Критерии, условия и принципы отнесения информации к защищаемой. Виды конфиденциальной информации.

Федеральный закон от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и защите информации” является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации. Данный закон гласит, что:

- информационные ресурсы делятся на государственные и негосударственные;

- государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации;

- государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа;

- документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную;

- конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

- Персональные данные о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации.

Из содержания Закона следует, что:

- информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;

- категория “конфиденциальная информация” объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом. Все категории государственных информационных ресурсов можно представить следующим образом:

- открытая общедоступная информация во всех областях знаний и деятельности;

- информация с ограниченным доступом: (информация, отнесенная к государственной тайне, конфиденциальная информация, персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом)).

Режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие.

Информация составляет служебную или коммерческую тайну в случае, если

- информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;

- к ней нет свободного доступа на законном основании;

- обладатель информации принимает меры к охране ее конфиденциальности.

Под служебной тайной (по аналогии с коммерческой тайной в негосударственных структурах) следует понимать служебную информацию в государственных структурах, имеющую коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф “конфиденциально” или иной гриф.

Основными задачами системы защиты информации, нашедшими отражение в Законе “Об информации, информатизации и защите информации”, являются:

- предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п., вмешательства в информацию и информационные системы;

- сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;

- сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;

- обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;

- сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;

- соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.

Защита сведений конфиденциального характера юридически обеспечивается Перечнем сведений конфиденциального характера, введенным Указом Президента Российской Федерации от 6 марта 1997 года № 188. Согласно Указу, к сведениям конфиденциального характера относятся.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В соответствии с требованиями Российского законодательства, к конфиденциальной информации не может быть отнесена следующая:

- Учредительные документы (решения о создании Предприятия или договор учредителей) и Устав Предприятия.

- Документы, дающие право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии, патенты).

- Сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ.

- Документы о платежеспособности Предприятия.

- Сведения о численности сотрудников Предприятия, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест.

- Документы об уплате налогов и обязательных платежей в бюджет и внебюджетные фонды РФ.

- Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства РФ и размерах причиненного при этом ущерба.

- Сведения об участии должностных лиц Предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других предприятиях и организациях, занимающихся предпринимательской деятельностью, а также во временных и творческих трудовых коллективах.

Далее рассмотрим вопросы защиты коммерческой тайны. Вопросы защиты коммерческой тайны рассматриваются федеральным законом № 98-ФЗ «О коммерческой тайне».

Информация, составляющая коммерческую тайну - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

Согласно федеральному закону N 152-ФЗ "О персональных данных" используются следующие понятия.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Выводы

К определению основных понятий в области безопасности информационных технологий и общих целей защиты надо подходить с позиции защиты интересов и законных прав субъектов информационных отношений. Необходимо всегда помнить, что защищать надо именно субъектов информационных отношений, так как в конечном счете именно им, а не самой информации или системам ее обработки может наноситься ущерб. Иными словами, защита информации и систем ее обработки - вторичная задача. Главная задача - это защита интересов субъектов информационных отношений. Такая расстановка акцентов позволяет правильно определять требования к защищенности конкретной информации и систем ее обработки.

Вопросы для самоконтроля

1. Какие отношения называют информационными?

2. Что понимают под автоматизированной системой обработки информации?

3. Что понимают под обработкой информации в АС?

4. В чем заинтересованы субъекты информационных отношений?

5. Какие свойства информации Вы знаете?

6. Что понимают под ценностью информации? Приведите пример порядковой шкалы ценности.

7. Опишите модель решетки ценностей.

8. Что такое MSL-решетка?

9. Понятие безопасности как общенаучной категории.

10. Какие меры безопасности системы существуют?

11. Назовите три проблемы информационной безопасности.

12. В чем заключается защита от информации?

13. Назовите возможности для информационного воздействия на электронную технику.

14. Какие сведения относятся к сведениям конфиденциального характера?

15. Дайте определения понятиям «коммерческая тайна», «режим коммерческой тайны»?

16. Что понимается под разглашением информации, составляющей коммерческую тайну?

17. Дайте определения понятиям «контрагент», «обладатель информации, составляющей коммерческую тайну».

18. Что понимают под персональными данными?