Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Конфиденциальная информация о физическом лице

Конфиденциальная информация о физическом лице

Как защитить конфиденциальную информацию


15 января 2021Сам по себе термин «конфиденциальность информации» подразумевает, что субъект, в руки которого попали данные, должен обеспечить их сохранность и неразглашение. Как сделать это наилучшим образом?Торговые компании в сегодняшней жизни работают с большим объемом разнообразной информации. Она может содержать результаты маркетинговых исследований, изучения конкурентов, потребителей, важные финансовые и технические данные.Большую ценность информация приобретает в том случае, когда она носит конфиденциальный характер. Данные, которые будут выработаны в ходе деловых встреч и переговоров должны храниться втайне от третьих лиц, что просто необходимо для создания доверительных отношений с предполагаемыми партнерами по бизнесу.

Конечно же, гриф конфиденциальности целесообразен не для всех данных, а только для той информации, которая играет большую роль в системе функционирования предприятия.Руководитель компании определяет группу документов, которые содержат в себе конфиденциальную информацию.

К документации подобного рода имеют доступ только узкий круг работников, которые подписали соглашение о неразглашении коммерческой тайны предприятия.Вопрос о защите информации на сегодняшний день стоит достаточно остро, поскольку практически 95% данных хранится и обрабатывается при помощи ПК. Большинство персональных компьютеров являются частью локальной сети, имеют доступ в Интернет или допускают работу нескольких пользователей, поэтому сокрытие информации обеспечить весьма непросто.Для того чтобы руководить предприятия и его бизнес-партнеры поддерживали доверительные отношения и не опасались за сохранность важных данных, используется ряд средств по защите информации:Обеспечение конфиденциальности информации- по законодательству каждый предприниматель имеет право на конфиденциальную информацию.
Большинство персональных компьютеров являются частью локальной сети, имеют доступ в Интернет или допускают работу нескольких пользователей, поэтому сокрытие информации обеспечить весьма непросто.Для того чтобы руководить предприятия и его бизнес-партнеры поддерживали доверительные отношения и не опасались за сохранность важных данных, используется ряд средств по защите информации:Обеспечение конфиденциальности информации- по законодательству каждый предприниматель имеет право на конфиденциальную информацию.

Если третьи лица совершили посягательства на такие данные, то их собственник имеет право обратиться в правоохранительные органы, которые займутся розыском и определят наказание правонарушителям;- владелец важной документации вправе организовать собственную службу защиты, разделить данные на несколько категорий, в зависимости от их важности, распределить права доступа к информации;- также возможна организация в рамках торгового предприятия контрольно-пропускной системы, введение личных кодов доступа и тому подобных мероприятий. Это поможет не только ограничить доступ нежелательных лиц, но и идентифицировать каждое обращение к конфиденциальным данным;- применение технических средств по наблюдению и контролю над носителями информации;- работа с персоналом предприятия, которая позволит разъяснить важность данных, используемых в процессе работы, а также ответственность в случае их утечки.

Основы защиты персональных данных

16 сентябряПерсональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Различные фрагменты информации, собранные вместе, и приводящие к идентификации конкретного лица, также представляют собой персональные данные.

Трудно точно сказать, какая именно информация о человеке входит в такое понятие персональных данных (ПДн). Обращаясь к законодательству разных стран в области хранения и обработки ПДн, нельзя найти точного определения что является персональными данными. Но можно точно сказать, если по совокупности личной информации мы можем определить конкретного человека, мы имеем дело с персональными данными.Под такое определение попадает множество личных данных, которые как по отдельности, так и в совокупности, могут указать на конкретного человека.Таким образом персональными данными являются:

