Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» Федеральный закон

Вид материалаЗакон

Содержание


Конфиденциального характера
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина
Сведения, составляющие тайну следствия и судопроизводства
Служебные сведения
4. Сведения, связанные с профессиональной деятельностью
2. Операторы связи обязаны обеспечить соблюдение тайны связи.
Кроме того, данный Федеральный закон № 231-Ф3 вносит изменения и в нормативную базу, в том числе и касающуюся «коммерческой тайн
Коммерческая тайна
Информация, составляющая коммерческую тайну
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Всегда дается
Указывается фамилия сотрудника
Вопросы для повторения
Матрица доступа к сведениям конфиденциального характера
Должностные лица, которые
Руководитель фирмы
Подобный материал:

ЛЕКЦИЯ № 11-2008.

КЛАССИФИКАЦИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПО ВИДАМ ТАЙН И СТЕПЕНЯМ КОНФИДЕНЦИАЛЬНОСТИ


Цель занятия: Изучить структуру, содержание и основные меры защиты конфиденциальности информации различных видов в России.

Введение

ВОПРОС 1. Структура сведений конфиденциального характера в Российской Федерации

ВОПРОС 2. Понятие о степени конфиденциальности информации

ВОПРОС 3. Основные правила доступа к конфиденциальным сведениям


Список литературы:
  1. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»
  2. Федеральный закон № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 20 августа 2004 г. № 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства"
  4. Уголовно-процессуальный кодекс Российской Федерации.
  5. Гражданский кодекс Российской Федерации.
  6. Федеральный закон N 126-ФЗ "О связи"
  7. Федеральный закон № 98-ФЗ "О коммерческой тайне"
  8. Федеральный закон № 231-Ф3 «О введении в действие части четвертой Гражданского кодекса Российской Федерации».
  9. Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации"
  10. Трудовой кодекс Российской Федерации.
  11. Уголовный кодекс Российской Федерации.
  12. Кодекс Российской Федерации об административно-правовых нарушениях.

Введение


Федеральным законом № 149-ФЗ установлено, что конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

В рамках данной лекции будет рассмотрено, какая информация в Российской Федерации относится к «определенной информации», в чем заключаются «требование не передавать такую информацию третьим лицам без согласия ее обладателя».


Вопрос 1. СТРУКТУРА СВЕДЕНИЙ

^ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА

В РОССИЙСКОЙ ФЕДЕРАЦИИ


В нашей стране в целях дальнейшего совершенствования порядка опубликования и вступления в силу актов высших органов власти действует Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента Российской Федерации от 23.09.2005 № 1111).

Структура сведений конфиденциального характера в Российской Федерации представлена на рисунке 1.

Из данного рисунка видно, что обязательность выполнения требований не передавать такую информацию третьим лицам без согласия обладателя относится к различным категориям использования информации.

Выполнение таких требований обязательно для выполнения лицом, получившим доступ к определенной информации в указанных сферах человеческой деятельности.

Утвержденный Перечень включает следующие сведения  конфиденциального характера в зависимости от категории использования информации:

1. ^ СВЕДЕНИЯ О ФАКТАХ, СОБЫТИЯХ И ОБСТОЯТЕЛЬСТВАХ ЧАСТНОЙ ЖИЗНИ ГРАЖДАНИНА, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Говоря о персональных данных, следует заметить, что 27 июля 2006 года Президент Российской Федерации подписал Федеральный закон № 152-ФЗ «О персональных данных».





Рис.1. Структура сведений конфиденциального характера в Российской Федерации


В соответствии с Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента Российской Федерации от 23.09.2005 № 1111).

В соответствии с этим Федеральным законом:


1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;


2. ^ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ТАЙНУ СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВА, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.

