Надання конфіденційної інформації третім особам. Види конфіденційної інформації

Конфіденційна інформація у трудових відносинах Іванов Дмитро Вікторович

1.1. Конфіденційна інформація

В умовах ринку та конкуренції виникають проблеми, пов'язані із забезпеченням безпеки не тільки фізичних та юридичних осіб, їх майнової власності, а й інформації, що має комерційне значення, інших відомостей, зокрема, про результати інтелектуальної діяльності: секрети виробництва, службові секрети виробництва та ін. .

Інформація має ряд властивих їй властивостей.

Корисність інформації полягає в тому, що вона створює суб'єкту вигідні умови для ухвалення оперативного рішення та отримання ефективного результату.

У свою чергу корисність інформації (особливо комерційної) залежить від своєчасного її доведення до суб'єкта підприємництва. Наприклад, через несвоєчасне надходження корисних за своїм змістом відомостей упускається можливість укласти вигідну торгову або іншу угоду. Результат – час втрачено, інформація втрачає свою корисність.

Критерії корисності та своєчасності тісно взаємопов'язані та взаємозалежні з критерієм достовірності оцінюваної інформації. Недостовірні відомості зводять до нульового ефекту своєчасність і їх корисність для суб'єкта підприємництва.

Цінність інформації - це комплексний показник її якості, міра придатності для прийняття рішень у конкретній сфері. Звідси комерційна цінність інформації – це її придатності (корисності) прийняття рішень у комерційної діяльності. Цінність інформації складається з достовірності, актуальності, повноти, корисності та своєчасності інформації.

Для підприємницької діяльності, отже, й у трудових відносин (т. е. підприємця – роботодавця), особливе значення має комерційна інформація. У зарубіжній економічній літературі підприємницька інформація розглядається не як засіб досягнення позитивного результату (прибутку), а, перш за все, як умова, що сприяє або перешкоджає його наступу (наприклад, у законодавстві Великобританії іноземні юристи виділяють таке поняття, як бізнес-інформація) .

На думку англійських правознавців (Лі, Мартіна, Хейда), у ринковій економіці інформація також є товаром, і її отримання, зберігання, передача та використання повинні підкорятися законам товарно-грошових відносин. Кожен власник має право охороняти свої інтереси та захищати необхідну інформацію, отримуючи при цьому певну свободу підприємництва. Право на таємницю означає обмеження державного втручання в економічне життя підприємства та захист його інтересів під час взаємодії з іншими суб'єктами ринкових відносин. Головне призначення бізнес-інформації – забезпечувати підприємству економічні переваги у конкурентній боротьбі.

Інформація, як поняття, має різні аспекти вивчення. У перекладі з латинського «informatio» – роз'яснення, виклад, повідомлення, тлумачення, подання, інакше кажучи, відомості про щось, що є об'єктом збору, зберігання та переробки. Таке визначення дається в економічному словнику.

Наприкінці 50-х років один із основоположників кібернетики Норберт Вінер визначив інформацію як «позначення змісту, отриманого із зовнішнього світу в процесі нашого пристосування до нього та пристосування до нього наших почуттів. Процес отримання та використання інформації є процесом нашого пристосування до випадковостей довкілля та нашої життєдіяльності у цьому середовищі». У цьому вся визначенні вчений вперше торкається проблеми неповноти одержуваної індивідом інформації, з одного боку, і необхідність захисту відомостей від «випадків довкілля» – з іншого.

Правове поняття інформації дано у п. 1 ст. 2 Федерального закону «Про інформацію, інформаційні технології та захист інформації» від 27 липня 2006 р. № 149-ФЗ (далі – Закон про інформацію): інформація – відомості (повідомлення, дані) незалежно від форми їх подання. У п. 1 ст. 5 зазначеного Закону йдеться про те, що інформація може бути об'єктом громадських, цивільних та інших правових відносин. Треба сказати, що передбачаються деякі зміни термінології, передбачені проектом Федерального закону № 404643-5 «Про внесення змін до деяких законодавчих актів Російської Федерації у зв'язку з прийняттям Федерального закону „Про інформацію, інформаційні технології та захист інформації“, розглянутого у першому читанні Державної Думою РФ 6 жовтня 2010 р., а саме слова „конфіденційна інформація“ замінити словами „інформація, щодо якої встановлено вимогу щодо забезпечення її конфіденційності,“ або словами „інформація обмеженого доступу“.

