Защита конфиденциальной информации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита конфиденциальной информации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне». К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Информация, к которой нельзя ограничивать доступ

Перечень сведений, доступ к которым не может быть ограничен, указан в Ст.10 того же ФЗ РФ от 27 июля 2006 г. N 149 «Об информации…»:

• нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
• информации о состоянии окружающей среды;
• информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
• информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
• иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Конфиденциальные документы

Конфиденциальные документы – документированная конфиденциальная информация. Может быть представлена в виде документов на бумажном носителе и/или в электронном виде (электронный документ, электронные образы документов).

Система внутреннего документооборота, как объект защиты документированной конфиденциальной информации, представляет собой совокупность каналов санкционированного распространения конфиденциальной документированной информации в процессе деятельности организации пользователями этой информации.

Основной характеристикой движения информации является технологическая комплексность, а также защищенность.

Порядок и маршруты потоков конфиденциальных документов на бумажном носителе и электронных документов в инфраструктуре организации, включая информационную инфраструктуру организации, должны быть документированы и регламентированы для того, чтобы процесс восстановления работоспособности системы документооборота, включая электронный, производился максимально быстро.

Конфиденциальная информация

Перечень сведений конфиденциального характера опубликован в Указе Президента РФ от 6 марта 1997 г. N 188 « Об утверждении перечня сведений конфиденциального характера ». К видам конфиденциальной информации, согласно этому указу относятся:

• Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
• Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ » О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства » и другими нормативными правовыми актами Российской Федерации.
• Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна).
• Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
• Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна).
• Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

На самом деле зачастую одни и те же сведения могут относится к различным категориям тайн. Например, сведения составляющие врачебную тайну, наверняка являются чьими-то персональными данными. Некоторые виды тайн, определенных в федеральных законах РФ будут расписаны ниже.

2.1. Соглашение устанавливает обязательства Сторон по обеспечению Режима защиты Конфиденциальной информации и недопущения разглашения Конфиденциальной информации, которая стала известна Сторонам в ходе переговоров, заключения договоров и (или) соглашений, при исполнении Сторонами обязательств по ним.

2.2. Обязательства по Соглашению распространяются также на Конфиденциальную информацию, полученную Сторонами до заключения Соглашения.

2.3. Если одна из Сторон в процессе переговоров по вопросу заключения какого-либо договора (соглашения) информирует другую о том, что предполагаемый договор (соглашение) не будет заключен или не вступит в силу, то Получающая Сторона обязана не использовать Конфиденциальную информацию, полученную при подготовке данного договора (соглашения), ни в своих интересах, ни в интересах третьей стороны без предварительного письменного согласия Передающей Стороны.

2.4. Получающая Сторона обязуется обеспечивать охрану Конфиденциальной информации и принимать все необходимые меры для ее защиты, какие она применяет в отношении собственной Конфиденциальной информации, но не менее требований, согласованных в Соглашении: использовать Конфиденциальную информацию только в целях, оговоренных в Соглашении; не передавать Конфиденциальную информацию третьим лицам без предварительного письменного разрешения Передающей Стороны, кроме как в случаях, когда эта информация:

• стала известна Получающей Стороне из источника, отличного от Получающей Стороны до момента вступления в силу Соглашения;
• законно получена Получающей Стороной без ограничения и нарушения Соглашения от третьих лиц, которые по разумной осведомленности Получающей Стороны не нарушают своей обязанности перед Передающей Стороной по соблюдению Режима защиты конфиденциальной информации;
• независимо разработана Получающей Стороной, то есть является результатом внутренних разработок, добросовестно выполненных её работниками, до вступления в силу Соглашения;
• разрешена к раскрытию письменным разрешением Передающей Стороны в соответствии с условиями Соглашения;
• если информация становится публично доступной после вступления в силу Соглашения, за исключением случаев, когда это произошло в результате нарушения своих обязательств Получающей Стороной.

7.1. Соглашение распространяет свое действие на любой договор или соглашение, заключенные между Сторонами, если Стороны в таком договоре или соглашении не оговорили иное. Все приложения, изменения и дополнения к настоящему Соглашению являются его неотъемлемой частью и действительны при условии, если они совершены в письменной форме и подписаны надлежащим образом уполномоченными на то представителями Сторон.

7.2. Ни одна из сторон по Соглашению не вправе передавать или иным образом уступать свои права и обязанности по Соглашению любым третьим лицам без письменного согласия на это другой стороны.

7.3. Права и обязанности Сторон по Соглашению в случае реорганизации какой-либо из Сторон переходят к соответствующему правопреемнику (правопреемникам). В случае ликвидации какой-либо Стороны, до завершения ликвидации она должна обеспечить возврат Передающей Стороне всех оригиналов и уничтожение всех и любых копий Носителей информации, переданных Передающей Стороной, в соответствии с п. 4.8. Соглашения.