(в ред. Указа Президента Российской Федерации от 23.09.2005 № 1111)

Сохранность сведений, составляющих тайну следствия означает, что

Следователь принимает меры к тому, чтобы не были оглашены выявленные в ходе обыска обстоятельства частной жизни лица, в помещении которого был произведен обыск, его личная и (или) семейная тайна, а также обстоятельства частной жизни других лиц1.

Сохранность сведений, составляющих тайну судопроизводства обеспечивается на всех этапах судебного разбирательства.

Например, в Уголовно-процессуальном кодексе Российской Федерации сформулированы требования по защите совещания судей.

Статья 298. Тайна совещания судей

1. Приговор постановляется судом в совещательной комнате. Во время постановления приговора в этой комнате могут находиться лишь судьи, входящие в состав суда по данному уголовному делу.

2. По окончании рабочего времени, а также в течение рабочего дня суд вправе сделать перерыв для отдыха с выходом из совещательной комнаты. Судьи не вправе разглашать суждения, имевшие место при обсуждении и постановлении приговора.


Следует иметь в виду, что требования по защите сведений о защищаемых лицах и соответствующих мерах государственной защиты включают в себя

запрет на выдачу сведений о защищаемом лице из государственных и иных информационно-справочных фондов, а также могут быть изменены номера его телефонов и государственные регистрационные знаки используемых им или принадлежащих ему транспортных средств2.


3. ^ СЛУЖЕБНЫЕ СВЕДЕНИЯ, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

При использовании в хозяйственной практике Гражданского кодекса Российской Федерации следует руководствоваться Статьей 139. «Служебная и коммерческая тайна».

Поэтому можно сформулировать следующее определение:


Информация составляет служебную тайну в случае,
  • когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам,
  • к ней нет свободного доступа на законном основании
  • и обладатель информации принимает меры к охране ее конфиденциальности.

Сведения, которые не могут составлять служебную тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.


^ 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

В Российской Федерации Федеральным законом «О связи» тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений представляют собой тайну связи.

Регулирование отношений в сфере обеспечения тайны связи предусматривает выполнение следующих требований3:

1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.

Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.


^ 2. Операторы связи обязаны обеспечить соблюдение тайны связи.


3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.


4. Сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях, о почтовых отправлениях и почтовых переводах денежных средств, а также сами эти сообщения, почтовые отправления и переводимые денежные средства могут выдаваться только отправителям и получателям или их уполномоченным представителям, если иное не предусмотрено федеральными законами.


5. СВЕДЕНИЯ, СВЯЗАННЫЕ С КОММЕРЧЕСКОЙ ДЕЯТЕЛЬНОСТЬЮ, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

Федеральным законом от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" сформулировано более широкое определение понятия «коммерческая тайна».

1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Но практика хозяйствующей деятельности вносит коррективы в законодательство связанное с коммерческой деятельностью.

18 декабря 2006 г. Президент Российской Федерации подписал Федеральный закон № 231-Ф3 «О введении в действие части четвертой Гражданского кодекса Российской Федерации».


Данный закон вводит в действие часть четвертую Гражданского кодекса Российской Федерации (далее - часть четвертая Кодекса) с 1 января 2008 года.
^

Кроме того, данный Федеральный закон № 231-Ф3 вносит изменения и в нормативную базу, в том числе и касающуюся «коммерческой тайны».




Статья 34

Внести в Федеральный закон от 29 июля 2004 года № 98-ФЗ "О коммерческой тайне" (Собрание законодательства Российской Федерации, 2004, N 32, ст. 3283; 2006, N 6, ст. 636) следующие изменения:

часть 1 статьи 1 изложить в следующей редакции:

"1. Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).";

2) в статье 3:

пункты 1 и 2 изложить в следующей редакции:

"1) ^ КОММЕРЧЕСКАЯ ТАЙНА - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;


2) ^ ИНФОРМАЦИЯ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ (секрет производства), - сведения любого характера
  • (производственные,
  • технические,
  • экономические,
  • организационные и другие),
  • в том числе о результатах интеллектуальной деятельности в научно-технической сфере,
  • а также сведения о способах осуществления профессиональной деятельности,

которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен РЕЖИМ КОММЕРЧЕСКОЙ ТАЙНЫ;";


^ 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.