  1. Место рождения и дата рождения
  2. Имя, отчество и фамилия
  3. Аккаунты в социальных сетях
  4. Домашний адрес
  5. Фото и видео файлы
  6. IP адрес и cookie-файлы
  7. Номер стационарного или мобильного телефона
  8. Информация о болезнях
  9. ИНН
  10. Паспортные данные
  11. Адрес электронной почты лишь малая часть личной информации, по которой можно точно определить нужного человека. Несанкционированная, неосторожная и не имеющая должной зашиты обработка персональных данных может причинить большой вред физическим лицам и компаниям. Целью защиты персональных данных является не просто защита персональных данных человека, а защита основных прав и свобод людей, связанных с этими данными. Надежно защищая персональные данные, можно гарантировать, что права и свободы человека не нарушаются. Например, неправильная обработка персональных данных может привести к ситуации, когда человек упускает возможность трудоустройства или, что еще хуже, теряет текущую работу. Несоблюдение правил защиты персональных данных может привести к еще более жестким ситуациям, когда можно снять все деньги с банковского счета человека или даже создать опасную для жизни ситуацию, манипулируя медицинской информацией.Исходя из этого можно сказать, что любая компания, собирающая подобную информацию, должна обеспечить надежную защиту для хранения и обработки персональных данных. В России законодательной основой защиты ПДн является федеральный закон №152-ФЗ «О персональных данных». В это законе говорится, что любая организация, физическое или юридическое лицо, которое осуществляет обработку персональных данных является оператором персональных данных и несёт уголовную, административную и гражданскую ответственность за нарушение требований хранения и обработки персональных данных. В Европе защита персональных данных регулируется «Общим регламентом по защите персональных данных» (GDPR). За обработку и сохранность данных согласно GDPR отвечает контроллер данных. За нарушение норм GDPR предусмотрены штрафы в размерах до $20 млн. или до 4% оборота компании.Для определения методов и способов защиты персональных данных их можно разделить на несколько категорий:
    1. Биометрические данные. К таким данных относят физиологические или поведенческие признаки физического лица. Такие данные позволяют однозначно идентифицировать человека. Можно отнести к таким ПДн отпечатки пальцев, изображение человеческого лица, сетчатку глаза, запись голоса.
    2. Особо охраняемы данные. К этой категории относятся данные, раскрытие которых может повлиять на конфиденциальность личности и в результате привести к дискриминации. Исчерпывающего перечня таких данных не существует, однако, данные, относящиеся к следующей информации, стали широко рассматриваться как конфиденциальные: политические взгляды, религиозные взгляды, физическое и ментальное здоровье, сексуальная ориентация, расовая и этническая принадлежность, генетические данные и т.п.
    3. Общие данные. Все данные, относящиеся к человеку, которые он сам разместил в открытом доступе или же прямо или косвенно к нему относящиеся. К таким данным можно отнести страницу в социальных сетях или список редакции журнала.
    4. Обезличенные или не относящиеся к остальным категориям данные.
  12. Для разных категорий данных требуется обеспечение разной степени защиты.

    Особо охраняемы данные требуют максимальной защиты, так как нарушение требований защиты или утечка персональных данных может привести к значительному ущербу для субъекта персональных данных. Обезличенные же данные требуют лишь минимальной защиты, так как это не приведет к негативным последствиям для субъекта ПДн при утечки персональных данных.Любая организация, которая хранит или обрабатывает любую персональную информацию пользователей и использует ее в личных целях является оператором ПДн и должен надежно их защищать, чтобы соответствовать законодательству нашей страны. Для работы организации необходимые данные клиентов должны быть доступны для многих сотрудников с нескольких устройств, поэтому должны быть обеспеченна легкая доступность и возможность легкого доступа.

    Решением этой проблемы может послужить локальное хранилище или различные облачные решения. Для защиты персональных данных согласно закону №152-ФЗ «О персональных данных» выделяется несколько технических мер, например шифрование. Существует три основных подхода для хранения шифрованных совместно используемых персональных данных:

    1. Облачное хранилище с сквозным шифрованием. В этом случае данные шифруются на вашей стороне, а хранение осуществляется на облаке. Преимущество такого способа хранения в том, что вы единственный, кто обладает ключом для расшифровки данных и никто другой, даже поставщик облачных услуг.
    2. с шифрованием на стороне сервера и при передаче. Шифрование данных осуществляет поставщик облачного хранилища, который шифрует и хранит персональные данные пользователей, а также соответствующий ключ шифрования и расшифровки в безопасном месте. По вашему запросу провайдер может расшифровать данные по вашему запросу. Такие услуги предлагают практически все облачные провайдеры, такие как Яндекс, Google, Dropbox, Microsoft и другие.
    3. Локальное хранение зашифрованных данных. В этом случае данные шифруются и уже зашифрованные данные сохраняются на локальных серверах.