Інформація може вільно використовуватися будь-якою особою і передаватися однією особою іншій особі, якщо федеральними законами не встановлено обмеження доступу до інформації або інші вимоги до її надання чи поширення. Таким чином, термін «інформація» стає універсальним, він позначає будь-які відомості про будь-кого або про що-небудь, одержувані з будь-якого джерела в будь-якій формі: письмовій, усній, візуальній і т. п. У даному визначенні відомості розуміються як реальні об'єкти соціального життя: особи, предмети, факти, події, явища, процеси Ці відомості можуть бути і об'єктом пізнання, і ресурсом поповнення інформаційної бази: з одного боку, відомості можуть бути отримані в результаті дослідження навколишньої дійсності та долучені до вже існуючої об'єктивної системи знань про світ, а з іншого – бути об'єктом пошуку, що виробляється конкретним споживачем досягнення його цілей.

Крім того, при взаємодії інформації та суспільства відбувається зміна соціальних регуляторів (моралі, права), а також структурна зміна всього суспільства під впливом технічних та технологічних процесів. Повсюдне впровадження інформаційних технологій та заснованих на них інформаційних телекомунікаційних мереж призвело до формування глобального міждержавного інформаційного віртуального простору, в якому інформація обертається у незвичній для традиційного права електронній формі.

Таким чином, посилення інформаційної залежності людини від зростаючого обсягу споживаної інформації потребує впорядкування та системної організації самої інформації, у тому числі за допомогою норм права.

Родоначальником окремого інформаційно-правового спрямування спочатку радянського, а нині російського правознавства став А. Б. Венгеров. Він виділив певні ознаки (властивості) інформації, важливі для правового опосередкування відносин щодо інформації (інформаційних відносин). До них, зокрема, відносяться відома самостійність інформації стосовно свого носія; можливість багаторазового використання однієї й тієї інформації; її невичерпність при споживанні; збереження інформації, що передається, у передавального суб'єкта (цією ознакою інформація принципово відрізняється від речових матеріальних об'єктів); здатність до збереження, агрегування, інтегрування, накопичення, «стиснення»; кількісна визначеність; системність.

Якість сучасного рівня правового регулювання відносин щодо інформації багато в чому визначається ступенем обліку законодавцем цих ознак (властивостей).

Перше російське легальне визначення поняття «інформація» було дано у Федеральному законі «Про інформацію, інформатизацію та захист інформації» від 20 лютого 1995 р. № 24-ФЗ, у ст. 2 якого говорилося, що інформація – це відомості про осіб, предмети, факти, події, явища та процеси незалежно від форми їх надання. У чинному Федеральному законі «Про інформацію, інформаційні технології та захист інформації» від 27 липня 2006 р. № 152-ФЗ визначення інформації, як вище говорилося, представлено в більш загальному вигляді. Інформацією є будь-які відомості (повідомлення, дані) незалежно від форми їх надання.

Пункт 3 ст. 5 Закону про інформацію містить класифікацію інформації залежно від порядку її надання чи розповсюдження. Так, з цієї підстави інформація поділяється на вільно поширювану; що надається за згодою осіб, які беруть участь у відповідних відносинах; інформацію, яка відповідно до федеральних законів підлягає наданню чи розповсюдженню; інформацію, поширення якої у Російської Федерації обмежується чи забороняється, наприклад, інформація, що становить державну чи комерційну таємницю. У п. 2 цієї статті наводиться поділ інформації залежно від категорії доступу до неї. З цієї підстави інформація може бути загальнодоступною; обмежений доступ.

Основи правового режиму інформації обмеженого доступу було встановлено у ст. 10 Федерального закону від 20 лютого 1995 р. № 24-ФЗ «Про інформацію, інформатизації та захист інформації». Частина 2 ст. 10 визначала два базові типи інформації обмеженого доступу: інформація, віднесена до державної таємниці (тобто секретна), та конфіденційна інформація.