Вопрос 2. ПОНЯТИЕ О СТЕПЕНИ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ


Как известно информация - это товар, а товар стоит денег.

Риски, связанные с утратой, искажением, модификацией информации, помимо экономических затрат, могут повлечь утраты политические, моральные, этические и т.д.

Внедрение систем защиты информации в организации и на предприятиях неразрывно связано с необходимостью выполнения определенных правил или регламентов. Причем выполнение этих правил обязательно для всех категорий сотрудников - от генерального директора до курьера.

Если ценная информация предприятия стала известной, ему будет трудно сохранить свои конкурентные преимущества на рынке. Однако само по себе обладание ценной информацией не принесет никакой выгоды, если работникам не разрешается ее использовать. При распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному сотруднику полного объема данных для качественного выполнения порученных ему функций, а с другой стороны, исключить ознакомление с излишними ненужными ему для работы сведениями.

В целях обеспечения правомерного доступа сотрудников к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующие степени конфиденциальности.

Для этого вначале составляется перечень сведений, содержащих коммерческую тайну, определяется ценность того или иного документа и присваивается соответствующий гриф.

Для коммерческой тайны можно использовать самые разнообразные степени конфиденциальности: "Секрет организации", "Конфиденциально", "Строго конфиденциально", "Особо конфиденциально", "Секрет производства" и т.д. Затем составляется список сотрудников, допущенных к тем или иным документам. Он утверждается вице-президентом фирмы и является правовой основой для практической реализации доступа.

Следует подчеркнуть, что в условиях продолжающегося бурного развития информационных систем все в большей степени встают вопросы обеспечения их безопасности, в первую очередь таких аспектов безопасности, как конфиденциальность, целостность, доступность.

Информация - это товар, стоимость безопасности которой должна быть соизмерима со стоимостью ущерба от ее утраты, модификации, искажения, уничтожения. Практика свидетельствует, затраты на защиту систем, обрабатывающих конфиденциальную информацию или содержащую коммерческую тайну, должны составлять до 10% от стоимости самой системы. Для систем, обрабатывающих сведения, составляющие государственную тайну, - от 15 до 35%.

Потребность в защите информации от утечек (IDLP) юридического лица, привела к тому, что в этом сектор хлынули инвестиции. Такой рынок растет и в России. До сих пор ускорителем положительной динамики были внутренние причины, т.е. инициаторами проектов были сами организации, как правило, представляющие крупный бизнес, и госструктуры, желающие оградить себя от внутренних угроз.

  Динамика рынка IDLP впечатляет, на нем действует достаточное количество российских производителей.

  В последнее время появились и иные причины инвестиций в соответствующие решения. Ими стали требования законов и отраслевых стандартов. Пока у нас в стране еще не было судебных прецедентов. Но, как только появятся первые "крайние", можно ожидать новой волны интереса к этой проблематике, но теперь уже и со стороны среднего бизнеса.

  Очень остро встали вопросы IDLP-решений для небольших компаний. Но, к сожалению, производителям средств защиты необходимо время для адаптации существующих и созданию новых комплексных решений, способных быть конкурентоспособными в сегменте до 700 рабочих станций.

  Однако подобные продукты остро необходимы уже сейчас. Рассмотрим на примере банковского сектора.

В России примерно 100 -150 крупных банков, остальная ТЫСЯЧА попадает в разряд средних и малых банков. И здесь, как нигде, чувствуется недостаток предложения комплексных систем IDLP для этого сегмента экономики. Финансирование рынка характеризуется показателями, изображенными на рис.2.

Как в этой ситуации ведут себя банкиры? В значительной части небольших кредитных организаций принята на вооружение стратегия "малобюджетной модели безопасности".