    Для того понять преимущества и недостатки каждого решения для хранения и шифрования проведем риск-анализ и выясним актуальности и вероятность успеха некоторых атак, направленных на кражу и повторное использование персональных данных пользователей.Способ локально хранения является достаточно простым и безопасным только в том случае, если сервер, хранящий ПДн и ключ для расшифрования достаточно защищен.

    Однако реализовать высокий уровень защиты для небольших и средних организаций достаточно проблематично, так как хранение персональных данных не основная их деятельность. Даже наличие достаточной технической защиты и использование безопасных программ обычно недостаточно. Профессиональные целенаправленные атаки могут полностью обойти все средства защиты используя фишинг и социальную инженерию.

    Это может произойти, например, если сотрудник компании откроет безобидное вложение ил пройдет по ссылке в письме, которая была подделана злоумышленником. Далее вредоносное программное обеспечение, установленное на любую машину, получает доступ к локальной сети и, использовав уязвимости некоторых программных компонентов, получает доступ к конфиденциальным файлам, в которых может храниться ключ для расшифровки базы ПДн.

    Кроме того, вредоносные программы могут считывать нажатия клавиш, когда вы вводите пароль для расшифровки вашей базы данных. Даже компании, которые вкладывают значительные средства в безопасность данных подвержены таким угрозам.Оператор персональных данных доверяет шифрование ПДн клиентов провайдеру облачного хранилища, передавая данные в облако по защищенному каналу.

    Провайдер шифрует данные и сохраняет их вместе с ключом шифрования и расшифровки в безопасном месте. Всякий раз, когда оператору ПДн необходимы данные, поставщик облачных услуг расшифровывает их и отправляет расшифрованные данные по к оператору ПДн по защищенному каналу. Для внешнего злоумышленника получение доступа к серверу провайдера, на котором хранятся зашифрованные данные, может быть технически более сложным, чем при использовании локального сервера.

    Это объясняется тем, что хранение данных является их основной деятельностью, поэтому провайдеры облачных хранилищ более подготовлены к таким атакам и используют более комплексную защиту. Тем не менее, вероятность успешной атаки вероятна даже в этом случае. Реальная разница заключается в мотивации злоумышленника.

    Если он знает, что поставщик хранит ключ дешифровки данных или незашифрованные данные, то злоумышленник может быть гораздо более мотивированным, при нападении на него.

    Наконец, внутренние злоумышленники включают самого облачного провайдера, а также его сотрудников, которые могут легко получить ключ для расшифровки данных.

    Хотя у поставщика облачных услуг нет стимула пользоваться файлами и базами данных клиентов из-за потенциальных юридических последствий и потери репутации, однако несправедливо уволенный или финансово мотивированный сотрудник может это осуществить.Данный способ хранения ПДн сочетает в себе преимущества локального хранения и облачного хранения с шифрование на стороне провайдера. Только оператор ПДн знает ключ для расшифровки, но данные безопасно хранятся у поставщика. Даже в случае, если злоумышленник каким-то образом получит копию зашифрованной базы данных с ПДн клиентов, то он не извлечет никакой личной информации.

    Практическую пользу от таких данных злоумышленник получит только в случае их успешного расшифрования, а для этого требуется ключ дешифровки. Если размер ключа равен 256 бит и является полностью случайным, вероятность того, что злоумышленник угадает ключ ничтожно мала.