Обмеження доступу до інформації встановлюється федеральними законами з метою захисту основ конституційного ладу, моральності, здоров'я, правий і законних інтересів інших, забезпечення оборони держави та безпеки держави (п. 1 ст. 9 Закону про інформацію). Таким чином, конфіденційною може бути будь-яка інформація, яка може спричинити зазначені наслідки. Конфіденційна інформація може виражатися у секретах виробництва, відомостях, недоступних іншим, а й бути таємницею. Російське законодавство встановлює різні види таємниці: державну, комерційну, службову, професійну, іншу, і навіть персональні дані. Регулюванню відносин, пов'язаних із персональними даними, присвячено спеціальний Федеральний закон «Про персональні дані», прийнятий 27 липня 2006 р. № 152-ФЗ (далі – Закон про персональні дані).

Конфіденційну інформацію визначено у п. 7 ст. 2 Закону про інформацію через вимогу не передавати таку інформацію третім особам без згоди її власника. Треба сказати, що її режим досить різко критикується в літературі як невизначений. Федеральний закон від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації» використовує лише найзагальніші нормативні установки, наприклад: «Федеральними законами встановлюються умови віднесення інформації до відомостей, що становлять комерційну таємницю, службову таємницю та іншу таємницю, обов'язковість дотримання конфіденційності такої інформації, а також відповідальність за її розголошення» (ч. 4 ст. 9).

Саме слово «конфіденційність» у перекладі з латинської означає «довіру» (тобто передаючи таку інформацію, ми сподіваємося на її збереження та нерозповсюдження, оскільки її розголошення може завдати сторонам певної шкоди). Це визначення небездоганне. Навряд чи можна погодитися з визначенням конфіденційної інформації знов-таки через інформацію з обмеженим доступом, яка не містить державну таємницю, по-перше, тому, що таке визначення виявляється у замкнутому колі: не можна визначати подібне до подібних; по-друге, державна таємниця – це також конфіденційна інформація.

Виникає питання про співвідношення конфіденційної інформації та інформації обмеженого доступу. Поняття інформації, що у обмеженому обороті, дуже «молоде» навіть за мірками російського інформаційного права, пише З. У. Комлев. Вперше це поняття було введено до Федерального закону «Про кредитні історії». Незважаючи на те, що смисловий зміст поняття інформації, що знаходиться в обмеженому обороті, активно використовувався і раніше, законодавець офіційно ввів його в російську правову систему лише на початку 2005 р. Відповідно до ч. 4 ст. 7 зазначеного законодавчого акта сукупність інформації, що міститься в титульній, основній та додатковій (закритій) частинах кредитних історій, є обмежено обернездатним об'єктом. Видається не тільки досить зручним, але й обґрунтованим і можливим поширити цей термін на весь спектр інформації, яка хоч і не належить до державної таємниці, але вільне поширення якої завдасть істотної шкоди суспільним відносинам. Під інформацією, що знаходиться в обмеженому обороті, слід розуміти інформацію, власник якої вживає заходів до її охорони та захисту та вільне поширення якої може порушити права і свободи людини або торкнутися її законних інтересів, а також може завдати шкоди економічним інтересам організації.

До інформації, яка перебуває в обмеженому обороті, належать відомості, що становлять:

1) комерційну таємницю; 2) аудиторську таємницю; 3) банківську таємницю; 4) податкову таємницю; 5) таємницю страхування; 6) таємницю зв'язку; 7) таємницю заповіту; 8) адвокатську таємницю; 9) лікарську таємницю; 10) таємницю усиновлення дитини; 11) зміст кредитних історій фізичних, юридичних осіб та індивідуальних підприємців.

З наведеного переліку видно, інформація, що у обмеженому обороті, зустрічається у багатьох сферах життя. Інформація, що у обмеженому обороті, характеризується такими ознаками: вона є державної таємницею; в інформації містяться відомості, вільний оборот яких може завдати шкоди власнику даних відомостей або особі, відомості про яку містяться в інформації. Власник або законний власник вживає заходів щодо охорони та захисту інформації.

