Здравствуйте, в этой статье мы постараемся ответить на вопрос: «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне». К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Законодательство РФ в области государственной тайны и конфиденциальной информации
В Законе об информации дается определение конфиденциальности информации, под которым понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
5.1. За неисполнение или ненадлежащее исполнение обязанностей по Соглашению Стороны несут ответственность в соответствии с законодательством Российской Федерации.
5.2. Получающая Сторона, допустившая утрату или разглашение Конфиденциальной информации, несёт ответственность за документально подтвержденные убытки (включая штрафы государственных органов), понесённые Передающей Стороной в связи с утратой или разглашением Конфиденциальной информации, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п.4.4 и 5.3 Соглашения.
5.3. В случае утраты или разглашения Конфиденциальной информации сторона, допустившая ее утрату или разглашение, не несёт ответственности, если данная Конфиденциальная информация:
5.3.1. стала известна Получающей Стороне из других источников до момента вступления в силу Соглашения;
5.3.2. была или стала публичным достоянием до её утраты или разглашения из источника, отличного от Получающей Стороны;
5.3.3. была получена от третьей стороны до момента её получения от Передающей Стороны;
5.3.4. независимо разработана Получающей Стороной до вступления в силу Соглашения, то есть является результатом внутренних разработок, добросовестно выполненных её работниками, не имевшими доступа к Конфиденциальной информации;
5.3.5. была разглашена с согласия Передающей Стороны в соответствии с условиями Соглашения.
- Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
- Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
- Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
- Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.
Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:
- Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
- Владельцам бизнеса;
- Начальникам структурных подразделений.
Информация с ограниченным доступом: понятие и виды (основные)
Особенностью российского законодательства в области информационной безопасности является большое количество законодательных и подзаконных актов, касающихся одного и того же вопроса, но рассматриваемого с разных ракурсов. Поэтому одни и те же данные в зависимости от обстоятельств могут быть отнесены к разным видам тайн.
Разновидностей тайн несколько десятков, поэтому давайте рассмотрим самые основные:
- Коммерческая тайна — все, что связано с техническими, финансовыми, производственными, организационными аспектами деятельности компании, включая изобретения.
- Служебная тайна — это информация ограниченного доступа, использование которой регулируется Гражданским Кодексом, Указом Президента № 188 и правительственным постановлением № 1233.
- Государственная тайна — совокупность сведений, касающихся внешнеполитической, экономической, научно-технической, внутреннеполитической и военной сферы. Отдельно выделяют сведения, связанные с предупреждением террористических угроз, разведкой, контрразведкой и правоохранительными действиями.
- Тайна банковских вкладов — номера счетов, совершенные транзакции, количество денег на депозите, история безналичных платежей.
- Врачебная тайна — информация о наличии психических заболеваний, ходе лечения, прогнозах выздоровления, факте и деталях прохождения стационарной терапии в специализированных учреждениях.
- Личная тайна — сведения интимного характера, распоряжаться которыми вправе только сам гражданин.
- Тайна страхования — детали страхового соглашения (сумма возмещения, сроки действия документа, состояние здоровья клиента и т.д.).
- Медицинская тайна — данные из медкарты, факты обращения за врачебной помощью (включая экстренную), наличие хронических заболеваний, проведение ЭКО, результаты обследований.
- Журналистская тайна — источники информации, Ф.И.О. и другие ПДн граждан, не достигших совершеннолетнего возраста.
- Тайна следствия и судебного производства — материалы предварительного следствия, данные частной жизни участников разбирательств.
- Аудиторская тайна — информация, сообщения, документы, полученные в рамках проведения проверки организаций и ИП.
- Адвокатская тайна — все, что связано с процессом предоставления услуг доверителю.
- Налоговая тайна — размер и регулярность выплат, наличие задолженностей и т.д.
- Тайна вероисповедания — сведения о религии и отказе от неё, посещении церковных или иных служб, финансовой поддержке храмов, обучении в семинарии.
Защита конфиденциальной информации
Несанкционированный доступ к конфиденциальным сведениям приводит к потере конкурентных преимуществ, конфликтам с клиентами, негативно отражается на деловой репутации компании. Информацию с ограниченным доступом охраняют четырьмя методами.
- Законодательные методы — подписание соглашений о неразглашении сведений, обращение в государственные структуры при нарушении норм права злоумышленниками. Со стороны государства применяется ФЗ № 149 «Об информации, информационных технологиях и защите информации», ФЗ № 98 «О коммерческой тайне».
- Организационные методы — ограничение доступа к отдельным данным путём настройки внутренних программ в компании. EPR системы в организациях (например, SAP) регулируют права доступа для каждого сотрудника в зависимости от его должности.