    Таким образом, можно с уверенностью сказать, что ни один злоумышленник не имеет шанса угадать ключ. До тех пор, пока данные не могут быть расшифрованы, они не представляют ценности и не принесут ущерба субъектам ПДн.Однако, если ваш ключ расшифровки генерируется не случайно или совпадает с вашим паролем, злоумышленник может подобрать нужный ключ и расшифровать базы с персональными данными.

    Так же, алгоритм шифрования, используемый оператором ПДн или провайдером облачного хранилища, может быть уязвим для некоторых атак.

    Например, злоумышленник может использовать конструктивные недостатки схемы шифрования. Этого довольно маловероятно, если используются рекомендуемые и стандартизированные алгоритмы шифрования. Еще однин способ взлома схемы шифрования заключается в использовании недостатков реализации в некоторых программных компонентах, использующихся в схеме шифрования.

    Еще однин способ взлома схемы шифрования заключается в использовании недостатков реализации в некоторых программных компонентах, использующихся в схеме шифрования. Недостатки реализации неизбежны до тех пор. Для лучшей реализации защиты персональных данных необходимо оператору ПДн и провайдеру облачных услуг использовать рекомендуемые средства криптографической защиты информации (СКЗИ), а также регулярно обновлять программные компоненты.Таким образом, проанализировав каждый способ хранения можно сделать выводы о возможных угрозах, уязвимостях и путях утечки персональных данных в выбранном способе хранения.

    В приведенной ниже таблицы приведены в соответствие способы хранения и вероятности утечки ПДн, что позволяет сделать выбор наилучшего способа хранения базы персональных данных.Таблица Актуальность и вероятность успеха атаки на ПДнИсходя из данных таблицы, можно сделать вывод о том, что облачное хранилище со сквозным шифрованием обладает наибольшей степенью защиты и наименьшей вероятностью утечки данных. Это происходит главным образом потому, что провайдер не имеет доступа к ключам для расшифрования данных, и поэтому злоумышленник не так сильно замотивирован. Даже если он получит доступ к данным, они не буду иметь ценности в зашифрованном виде.

    Еще одна причина для использование облачного хранилища вместо локального повышенная безопасность. Поставщик облачных услуг имеет гораздо более защищенную от угроз сервера.

    Это улучшает доступность и целостность персональных данных, что является главными принципами информационной безопасности.Под угрозой персональных данных можно считать случаи, при которых возникает вероятность потери или раскрытия личной информации субъекта персональных данных. Угрозой является лицо или организация, которые стремятся получить, изменить данные или другие активы ИС (информационной системы) незаконно, без разрешения владельца и часто без ведома владельца. Уязвимостью является возможность для угроз получить доступ к индивидуальным или организационным активам.

    Например, когда человек покупает что-то в интернете, он предоставляет данные кредитной карты, когда эти данные передаются через Интернет, они уязвимы для угроз. Защитная мера — это некоторая мера, которую отдельные лица или организации принимают для предотвращения угрозы неправомерного получения актива.

    Наконец, целью угрозы является актив, который желателен для угрозы. Угроза безопасности — это вызов конфиденциальности, целостности и доступности информационных систем, возникающих от одного из трех источников:

    1. Компьютерных преступлений
    2. Человеческих ошибок
    3. Стихийных бедствий

    Человеческие ошибки включают неумышленные и случайные действия, представляющие угрозу ИСПДн, вызванные работниками организации.

    Действия сотрудников в выполнении процедур или их отсутствие могут привести к отказу в обслуживании. Например, сотрудники могут непреднамеренно отключить веб-сервер или шлюзовой корпоративный маршрутизатор, запустив интенсивное вычислительное приложение. Неосведомленность или халатность сотрудников организации или компании может поставить под угрозу конфиденциальность данных и безопасность компонентов сети организации.

    Открыв фишинговое электронное сообщение или заразив корпоративный компьютер, сервер вредоносным программным обеспечением со своего личного телефона, ноутбука или просто скопировав конфиденциальную информацию на свое устройство, чтобы доделать работу дома.