Треба сказати, що чинне законодавство, точно не визначаючи конфіденційну інформацію, ускладнює і розуміння співвідношення безумовно близьких і взаємозалежних категорій, зокрема конфіденційної інформації та інформації обмеженого доступу, комерційної, службової, професійної, іншої таємниці, секретів виробництва, службових творів. Цьому перешкоджає різнобій термінології різних нормативних правових актів, що регулюють відносини, а в деяких випадках і колізія деяких норм законів, про що більш докладно нижче, коли йтиметься про конкретні види конфіденційної інформації. Аналізуючи нормативні правові акти, які мають пряме відношення до питання, можна констатувати, що інформація поділяється на 1) загальнодоступну; 2) інформацію обмеженого доступу (термінологія ст. 7 і 9 Закону, яка, як можна судити за текстом, тотожна відомостям конфіденційного характеру (термінологія Указу Президента РФ від 6 березня 1997 р. в ред. Указу Президента РФ від 23 вересня 2005 р.) . У свою чергу, інформація обмеженого доступу (відомості конфіденційного характеру) підрозділяється на персональні дані, комерційну, службову, професійну та інші таємниці.

Заслуговує на увагу думка Є. К. Вовчинської, яка вважає, що можна виділити кілька умов, необхідних і достатніх для встановлення режимів конфіденційності:

- Зацікавленість суб'єкта в обмеженні доступу до інформації, що свідчить про те, що конкретна інформація представляє для нього цінність (в моральному, матеріальному або іншому аспекті);

– наявність інтересу (права) інших суб'єктів отримання та/або використання цієї інформації, т. е. власник, реалізуючи свій інтерес, нічого не винні порушувати законні права інших суб'єктів отримання інформації;

- право обмежувати доступ до інформації може поширюватися тільки на інформацію, отриману законним шляхом, у тому числі самостійно, за договором, даром тощо;

– інформація, доступ до якої обмежується, не має бути загальновідомою;

- Власник інформації, до якої він хоче обмежити доступ, повинен забезпечити необхідні заходи захисту інформації - встановити режим таємниці.

Указом Президента Російської Федерації від 6 березня 1997 р. № 188 (у редакції Указу Президента РФ від 23 вересня 2005 р. № 1111 встановлено перелік відомостей конфіденційного характеру:).

1. Відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особистість (персональні дані), за винятком відомостей, що підлягають поширенню у засобах масової інформації у встановлених федеральними законами випадках.

2. Відомості, що становлять таємницю слідства та судочинства, а також відомості про особи, що захищаються, та заходи державного захисту, що здійснюється відповідно до Федерального закону від 20 серпня 2004 р. № 119-ФЗ «Про державний захист потерпілих, свідків та інших учасників кримінального судочинства» та іншими нормативними правовими актами Російської Федерації.

3. Службові відомості, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу Російської Федерації та федеральними законами (службова таємниця).

4. Відомості, пов'язані з професійною діяльністю, доступ до яких обмежений відповідно до Конституції Російської Федерації та федеральних законів (лікарська, нотаріальна, адвокатська таємниця, таємниця листування, телефонних переговорів, поштових відправлень, телеграфних або інших повідомлень тощо).

5. Відомості, пов'язані з комерційною діяльністю, доступ до яких обмежений відповідно до Цивільного кодексу Російської Федерації та федеральними законами (комерційна таємниця).

6. Відомості про сутність винаходу, корисної моделі або промислового зразка до офіційної публікації інформації про них.

Відповідно до ст. 5 Закону «Про комерційну таємницю» від 29 липня 2004 року до відомостей, які не можуть становити комерційну таємницю, належать перелічені у п. 1–11:

3) про склад майна державного чи муніципального унітарного підприємства, державної установи та про використання ними коштів відповідних бюджетів;

4) про забруднення навколишнього середовища, стан протипожежної безпеки, санітарно-епідеміологічної та радіаційної обстановки, безпеки харчових продуктів та інші фактори, що негативно впливають на забезпечення безпечного функціонування виробничих об'єктів, безпеки кожного громадянина та безпеки населення в цілому;

5) про чисельність, про склад працівників, про систему оплати праці, про умови праці, у тому числі про охорону праці, про показники виробничого травматизму та професійної захворюваності та про наявність вільних робочих місць;

6) про заборгованість роботодавців з виплати заробітної плати та з інших соціальних виплат;

7) про порушення законодавства Російської Федерації та факти притягнення до відповідальності за вчинення цих порушень;

8) про умови конкурсів чи аукціонів із приватизації об'єктів державної чи муніципальної власності;

9) про розміри та структуру доходів некомерційних організацій, про розміри та склад їх майна, про їх витрати, про чисельність та про оплату праці їх працівників, про використання безоплатної праці громадян у діяльності некомерційної організації;

10) про перелік осіб, які мають право діяти без довіреності від імені юридичної особи;

11) обов'язковість розкриття яких або неприпустимість обмеження доступу до яких встановлено іншими федеральними законами.