- Технические методы — установка камер слежения в местах хранения закрытой информации (лабораториях с чертежами и образцами), создание пропускного режима и системы идентификации на предприятиях. Такие методы применяются на производственных, исследовательских предприятиях.
- Методы работы с кадрами — проведение инструктажей и разъяснений о важности сохранения конфиденциальных сведений, введение санкций за нарушение обязательств сотрудниками. Такие методы применяются в большинстве крупных компаний для разъяснения сотрудникам их обязанностей и сопровождаются подписанием договора о неразглашении сведений.
Обработка персональных данных
Любую информацию, которая непосредственно связана с лицом, определяет его и способна его идентифицировать, можно отнести к категории персональных данных. Закон предусматривает определенные правила обработки персональной информации. Без согласия физического лица запрещена деятельность по получению, владению, использованию и обработке информации о его жизни. Это же касается и действий, которые нарушают личную либо семейную тайну, вторгаются в конфиденциальную переписку и прочие коммуникации, телефонные переговоры, корреспонденцию и иные сообщения. Исключения составляют действия, основанные на законном судебном решении.
Обязанности работодателя при работе с персональной информацией работников регламентируются Трудовым кодексом. Служащие, которые имеют доступ к ее обработке, перед приемом на работу подписывают соглашение о своих правах и обязанностях при работе в этой сфере.
Требование о неразглашении персональной информации применимо и к служащим органов ЗАГС, как и к работникам консульств, на которых возложены идентичные функции по регистрации актов граждан, находящихся на территории иностранных государств. Закон накладывает на работников органов ЗАГС или консульств обязательство о неразглашении информации, полученной ими в ходе служебной деятельности. Данные, которые содержат акты регистрации, приравниваются к закрытой информации и не могут иметь свободный доступ.
За незаконный сбор и распространение информации о частной жизни граждан возможно уголовное преследование. Кодекс запрещает раскрытие личной либо семейной тайны, распространение таких данных, публичную их демонстрацию или публикацию в средствах информации. Уголовная ответственность наступает, если подобные действия:
Порядок защиты конфиденциальной информации
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
- определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- учет лиц, получивших доступ к конфиденциальной информации, и (или) лиц, которым она была предоставлена или передана;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители, содержащие конфиденциальную информацию, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации.
В целях охраны конфиденциальности информации работодатель обязан:
- ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
- ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
- создать работнику необходимые условия для соблюдения установленного режима (ст. 11 Закона N 98-ФЗ).
Как правило, NDA заключается по инициативе компании, которая передает другой стороне по сделке или переговорам важную для нее информацию. Как поясняет Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных юридической фирмы «Клифф», в западных странах NDA подписывается при заключении практически всех соглашений между компаниями или физлицами. В России культура подписания NDA не так развита, но встретить такое соглашение тоже можно. Как поясняет Ахмедова, есть четыре основных причины заключить NDA:
-
Сохранить в тайне финансовые условия контракта. По словам Ахмедовой, чаще всего NDA заключается при подписании договоров, когда обе стороны хотят сохранить сумму контракта в секрете. «Речь идет о договорах, где прописывается сумма сделки на покупку чего-либо, стоимость оказываемых услуг, предоставленные скидки. Это нужно, чтобы компания могла свободно формировать ценовые отношения с контрагентами или партнерами. Представим себе ситуацию: вы оказываете одну и ту же услугу одной компании за ₽100 тыс., а другой — за ₽130 тыс. И имеете право на это. Но вот ваш клиент, для которого услуга стоит дороже, узнает, что, оказывается, у вас можно попросить скидку. Ситуация для вашего бизнеса не самая приятная. NDA обяжет ваших клиентов молчать о стоимости услуг», — объясняет юрист.
-
Скрыть нежелательную для разглашения информацию. Соглашение о неразглашении компания может подписать с аудиторами, консультантами или сторонними юристами, которые получают доступ к «чувствительной» информации. «Бывают случаи, когда компания специально приглашает юристов, чтобы они привели деятельность юрлица в соответствие с законодательством. В ходе этой работы юристы получают доступ к допущенным ранее нарушениям компании. Чтобы эти сведения не разошлись дальше специалистов, подписывается NDA», — поясняет Ирина Ахмедова. Также NDA заключаются для защиты информации, которую компания желает сохранить в тайне в конкретный момент времени, например, сведения о маркетинговом плане, о готовящейся реорганизации, слиянии и поглощении, крупных планируемых сделках.