7.4. Соглашение вступает в силу с момента его подписания Сторонами и действует в течение 3 (трех) лет после выполнения Сторонами своих обязательств, вытекающих из всех заключённых между Сторонами договоров и (или) соглашений, если Стороны в таких договорах и (или) соглашениях не оговорили иное.

7.5. Окончание срока действия или расторжение Соглашения не освобождают Получающую Сторону от исполнения обязательств по соблюдению условий раздела 4. и п.п. 5.2.Соглашения в отношении Конфиденциальной информации, полученной до окончания срока действия или расторжения Соглашения.

7.6. Все приложения, изменения и дополнения к настоящему Соглашению являются его неотъемлемой частью и действительны при условии, если они совершены в письменной форме и подписаны надлежащим образом уполномоченными на то представителями Сторон.

7.7. Во всем остальном, что не предусмотрено настоящим Договором, Стороны руководствуются действующим законодательством Российской Федерации.

Перечень конфиденциальных данных, определенных законодательством

 Вид 
конфиденциальной
 информации 

 Перечень сведений 

 Законодательная
 норма 

Информация, 
составляющая 
коммерческую 
тайну 

Сведения любого характера 
(производственные, технические, 
экономические, организационные и 
другие), в том числе о результатах 
интеллектуальной деятельности в научно-
технической сфере, а также сведения о 
способах осуществления профессиональной
деятельности, которые имеют 
действительную или потенциальную 
коммерческую ценность в силу 
неизвестности их третьим лицам 

Статья 3
Федерального 
закона от 
29.07.2004 
N 98-ФЗ "О 
коммерческой 
тайне" 

Банковская 
тайна 

Сведения об операциях, о счетах и 
вкладах организаций - клиентов банков и
корреспондентов 

Статья 26
Федерального 
закона от 
02.12.1990 
N 395-1 "О 
банках и 
банковской 
деятельности" 

Адвокатская 
тайна, 
нотариальная 
тайна 

Сведения, связанные с оказанием 
адвокатом юридической помощи своему 
доверителю; сведения, которые стали 
известны нотариусу в связи с его 
профессиональной деятельностью 

Основы
законодательства
Российской 
Федерации о 
нотариате (утв. 
ВС РФ 11.02.1993
N 4462-1); ст. 8
Федерального 
закона от 
31.05.2002 
N 63-ФЗ "Об 
адвокатской 
деятельности и 
адвокатуре в 
Российской 
Федерации" 

Сведения, 
связанные с 
аудитом 
организации 

Любые сведения и документы, полученные 
и (или) составленные аудиторской 
организацией и ее работниками, а также 
индивидуальным аудитором и работниками,
с которыми им заключены трудовые 
договоры, при оказании услуг, 
предусмотренных настоящим Федеральным 
законом, за исключением: 
1) сведений, разглашенных самим лицом, 
которому оказывались услуги, 
предусмотренные настоящим Федеральным 
законом, либо с его согласия; 
2) сведений о заключении с аудируемым 
лицом договора о проведении 
обязательного аудита; 
3) сведений о величине оплаты 
аудиторских услуг 

Статья 9
Федерального 
закона от 
30.12.2008 
N 307-ФЗ "Об 
аудиторской 
деятельности" 

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

• Определить, какая информация подлежит или нуждается в защите.
• Оптимизировать защищаемые информационные потоки.
• Определить формы представляемой информации.
• Установить виды угроз защищаемой информации и варианты их реализации.
• Установить, кому может быть интересна защищаемая информация.
• Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
• Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
• Определить сроки актуальности защищаемой информации.

• Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
• Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
• Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
• Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

• Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
• Владельцам бизнеса;
• Начальникам структурных подразделений.

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.

Таблица 1. «Виды ответственности за нарушение закона о персональных данных»

Вид ответственности

Нарушение

Санкция

Норма

Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации

Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных

Предупреждение или административный штраф:

• на граждан – от 1 тыс. до 3 тыс. руб.;
• на должностных лиц – от 5 тыс. до 10 тыс. руб.;
• на юридических лиц – от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие

• на граждан – от 3 тыс. до 5 тыс. руб.;
• на должностных лиц – от 10 тыс. до 20 тыс. руб.;
• на юридических лиц – от 15 тыс. до 75 тыс. руб.

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных

Предупреждение или административный штраф:

• на граждан – от 700 до 1 тыс. руб.;
• на должностных лиц – от 3 тыс. до 6 тыс. руб.;
• на индивидуальных предпринимателей – от 5 тыс. до 10 тыс. руб.;
• на юридических лиц – от 15 тыс. до 30 тыс. руб.