Віднесення інформації до конфіденційної здійснюється у порядку, встановленому законодавством України, а саме ст. 9 Закону про інформацію. Відповідно до нього «Федеральними законами встановлюються умови віднесення інформації до відомостей, що становлять комерційну таємницю службову таємницю та іншу таємницю обов'язок дотримання конфіденційності такої інформації, а також відповідальність за її розголошення» (п. 4). Поняття конфіденційної інформації досить широке, оскільки до цієї категорії, мабуть, відносяться всі види інформації обмеженого доступу, що захищається законом, – комерційна, професійна та інші таємниці, а також деякі інші відомості, щодо яких встановлено режим конфіденційності.

Перелік відомостей, що становлять конфіденційну інформацію, не підлягає розширеному тлумаченню. Тому довільне віднесення будь-ким до розряду конфіденційної іншої, не передбаченої переліком інформації, не тягне за собою правових наслідків. Загальнодоступною інформацією є відомі відомості та інша інформація, доступ до якої не обмежений. Встановленню правового режиму загальнодоступної інформації присвячено ст. 7 Закону про інформацію. До загальнодоступної інформації належать відомі відомості та інша інформація, доступ до якої не обмежений. Загальнодоступна інформація може використовуватися будь-якими особами на їх розсуд за дотримання встановлених федеральними законами обмежень щодо поширення такої інформації. Власник інформації, що стала загальнодоступною за його рішенням, має право вимагати від осіб, які розповсюджують таку інформацію, вказувати своє ім'я як джерело такої інформації.

У п. 1 ст. 6 Закону про інформацію надано поняття «власник інформації», під яким розуміється фізична, юридична особа, Російська Федерація, її суб'єкт, муніципальна освіта, які або самотужки створили інформацію, або набули на підставі закону або договору право надавати або обмежувати можливість інших осіб отримувати та використовувати певну інформацію. Привертає увагу, проте, що з цього перерахування випадають організації без освіти юридичної особи, що аж ніяк небайдуже для трудових відносин, тому що ці організації можуть бути роботодавцями (ст. 20 ТК РФ).

Предметом володіння є відомості незалежно від форми їх надання.

У колишньому законодавстві суб'єкт, який здійснює права власності щодо інформаційних ресурсів, інформаційних систем, технологій та засобів їх забезпечення лише у частині володіння та користування ними, а також реалізує повноваження розпорядження в межах, встановлених Законом, іменувався власником зазначених об'єктів.

З точки зору трудового права цікаво визначити, за яких обставин як та, так і інша сторона трудового договору може мати конфіденційну інформацію, і якого саме виду.

Виходячи із змісту ст. 6 Закону про інформацію, роботодавець – безумовний власник як виробничої, технічної, економічної, організаційної та іншої конфіденційної інформації, і інформації, що стосується працівника, необхідної роботодавцю з виконання працівником своєї трудової функції (ст. 65, 88 ТК РФ). Працівник також може бути власником виробничої та іншої інформації, по-перше, тому, що вона може бути довірена йому роботодавцем як необхідна для виконання трудової функції, по-друге, працівникові можуть належати результати інтелектуальної діяльності, створені в процесі трудової діяльності, а саме : винаходи; корисні моделі; промислові зразки і т. п. (ст. 1225 ЦК України). З іншого боку, з глави 14 ТК РФ і Закону «Про персональні дані» від 27 липня 2006 р. № 152-ФЗ працівник – фізична особа є суб'єктом персональних даних (п. 1 ст. 3).

Однак при цьому треба мати на увазі таке.

