ODiplom // Право и ТГП // 12.02.2013

Защита конфиденциальной информации

Вопросы обеспечения защиты конфиденциальной информации, персональных данных и ряд рекомендаций по решению существующих проблем в данной сфере.

Информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это наиболее ценный и ходовой объект в международных экономических отношениях. На международном уровне сформировалась система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, имеющий социальное значение.

Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся эта информация представляет различную ценность для хозяйствующего субъекта и, соответственно, ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать различные системы защиты, в том числе и организационную, а главное - правовую.

В связи, с чем информация разделяется на три группы: информация для открытого пользования любым потребителем в любой форме; информация ограниченного доступа - только для органов, имеющих соответствующие законодательно установленные права (полиция, налоговая инспекция, прокуратура); информация только для работников (либо руководителей) организации.

Информация, относящаяся ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространении. Часть этой информации составляет особый блок и может быть отнесена к коммерческой тайне.

Потеря информации в личном компьютере в результате проникновения вируса ощутима для его владельца, но нарушение работы систем государственного управления, муниципального самоуправления, систем жизнеобеспечения задевает интересы общества, национальные интересы в целом.

Масштабность угроз информационной безопасности, осознанная международным сообществом, нашла отражение в документах Всемирной встречи на высшем уровне по вопросам информационного общества, где содержится призыв ко всем участникам информационного общества предпринимать соответствующие действия и принимать установленные законодательством меры по предотвращению ненадлежащего использования информационных и телекоммуникационных технологий (ИКТ).

Россия также стала инициатором постановки на уровне ООН проблем международной информационной безопасности (МИБ) и выработки соответствующих рекомендаций.

Проблема защиты конфиденциальной информации, как организаций любой формы собственности в целом, так и органов муниципального самоуправления в частности, в настоящее время стоит наиболее остро, так как угрозы нарушения информационной безопасности носят глобальный и трансграничный характер; способы реализации угроз информационной безопасности и формы их проявления постоянно совершенствуются; высокая технологичность этих угроз требует адекватных мер противодействия, предъявляет требования к квалификации специалистов по информационной безопасности, материально-техническому и кадровому обеспечению правоохранительных органов и спецслужб.

Конфиденциальная информация является важнейшей составляющей любых информационных отношений. Вопросы правового регулирования по поводу использования и распространения информации в последнее время занимают одно из значительных мест в юридической литературе. Это обусловлено, прежде всего, тем, что содержание юридически значимой тайны заключается в том, что ее предмет образует информация, не предназначенная для широкого круга лиц, а ее разглашение может повлечь нежелательные последствия для владельцев и обладателей тайны.

Следует сказать, что в настоящее время законодательная регламентация общественных отношений, связанных с использованием отдельных видов конфиденциальной информации, несовершенна. Вопрос о нормативно-правовой регламентации тайны затронут Федеральным законом от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации", что является основанием выделения в науке соответствующего направления для исследования.

Не менее важной проблемой защиты конфиденциальной информации, является состояние информационной безопасности в России, которое характеризуется высоким уровнем технологической зависимости. Это касается как технических средств, так и программного обеспечения, в первую очередь, системного. Такая зависимость в некоторых секторах государственного управления может создать угрозу национальной безопасности. Обозначенные проблемы обусловливают актуальность настоящего исследования.

В научной литературе отдельные аспекты, связанные с обеспечением механизма охраны отдельных видов конфиденциальной информации ограниченного доступа, отражены в научных трудах таких правоведов, как: М.Ю. Барщевский, В.Н. Буробин, Б.В. Волженкин, З.Ф. Гайнуллина, А.В. Галахова, А.С. Горелик, А.Ф. Жигалов, З.З. Зинатуллин и др. А проблема правовой защиты конфиденциальной информации самостоятельно почти не изучалась.

Понятие информации, и ее значение в деятельности различных субъектов.

Термин "информация" происходит от латинского слова "informatio", что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке. В настоящее время наука пытается найти общие свойства и закономерности, присущие многогранному понятию информация, но пока это понятие во многом остается интуитивным и получает различные смысловые наполнения в различных отраслях человеческой деятельности:

Информация играет огромную, ведущую роль в жизнедеятельности каждого предприятия и организации. Для любого субъекта информационных отношений наиболее важны и ценны те сведения, которыми владеют или пользуются только они и никто больше.

Учитывая особенную и, пожалуй, вечную актуальность темы поиска и сохранения информации, государство должно установить для всех "правила игры" на этом поле, гарантировав субъектам информационных отношений права и установив определенные обязанности, специальные ограничения и санкции, то есть полностью в правовом смысле отрегулировать всю систему оборота информации, особенно той, на которую субъекты права имеют или хотят иметь преимущества в использовании, - конфиденциальной.

Первое российское легальное определение понятия "информация" было дано в Федеральном законе от 20 февраля 1995 г № 24-ФЗ "Об информации, информатизации и защите информации", в ст. 2 которого говорилось, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.

В соответствии со ст.2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации", информация - это сведения (сообщения, данные) независимо от формы их представления.

Законодателем определено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения (ст. 5 ФЗ № 149-ФЗ).

Информация имеет ряд особенностей:

- она нематериальна;

- информация хранится и передается с помощью материальных носителей;

- любой материальный объект содержит информацию о самом себе или о другом объекте.

Не материальность информации понимается в том смысле, что нельзя измерить ее параметры известными физическими методами и приборами.

Информация не имеет массы, энергии и т. п. Информация хранится и передается на материальных носителях. Такими носителями являются мозг человека, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и др.

Информации присущи следующие свойства:

1. Информация доступна человеку, если она содержится на материальном носителе. Поэтому необходимо защищать материальные носители информации, так как с помощью материальных средств можно защищать только материальные объекты.

2. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

3. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Информация сегодня является одним из важнейших ресурсов организации. Каждый год ее объемы возрастают в среднем на 30-50%.

В нашем обществе существенно преобразуются все протекающие в нем процессы, что приводит к росту спроса на качественную, достоверную, оперативную информацию. Эти преобразования можно охарактеризовать следующим образом. Во-первых, в результате усложнения общественного поведения увеличиваются информационные потребности людей. Информация превращается в массовый продукт. Во-вторых, информация становится не просто сообщением, имеющим конкретное содержание, а экономическим благом. Она получает рыночную оценку и перестает быть бесплатным товаром. В-третьих, прибыль от продаж и покупок информации не усредняется, поскольку информационный рынок не подчиняется законам совершенной конкуренции. В-четвертых, резко возросли технологические возможности получения, передачи, хранения и использования информации во все возрастающих объемах. Учитывая сказанное, можно сделать вывод, что информация является одним из важнейших средств достижения целей любого вида деятельности. От полноты и качества информации зависят степень реализации и результативность в достижении целей.

Для хозяйствующего субъекта зачастую наиболее ценной является информация, которую он использует для достижения целей предприятия/организации и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.

Чтобы понять, какую ценность информация имеет для получателя, рассмотрим, основные процессы, которые происходят при этом. Целесообразно отнести к таким процессам следующие:

1. Определение или постановка цели, которую хочет получатель (приемник) информации.

2. Получение информации.

3. Преобразование смысла, заключенного в полученной информации на основе использования определенных возможностей (процесс получения данных).

4. Аналитическая оценка возможности применения полученной информации для достижения поставленной цели на основе использования возможностей.

5. Принятие решения об использовании или не использовании полученной информации для достижения поставленной цели:

- если принято решение о неиспользовании полученной информации для достижения поставленной цели, то полученная информация не имеет ценности с точки зрения достижения поставленной цели;

- если принято решение об использовании полученных знаний (информации) для достижения поставленной цели, то полученная информация имеет ценность с точки зрения достижения поставленной цели.

6. Осуществление действий по достижению поставленной цели на основе использования возможностей и ранее полученных знаний.

7. Оценка результатов достижения поставленной цели на основе использования определенных критериев, которые удовлетворяют получателя информации:

- если оценка результатов, по достижению поставленной цели, удовлетворяет получателя информации, то эта информация обладала определенной положительной ценностью для решения этой задачи;

- если оценка результатов, по достижению поставленной цели, не удовлетворяет получателя информации, то эта информация также обладала определенной ценностью для решения этой задачи, но эта ценность может оказаться даже отрицательной.

Одну и туже информацию могут получить несколько пользователей/получателей и в одно время. При этом у получателей информации могут быть как одинаковые, так и разные цели. Но ценность полученной информации всегда будет индивидуальна для каждого отдельно взятого получателя. Это можно объяснить простым примером. В мире каждый человек индивидуален, обладает собственными знаниями и имеет свою шкалу ценности информации при реализации, поставленной цели. Однако основные процессы, которые возникают при определении ценности информации и, имеют место для любого отдельно взятого субъекта. При этом необходимо отметить, что в организациях, например, в органах муниципального самоуправления, где получателей и пользователей информации достаточно много, эти процессы усложняются, так как руководитель коллектива является ответственным лицом при окончательной оценки ценности информации, полученной коллективом для достижения поставленной цели.