-
Защитить интеллектуальную деятельность. Речь идет о случаях, когда компания или физлицо представляет инвесторам информацию об изобретении, которое еще не защищено патентом. А также о случаях, когда интеллектуальную собственность в принципе невозможно защитить патентом или механизмами авторского права. Например, когда идут переговоры о заключении договоров в киноиндустрии и авторы делятся идеями сценарных ходов.
-
Предотвратить утечку информации через сотрудников. NDA может быть документом трудового права. Работодатель может обязать сотрудника не разглашать коммерческую (да и вообще любую) информацию, полученную в ходе работы.
Что не может быть конфиденциальной информацией
Рамки политики конфиденциальности не распространяются на следующие виды информации:
- информация, указанная в учредительных документах;
- данные свидетельства о регистрации предприятия;
- сведения об имуществе организации;
- информация о соблюдении правил безопасности и норм экологической ответственности;
- о кадровом составе, а также системе вознаграждения за проделанную работу;
- факты установленного нарушения норм закона;
- сведения о проведении конкурсов, тендеров и прочих мероприятий, в которых решается судьба объектов государственной собственности;
- финансовая отчетность некоммерческих организаций.
Что такое конфиденциальность
Понятие конфиденциальность означает обеспечение тайны в интересах того, кто раскрывает информацию. Слово конфиденциальность произошло от английского confidence, означающего доверие. Благодаря принципу конфиденциальности клиент может не беспокоиться и доверять своему психологу, так как каждый профессионал работает, соблюдая этот принцип, не раскрывая никакой полученной личной информации о клиенте.
Любую полученную информацию психолог может использовать только в научных целях, без упоминания личности клиента и в случае, если это не повредит ему. Это относится и к любой информации, которая может помочь идентифицировать личность клиента. В психологических экспериментах испытуемый должен заранее быть уведомлен, какая именно информация будет использоваться, и быть согласным с ее обработкой.
Результаты исследований обнародуются без раскрытия личностей испытуемых – вместо имен используются коды. Но чаще даже результаты носят общий характер и не упоминают испытуемых вовсе. И здесь возникает важный вопрос надежного хранения полученных данных, поскольку даже без прямого разглашения информации психологом может произойти неконтролируемая утечка или воровство информации с носителей, также это актуально, если она передается через сеть интернет. Наглядный пример такой утечки и ее катастрофических результатов можно увидеть в сериале «Миллиарды», где психолог записывает диалог с пациентом на консультации в текстовый документ, который потом читает ее муж, зная пароль от компьютера.
К сожалению, сегодня не все психологи могут обеспечить полную безопасность информации, сохранность от утечки и воровства, ведь это требует не только внимания, но и специальных знаний об информационной безопасности или услуг специалистов, на что мало кто обращает внимание и может проверить. Исполнение принципа конфиденциальности психологом на практике часто ограничивается только неразглашением информации напрямую
Какую информацию можно, а какую нельзя относить к конфиденциальной
- Данные, которые носят персональный характер. К ним относится практически все сведения о частной жизни физического лица, кроме ФИО, паспортных данных, ИНН и прочей открытой информации.
- Данные, к которым доступ ограничен государством на основании требований ГК РФ и НК РФ. В частности, к указанной категории относятся сведения, составляющие налоговую тайну.
- Сведения, относящиеся к категории профессиональной и служебной тайны. К ней относится информация, с которой ознакомлен ограниченный круг лиц в связи с исполнением ими профессионального долга или несением службы.
- Коммерческая информация, которая может быть применена для получения дохода или для завоевания экономической ниши, а также с целью получения какой-либо другой аналогичной выгоды или ведения нечестной конкурентной борьбы с участниками рынка.
- К категории информации ограниченного пользования относятся данные, которые становятся известны в рамках следствия или производства, и те, которые содержатся в делах осужденных и отбывающих наказания граждан. В частности, к данной категории относятся сведения о потерпевших, свидетелях, лицах, подлежащих государственной защите, судьях, других официальных лицах, принимающих участие в ведении следствия, а также данные, относящиеся к исполнению дел в рамках исполнительного производства.
Важно заметить, что служебная тайна отличается от профессиональной. Разрешение на доступ к ней получают в первом случае только государственные служащие, во втором — отдельные специалисты как муниципальных, так и частных структур
В федеральном законе «Об информации, информатизации и защите информации» приведён список видов информации, которые не могут считаться конфиденциальной. К ним относятся:
- Нормативные акты, которые определяют статус муниципальных и государственных органов.
- Законодательные акты, имеющие отношение к определению прав и свобод граждан.
- Документы государственных органов, предназначенные для информирования граждан в условиях чрезвычайных ситуаций с целью обеспечить безопасность людей и их имущества.
- Находящиеся в открытых фондах библиотек или государственных архивов документы, важные для реализации прав и свобод человека.