышенной смертности. С одной стороны, данные о пациенте относятся к конфиденциальным и без его согласия не могут быть распространены. С другой стороны, необходимо в срочном порядке выявить контактировавших с ним лиц и провести профилактику.

Вред от сокрытия данных о пациенте и его болезни существенно выше, чем от предотвращения массового заболевания, поэтому персонал медучреждения никакой ответственности за такое действие не понесет.

Еще одним случаем разглашения конфиденциальной информации без согласия ее владельца может стать убежденность должностного лица в том, что такая передача сведений третьим лицам будет полезна владельцу данных. Чаще всего эта ситуация встречается во взаимоотношениях между адвокатами и их клиентами, а также в медицине.

Например, в силу состояния пациента, его лечащий врач не может оформить добровольное согласие, но диагноз и угроза здоровью предполагают необходимость приглашения других специалистов для медицинской консультации.

Либо адвокат уверен, что его клиент заведомо оговаривает себя в ходе следственных действий. Ему необходимо передать эту информацию дознавателю, следователю или судье, однако, клиент запрещает своему защитнику распространять оправдывающие его данные.

Наконец, самая распространенная ситуация, когда владелец персональных данных дает свое разрешение на разглашение конфиденциальной информации. Оформляться оно может:

• доверенностью — разовой или генеральной;
• завещательным распоряжением;
• поручением;
• согласием на распространение или обработку информации.

Например, руководитель компании может поручить маркетологам распространить в рекламных целях технические характеристики нового продукта.

Средства защиты информации от утечек

Для обеспечения безопасности применяются организационные меры и технические средства защиты информации.

Организационные меры

Применяются меры административно-технического характера во избежание корпоративного шпионажа, составляется нормативно-правовая документация о неразглашении коммерческой тайны. Также создаётся пропускной режим для сотрудников компании, ограничивается доступ сотрудников к конфиденциальной корпоративной информации.

Технические средства

Для осуществления безопасности корпоративной конфиденциальной информации используются аппаратные, программные и аппаратно-программные, криптографические, инженерные средства.

Аппаратные

Приборы и устройства обнаружения каналов утечек информации: индикаторы, локаторы, радиочастотомеры, детекторы.

Программные и аппаратно-программные

К таким средствам можно отнести:

• системы DLP (Data Leak Prevention) и SIEM (Security Information and Event Management),
• межсетевые экраны, блокирующие нежелательный трафик,
• средства защиты от несанкционированного доступа,
• средства защиты виртуальной среды,
• антивирусные программы.

Инженерные

Системы охраны, видеонаблюдение, сигнализации и прочие устройства, которые препятствуют физическому проникновению на территорию коммерческой организации посторонних людей.

Защита конфиденциальной информации

Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149. 

Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации. 

Защита информации

Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
• соблюдение режима ограниченного доступа к ограниченным данным;
• принятие мер по реализации права на доступ к ограниченной информации.

Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:

• предотвращение утечки информации;
• своевременное обнаружение попытки незаконно получить доступ к информации;
• предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
• постоянный мониторинг уровня защиты информации;
• возможность восстановить данные, которые были уничтожены;
• размещение информации ограниченного доступа в базах данных на территории РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
• Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
• Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.

Ответственность за правонарушения в сфере информации

Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность. 

Правовые нормы закрепляют следующие виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
• Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
• Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.

Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.

Профессиональная и следственная тайна

В России, как и в других государствах, имеется определенный перечень профессий, которые, в силу своих особенностей, предусматривают обработку лицами определенных данных, которые составляют собой информацию, запрещенную для разглашения. К таким группам лиц, в первую очередь относятся адвокаты, нотариусы, специалисты в области медицины и т. п. Доступ к данным, полученным ими в ходе выполнения трудовых обязанностей, ограничивается на основании положений, представленных в отдельных нормативных актах, а также в Конституции государства. Так, например, в силу особенностей своей деятельности, нотариус знает об особенностях заключения каких-либо сделок, а также об их содержании. Однако лицо, которое занимается осуществлением нотариальной деятельности, не может никоим образом разглашать третьи лицам полученные им сведения.

Какие виды ценной конфиденциальной информации относятся к данной группе? В первую очередь, законодатель определяет таковой сведения, имеющиеся в личной переписке, телефонных переговорах, письмах и в иных отправлениях, которые совершаются через почтовые отделения, телеграфы, а также другие сообщения, взятые из иных источников. В таком случае лишь пользователь почтовых или, например, телеграфных услуг имеет право дать согласие на разглашение данных, составляющих тайну переписки. На деле существуют определенные виды конфиденциальной информации в школе, обеспечивать сохранность которой обязаны сотрудники учреждения. К числу таковых могут быть отнесены данные, представленные в медицинских карточках, сведения о факте удочерения или усыновления, о безопасности здания школы, под чем подразумевается ее антитеррористическая защищенность и т. п.

Отдельное внимание следует уделить еще одному существующему в юридической практике понятию — такому, как следственная тайна. Сведения, которые были получены в ходе проведения расследований, а также ведения оперативной деятельности, также не подлежат разглашению, в особенности, лицами, которые имеют к ним прямой или косвенный доступ

Еще один вид охраняемой законом информации — это тайна судопроизводства. Обеспечивать надлежащую сохранность сведений, отнесенных к данной группе, обязаны все сотрудники аппарата суда, а, в особенности, те, которые имеют прямое отношение к рассмотрению дела. В том случае, если лицо нарушает установленный режим, в результате чего происходит утечка секретных сведений, оно может понести ответственность — дисциплинарную или уголовную, в зависимости от того, насколько серьезные последствия повлекло за собой деяние и какую форму вины имеет совершенное действие.

Что это такое

VPN расшифровывается как virtual private network, а переводится как «виртуальная частная сеть». По сути это локальная сеть, которая прокладывается через другую сеть – в нашем случае через Интернет. В результате создается туннель для защищенных каналов, по которым пользователи на расстоянии могут обмениваться информацией, сохраняя полную конфиденциальность и безопасность. Информация предварительно зашифровывается и проверяется на безопасность (отсутствие вирусов). Это важный момент в создании полноценной защиты.

Также пользователи, подключившие впн, могут посещать ранее заблокированные провайдером сайты. Поскольку VPN-сервера в большинстве случаев находятся за границей, можно зайти незамеченным фактически на любой сайт той страны или того провайдера, которые блокируют IP пользователя.