Если его способности и ранее полученные знания не позволяют получить из этой информации соответствующие знания для принятия наиболее эффективного решения, то в результате органы муниципальной (местной) власти могут не достичь необходимого результата управления. Этот пример еще раз показывает, что ценность полученной информации всегда индивидуальна.

Отсюда можно констатировать, что под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности.

Ценность документов определяется с учетом, как особой роли организации, так и ее типового характера в системе органов власти и управления, значимостью выполняемых ею функций.

К критериям содержания документа относится значимость информации документа, его уникальность, типичность документа. Наибольшую ценность среди документов, образующихся в деятельности организации, имеют документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации работы, планирование и отчетность, основные направления деятельности, контроль и др.). Другая группа документов имеет вспомогательный характер, большую часть её составляют первичные бухгалтерские документы, документы по вопросам снабжения организации, бытовым и административно-хозяйственным вопросам.

Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие. В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security).

Понятие конфиденциальности и виды конфиденциальной информации.

Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".

Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.

Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.

В соответствии со ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.

В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.

Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.

Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:

ОТ - открытая информация;

КИ - конфиденциальная информация;

СКИ - строго конфиденциальная информация.

В российском законодательстве используются следующие грифы конфиденциальности:

ОТ - открытая информация;

ДВИ - для внутреннего использования;

КИ - конфиденциальная информация.

В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:

- собственники информации (по отдельным видам они могут частично совпадать);

- области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны;

- на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).

Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.

Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).

Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.

А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.

В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1 (ред. от 18.07.2009) "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1 (ред. от 18.07.2009) "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:

- информацию в военной области;

- информацию о внешнеполитической и внешнеэкономической деятельности;

- информацию в области экономики, науки и техники;

- сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах защиты секретной информации;

- о государственных программах и мероприятиях в области защиты государственной тайны.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.

С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об основах охраны здоровья граждан Российской Федерации", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.

К этому Указу накопилось довольно много претензий, главные из которых состоят в том, что он классифицирует виды конфиденциальной информации неполно, и некорректно. В последнем случае, например, указывают на то, что такая разновидность профессиональной тайны по этому Указу, как "тайна переписки... согласно ст. 23 Конституции РФ должна относиться к праву каждого человека, а не только специалиста определенной профессии", указывают также на то, что не проводится разграничения персональных данных и тайны частной жизни, и т.д. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" также не снимает обозначенной проблемы, поскольку использует лишь самые общие нормативные установки, например: "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение" (ч. 4 ст. 9).

Рассмотрим наиболее существенные виды информации конфиденциального характера, утвержденные Указом Президента РФ от 06 марта 1997 № 188.

27 июля 2006 года вступил в силу Федеральный закон Российской Федерации № 152-ФЗ "О персональных данных". Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:

"Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания" (п.10. ст.3 ФЗ № 152-ФЗ).

Принятие Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) призвано защитить конфиденциальные сведения (персональные данные субъекта), такие как: ФИО, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В качестве примера конфиденциальности информации о персональных данных субъекта можно привести положения, отмеченные в Письме Банка России от 28 ноября 2001 г. № 137-Т "О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем" (состав персональных данных для идентификации физического лица):

- фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая);

- дата и место рождения;

- место жительства (регистрации);

- место пребывания;

- сведения о документе, удостоверяющем личность (наименование, серия и номер, орган, выдавший документ, дата выдачи документа).

Другим примером являются персональные данные, предусмотренные ФЗ от 15 ноября 1997 г. № 143-ФЗ: "Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния".

Одно из противоречий о защите персональных данных субъекта наглядно иллюстрирует банковская практика. Например, при открытии накопительного вклада на имя другого лица, вкладчик должен предоставить банку персональные данные этого лица; при оформлении кредита в банке или торговых точках необходима ксерокопия документа, содержащего персональные данные (в основном, паспорта); при оформлении договора зарплатного проекта для сотрудников предприятия банк обязан уведомить каждого сотрудника предприятия о начале обработки его персональных данных и получить согласие до выпуска карты и т.д. Все это существенно осложняет работу банков, процедуру обработки информации и передачи ее третьей стороне. Также, становится невозможной работа по обмену информацией о клиенте между филиалами одного банка. Филиал не может отправить куда-либо сведения об этом гражданине или информацию о его текущих делах без получения соответствующего разрешения от клиента. Необходимо учесть, что клиент имеет право не давать согласие на передачу его персональных данных третьим лицам. В этом случае гражданин получает возможность скрыть отрицательно характеризующую его информацию.

Проблема связана с отношением регулирующих органов к персональным данным как к самостоятельному объекту правовой охраны наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п. И для этого есть основания, поскольку в ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). Это создает путаницу, так как требование конфиденциальности персональных данных не абсолютно. Открытые персональные данные также обрабатываются и должны защищаться, например, на официальных сайтах органов государственной власти, профессиональных энциклопедиях и т.п.

Следующий вид информации с ограниченным доступом – служебная тайна – представляет наибольшую сложность с точки зрения определения ее понятия и правового режима, поскольку в этот вид тайны в разное время включалось и теперь включается различное содержание.

Определение служебной тайны дано в Указе Президента РФ от 06 марта 1997 № 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера", согласно которому служебная тайна представляет собой служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Стоит отметить, в связи с отменой ст. 139 ГК РФ данное определение утратило всякую правовую основу.

В действующем законодательстве не определено однозначно понятие служебной тайны. Большинство ученых склонно придерживаться мнения, что к служебной тайне относятся те сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться. В силу этого к служебной тайне относят тайну следствия, врачебную тайну, налоговую тайну, адвокатскую тайну и др.

Для обозначения служебной информации конфиденциального характера помимо термина "служебная тайна" используется целый ряд других, в первую очередь, - "служебная информация".

Длительное время единственным источником, в котором было закреплено легальное определение служебной информации, была ст.31 Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг": "служебной информацией федеральный закон понимает любую не являющуюся общедоступной информацию об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения…".

Следует обратить внимание на то, что, во-первых, данное определение не является универсальным и применяется только в рамках соответствующего правового института. Во-вторых, закон прямо устанавливает, что служебная информация представляет собой сведения с ограниченным доступом. В третьих, в связи с принятием 27 июля 2010 Федерального закона № 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", ст.31. Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг" утратил силу в январе 2011 г. Термин "служебная информация" заменена термином "инсайдерская информация".

Понятие "служебная информация" также, находит свое отражение в законодательных актах — посвященных государственной и муниципальной службе, где используется достаточно часто, но ее содержание в них не раскрывается. Так, в Федеральном законе от 27.07.2004 № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" ст.15 и ст.7 Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается обязанность соблюдать порядок работы со служебной информацией: "не разглашать сведения, составляющие государственную и иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство", и "сотрудник таможенного органа не вправе: использовать в неслужебных целях средства материально-технического и информационного обеспечения, финансовые средства, другое государственное имущество, а также служебную информацию". Согласно ст. 17 Федерального закона от 27.07.2004 № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" и ст.7.1. Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается запрет для государственных и муниципальных служащих: "разглашать или использовать в целях, не связанных с гражданской службой, сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшие ему известными в связи с исполнением должностных обязанностей".

В свою очередь в постановлении Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" понятие "служебная информация" отражено в перечне сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:

- акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

- сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

- описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;

- порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

- решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

- сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;

- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.

Таким образом, можно сделать вывод, что служебная информация – это конфиденциальные служебные сведения о деятельности государственных органов, доступ к которой ограничен федеральными законами или в силу исполнения должностных обязанностей, а также сведения, поступившие органам государственной власти от физических и юридических лиц, имеющие действительную ценность в силу неизвестности их третьим лицам и доступ к которым ограничен в соответствии с федеральными законами.

В настоящее время все больше уделяется внимание еще одному виду информации с ограниченным доступом – коммерческая тайна.

Понятие "коммерческая тайна" в переводе с английского "commercial" означает перечень сведений о деятельности фирмы, предприятия, не подлежащих разглашению ввиду возможных убытков, недополученной прибыли и других отрицательных последствий.

В российском законодательстве определение коммерческой тайны указано в ст.3 Федерального закона от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне", понятие "коммерческая тайна" - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Под информацией, составляющей коммерческую тайну, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе, составляющая секреты производства – ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

Носителями коммерческой информации являются руководители предприятий или организаций, а также другие служащие, допущенные к коммерческим секретам. При этом сведения, составляющие коммерческую тайну предприятия или организации в соответствии со ст.4 от 29.07.2004 № 98-ФЗ, разрабатываются и утверждаются руководителем предприятия или организации с учетом требований постановления Правительства Российской Федерации от 05.12.1991 № 35 "О передаче сведений, которые не могут составлять коммерческую тайну".

В российском законодательстве нет исчерпывающих сведений относящихся к понятию "коммерческая тайна", но в литературе приведены примерные перечни сведений, относящихся к коммерческой информации

Так, Э. Соловьев предлагает следующий ориентировочный перечень сведений, составляющих коммерческую тайну:

- сведения о производственных возможностях предприятия;

- организация труда;

- структура кадров и производства;

- сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической деятельности;

- инвестиционные программы;

- имущественное положение предприятия;

- бюджет;

- методы изучения рынка сбыта;

- круг клиентов;

- сведения об иностранных партнерах;

- структура цены;

- условия по сделкам;

- особые условия контрактов;

- сведения о детальной расшифровке предмета лицензий при их купле-продаже;

- результаты научных исследований и проектных разработок;

- технические проекты;

- конструкция объекта;

- изобретения, "ноу-хау", промышленные и технические образцы;

- сведения, связанные с технологической информацией;

- способы производства продукции.