    Фишинг одна самых популярных атак, от которой практически невозможно защитить пользователей интернета.

    Так же никто не может быть уверен, что сотрудник не совершит ошибку и не отправит секретную или конфиденциальную информацию по ошибочному адресу. Описанные ситуации представляют серьезную угрозу безопасности данных.К категории компьютерных преступлений относятся действия сотрудников и бывших сотрудников, которые умышленно уничтожают данные или другие компоненты системы. Умышленные же действия сотрудники преднамеренно совершают для получения доступа к секретной информации или нанесения ущерба компании.

    Злоумышленники или компании-конкуренты могут за материальное вознаграждение получать от сотрудников компании важную и конфиденциальную информацию. В своем большинстве это опытные сотрудники, которые могут легко уничтожить следы своих преступлений.

    Выявление таких сотрудников очень непростая задача.

    Также угрозу безопасности данных компании представляют уволенные сотрудники, которые при увольнении могут забрать всю информацию, к которой имеют доступ.

    В категории компьютерных преступлений угроза безопасности данных обусловлена действиями физических лиц, террористических организаций, иностранных спецслужб и криминальных формирований, реализующие ситуации в которых создаются условия, представляющие угрозу безопасности персональных данных.

    Также к категории компьютерных преступлений можно отнести действия злоумышленников, которые взламывают систему, авторов вирусов и червей, которые заражают компьютерные системы, а также аппаратные и программные закладки.

    Атаки типа «отказ в обслуживании» могут быть осуществлены злоумышленниками.

    Злоумышленник может перегрузить веб-сервер, например, миллионами поддельных запросов, которые перегрузят сервер так, что он не сможет обслуживать реальные запросы.Природные явления и катастрофы включают пожары, наводнения, ураганы, землетрясения, цунами, лавины и другие природные явления. Проблемы этой категории включают в себя не только первоначальную потерю доступности, но и потери, возникающие в результате действий по устранению первоначальной проблемы.Большинство угроз реализуемых с применением программных средств, осуществляются при несанкционированном или случайном доступе, в процессе которого происходит полное нарушение конфиденциальности, целостности и доступности персональных данных, т.

    е. копирование, изменение, уничтожение или несанкционированное распространение. Такие угрозы включают в себя:Угрозы внедрения вредоносного программного обеспечения.

    Угрозы такого типа широко распространены. Реализуются при посещении непроверенных ресурсов без подтвержденного сертификата или при подключении по незащищенному протоколу связи, а также в случае использования неофициального (пиратского) программного обеспечения.Угрозы утечки с серверов оператора ПДн.

    Реализуются при посещении непроверенных ресурсов без подтвержденного сертификата или при подключении по незащищенному протоколу связи, а также в случае использования неофициального (пиратского) программного обеспечения.Угрозы утечки с серверов оператора ПДн. Такие угрозы обусловлены халатностью и нежеланием операторов персональных данных обеспечить необходимые меры по защите доступа к персональным данным хранящихся на серверах, а также каналов передачи. Невыполнение минимальных рекомендаций для защиты персональных данных приводит к утечкам и несанкционированному распространению информации.Осуществляемые методами социальной инженерии угрозы.

    Актуальный вид угроз от которого нет надежных способов защиты. Действия злоумышленника направлены на получение от пользователей или сотрудников конфиденциальной информации или доступа к интересующим его информационным системам, хранящих персональные данные. Вероятность реализации угроз данного типа увеличивается при недостаточных мерах защиты персональных данных, а также публикации личной информации в открытых источниках.Угрозы проникновения в операционную среду устройства с использованием прикладных программ или средств операционной системы подразделяются на:

    1. Угрозы удаленного доступа. Доступ к серверу или базе данных злоумышленник может получить посредством взлома систем защиты, либо используя по умолчанию установленные данные для авторизации.
    2. Угрозы непосредственного доступа. Доступ к серверу или базе данных, оставленному без присмотра и без соответствующей защиты и содержащей персональные данные, злоумышленник может осуществить непосредственно.