В чем она заключается?

  Прежде всего, на преобладании организационных мер, таких как:

- обучение и инструктаж пользователей ИС,

- комплекс технических мер, а именно:
  • наблюдение и анализ лог-файлов на интернет-шлюзе,
  • наблюдение и анализ на сервере печати,
  • наблюдение и анализ на файл-сервере
  • и т.д.

Кроме того, вводятся необходимые ограничения
  • на почтовый обмен (например, по объему и адресам),
  • на использование протоколов,
  • а так же полный запрет на установку несанкционированного корпоративной политикой безопасности программного обеспечения.

Естественно, что все это надо контролировать и обеспечивать мониторинг – этим и занимается служба информационной безопасности мелко- и среднемасштабного хозяйствующего субъекта .




Рис. 2. Рынок IDLP в России (данные за 2008-2010гг. - прогноз)


В государственных организациях, которые насыщаются вычислительной техникой ситуация приближается к выше изложенной.

Но особую озабоченность вызывают проблемы защиты информации в так называемых ключевых системах информационной инфраструктуры. К ним относятся, прежде всего, системы, управляющие экологически-опасными процессами топливно-энергетического комплекса; системы финансово-кредитной сферы; системы управления движением различного назначения и др. Весь спектр проблем, связанных с защитой информации в таких системах, требует детальной и серьезной проработки, особенно в условиях угрозы террористических воздействий.

Оптимально внедренная система защиты информации на объекте должна быть "незаметна" пользователям и не создавать им неудобств. Определенные правила и связанные с их реализацией процедуры, безусловно, придется выполнять.

Например, для информационно-телекоммуникационных систем - это выполнение правил подтверждения полномочий пользователей (введение паролей или использование персональных идентификаторов), ограничение прав пользователей по доступу к отдельным базам данных или ресурсам сети. В целом реализация политики безопасности должна привести к упорядочиванию работы персонала, экономии трафика, а следовательно, затрат на эксплуатацию системы, снижению или полному исключению возможности поражения сетей вредоносными вирусами и спамом.

Чтобы процесс внедрения систем защиты информации был менее безболезненным, необходимо выполнение некоторых условий.

Во-первых, это грамотно разработанная политика безопасности предприятия, учитывающая все особенности технологического процесса, а также угрозы, возникающие при его реализации.

Во-вторых, это наличие подготовленного и обученного персонала, непосредственно реализующего политику безопасности.

В-третьих, это соответствие созданной системы защиты информации требованиям политики безопасности и, самое главное, решаемым предприятием функциональным задачам.

Выполнение этих условий можно обеспечить, только с привлечением профессиональных специалистов и организаций, оказывающих услуги по защите информации.

Практика свидетельствует, что при решении проблем информационной безопасности силами только своего персонала многие организации сталкиваются с проблемой "незаменимых" специалистов. Это создает повод для шантажа руководства со стороны отдельных сотрудников.

Причина кроется в отсутствии проектной документации на систему, все делается "на коленке", и важные сведения о системе, в том числе и о ее безопасности, хранятся в головах. При этом практически отсутствует нормативно-распорядительная база, которая все расставляет по местам (кто несет ответственность и в какой мере; правила построения, функционирования и взаимодействия системы защиты информации и т.д.).

Поэтому цикл проводимых лабораторных работ по дисциплине направлен на получение навыков по разработке документации, обеспечивающей процедуры по управлению информационной безопасности.


Вопрос 3. ОСНОВНЫЕ ПРАВИЛА ДОСТУПА К КОНФИДЕНЦИАЛЬНЫМ СВЕДЕНИЯМ

На основании Указа № 188, а также Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" каждый руководитель хозяйствующего субъекта, вне зависимости от формы собственности, может устанавливать специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции юридического лица.


Он несет за это единоличную ответственность.