Конфиденциальная информация, коммерческая тайна: отличия

Перечень конфиденциальных сведений наглядно иллюстрирует, что коммерческая тайна является одним из ее видов. То есть это более узкое понятие, имеющее непосредственное отношение к бизнесу, извлечению прибыли. Конфиденциальная коммерческая информация, ее сохранение, способствует успешной деятельности компании, дает ей преимущество над конкурентами. Именно в этом заключается главное предназначение оберегаемых фирмой сведений, имеющих коммерческую ценность.

Компания сама устанавливает режим секретности для определенной информации, фиксируя это в специальном Положении. Также руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям, которые составляют коммерческую тайну.

Конфиденциальная информация организации не всегда связана с необходимостью удержать или повысить прибыль. Вышеназванный указ Президента № 188 показывает, что она имеет широкий спектр. К конфиденциальным сведениям относятся различные виды тайн: служебная, коммерческая, профессиональная и т.д. Их перечень определен правовыми актами и охраняется законом. Следует отметить, что конфиденциальная информация становится коммерческой тайной только после того, как организация в локальных актах признает ее таковой.

Конфиденциальная информация — что к ней относится

Первоначальное разделение всего массива информации на данные свободного и ограниченного доступа дает закон РФ об информации (№ 149-ФЗ). Кроме того, этот документ определяет и понятие конфиденциальности информации.

Конфиденциальная информация — это сведения, к которым человек получает доступ, но распространить их он может только с согласия владельца данных.

Право на ограничение свободы хождения конфиденциальной информации дают различные нормативные акты (закон РФ № 149-ФЗ).

Одной из самых охраняемых категорий конфиденциальных данных является персонифицирующая личность человека информация.

К персональным данным относятся сведения, позволяющие четко идентифицировать их владельца. Это информация:

• о Ф.И.О., месте и дате рождения;
• реквизиты удостоверения личности и место жительства;
• личного, имущественного или семейного характера;
• об образовании;
• о профессии или месте работы;
• об иных идентифицирующих признаках.

При этом разглашение одного или нескольких данных не всегда ведет к персонализации их владельца.

Например, достаточно распространенные в России и ближнем зарубежье фамилии Иванов, Семенов, Сидоров, само по себе ничего не скажут об их владельце. Людей с такими данными миллионы. Или информация «Сидоров, живущий на улице Ленина». В разговоре конкретных людей такое уточнение упоминаемой персоны позволяет полностью идентифицировать одного человека. Вместе с тем, постороннему слушателю данного разговора эти данные ничего не скажут, так как улицы с таким названием есть практически в любом городе, а на одной из них может быть пара сотен многоквартирных домов, где проживают несколько людей с такой фамилией.

А вот ситуацию с упоминанием «Петрова Марата Сигизмундовича, работающего на текстильной фабрике» уже можно считать разглашением персональных данных, поскольку такое сочетание фамилии, имени, отчества и места работы позволяет точно определить их принадлежность к одному человеку.

Перечень конфиденциальных данных, определенных законодательством

 Вид 
конфиденциальной
 информации 

 Перечень сведений 

 Законодательная
 норма 

Информация, 
составляющая 
коммерческую 
тайну 

Сведения любого характера 
(производственные, технические, 
экономические, организационные и 
другие), в том числе о результатах 
интеллектуальной деятельности в научно-
технической сфере, а также сведения о 
способах осуществления профессиональной
деятельности, которые имеют 
действительную или потенциальную 
коммерческую ценность в силу 
неизвестности их третьим лицам 

Статья 3
Федерального 
закона от 
29.07.2004 
N 98-ФЗ "О 
коммерческой 
тайне" 

Банковская 
тайна 

Сведения об операциях, о счетах и 
вкладах организаций - клиентов банков и
корреспондентов 

Статья 26
Федерального 
закона от 
02.12.1990 
N 395-1 "О 
банках и 
банковской 
деятельности" 

Адвокатская 
тайна, 
нотариальная 
тайна 

Сведения, связанные с оказанием 
адвокатом юридической помощи своему 
доверителю; сведения, которые стали 
известны нотариусу в связи с его 
профессиональной деятельностью 

Основы
законодательства
Российской 
Федерации о 
нотариате (утв. 
ВС РФ 11.02.1993
N 4462-1); ст. 8
Федерального 
закона от 
31.05.2002 
N 63-ФЗ "Об 
адвокатской 
деятельности и 
адвокатуре в 
Российской 
Федерации" 

Сведения, 
связанные с 
аудитом 
организации 

Любые сведения и документы, полученные 
и (или) составленные аудиторской 
организацией и ее работниками, а также 
индивидуальным аудитором и работниками,
с которыми им заключены трудовые 
договоры, при оказании услуг, 
предусмотренных настоящим Федеральным 
законом, за исключением: 
1) сведений, разглашенных самим лицом, 
которому оказывались услуги, 
предусмотренные настоящим Федеральным 
законом, либо с его согласия; 
2) сведений о заключении с аудируемым 
лицом договора о проведении 
обязательного аудита; 
3) сведений о величине оплаты 
аудиторских услуг 