В.А. Герасименко, Д.В. Павлов, А.А. Шиверский приводят следующий примерный перечень сведений, относимых к коммерческой тайне:

1. Сведения стратегического характера:

- планы развития производства, в том числе с применением новых технологий, открытий и т.п.;

- причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления и т.п.

2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции; разработка технологий и новых видов продукции с учетом потребностей рынка и т.д.

3. Деловая информация:

- о торговых и деловых партнерах, клиентах, посредниках, поставщиках и т.д.;

- об условиях контрактов, соглашений, договоров и др.;

- о состоянии кредитно-финансовой системы предприятия;

- маркетинговая информация.

Положительным элементом формулировок содержания коммерческой тайны, приведенных В.А. Герасименко, Д.В. Павлов, А. А. Шиверским и Э. Я. Соловьевым, является то, что они попытались выделить основные области предпринимательской деятельности, в которых могут существовать сведения, составляющие коммерческую тайну.

На основании вышеизложенного можно сделать вывод, что действующее законодательство никак не ограничивает предметный характер информации, составляющей коммерческую тайну. К коммерческой тайне относятся конфиденциальные сведения в областях: производственно-хозяйственной; коммерческой; управленческой; научно-технической; финансовой, главное, чтобы данная информация имела бы коммерческую ценность в силу неизвестности ее третьим лицам.

Остальные виды тайн чаще всего обозначены, их объемы пересекаются, одна тайна накладывается на другую. Такое положение крайне отрицательно складывается на правоприменительной практике. Проблемы с определением круга сведений, относящихся к конкретному виду тайн, существуют даже в отношении наиболее "проработанных" законодательно тайн (таких как, государственная тайна и "ноу-хау"), что нередко подтверждает и судебная практика.

Поэтому, при решении вопроса об отнесении конкретной информации к защищаемой нужно руководствоваться определенными критериями, т.е. признаками, при наличии которых информация может быть отнесена к защищаемой.

Общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.

Критерии отнесения открытой информации к защищаемой:

- необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;

- необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);

- необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ее функционирования;

- необходимость информации для финансовой деятельности;

- необходимость информации для обеспечения функционирования социальной сферы;

- необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;

- важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.

Эти критерии обусловливают необходимость защиты открытой информации от утраты.

Названные выше критерии отнесения открытой информации к защищаемой вызывают потребность в защите от утраты и конфиденциальной информации.

Однако основной, определяющий критерий отнесения информации к конфиденциальной и защиты ее от утечки – возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам.

Этот критерий имеет две составляющие: Неизвестность информации третьим лицам. Получение преимуществ от использования информации (получение выгоды, предотвращение политического, экономического или морального ущерба). Эти две составляющие взаимосвязаны и взаимообусловлены с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ тому, кто ее защищает, с другой стороны, преимущества можно получить только за счет такой неизвестности.

При отсутствии названных выше критериев нет оснований для перевода информации в категорию защищаемой. Но наличие этих критериев не означает, что информация во всех случаях без исключения должна быть отнесена к охраняемой. Критерии – это лишь объективные показатели возможности отнесения информации к защите.

Для реализации этой возможности в действительности необходимы следующие условия:

1. Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным. Перечни таких сведений содержатся в нормативных актах РФ.

2. Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.

3. Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.

Таким образом, правовой и методологической основой для разработки перечней защищаемой информации являются: критерии отнесения информации к защищаемой; условия отнесения информации к защищаемой; понятие соответствующего вида тайны (их характеристики и показатели); специфика предприятия (для коммерческой тайны, что для одних является коммерческой тайной, для других – рекламная информация).

Основные источники правового регулирования конфиденциальной информации

В предыдущих разделах были упомянуты некоторые источники, регулирующие правовые режимы конфиденциальной информации. Остановимся на этой теме более подробно.

Обеспечение защиты конфиденциальной информации складывается из следующих составляющих:

1. Нормативные правовые акты РФ.

2. Нормативно-методические и методические документы.

3. Стандарты.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства;

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Приведем примеры:

Основные направления правового регулирования информационных отношений – конституционное и гражданско-правовое. Как продолжение свободы мысли и слова, которая закреплена в ч. 1 ст. 29 Конституции РФ, ч. 4 ст. 29 Конституции РФ закрепляет право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется соответствующим федеральным законом. Этому праву корреспондирует общая обязанность органов государственной власти и местного самоуправления, располагающих такого рода информацией, предоставлять ее по соответствующим запросам. Возможные исключения из этого общего правила должны обязательно иметь форму федерального закона (ч. 3 ст. 55 Конституции РФ). Ст. 42 Конституции РФ говорит о праве каждого на достоверную информацию о состоянии окружающей среды. Ст. 19 Основ законодательства РФ "Об основах охраны здоровья граждан Российской Федерации" конкретизирует это установление закреплением определенного механизма реализации прав граждан на информацию о факторах, влияющих на их здоровье (п.5 пп.7 ст. 19).

Закон Российской Федерации от 5 марта 1992 г. № 2446-1 "О безопасности" (ред. от 26.06.2008) - данный закон призван защитить интересы личности, общества и государства от возможных внешних и внутренних угроз, посягающих на права, свободу, материальные и духовные интересы. Информационная безопасность - есть защита любой информации, и, в первую очередь, конфиденциальной.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите и информации" - назначение закона обеспечение защиты информации, регулирования отношений при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений в области охраны результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Качество современного уровня правового регулирования отношений по поводу информации во многом определяется степенью учета законодателем этих признаков (свойств).

Конфиденциальная информация определена в п. 7 ст. 2 Федерального закона от 27 июля 2006 года № 149-ФЗ через требование не передавать такую информацию третьим лицам без согласия ее обладателя. На мой взгляд, это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять-таки через информацию с ограниченным доступом, не содержащую государственную тайну, во-первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во-вторых, государственная тайна − это тоже конфиденциальная информация. Поэтому более правильно, на мой взгляд, под конфиденциальной информацией понимать легально полученную информацию, которая в силу закона или иного акта, имеющего юридическое значение, доступна строго определенному кругу лиц, и в отношении которой установлен режим той или иной степени секретности.

Пункт 3 статьи 5 Федерального закона № 149-ФЗ об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Так, по этому основанию информация подразделяется:

1) на информацию, свободно распространяемую, например, посредством средств массовой информации;

2) на информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) на информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) на информацию, распространение которой в Российской Федерации ограничивается или запрещается. Например, информация, составляющая коммерческую или государственную тайну.

В п. 2 этой статьи приводится разделение информации в зависимости от категории доступа к ней. По этому основанию информация может быть общедоступной; ограниченного доступа.

Федеральным законом № 152-ФЗ от 27 июля 2006 "О персональных данных" регулируются отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

ФСТЭК предлагает выделять персональные данные из информационных систем, содержащих информацию ограниченного доступа и защищаемых в режиме тайны, что во многих случаях не реализуемо. Выделение персональных данных из общего массива охраняемой информации создает для оператора проблему соотношения требований по технической защите информации, а также проблему соотношения прав и обязанностей субъектов в отношении защищаемой информации.

С 1 января 2008 года в силу вступила часть четвертая Гражданского кодекса Российской Федерации, регулирующая отношения по поводу результатов интеллектуальной деятельности. Введены понятия "секрет производства" (ст. 1465 ГК РФ: секретом производства (ноу-хау) признаются сведения любого характера (технические, производственные, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа, на законном основании, и в отношении которых обладателем таких сведений введен режим коммерческой тайны) и "служебные секреты производства" (ст. 1470 ГК РФ: исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю. Гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства).

Что касается служебных секретов производства, то исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя, принадлежит работодателю. Но существует и важная особенность: на работника возлагается обязанность сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства независимо от того, создал ли такой работник результат интеллектуальной деятельности или соответствующие сведения стали известны работнику лишь в связи с выполнением своих служебных обязанностей.

В контексте рассматриваемого вопроса нельзя обойти Федеральный закон "О коммерческой тайне" № 98-ФЗ, принятый 29 июля 2004 года и приведенный в соответствие с частью четвертой ГК РФ.

Федеральные законы "О коммерческой тайне", "Об информации, информационных технологиях и о защите информации" и часть 4 ГК РФ - ввели, как говорилось выше, и новые понятия, и изменили содержание некоторых прежних понятий, относящихся к данному вопросу. Ст. 139 ГК РФ, определявшая коммерческую тайну, отменена.

В ст. 3 Федерального Закона № 98-ФЗ "О коммерческой тайне" коммерческая тайна определяется как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Федеральные законы от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" и от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" - закон призван обеспечить защиту сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов (ст. 5 ФЗ № 184-ФЗ).

Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" - закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в свете обеспечения защиты конфиденциальной информации при осуществлении лицензирования отдельных видов деятельности.

Иные федеральные законы в том или ином аспекте также могут регулировать деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса РФ об административных правонарушениях № 195-ФЗ от 30 декабря 2001 г. устанавливает ответственность за административные правонарушения в области связи и информации.

В соответствии с Законом РФ "О средствах массовой информации", поиск, получение, производство и распространение массовой информации, учреждение ее средств, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных соответствующим законодательством РФ.

В числе нормативных правовых актов, частично регулирующих рассматриваемые отношения, следует назвать также Закон "Об архивном деле в Российской Федерации". Пользователь архивных документов имеет право использовать, передавать, распространять информацию, содержащуюся в них, а также копии архивных документов для любых законных целей и любым законным способом. Кроме того, приняты и иные нормативные правовые акты в данной области.

Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" - указ регламентирует меры обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей "Интернет". Особое внимание уделяется обеспечению безопасности "закрытой" информации.

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "Вопросы Федеральной службы по техническому и экспортному контролю" - указ призван обеспечить защиту информации путем создания Федеральной службой по техническому и экспортному контролю своих территориальных органов, Государственного научно-исследовательского испытательного института проблем технической защиты информации.

Указ Президента РФ от 20 января 1994 г. № 170 "Об основах государственной политики в сфере информатизации" (в ред. от 9 июля 1997 г.) установил, что основными направлениями государственной политики в сфере информатизации являются: обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям. Указ Президента Российской Федерации № 188 от 6 марта 1997 г. (в редакции Указа Президента РФ № 1111 от 23. сентября 2005 г.) установил перечень сведений конфиденциального характера.

Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" - данное постановление регламентирует порядок обращения и работы с конфиденциальной информацией федеральными органами исполнительной власти с целью предотвращения угрозы утечки информации и обеспечения защиты информации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" - данное Постановление утвердило Положение об обеспечении безопасности персональных данных в соответствии со ст. 19 ФЗ № 152-ФЗ. Положение содержит требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" - данное Постановление утвердило Положение об обязательной сертификации средств защиты информации, где отражен порядок сертификации средств защиты информации в Российской Федерации.

Постановления: Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" и Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности но разработке и (или) производству средств защиты конфиденциальной информации" призваны обеспечить защиту конфиденциальной информации путем обязательного лицензирования технических средств защиты.

Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления ее обеспечения и служит основой для формирования государственной политики и подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации, а также для разработки ее целевых программ.

К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся: достоинство личности, свобода совести, включая право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними, свобода мысли и слова (за исключением пропаганды или агитации, возбуждающих социальную, расовую, национальную или религиозную ненависть и вражду), а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания; свобода массовой информации; неприкосновенность частной жизни, личная и семейная тайна; русский язык как фактор духовного единения народов многонациональной России, язык межгосударственного общения народов государств - участников Содружества Независимых Государств; языки, нравственные ценности и культурное наследие народностей Российской Федерации; объекты интеллектуальной собственности.

Российская Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. Общее число тайн превысило 40, а термин "конфиденциальность" встречается в 84 федеральных законах и 706 международных актах, в том числе в межправительственных соглашениях. В качестве примеров можно привести следующие документы: Европейская Конвенция об информации относительно иностранного законодательства (ETS № 62) (заключена в Лондоне 7 июня 1968 г.); Соглашение о межгосударственном обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 г.); Соглашение о сотрудничестве в области информации (заключено в Бишкеке 9 октября 1992 г.); Соглашение об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 г.); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена в Стамбуле, 6 марта 1993 г.); Соглашение о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств – участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 г.); Конвенция о преступности в сфере компьютерной информации (ETS N 185) (заключена в Будапеште 23 ноября 2001 г.); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных технологий и связи (заключено в Ганновере 11 апреля 2005 г.); Соглашение между Правительством Российской Федерации и Правительством Союза Мьянма о взаимной защите секретной информации (заключено в Москве 3 апреля 2006 г.) и др.

Подводя итог вышеизложенному материалу можно сделать вывод, что конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную, профессиональную или личную тайны, охраняющиеся её владельцем.

Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом. При этом информация как таковая и конфиденциальная информация являются предметом регулирования различных отраслей права и нормативных правовых актов РФ, важнейшее место среди которых занимает Конституция РФ. Россия также – субъект международных правоотношений по поводу информации.

Угрозы и меры по предупреждению утечки конфиденциальной информации

Деятельность современных организаций требует хранения и использования все больших объемов информации, чему способствует снижение стоимости вычислительной мощности, пропускной способности сетей и систем хранения.

Вместе с этим растут риски (угрозы) утечки информации, давление со стороны регулирующих органов и ожидания заинтересованных лиц в отношении защищенности информации.

Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных.

Разглашение конфиденциальной информации может привести к убыткам, повлечь за собой предусмотренную законодательством ответственность, а также повредить репутации за счет публикаций в СМИ и широкой общественной огласки. Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath), представленные на рис. 1.

Защита конфиденциальной информации

Рисунок 1 - Угрозы информационной безопасности в России

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Риск утечки информации складывается из ценности этой информации для организации и вероятности утечки.

Термин "утечка конфиденциальной информации", вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах.

Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:

- последствия для бизнеса, включая существенный ущерб для репутации и потерю конкурентных преимуществ;

- стоимость необходимых ресурсов и требуемого времени для воссоздания информации;

- юридические последствия, ответственность и иски, штрафы и санкции, отзыв лицензий;

- ликвидность информации - количество лиц, заинтересованных в получении информации, и внешние ограничения для ее распространения и использования;

- актуальность информации, влияние времени на ее ценность.

Основными источниками конфиденциальной информации являются:

- персонал предприятия, допущенный к конфиденциальной информации;

- носители конфиденциальной информации (документы, изделия);

- технические средства, предназначенные для хранения и обработки информации;

- средства коммуникации, используемые в целях передачи информации;

- передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (различных средств и систем связи).

Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:

- конфиденциальное делопроизводство (защищенный документооборот);

- совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;

- совещания (конференции), в ходе которых обсуждаются вопросы конфиденциального характера;

- рекламная и издательская (публикаторская) деятельность;

- различные мероприятия в области сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией;

- научные исследования, деятельность диссертационных и иных советов учреждений и организаций;

- передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.

Организационные каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты негативному воздействию со стороны злоумышленников, направленному на получение этой информации.

Данное воздействие, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на недопущение ее утечки и несанкционированного распространения (утраты носителей конфиденциальной информации).

Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделяются следующим образом:

- по источникам угроз защищаемой информации (внешние и внутренние);

- по видам конфиденциальной информации или тайн (государственная, коммерческая, служебная или иная тайна; персональные данные сотрудников предприятия);

- по источникам конфиденциальной информации (персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или принимаемые сообщения и т.п.);

- по способам или средствам доступа к защищаемой информации (применение технических средств, непосредственная и целенаправленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем);

- по характеру взаимодействия с партнерами (каналы утечки, возникающие в отсутствие взаимодействия, при осуществлении взаимодействия, в условиях конкурентной борьбы);

- по продолжительности или времени действия (каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия);

- по направлениям деятельности предприятия (каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия);

- по причинам возникновения каналов утечки информации (действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства);

- по каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации (каналы утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по которому передается информация);

- по месту возникновения каналов утечки информации (каналы утечки, возникающие за пределами территории предприятия или на территории предприятия - в служебных помещениях, на объектах информатизации, объектах связи и в других местах);

- по используемым способам и методам защиты информации (каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов).

Рассмотрим более подробно угрозы защищаемой информации. Под угрозой защищаемой информации будем понимать некоторую ситуацию (или потенциально существующую возможность ее осуществления), которая может привести к нарушению установленного статуса информации.

В общем смысле понятие угрозы является комплексным и включает в себя несколько составляющих: источники угроз, виды угроз и способы их реализации.

В качестве источников угроз защищаемой информации могут выступать люди, средства обработки, передачи и хранения информации, другие технические средства и системы, не связанные непосредственно с обработкой защищаемой информации, стихийные бедствия и природные явления.

Наиболее опасным источником угроз является человек. Он может производить широкий спектр различных негативных воздействий на информацию как преднамеренных, так и непреднамеренных (случайных). В том числе, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах.

Западные специалисты считают, что для обеспечения информационной безопасности и сохранности конфиденциальной информации, необходим правильный подбор, расстановка и воспитание персонала.

Принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17 799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

Для предотвращения угрозы утечки конфиденциальной информации, рекомендуется при приеме на работу проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:

а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;

б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

Оформление допуска для работы с конфиденциальной информацией, которое также составляет основу планирования управления персоналом, производится на основании разграничения доступа к конфиденциальным документам.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы.

Разрешительная система допуска к конфиденциальным документам решает следующие задачи:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны компании (фирмы/организации), и работы с ценными документами;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- обеспечение сотрудника всем необходимым для выполнения своих служебных функций;

- исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

- рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.

Возникающая практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом документов и сведений называется доступом.

Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям.

