В повседневной жизни все чаще приходится встречаться с такими понятиями, как конфиденциальная информация, персональные данные, коммерческая тайна и подобными выражениями. Зачастую непонятно, в чем, собственно, между ними разница и зачем так много различных наименований. Чтобы узнать все в точности, обратимся к определениям из нормативно-правовых документов.
Что такое информация с ограниченным доступом
Для начала разберемся с самыми широкими определениями. Согласно 149-ФЗ, информация бывает общедоступной и с ограниченным доступом. Первая открыта для всех желающих и может свободно распространяться, а использование и распространение второй ограничено. Согласно этому же федеральному закону, конфиденциальность информации предусматривает обязательное требование не передавать и не публиковать ее без согласия обладателя.
Другими словами, конфиденциальная информация — это любые сведения, распространение которых разрешено только при наличии определенного доступа или права владения. Существует несколько видов конфиденциальных данных, которые мы разберем ниже. Кроме того, существует государственная тайна. Она также ограничена в доступе и распространении, но к конфиденциальным данным ее не относят, а определяют в отдельную категорию.
Государственная тайна
Защищается государством и при распространении способна нанести ущерб безопасности Российской Федерации. Такая информация обладает особой важностью и требованиями к защите, поэтому к перечню сведений конфиденциального характера ее не причисляют.
К государственной тайне относятся сведения из военной области, науки, техники, политики, экономики, разведывательной, контрразведывательной, оперативно-розыскной деятельности и противодействия терроризму. Информация, отнесенная к этой категории, регулируется законом РФ №5485 «О государственной тайне», в то время как конфиденциальная информация — множеством прочих документов, которые рассмотрим далее.
Законодательное регулирование конфиденциальной информации
В 149-ФЗ указано, что за нарушение описанных в этом законе требований наступает ответственность в соответствии с законодательством Российской Федерации.
Также конфиденциальность регулируется конституцией РФ (статья 23), гражданским (глава 75), административным (глава 13), уголовным кодексами РФ (глава 28). Кроме того, обращение с отдельными видами конфиденциальной информации регулируется соответствующими законами и актами.
Ответственности подвергается как нарушитель, так и организация, нарушающая требования защиты информации или неправильно обрабатывающая ее. Так, правонарушитель, незаконно добравшийся до защищенной информации, несет ответственность согласно 272 статье УК РФ. Наказание варьируется от штрафа до тюремного заключения. А организация или физическое лицо, чье несоблюдение требований по защите привело к утечке данных, будет выплачивать штраф согласно статье 13.12 КоАП РФ.
Виды конфиденциальных данных
Разберемся, в чем разница между «информацией» и «данными». Информация — это любые сведения независимо от формы их представления. Важно понимать, что информация в любом виде имеет смысл, значимость и т. п. Данные таким свойством не обладают, но когда в них вкладывается смысл, они становятся информацией.
Например, «0123 456789» — это данные. А «Паспорт. Серия: 0123, номер: 456789» — это уже информация, т. к. перед нами теперь не просто набор цифр, а набор цифр и букв, несущий смысл.
Существует установленный перечень сведений конфиденциального характера. Он приведен в приложении к указу президента №188. Согласно нему, к конфиденциальной информации относятся:
- персональные данные,
- сведения составляющие тайну следствия и судопроизводства,
- служебная тайна,
- профессиональная тайна,
- коммерческая тайна,
- сведения о сущности изобретения,
- сведения, содержащиеся в личных делах заключенных.
Персональные данные
Это любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу. Этот вид данных регулируется ФЗ №152. Персональные данные делятся на четыре категории.
- Общедоступные. Хранятся в открытых источниках (например, телефонных справочниках) и доступны неограниченному кругу лиц. Чтобы данные были добавлены в открытый источник, необходимо согласие их субъекта (лица, к которому они относятся). По его требованию данные могут быть удалены из такого источника.
- Специальные. Это четкий набор данных (например, национальность человека или его вероисповедание), обработка которых допускается только в случаях, указанных в законах.
- Биометрические. Сюда относятся особенности физиологии и/или биологии человека, позволяющие установить его личность. Пример таких данных — отпечатки пальцев.
- Иные. Любые персональные данные, которые не относятся ни к одной категории выше.
Коммерческая тайна
Эта категория конфиденциальной информации регулируется ФЗ №98 «О коммерческой тайне». Важная особенность: компании сами определяют, что именно относить к этой категории, но в любом случае не могут в нее включать общедоступную информацию. Также стоит понимать, что такие сведения имеют коммерческую ценность только из-за недоступности третьим лицам без законного доступа.
Профессиональная тайна
Сведения, доступ к которым обуславливается спецификой профессиональной деятельности и которые необходимы для выполнения профессиональных обязанностей. Примером может быть информация о состоянии здоровья пациента, необходимая врачу для лечения.