Статья 9
Федерального 
закона от 
30.12.2008 
N 307-ФЗ "Об 
аудиторской 
деятельности" 

Чем отличаются понятия: таблица отличий

Последствия неверного определения режима

Коммерческая тайна – режим конфиденциальной информации. Если законодатель в нормативно-правовых актах прямо не обозначил конкретные данные как конфиденциальные, то владельцу необходимо принять меры по отнесению их, например, к коммерческой тайне. Только при таких условиях правообладатель имеет право предъявлять законные меры к лицам, разгласившим тайну.

Пример. Менеджеру по персоналу службы такси стало известно о смене системы оплаты труда операторов в худшую для них сторону. Этой информацией она поделилась с оператором, предоставила таблицу с цифрами и объяснила, как считать. Руководство компании уволило менеджера по персоналу, когда узнало о разглашении сведений, а она подала в суд на незаконное увольнение.

Служба такси иск проиграла, т.к. документы о коммерческой тайне были неверно оформлены:

• сведения о заработной плате не относились к коммерческой тайне;
• менеджер по персоналу не подписывала документы о согласии на неразглашение коммерческой тайны и того, что в нее входит.

Суд постановил отсутствие в компании тайны, защищаемой законом, и отсутствие оснований для увольнения. Компания восстановила сотрудника в должности, выплатила заработную плату за то время, пока она не работала.

В момент возникновения спора по вопросам увольнения работников, компании предстоит доказать, что разглашенные сведения охраняются законом.

Бывает и так, что сведения по закону не могут быть отнесены к коммерческой тайне, а владелец прописывает во внутренних документах обратное. Суд не признает их как охраняемые законом.

Если в организации не был надлежащим образом установлен соответствующий режим защиты информации, то привлечение сотрудника к ответственности становится невозможным.

Для привлечения контрагента к ответственности, истец должен доказать в суде:

• наличие факта нарушения;
• вину ответственной стороны в нарушении прав истца;
• факт причинения убытков и их размер;
• взаимосвязь между фактом нарушения права и причиненными убытками.

Если не будет доказан хотя бы один из элементов, то это повлечет отказ суда в удовлетворении иска. Дела об убытках признаются самыми трудными в судах.

Коммерческая тайна – это предоставляемое на законодательном уровне право предпринимателя засекречивать сведения, связанные с хозяйственной деятельностью организации, разглашение которых может нанести ущерб его интересам. Конфиденциальная информация – это та, которая зафиксирована на материальном носителе, содержит реквизиты, по которым есть возможность ее идентифицировать, а доступ к ней находится под охраной законов РФ.

Схема отнесения информации к категории конфиденциальной

Конфиденциальная информация предприятия может состоять из:

• данных, определяющие коммерческую тайну
• персональных данных сотрудников предприятия
• других данных, на которых наложен гриф конфиденциальности

К конфиденциальной информации можно относить:

• данные о событиях, фактах жизни сотрудника, которые разрешают идентифицировать его личность
• данные подпадаемые под законодательство страны, находящиеся в руках предприятия
• техническую, организационную или другую предпринимательскую информацию:
  • которая может обладать потенциальной или действительной коммерческой ценностью
  • к которой нету доступа в паблике
  • по отношению которой, владелец видит в ней ценность

Информация действительно имеет ценность, если она:

• имеет сведения об увеличения доходов
• об избежание убытков
• другую выгоду

К категории конфиденциальной информации НЕЛЬЗЯ отнести следующую информацию:

• содержащаяся в реестрах государства
• данные о деятельности предпринимателя, лицензии и другие документы, которые указывают на данный вид деятельности
• Все что связанно с федеральным бюджетом, и теми вещами, на которые были потрачены эти деньги
• О состоянии противопожарной безопасности, экологической, и тд.
• О численности сотрудников, о наличии свободных мест
• О задолженности по выплате заработной плате и другим выплатам
• о нарушении законов страны и их последствиях
• О условиях приватизации объектов государственной собственности, о участниках составление договоров приватизации
• о списке лиц, которые имеют без доверенности выступать от имени юридического лица

Уровень конфиденциальности данных должен соответствовать тяжести ущерба, которые может быть нанесен предприятию или его сотрудниками. Под ущербом понимают расходы, которые потратит на : восстановление нарушенного права, утраты, повреждение, не полученные доходы.

Похожие записи:

• 2. Порядок расследования и оформления несчастных случаев на производстве
• Льготы для военных пенсионеров по налогу на имущество
• Переплата по налогам и страховым взносам: как вернуть?