Воздействие со стороны всех остальных источников угроз всегда носит случайный характер.

Средства обработки, передачи и хранения информации могут представлять для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме того, при обработке информации с помощью ЭВМ необходимо организовать защиту от возникающих в процессе Работы побочных электромагнитных излучений и наводок.

Технические средства и системы, непосредственно не связанные с обработкой защищаемой информации (электроснабжение, водоснабжение, отопление и пр.) также могут оказывать негативное воздействие на информацию, влияя на средства ее обработки. Так, при отключении электроэнергии временно отключаются и системы обработки информации, что может привести, например, к потере не сохраненных данных в памяти компьютера.

Стихийные бедствия и природные явления могут создавать аварийные ситуации, при которых средства вычислительной техники выходят из строя или временно находятся в нерабочем состоянии.

Информация, обрабатываемая с помощью средств вычислительной техники, может подвергаться следующим видам угроз:

- уничтожение информации и (или) ее носителя;

- несанкционированное получение и (или) распространение конфиденциальной информации;

- модификация информации, т. е. внесение в нее изменений;

- создание ложных сообщений;

- блокирование доступа к информации или ресурсам системы, том числе отказ в обслуживании;

- несанкционированное или ошибочное использование информационных ресурсов системы;

- отказ от получения или отправки информации.

Уничтожение информации и (или) ее носителя может нанести значительный ущерб собственнику (владельцу) данной информации, так как у него не будет достаточных сведения для принятия необходимых решений. Кроме того, если и существует возможность восстановления утраченной информации, то это потребует значительных затрат, А зачастую полное восстановление уничтоженных данных вообще невозможно, например, в случае уничтожения электронного архива организации за много лет работы или обширного банка данных.

Для предотвращения утечки конфиденциальной информации с помощью средств вычислительной техники, необходима техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:

Программные – персональные и корпоративные файрволы; антивирусы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.

Программно-аппаратные – маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.

Аппаратные – устройства обнаружения и ликвидации прослушивающей аппаратуры; сканеры радиоизлучения; генераторы радиопомех, устройства бесперебойного питания, и другие.

Решение проблем защиты электронной информации базируется, в том числе и на использовании криптографических методов. Суть криптографической защиты в том, чтобы информация в процессе передачи была защищена от искажения или от перехвата, или от того и другого сразу.

Обеспечение конфиденциальности при передаче сообщений по незащищенным каналам связи – традиционная задача криптографии. В общем случае данная задача решается при помощи криптографических преобразований, заранее согласованных между всеми легитимными участниками информационного обмена. Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование – расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.

Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность.

Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.

Несанкционированное получение злоумышленником конфиденциальной информации также может привести к значительному ущербу. Так, например, получив информацию, идентифицирующую пользователя; автоматизированной системы при входе в нее, злоумышленник получает право доступа к системе. При этом он становится обладателем всех прав санкционированного пользователя, т. е. пользователя, которому разрешена работа в данной системе. Также злоумышленник может перехватить информацию, которой обмениваются клиент и банковская система, и затем, используя эти сведения, осуществить кражу денег со счета данного клиента. Существует большое множество подобных примеров, когда утечка конфиденциальной информации наносила непоправимый урон ее собственнику.

Модификация информации означает внесение в информацию каких-либо изменений в интересах злоумышленника. Это представляет значительную опасность для собственника (владельца) информации, так как на основе измененных данных он может принять неправильное решение, что нанесет ему ущерб и (или) принесет выгоду злоумышленнику. Если же пользователю станет известно о возможных внесенных искажениях, он должен будет приложить дополнительные усилия по их выявлению, устранению и восстановлению истинных сведений. А это требует дополнительных затрат различных ресурсов (временных, денежных, кадровых).

Непосредственно к модификации информации примыкает и такой вид угроз, как создание ложных сообщений. Это означает, что злоумышленник преднамеренно посылает субъекту заведомо ложную информацию, получение и использование которой данным субъектом выгодно злоумышленнику. При этом такая информация снабжается всеми атрибутами и реквизитами, которые не позволяют получателю заподозрить, что эта информация ложная.

Блокирование доступа к информации или ресурсам системы может иметь негативные последствия в, случае, когда некоторая информация обладает реальной ценностью только на протяжении короткого отрезка времени. В этом случае блокирование нарушает требование своевременности получения информации. Также блокирование доступа к информации может привести к тому, что субъект не будет обладать всей полнотой сведений, необходимых для принятия решения. Одним из способов блокирования информации может быть отказ в обслуживании, когда система вследствие сбоев в работе или действий злоумышленника не отвечает на запросы санкционированного пользователя.

Несанкционированное или ошибочное использование ресурсов системы, с одной стороны, может служить промежуточным звеном для уничтожения, модификации или распространения информации. С другой стороны, оно имеет самостоятельное значение, так как, даже не касаясь пользовательской или системной информации, может нанести ущерб самой системе (например, вывести ее из строя).

Отказ от получения или отправки информации заключается в отрицании пользователем факта посылки или приема какого-либо сообщения. Например, при осуществлении банковской деятельности подобные действия позволяют одной из сторон расторгать так называемым "техническим" путем заключенные финансовые соглашения, т. е. формально не отказываясь от них. Это может нанести второй стороне значительный ущерб.

Перечисленные виды угроз могут реализовываться различными способами, которые зависят от источника и вида угрозы. Существует большое количество подобных способов (особенно в сфере безопасности компьютерных сетей), они постоянно совершенствуются и обновляются.

Организация систем защиты конфиденциальной информации

Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

- организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ "Об информации, информатизации и защите информации".

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.

Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

- предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

- предприятие обязано обеспечить сохранность конфиденциальной информации.

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

- Положение о сохранении конфиденциальной информации;

- Перечень сведений, составляющих конфиденциальную информацию;

- Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

- Положение о специальном делопроизводстве и документообороте;

- Перечень сведений, разрешенных к опубликованию в открытой печати;

- Положение о работе с иностранными фирмами и их представителями;

- Обязательство сотрудника о сохранении конфиденциальной информации;

- Памятка сотруднику о сохранении коммерческой тайны.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.

Эта мера носит скорее психологический характер. Дело в том, что даже полную материальную ответственность сотрудника ТК РФ ограничивает размером прямого ущерба, нанесенного работодателю (ст. 238 ТК РФ). Поэтому в лучшем случае со злоумышленника удастся взыскать лишь стоимость бумаги или дискеты, на которых содержались секретные сведения.

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

- защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

- защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

- защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

В отношении конфиденциальной информации целями защиты являются:

- предотвращение утечки, хищения, утраты, искажения информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению и копированию;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение конфиденциальности документированной информации.

Режим защиты в отношении конфиденциальной документированной информации устанавливается собственником информации или уполномоченным лицом на основании этого закона.

Владелец документов, массива документов, информационной системы обеспечивает уровень защиты информации в соответствии с законодательством.

В качестве собственников конфиденциальной информации могут выступать:

- государство (государственные органы и предприятия, учреждения, организации);

- юридические лица (организации, учреждения предприятия с негосударственной формой собственности);

- физические лица (граждане).

Организации, обрабатывающие конфиденциальную информацию, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Для защиты могут использоваться только сертифицированные средства защиты.

Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.

Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.

Правовой основой для допуска является:

- обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;

- нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.

Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны "обязательство" (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:

- не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;

- не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;

- выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;

- в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;

- сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет дело вые отношения;

- не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;

- в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;

- об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.

Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.

Сотрудники организации/предприятия должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.

За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.

Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации - это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, таким образом, чтобы максимально обезопасить ее от несанкционированного доступа.

При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.

Пути повышения защиты конфиденциальной информации и персональных данных в органах местного самоуправления

К основным проблемам, с которыми сталкиваются органы местного самоуправления при организации защиты конфиденциальной информации, можно отнести:

1. Большой объем обрабатываемых персональных данных различных категорий (в том числе специальных и биометрических).

2. Необоснованная избыточность собираемых и обрабатываемых ПДн вследствие отсутствия регламентированных процессов и описания процедур обработки информации.

3. Отсутствие в штате специалистов, способных самостоятельно реализовывать требования законодательства РФ по вопросам защиты конфиденциальной информации.

4. Большой объем нормативных документов, подлежащих к доработке в рамках создания системы защиты конфиденциальной информации.

5. Низкая степень автоматизации процессов обработки информации вследствие недостаточно развитой информационной инфраструктуры.

6. Недостаточное финансирование расходов, связанных с технической защитой муниципальных информационных систем.

Наличие проблем, связанных с техническим обеспечением защиты конфиденциальной информации касаются как технических средств, так и программного обеспечения, в первую очередь, системного. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции Майкрософта в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком которых, несомненно должно быть государство. Исследователи обращают внимание на то, что емкость рынка ИКТ в России увеличивается за счет закупки импортных технологий, при этом уменьшается доля отечественных технологий на рынке.

К проблеме на законодательном уровне следует отнести проблему действия законодательства в области защиты персональных данных, в котором это действие не распространяется на отношения, возникающие при:

- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

- организация комплектования, хранения, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в России;

- обработке подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Также существуют проблемы регламентации работы сотрудников с персональными данными на основании внутренних распорядительно-методических документов.