Доступ к профессиональной тайне регулируется конституцией РФ (статья 23) и соответствующими федеральными законами. Например, врачебная тайна регулируется статьей 13 ФЗ №323 «Об основах охраны здоровья граждан в Российской Федерации».
Служебная тайна
Связана с определением ограниченной к распространению служебной информации. Согласно постановлению правительства №1233, это не засекреченная информация, напрямую связанная с деятельностью организации, которая ограничивается, исходя из служебной необходимости.
Служебная тайна отличается тем, что ее получателями становятся сотрудники государственных органов в ходе выполнения своих обязанностей. Такие сведения могут совпадать с уже относящимися к другим видам тайн. Например, информация, составляющая коммерческую тайну, при проверке госорганами становится для них служебной и распространяется с отметкой «Для служебного пользования».
Судебная тайна и тайны судопроизводства и следствия
Это данные о людях, участвующих в следствии и судопроизводстве, о процессе предварительного расследования, а также иные сведения, запрещенные к распространению ФЗ №174 («Уголовно-процессуальный кодекс Российской Федерации»), статьей 2 ФЗ №45 и главой 2 ФЗ №119.
Сведения о сути изобретений
Некие данные об изобретении, полезной модели или промышленном образце, еще не опубликованные официально. Ими могут быть результаты тестирования, схемы, прототипы, которые не были представлены официально и публично.
Какую информацию нельзя считать конфиденциальной
Помимо распределенной по видам информации, существуют также данные, не ограниченные в доступе и хранящиеся открыто. Исходя из статьи 8 ФЗ №149, это сведения:
- нормативно-правовых актов, устанавливающих полномочия гос. органов, права, свободы и обязанности человека/гражданина;
- об экологической обстановке;
- о деятельности органов государства и органов местного самоуправления, их освоении бюджетных средств (кроме сведений государственной или служебной тайн).
Защита конфиденциальности
Все перечисленные выше виды конфиденциальной информации могут нести вред или убыток их владельцам при нежелательном распространении, искажении и т. д. Поэтому необходимо их защищать и вводить ответственность за нарушения требований безопасности.
Виды угроз
Существует две группы угроз:
- естественные — события природного характера;
- искусственные — умышленные или неумышленные действия человека, способствующие возникновению угроз (фишинг, вредоносное ПО, человеческий фактор и т. д.).
Каждая группа угроз включает множество их видов, но все они направлены на нарушение составляющих ИБ. Для борьбы с ними выделяют три составляющих информационной безопасности: конфиденциальность, целостность и доступность данных.
Конфиденциальность означает, что данные доступны только определенным группам лиц. Целостность — что данные передаются и хранятся в необходимом виде без постороннего воздействия. Доступность — что имеющие законный доступ к информации пользователи способны ее получить.
Виды защиты
- Правовая. Это регулирование на уровне государства (законы, постановления и прочие нормативно-правовые акты) и компании, которая владеет информацией (например, локальные акты, политика безопасности, порядок обработки данных и т. д.).
- Физическая. Сюда относится все, что физически ограничивает доступ к информации: контрольно-пропускные пункты, замки, контроль доступа и т. д.
- Техническая. Электронные устройства защиты, системы сигнализации,. электронные замки (одновременно относятся и к техническим, и к физическим средствам защиты) и т. д.
- Программная. ПО, защищающее от реализации компьютерных угроз. Например, Secret net Studio.
- Криптографическая. Это шифрование данных, которое, по сути, является еще одним барьером для злоумышленника.
Меры по защите
- Создание нормативно-правовых актов, предполагающих ответственность за нарушения.
- Создание инструкций для персонала, содержащих нормы безопасной работы с информацией.
- Построение физических преград на пути к информации, создание невозможности незаметного доступа злоумышленника.
- Отслеживание трафика.
- Программные и технические барьеры для защиты от вредоносного трафика.
- Разграничение доступа на уровне ПО.
- Разграничение доступа к данным.
Подробнее о способах защиты информации можно узнать в материале в Академии Selectel.
Чем может помочь Selectel
Selectel предоставляет своим клиентам полную защиту данных с помощью контроля периметра дата-центров и доступа в них, круглосуточного мониторинга состояния серверов, соответствию 152-ФЗ и другим требованиям.
Помимо этого, Selectel предлагает средства защиты, такие как межсетевые экраны нового поколения, средства защиты от DDOS, средства защиты от несанкционированного доступа, а также услуги по сканированию портов и анализу уязвимостей вашей информационной системы.
Заключение
Конфиденциальность информации — один из ключевых аспектов современного бизнеса и часть безопасности человека и организации. Контроль за распространением и защищенностью информации может уберечь от серьезных потерь в будущем. Также не стоит забывать, что ответственность за нарушения конфиденциальности возлагается как на злоумышленника, так и на ответственного за безопасность сведений.