    Угрозы нештатных режимов работы программных средств за счет преднамеренных изменений служебных данных, игнорирования, предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, модифицирования самих данных.

    Использования нелицензионного или скомпрометированного программного обеспечения создает риск реализации угроз данного типа.

    Глава 3. Понятие и состав конфиденциальной информации

    Состав конфиденциальной информации 3.1.1. Информация в зависимости от категории доступа к ней подразделяется: — на общедоступную информацию, к которой относятся общеизвестные сведения и иная информация, доступ к которой не ограничен (публикации, сообщения в средствах массовой информации, выступления на конференциях и выставках, интервью и т.

    п.), — на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 3.1.2. Информация ограниченного доступа включает в себя: информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с Российской Федерации о государственной тайне; конфиденциальную информацию.

    3.1.3. К сведениям конфиденциального характера относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; сведения, составляющие тайну следствия и судопроизводства; служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Российской Федерации и федеральными законами (служебная тайна); сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.

    д.); сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Российской Федерации и (коммерческая тайна); сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.

    3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается главой администрации Инсарского муниципального района Республики Мордовия. 3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования». Часто он сопровождается пометами «Лично», «Не для печати», «Не подлежит оглашению», «Только адресату» и др.

    3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к государственной тайне, должна иметь гриф конфиденциальности. 3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать: перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района; процедуру допуска сотрудников к сведениям, составляющим служебную, коммерческую или другую тайну; обязанности исполнителей, допущенных к сведениям, которые составляют служебную, коммерческую или другую тайну; правила обращения (делопроизводство, учет, хранение, размножение и т. д.) с документами; правила доступа (передачи) к информации иных лиц; ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.

    Виды конфиденциальной информации в администрации Инсарского муниципального района 3.2.1.

    В автоматизированных системах администрации Инсарского муниципального района может обрабатываться информация следующих видов: сведения, составляющие государственную тайну; сведения, составляющие служебную тайну; сведения, составляющие коммерческую тайну; персональные данные; открытая информация; открытая общедоступная информация. 3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются. 3.2.3. Сведения, составляющие служебную тайну, могут включать служебную предметную информацию и служебную технологическую информацию, представляющую идентификаторы и пароли пользователей, настройки межсетевых экранов и т.

    д. 3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законодательства и РД ФСТЭК «СТР-К».

    3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах администрации Инсарского муниципального района. 3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований от 29 июля 2004 г.
    3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований от 29 июля 2004 г.

    N 98-ФЗ «О коммерческой тайне».

    3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями от 27 июля 2006 г.

    N 152-ФЗ «О персональных данных» и РД ФСТЭК России. 3.2.8. Открытая информация может быть доступна для всех сотрудников органов государственной власти Республики Мордовия, защите подлежит ее целостность и доступность.

    3.2.9. Открытая общедоступная информация размещается на информационных порталах органов государственной власти Республики Мордовия и издается в публичных изданиях. Защите подлежит ее целостность, доступность и достоверность.

    Защита этой информации должна обеспечиваться в соответствии с требованиями в объемах законодательства. 3.2.10. Виды информации и требования к защите представлены в следующей таблице: Вид информации Конфиденциальность Целостность Доступность Сведения, составляющие государственную тайну + + + Сведения, составляющие служебную тайну + + + Сведения, составляющие коммерческую тайну + + + Сведения, составляющие служебную тайну (технологическая информация) + + Персональные данные + + + Открытая информация — + + Открытая общедоступная информация — + + 3.2.11.

    Любая информация ограниченного доступа, вне зависимости от форм хранения, подлежит адекватной (дифференцированной) защите, в том числе: речевая информация; информация, циркулирующая в средствах связи и вычислительной техники; информация, передаваемая по каналам связи, локальным или глобальным вычислительным сетям; информация, представленная в виде информативных акустических и электромагнитных сигналов, физических полей; информация на бумажной, магнитной или другой основе; информационные массивы и базы данных, которые должны защищаться в соответствии с законодательством Российской Федерации и интересами Республики Мордовия.