Постановлением Правительства РФ от 21 марта 2012 г. № 211 определено, что государственные или муниципальные органы, обрабатывающие персональные данные, обязаны принять ряд документов, среди которых:

- правила обработки персональных данных, определяющие для каждой цели обработки персональных данных содержание обрабатываемых данных, категории субъектов, данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- перечень информационных систем персональных данных;

- должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе.

Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

Для повышения эффективности защиты конфиденциальной информации в целом и персональных данных в частности в Администрации района необходима разработка документации в соответствии с Постановлением Правительства РФ от 21 марта 2012 г. № 211. В перечень документов могут войти:

1.Приказы:

- о назначении ответственного за организацию обработки ПДн;

- о назначении ответственного (ных) за обеспечение безопасности ПДн с наделением их полномочий по проведению всех мероприятий, касающихся организации защиты ПДн;

- об установлении Перечня лиц, допущенных к обработке ПДн;

- о возложении персональной ответственности на сотрудников, имеющих отношение к обработке ПДн. Внесение соответствующих изменений и дополнений в должностные инструкции.

2.Инструкции:

- должностная инструкция ответственного за организацию обработки ПДн;

- инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн.

3.Положение о персональных данных работников и их защите, должно содержать:

- понятие и состав персональных данных;

- порядок хранения данных в структурных подразделениях предприятия (при их наличии);

- организацию учета данных: в бумажном виде или на электронных носителях, порядок архивирования;

- процедуру сбора персональных данных;

- порядок обработки и использования данных;

- перечень должностных лиц, имеющих право доступа к персональным данным работников;

- перечень информационных систем персональных данных;

- способы защиты бумажных носителей (отдельные кабинеты для работников, непосредственно работающих с персональными данными, закрывающиеся шкафы, сейфы и т.д.), способы защиты электронных носителей (персональные компьютеры с паролями);

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- правила обработки персональных данных;

- право работника на защиту своих персональных данных;

- ответственность должностных лиц за разглашение конфиденциальной информации, связанной с персональными данными работников.

4.Форма согласия субъекта ПДн на их обработку в случаях определенных ЗоПДн.

5.Регламент допуска сотрудников к обработке ПДн.

6.Издание документов, определяющих политику оператора в отношении обработки персональных данных, включающих в себя:

- порядок обработки персональных данных (состав обрабатываемых данных, цели и условия обработки, сроки хранения, порядок уничтожения и т.д.);

- процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений;

- меры ответственности за нарушение установленного порядка обработки ПДн;

- порядок ознакомления с данными документами.

7.В случае использования типовых форм документов, содержащих персональные данные, разработанных оператором, необходимо наличие инструкций по их заполнению.

8.Порядок хранения материальных носителей персональных данных (как хранятся, где хранятся, кто ответственный за хранение).

9.Должностные инструкции сотрудников, имеющих отношение к обработке ПДн.

10.Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором неавтоматизированным способом (в том числе их категория, объем, условия хранения, условия фиксации, особенности обработки, перечень допущенных сотрудников к обработке персональных данных).

Совершенствование комплекса мероприятий по защите конфиденциальной информации следует начинать с разработки приказа о назначении должностного лица, ответственного за обеспечение безопасности конфиденциальной информации. Ответственному должностному лицу следует разработать:

- приказ о создании комиссии по классификации автоматизированных систем, обрабатывающих конфиденциальную информацию;

- план мероприятий по обеспечению защиты конфиденциальной информации;

- перечень сведений конфиденциального характера, подлежащих защите;

- положение о порядке организации и проведения работ по защите конфиденциальной информации;

- модель нарушителя и вероятных угроз;

- перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;

- инструкцию администратора безопасности АС;

- инструкцию пользователя по обеспечению безопасности АС.

В соответствии с положениями Приказа ответственное лицо должно обладать высоким уровнем знаний обеспечения безопасности конфиденциальной информации в области ПДн.

Также необходимо обучение и повышение квалификации лиц, осуществляющих обработку (организацию защиты) ПДн.

Следующим мероприятием должно стать обследование информационных систем. На стадии обследования:

- проводится инвентаризация эксплуатируемых информационных систем;

- устанавливается необходимость обработки персональных данных в данной информационной системе;

- формируется перечень ПДн, информационных систем и технических средств, используемых для их обработки;

- определяются категории ПДн;

- разрабатывается описание объекта защиты, включая состав и характеристики средств обработки ПДн;

- проводится анализ существующих на данный момент технических решений по обеспечению информационной безопасности, определяется перечень используемых технических средств защиты от утечки по техническим каналам и от несанкционированного доступа, также перечень сертифицированных средств защиты информации;

- определяется степень участия персонала в обработке информации (обсуждении, передаче, хранении), характер их взаимодействия между собой и со службой безопасности;

Предложенные мероприятия подразумевают:

1) подробный анализ средств и методов технической защиты информации;

2) подробный анализ деятельности персонала, участвующего в обработке персональных данных и имеющих доступ к ним.

Подробный анализ информационных систем и имеющихся средств защиты ПДн необходим для проектирования эффективной системы защиты персональных данных на техническом уровне. Разумно при проектировании таких систем применять два подхода: процессный и объектовый.

Процессный подход дает четкое описание бизнес-процессов, связанных с обработкой персональных данных в информационных системах Администрации района.

Такое описание технологии обработки ПДн является непременным условием выполнения требований регуляторов.

Здесь ИСПДн (информационная система персональных данных) рассматриваются как совокупности процессов, реализуемых с применением специальных программных средств (автоматизированные системы управления персоналом типа "БОСС-Кадровик", электронные телефонные справочники и др.).

Причем, в рамках каждого процесса анализу и описанию должен подвергаться весь комплекс программных и аппаратных средств, обеспечивающих всю совокупность операций и процедур конкретного процесса.

Прежде всего - за счет разбиения задачи построения комплексной системы защиты персональных данных на серию более мелких задач по подготовке к аттестации нескольких ИСПДн, локализованных в границах четко очерченных контролируемых зон, отделенных друг от друга межсетевыми экранами соответствующего класса и объединенных в единую систему с применением сертифицированных средств криптографической защиты информации. При этом достигается не только пространственная локализация объекта аттестации, но и исключение из области анализа процессов, не имеющих отношения к конкретной ИСПДн.

Так как определенную долю в утечке конфиденциальной информации имеет "человеческий фактор" необходимо более четкая нормативно-методическая регламентация организации обработки ПДн. Среди основных факторов, способствующих неправомерному распространению персональных данных на локальном уровне, можно выделить:

- отсутствие необходимых компетенций по работе с персональными данными в службе кадров;

- отсутствие системы мотивации сотрудников;

- отсутствие навыков организации защиты информации, в т.ч. и персональных данных, в процессе совещаний, переговоров, публичных выступлений;

- незнание современных технологий обработки персональных и конфиденциальных сведений и т.д.

Недостаточная "проработка" организационных мер, направленных на защиту персональных данных, может способствовать образованию каналов утечки (утраты) персональной информации работников. К таким каналам относятся:

- утеря или неправильное уничтожение документа, пакета с документами, личного дела, иных конфиденциальных записей, содержащих персональные данные;

- излишняя разговорчивость сотрудника с коллегами по работе, родственниками, друзьями, с иными лицами, особенно в общественных местах (важно отметить, что переход информации от сотрудника Администрации к постороннему лицу - явление достаточно распространенное, хотя и не всегда приемлемое);

- работа с документами ограниченного доступа при посторонних лицах, а также несанкционированная передача их другому сотруднику;

- использование сведений ограниченного доступа в открытой документации, публикациях, интервью, личных записях, дневниках;

- наличие в повседневных документах информации ограниченного доступа;

- самовольное копирование сотрудником информации из кадровой документации в личных целях.

Нормативно-методическое обеспечение защиты персональных данных работников предназначено для регламентации процессов сбора, обработки, поиска, использования, распространения, предоставления, хранения, уничтожения персональных данных лиц, находящихся в трудовых отношениях с Администрацией района.

Нормативно-методическое обеспечение предполагает ряд организационных, инструктивных и методических документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз персональной информации, которые могут возникнуть по вине сотрудников, злоумышленников и других лиц.

Каждый работник Администрации (гражданский и служащий) должен быть ознакомлены с Положением и методическими указаниями по организации обработки и защите персональных данных и личной ответственности под роспись. Также следует ограничить доступ сотрудников и пользователей информационных систем к персональным данным.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании "Перечня лиц, допущенных персональным данным", а также необходимо взять с данных лиц обязательство о неразглашении персональных данных ставших известными им, в следствии выполнения служебных обязанностей в письменном виде.

Необходимо разработать "Согласие субъекта на обработку персональных данных", в котором обязательными полями будут перечень персональных данных, цель их обработки, а также методы и способы обработки персональных данных и получить подписи каждого субъекта, персональные данные которого обрабатывает и его согласие на участие в обработке ПДн конкретного лица.