При этом разрешение на доступ к конфиденциальной информации ^ ВСЕГДА ДАЕТСЯ руководителем ТОЛЬКО В ПИСЬМЕННОМ ВИДЕ.

С этой целью разрешение может оформятся следующим образом:
  • в виде резолюции на документе,
  • в виде приказа, утверждающим схему именного или должностного доступа к конкретным группам информации,
  • в виде утвержденного руководителем списка-разрешения на обложке дела,
  • в виде утвержденного руководителем списка ознакомления с конкретным конфиденциальным документом и т. п.

В случае необходимости доступа к конфиденциальным сведениям представителя другой организации руководитель принимает решение, которое оформляется резолюцией на предписании (или письме, обязательстве), представленном заинтересованным лицом.

В резолюции должны быть УКАЗАНЫ КОНКРЕТНЫЕ документы или СВЕДЕНИЯ, к которым разрешен доступ. Одновременно ^ УКАЗЫВАЕТСЯ ФАМИЛИЯ СОТРУДНИКА фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу в помещении фирмы.

Взаимоотношения должностных лиц по отношению к сведениям конфиденциального характера в компьютерных системах целесообразно в матрице доступа к сведениям конфиденциального характера в компьютерных системах.


^ ВОПРОСЫ ДЛЯ ПОВТОРЕНИЯ:
  1. Что означает термин «конфиденциальность информации»?
  2. Какие составляющие входят в структуру перечня сведений конфиденциального характера?
  3. Какая информация составляет служебную тайну?
  4. Какие требования предъявляются к органам (должностным лицам), осуществляющим оперативно-розыскную деятельность?
  5. В чем может заключаться секрет производства?
  6. Что означает понятие степень конфиденциальности?
  7. В чем заключаются основные правила доступа к конфиденциальным сведениям организации, вне зависимости от формы собственности?
  8. В чем заключается государственное регулирование отношений в сфере защиты информации?
  9. Какие виды ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, установлены законодательством Российской Федерации?



^ Матрица

доступа к сведениям конфиденциального характера




Категории

сведений

^ Должностные лица, которые

ИМЕЮТ ПРАВО давать разрешение


Представители государственных органов


Примечание


^ Руководитель фирмы

Заместители

руководителя по функциональным секторам

Руководители

структурных подразделений

Ответственные исполнители работ (направлений

деятельности)

Все виды конфиденциальных

сведений

Всем категориям сотрудников и другим лицам










Только первый руководитель фирмы


Сообщаются только те сведения, которые определены в договоре

Наиболее ценная информация













Руководитель фирмы делегирует право выдачи разрешений на доступ к другой информации нижестоящим руководителям.

Конфиденциальные

сведения

по секторам работы




Конфиденциальные сведения в пределах своей функциональной компетенции










Заместители руководителя делегируют право выдачи разрешений всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции

Конфиденциальные сведения

по тематике работы







Доступ к

конфиденциальным сведениям по тематике работы работникам своих подразделений







Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствую-щего заместителя руководителя фирмы

Конфиденциальные сведения

по направлениям деятельности

исполнителей










Доступ к

конфиденциальной информации подчиненных им исполнителям и в пределах их компетенции










1 П.7, ст.182. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N 174-ФЗ (с изменениями от 29 мая, 24, 25 июля, 31 октября 2002 г., 30 июня, 4, 7 июля, 8 декабря 2003 г., 22 апреля, 29 июня, 2, 28 декабря 2004 г., 1 июня 2005 г., 9 января, 3 марта, 3 июня, 3, 27 июля 2006 г.)

2 Федеральный закон от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства"
(с изменениями от 29 декабря 2004 г.)




3 Ст 63 Федеральный закон от 7 июля 2003 г. N 126-ФЗ "О связи" (с изменениями от 23 декабря 2003 г., 22 августа, 2 ноября 2004 г., 9 мая 2005 г., 2 февраля, 3 марта, 26, 27 июля 2006 г.)