    3.2.12. К сведениям, подлежащим защите в администрации Инсарского муниципального района, относятся: сведения, определенные Перечнем сведений конфиденциального характера соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района, утверждаемых главой администрации Инсарского муниципального района; иные сведения, составляющие охраняемую действующим законодательством тайну (); иные сведения, определенные собственником информации (федеральные органы исполнительной власти, их территориальные органы) при ее передаче администрации Инсарского муниципального района в соответствии с соглашениями о конфиденциальности в рамках их совместной деятельности. 3.2.13. Перечень сведений специалиста, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района, составляющих служебную и коммерческую тайну, утверждается Главой администрации Инсарского муниципального района и определяет сведения, которые не подлежат разглашению в открытой переписке, переговорах по открытым каналам связи и в средствах массовой информации. Перечень охватывает информацию ограниченного распространения по всем сферам деятельности администрации Инсарского муниципального района.

    3.2.14. Перечень разрабатывается в соответствии с от 27 июля 2006 г.

    N 149-ФЗ

    «Об информации, информационных технологиях и о защите информации»

    , Президента Российской Федерации от 6 марта 1997 г.

    N 188

    «Об утверждении перечня сведений конфиденциального характера»

    , Правительства Российской Федерации от 5 декабря 1991 г. N 35

    «О перечне сведений, которые не могут составлять коммерческую тайну»

    , Правительства Российской Федерации от 3 ноября 1994 г. N 1233

    «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

    и другими правовыми актами, определяющими состав сведений ограниченного распространения.

    < глава 2.> Глава 4. >> Содержание Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно! Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете прямо сейчас или запросить по Горячей линии в системе. 4 ноября 2021 Вход Введите адрес электронной почты: Введите пароль: Запомнить Вы можете войти, используя учетную запись одной из социальных сетей:

    Рубрики

    В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), циркулирующая в обществе информация подразделяется на общедоступную информацию и информацию ограниченного доступа.

    Законом также установлено, что ограничения на доступ к информации устанавливаются только федеральными законами (ч. 2 ст. 5). Закон об информации подразделяет информацию в зависимости от порядка ее предоставления или распространения (ст. 5): 1) на информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

    Законодательством Российской Федерации установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.

    Сведения, относящиеся к государственно тайне К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

    Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации, регулируются Законом РФ от 21.07.1993 № 5485-1 «О государственной тайне» (в ред. от 01.12.2007). Конфиденциальная информация и ее виды Определение понятия «конфиденциальность информации» дает Закон об информации: «конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

    Виды конфиденциальной информации установлены Указом Президента РФ от 06.03.1997 № 188

    «Об утверждении Перечня сведений конфиденциального характера»

    (в ред. от 23.09.2005). К ней относятся: 1.

    Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства.

    3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).

    5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. ■ Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч.

    его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Указанным Законом установлен порядок обработки персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств. Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

    Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (гл.

    14), согласно которому работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

    Положение о неразглашении персональных данных содержится и в Федеральном законе от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния» (в ред. от 18.07.2006), в ст. 12 которого говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.

    Уголовный кодекс Российской Федерации (ст. 137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан.

    ■ Тайна следствия и судопроизводства.

    Положения о недопустимости разглашения следственных данных установлены, в частности, Уголовно-процессуальным кодексом Российской Федерации: «Данные предварительного расследования не подлежат разглашению… Данные предварительного расследования могут быть преданы гласности лишь с разрешения прокурора, следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства.

    Положения о недопустимости разглашения следственных данных установлены, в частности, Уголовно-процессуальным кодексом Российской Федерации: «Данные предварительного расследования не подлежат разглашению… Данные предварительного расследования могут быть преданы гласности лишь с разрешения прокурора, следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства. Разглашение данных о частной жизни участников уголовного судопроизводства без их согласия не допускается» (ч.