В заключении следует заметить, что недостаточное исполнение требований ФЗ "О персональных данных" и Постановления правительства может повлечь для Администрации района риски следующего характера:

1. Жалобы и иски со стороны субъектов ПДн - граждан, клиентов или работников учреждения.

2. Приостановка или прекращение обработки персональных данных в учреждении, что эквивалентно приостановлению его деятельности.

3. Привлечение руководителя и иных должностных лиц учреждения к административной, уголовной, гражданской, дисциплинарной и иных видов ответственности.

4. Приостановление деятельности или аннулирование лицензии на основной вид деятельности учреждения.

5. Репутационные риски для муниципальных органов власти, допустивших разглашение или утечку персональных данных граждан.

Выводы

Конфиденциальная информация - это информация, доступ к которой имеет ограниченный круг лиц, не подлежащая как предоставлению - передаче определенному кругу лиц, так и распространению - передаче неопределенному кругу лиц. Любая несанкционированная передача конфиденциальной информации нарушает установленный режим конфиденциальности и снижает ценность такой информации (значимой в силу неизвестности ее третьим лицам). Распространенная конфиденциальная информация полностью теряет свою ценность как объект права для ее обладателя. Предоставленная третьим лицам информация теряет часть такой ценности. Общество как обладатель информации не заинтересовано ни в первом, ни во втором.

Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом. При этом информация как таковая и конфиденциальная информация являются предметом регулирования различных отраслей права и нормативных правовых актов, важнейшее место среди которых занимает Конституция РФ. Россия также - субъект международных правоотношений по поводу информации.

При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.

Учитывая многообразие видов и форм информации с ограниченным доступом, а также разнообразие общественных отношений, складывающихся по поводу создания, передачи, использования и защиты, категория "правовой режим конфиденциальной информации" оказывается не конкретной системой правовых дозволений, предписаний запретов, а совокупностью проблем или вопросов, на которые правовые нормы дают тот или иной, нередко противоположный ответ в зависимости от вида информации и характера общественных отношений, складывающихся по поводу нее. Соответственно, о "правовом режиме конфиденциальной информации" как о системе конкретных правовых норм, можно говорить только применительно не к информации в целом, а к конкретному, четко обозначенному виду.

Выявлено отсутствие в законодательстве четкой системы классификации сведений ограниченного доступа, что порождает многочисленные коллизии и нестыковки.

В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004.

Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Организация защиты персональных данных имеет свои недостатки. Это связано с: нечетким исполнением ФЗ "О персональных данных"; большим объемом обрабатываемых персональных данных различных категорий (в том числе специальных и биометрических); необоснованной избыточностью собираемых и обрабатываемых ПДн вследствие отсутствия регламентированных процессов и описания процедур обработки информации; отсутствие в штате специалистов, способных самостоятельно реализовывать требования законодательства РФ по вопросам защиты персональных данных; большим объемом нормативных документов, подлежащих к доработке в рамках создания системы защиты персональных данных; низкой степенью автоматизации процессов обработки информации вследствие недостаточно развитой информационной инфраструктуры; недостаточным финансированием расходов, связанных с технической защитой муниципальных информационных систем.

Решение обозначенных проблем во многом определяется не только принятым в 2012 г. Постановлением Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", но и возможностью реализации на практике эффективных методов защиты информации ограниченного доступа.

В соответствии с этим были предложены рекомендации по организации защиты персональных данных. Эти рекомендации относятся как к техническому, так и к нормативно-методическому регулированию защиты ПДн. Однако стоит заметить, что разработка и внедрение любого мероприятия требует определенных финансовых затрат. Например, выделение должностного лица, ответственного за организацию защиты ПДн, предусматривает расходы на поиск и привлечение специалиста определенной квалификации, введение его в штатную единицу Администрации (заработная плата). Высокие затраты предусматривает также анализ и модернизация ИТ.

Следовательно, повысить эффективность защиты как конфиденциальной информации в целом, так и ПДн в частности на уровне муниципального органа самоуправления возможно, но только при условии государственной финансовой поддержки.

Литература

1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) (с учетом поправок внесенных Законами РФ о поправках к Конституции РФ от 30 декабря 2008 г. № 6-ФКЗ от 30 декабря 2008 г. № 7-ФКЗ) // Парламентская газета № 4 23-29.01.2009.

2. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 06.12.2011) // Российская газета № 238-239 08.12.1994.

3. Земельный кодекс Российской Федерации от 25 октября 2001 г. № 136-ФЗ (ред. от 12 декабря 2011 г.) // Собрание законодательства РФ 29.10.2001 №44 ст.4147.

4. Кодекс РФ "Об административных правонарушениях" от 30 декабря 2001 г. № 195-ФЗ // Российская газета №256 31.12.2001.

5. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 22 ноября 2011 г. с изм. от 15 декабря 2011 г.) // Собрание законодательства РФ 07.01.2002 № 1 (ч. 1) ст. 3.

6. Градостроительный кодекс Российской Федерации от 29 декабря 2004 г. № 190-ФЗ (ред. от 06 декабря 2011 г.) // Российская газета №290 30.12.2004.

7. Жилищный кодекс Российской Федерации от 29 декабря 2004 г. № 188-ФЗ (ред. от 06 декабря 2011 г., с изм. от 29 февраля 2012 г.) // Собрание законодательства РФ 03.01.2005 № 1 (часть 1) ст.14.

8. Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 N 230-ФЗ (ред. от 08.12.2011)// Парламентская газета №214-215 21.12.2006.

9. Федеральный закон от 27 декабря 1991 г. № 2124-1 (ред. от 11 июля 2011 г.) "О средствах массовой информации" // Российская газета №32 08.02.1992.

10. Закон Российской Федерации от 5 марта 1992 г. № 2446-1 (ред. от 26.06.2008) "О безопасности" // Ведомости СНД и ВС РФ 09.04.1992 №15 ст.769.

11. Федеральный закон от 21 июля 1993 г. № 5485-1 (ред. от 08.11.2011) "О государственной тайне" // Российские вести № 189 30.09.1993.

12. Федеральный закон от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" // Собрание законодательства РФ 28.07.1997 №30 ст.3586.

13. Федеральный закон от 15 ноября 1997 г. № 143-ФЗ (ред. от 03 декабря 2011 г.) "Об актах гражданского состояния" // Российская газета №224 20.11.1997.

14. Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2010 г.) "О лицензировании отдельных видов деятельности" // Российская газета №153-154 10.08.2001.

15. Федеральный закон от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) "Об электронной цифровой подписи" // Российская газета №6 12.01.2002.

16. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (ред. от 06.12.2011 г.) "О техническом регулировании" // Собрание законодательства РФ 30.12.2002 №52 (ч.1) ст.5140.

17. Федеральный закон от 27 июля 2004 г. № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" // Российская газета № 162 31.07.2004.

18. Федеральный закон от 22 октября 2004 г. № 125-ФЗ (ред. от 27 июля 2010 г.) "Об архивном деле в Российской Федерации" // Парламентская газета №201 27.10.2004.

19. Федеральный закон от 29 июля 2004 N 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне" // Собрание законодательства РФ 09.08.2004 № 32 ст. 3283.

20. Федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" // Парламентская газета № 126-127 03.08.2006.

21. Федеральный закон от 02 мая 2006 г. № 59-ФЗ (ред. от 27 июля 2010 г.) "О порядке рассмотрения обращений граждан РФ" // Российская газета №95 05.05.2006.

22. Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 25.07.2011) "О персональных данных"//Парламентская газета № 126-127 03.08.2006.

23. Федеральный закон от 06 апреля 2011 г. № 63-ФЗ (ред. от 01.07.2011 г.) "Об электронной подписи" // Парламентская газета №17 08.-14.04.2011.

24. Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" // Российская газета №263 23.11.2011.

25. Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" // ГАРАНТ - справочная правовая система/ Компания НПП "Гарант-Сервис" М.: 2004.

26. Указ Президента РФ от 20 января 1994 г. (в ред. от 9 июля 1997 г.) № 170 "Об основах государственной политики в сфере информатизации" // Собрание законодательства РФ 31.07.1995 №31 ст.3096.

27. Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (ред. от 21.04.2010 г.) "О сертификации средств защиты информации" // Российская газета №145 28.06.1995.

28. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 (ред. от 23.09.2005 г.) "Об утверждении Перечня сведений конфиденциального характера" // Российская газета № 51 14.03.1997.

29. Доктрина информационной безопасности Российской Федерации № ПР-1895 от 9 сентября 2000 г. // Российская газета №187 28.09.2000.

30. Указ Президента РФ от 12 мая 2004 г. № 611 (ред. от 03.03.2006 г.) "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" // Собрание законодательства РФ 17.05.2004 №20 ст.1938

31. Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (ред. от 08.02.2012 г.) "О вопросах Федеральной службы по техническому и экспортному контролю" // Собрание законодательства РФ 23.08.2004 №34 ст.3541.

32. Указ Президента РФ от 11.февраля 2006 № 90 "О перечне сведений, отнесенных к государственной тайне" // Собрание законодательства РФ 20.02.2006 № 8 ст. 892.

33. Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" // Собрание законодательства РФ 04.09.2006 №36 ст.3837

34. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" // Российская газета №260 21.11.2007.