    1, 3 ст. 161). Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, влечет уголовную ответственность. ■ Служебные сведения ограниченного доступа (служебная тайна).

    Указ Президента РФ от 06.03.1997 № 188

    «Об утверждении Перечня сведений конфиденциального характера»

    (в ред. от 23.09.2005) определяет служебную тайну как служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

    Постановлением Правительства РФ от 03.11.1994 № 1233

    «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

    установлен порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

    Положением установлено, что на документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования». Положение также определяет порядок изготовления, учета документов ограниченного распространения и организации их документооборота.

    ■ Сведения, связанные с профессиональной деятельностью: врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др. Порядок обращения и порядок доступа к информации, составляющей различные виды профессиональной тайны, регламентируется рядом законодательных актов Российской Федерации. Как правило, это законодательные акты, регулирующие отношения в определенных сферах деятельности.

    Например, Федеральный закон от 31.05.2002 № 63-ФЗ

    «Об адвокатской деятельности и адвокатуре в Российской Федерации»

    (в ред.

    24.07.2007, с изм. от 03.12.2007) содержит ст.

    8 «Адвокатская тайна», в которой установлено, что адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю. Адвокат не может быть вызван и допрошен в качестве свидетеля об обстоятельствах, ставших ему известными в связи с обращением к нему за юридической помощью или в связи с ее оказанием. Основы законодательства Российской Федерации о нотариате от 11.02.1993 № 4462-1 (в ред.

    от 18.10.2007) устанавливают: «Нотариусу при исполнении служебных обязанностей, а также лицам, работающим в нотариальной конторе, запрещается разглашать сведения, оглашать документы, которые стали им известны в связи с совершением нотариальных действий, в том числе и после сложения полномочий, или увольнения, за исключением случаев, предусмотренных настоящими Основами. Сведения (документы) о совершенных нотариальных действиях могут выдаваться только лицам, от имени или по поручению которых совершены эти действия» (ст.

    5). В Основах законодательства Российской Федерации об охране здоровья граждан от 22.07.1993 № 5487-1 (в ред. от 18.10.2007) установлено, что информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных Законом (ч.

    1, 2 ст. 61 «Врачебная тайна»). Приказом Федерального фонда обязательного медицинского страхования от 25.03.1998 № 30

    «О соблюдении конфиденциальности сведений, составляющих врачебную тайну»

    установлен комплекс организационных мер по обеспечению защиты информации, составляющей врачебную тайну.

    Федеральный закон от 17.07.1999 № 176-ФЗ «О почтовой связи» (в ред. от 26.06.2007) содержит положения, направленные на защиту тайны связи, – тайны переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи. Тайна связи не подлежит разглашению без согласия пользователя услуг почтовой связи.

    Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям (ст.

    15). Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений в соответствии с Уголовным кодексом Российской Федерации (ст.

    138) влечет уголовную ответственность. ■ Сведения, связанные с коммерческой деятельностью, доступ к которым ограничивается (коммерческая тайна).

    Определение коммерческой тайны приведено в Гражданском кодексе Российской Федерации (ст.

    139) и Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» (в ред.

    от 24.07.2007). Закон трактует коммерческую тайну как конфиденциальность информации, позволяющую ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (ст.

    3). Закон «О коммерческой тайне» устанавливает виды информации, которая не может составлять коммерческую тайну.

    Это информация, содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; содержащаяся в документах, дающих право на осуществление предпринимательской деятельности; о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о наличии свободных рабочих мест и др.

    (ст. 5). Данный Закон устанавливает меры организационного характера, обеспечивающие защиту документов, содержащих коммерческую тайну, от несанкционированного доступа.

    В том числе законом установлен гриф ограничения доступа к документам, содержащим коммерческую тайну, – «Коммерческая тайна». ■ Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них, в соответствии с Указом Президента РФ 06.03.1997 № 188, также являются конфиденциальной информацией.

    Меры по защите такого рода информации установлены Гражданским кодексом Российской Федерации (ч.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+