35. Указ Президента РФ от 17 марта 2008 № 351 (ред. от 14.01.2011) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" // Собрание законодательства РФ, 24.03.2008 № 12 ст. 1110.

36. Постановление 30 декабря 2011 г. № 1169 "Положение об обработке персональных данных граждан

37. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: Топ-персонал, 2008. 363 с.

38. Алексенцев А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. 2003. № 4. С.12 - 14.

39. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2008. С. 16, С.19.

40. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2010. С. 121.

41. Антопольский А.А. Законодательство о служебной тайне как средство борьбы с коррупцией: перспективы развития // "Информационные Ресурсы России" №6 2010 г. С.52-57.

42. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2004.

43. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО "Юстицинформ" 2009. С. 344.

44. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2009. № 1. С. 78-84.

45. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции "Новые информационные технологии и системы". 2010. С. 223-228.

46. Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона

47. Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2009. № 2. С. 2-9.

48. Гришачев В.В., Халяпин Д.Б., Шевченко Н.А. Опасности возникновения каналов утечки конфиденциальной информации по волоконно-оптическим структурированным кабельным системам // Материалы X Международной научно-практической конференции "Информационная безопасность". 2008. С. 103-105.

49. Данилов А.Д. Ценность информации // Технологии информационного общества. 2011. № 10. С. 137-140.

50. Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации. Сб. статей. М., 2005 С. 45.

51. Деревяшко В.В. Влияние фактора старения информации на ее ценность для организации // Экономические науки. 2010. № 1. С. 425.

52. Дутов В. Предотвращение утечек информации // Управление рисками организации. 2010. № 3. С. 3-5.

53. Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2006. № 10. С.36.

54. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25-30.

55. Козлов В.В. Сохранение коммерческой тайны в организации // Управление персоналом. 2009. № 7. С. 15-19.

56. Королькова Т.А., Печерский А.В. Лицензирование деятельности по защите информации в России: история и современность // Делопроизводство. 2003. № 3 С.7

57. Кнопкин Н. Защита персональных данных: антикризисный подход // IT-manager. 2011. № 6. С. 23.

58. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА. Закон и право 2011. 335 с.

59. Лопатин, В.Н. Правовая охрана и защита права на тайну / В.Н. Лопатин // Юридический мир. 2003. №7. С.36 - 37.

60. Мельникова Е.И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности //Юридический мир 2009 С.40-43.

61. Сошина В. Персональная защита отменяется? // Национальный банковский журнал. 2011. № 11 (67). С. 96-99.

62. Снытников, А.А. Обеспечение и защита права на информацию // А.А. Снытиков, Л.В. Туманова. М.: "Городец-издат" 2003 С.344.

63. Степанов Е.А. Информационная безопасность и защита информации: учебное пособие // Е.А. Степанов, И.К. Корнеев. М.: Инфра-М. 2010. С. 336.

64. Струков В.И. Правовое обеспечение защиты информации, часть 1: Учебно-методическое пособие. Таганрог: Изд-во ТТИ ЮФУ 2007 С.45

65. Большой юридический словарь. 3-е изд., доп. и перераб. / под ред. проф. А. Я. Сухарева. // М.: ИНФРА-М 2007. 858 с.

66. Фатьянов А.А. Проблемы защиты конфиденциальной информации, не составляющей государственную тайну // Информационное общество. 2010. № 5. С. 49-56.

67. Информационная безопасность. М.: "Оружие и технологии" 2011. С. 35-44.

68. О персональных данных" // Персональные данные. 2010. № 2. С. 3-5.

69. Предпринимательство и безопасность. - М.: АНТИ, 2011. С.72.

Приложение 2

Выписка из Типового Положения о порядке обработки персональных данных Администрации муниципального образования

2.Порядок обработки персональных данных

2.1.Обработка персональных данных сотрудников Администрации осуществляется с их письменного согласия, которое действует со дня их поступления на государственную гражданскую службу (работу) на время прохождения гражданской службы (работы).

2.2.Представитель нанимателя, а также сотрудники кадровой службы Администрации обеспечивают защиту персональных данных сотрудников Администрации, содержащихся в их личных делах, от неправомерного их использования или утраты.

Администрации назначает лицо, ответственное за организацию обработки персональных данных в Администрации.

На лицо, ответственное за организацию обработки персональных данных возлагаются следующие обязанности:

а)осуществление внутреннего контроля за соблюдением сотрудниками Администрации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

б)доведение до сведения сотрудников Администрации положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

в)организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

Все действия по передаче персональных данных, хранящихся в Администрации, другим государственным органам, организациям и физическим лицам, подлежат обязательному согласованию с лицом, ответственным за организацию обработки персональных данных в Администрации.

Сотрудники Администрации обязаны предоставлять лицу, ответственному за организацию обработки персональных данных в Администрации, информацию, необходимую для осуществления внутреннего контроля за соблюдением сотрудниками законодательства Российской Федерации о персональных данных.

2.3.Защита персональных данных сотрудников Администрации от неправомерного их использования или утраты обеспечивается за счет средств муниципального образования в порядке, установленном федеральным законодательством и законодательством МО.

2.4.Персональные данные, иные сведения, содержащиеся в личных делах сотрудников Администрации, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральным законодательством случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

2.5.Обработка персональных данных сотрудников Администрации осуществляется как с использованием средств автоматизации, так и без использования таких средств.

2.6.Приказом Главы Администрации утверждается список должностей государственных гражданских служащих, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным.

2.7.Гражданские служащие Администрации, уполномоченные на обработку персональных данных и (или) имеющие доступ к персональным данным, под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.

2.8.При обработке персональных данных сотрудников Администрации гражданские служащие, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:

а) персональные данные следует получать лично у сотрудника Администрации. В случае возникновения необходимости получения персональных данных сотрудника Администрации у третьей стороны следует известить об этом сотрудника Администрации заранее, получить его письменное согласие и сообщить сотруднику Администрации о целях, предполагаемых источниках и способах получения персональных данных;

б) запрещается получать, обрабатывать и приобщать к личному делу сотрудника Администрации не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

в) при принятии решений, затрагивающих интересы сотрудника Администрации, запрещается основываться на персональных данных сотрудника Администрации, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

г) передача персональных данных сотрудников Администрации третьей стороне не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации;

д) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

е) в случае выявления недостоверных персональных данных сотрудника Администрации или неправомерных действий с ними в МО при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных сотрудники кадровой службы Администрации обязаны осуществить блокирование персональных данных, относящихся к соответствующему сотруднику, с момента такого обращения или получения такого запроса на период проверки;

ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации;

з) опубликование и распространение персональных данных гражданских служащих допускается в случаях, установленных законодательством Российской Федерации.

2.9.Администрация в соответствии со статьями 44 и 64 Федерального закона № 79-ФЗ вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва Администрации (МО).

2.10.МО в соответствии со статьей 22 Федерального закона № 79-ФЗ и пунктами 24 и 25 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 № 112 вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей и на включение в кадровый резерв МО для замещения должностей государственной гражданской службы.

2.11.При переводе или назначении гражданского служащего на должность гражданской службы в другом государственном (муниципальном) органе его личное дело передается в государственный (муниципальный) орган по новому месту замещения должности гражданской (муниципальной) службы по письменному запросу соответствующего органа.

3.Порядок обработки персональных данных в информационных системах

3.1.Приказом Главы Администрации назначается лицо (структурное подразделение), ответственное за обеспечение безопасности персональных данных в информационных системах МО.

3.2.Приказом Главы Администрации создается комиссия для проведения работ по классификации информационных систем персональных данных.

Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

3.3.Персональные данные в информационных системах Администрации могут быть представлены для ознакомления:

а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

б) уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

3.4.Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

3.5.Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

3.6.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

3.7.Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

3.8.Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Администрации должен требовать обязательного прохождения процедуры идентификации и аутентификации.

3.9.Лицом (структурным подразделением), ответственным за обеспечение безопасности персональных данных в информационных системах МО должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Администрации;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

и) определение угроз безопасности персональных данных при их обработке в информационных системах МО;

к) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

л) регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

4.Порядок обработки персональных данных без использования средств автоматизации

4.1.Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации (далее – материальные носители).

4.2.Приказом Главы Администрации МО назначаются лица, ответственные за защиту персональных данных сотрудников МО при неавтоматизированной обработке персональных данных.

4.3.При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

4.4.При неавтоматизированной обработке персональных данных на материальных носителях:

а) не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

б) персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков);

в) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

г) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

4.5.При использовании типовых форм документов, характер информации, содержащейся в которых, предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

4.6.Неавтоматизированная обработка персональных данных в электронном виде может осуществляться на внешних электронных носителях информации.

4.7.При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации применяются организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

4.8. Материальные носители информации, содержащей персональные данные, должны храниться в служебных помещениях в надежно запираемых и (или) опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

4.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.10.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Приложение 3

Защита конфиденциальной информации

Общий порядок работы по организации системы защиты конфиденциальной информации в Администрации района

Приложение 4

Защита конфиденциальной информации

Общий порядок работы по организации обеспечения защиты персональных данных в Администрации района