Відповідно до главі 70 частини четвертої ДК РФ, на відміну нечинного нині Закону про авторські права 1993 р., інакше вирішуються питання авторських прав на службові твори. Свого часу у ст. 14 Закону про авторське право службові твори ділилися на твори, створені «у порядку виконання службових обов'язків» та «у порядку службового завдання» роботодавця. Ці два положення відрізняються один від одного тим, що при виконанні службового завдання працівникові дається пряма вказівка ​​про створення певного твору, причому така вказівка ​​може не випливати з його службових обов'язків та перебувати за рамками таких обов'язків. У п. 1 ст. 1295 ГК РФ поняття службового твору звужено таким чином, що під нього підпадають лише твори, створені в межах встановлених для працівника трудових обов'язків, та взаємини працівника та роботодавця з приводу службового завдання мають регулюватися додатковою угодою.

Будь-які умови, що стосуються взаємовідносин між працівником (автором) та роботодавцем з приводу службового твору, можуть бути узгоджені як у трудовому, так і в іншому договорі (абз. 1 п. 2 ст. 1295 ЦК України). Хоча службові твори створюються в рамках трудових відносин, слід погодитися з думкою В. А. Дозорцева, що трудовий договір у цьому випадку є підставою укладання цивільно-правового договору, оскільки суб'єктивні цивільні права, включаючи право на отримання автором винагороди від роботодавця, можуть надаватися лише за цивільно-правовим договором.

Якщо продовжувати розглядати фігуру власника інформації, необхідно сказати, що у Законі про інформацію з'являється особливий суб'єкт правовідносин у сфері інформації – оператор інформаційної системи. Визначення його поняття вперше надано у Законі «Про персональні дані», у п. 2 ст. 3 якого сказано, що оператор - державний орган, муніципальний орган, юридична або фізична особа, що організують та (або) здійснюють обробку персональних даних, а також визначальні цілі та зміст обробки персональних даних. За загальним правилом, оператором вважається власник технічних засобів, що використовуються при цьому, хоча в ч. 5 ст. 14 Закону про інформацію міститься виняток із цього правила, зроблений щодо державних інформаційних систем: при створенні такої системи її оператором може бути і особа, з якою цей власник уклав договір про експлуатацію інформаційної системи. Якщо інформаційна система не є державною чи муніципальною, то порядок її створення та експлуатації визначається її оператором (ч. 6 ст. 13 Закону про інформацію). Тому перш ніж залучити оператора до надання послуг з експлуатації інформаційної системи та укласти з ним відповідний договір, важливо ознайомитись з його внутрішніми правилами або положеннями (які зазвичай включаються до умов договору і тому мають юридичну силу для сторін).

З урахуванням висловлених міркувань можна запропонувати обговорення таке визначення поняття конфіденційної інформації.

Під конфіденційною інформацією слід розуміти легально отриману інформацію, яка в силу закону чи іншого акта, що має юридичне значення, доступна строго певному колу осіб і щодо якої встановлено режим певної таємності.

З книги Федеральний Закон про саморегулівні організації автора Дума Державна

Стаття 7. Розкриття саморегулівною організацією інформації та захист саморегулівною організацією інформації від її неправомірного використання 1. Саморегульована організація зобов'язана розкривати шляхом її опублікування у засобах масової інформації та

Із книги Податковий кодекс Російської Федерації. Частини перша та друга. Текст із змінами та доповненнями на 1 жовтня 2009 р. автора Автор невідомий

Стаття 93.1. Вимагання документів (інформації) про платника податків, платника зборів та податкового агента або інформацію про конкретні угоди 1. Посадова особа податкового органу, яка проводить податкову перевірку, має право витребувати у контрагента або в інших осіб,

З книги Кодекс Російської Федерації про адміністративні правопорушення. Текст із змінами та доповненнями на 1 листопада 2009 р. автора Автор невідомий

Стаття 15:12. Випуск або продаж товарів та продукції, щодо яких встановлені вимоги щодо маркування та (або) нанесення інформації, необхідної для здійснення податкового контролю, без відповідного маркування та (або) інформації, а також з порушенням

З книги Кримінальний кодекс України в анекдотах автора Ківалов С В

Стаття 361-2. Несанкціонований збут або розповсюдження інформації з обмеженим доступом, що зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації 1. Несанкціонований збут

З книги Шпаргалка з міжнародного права автора Лукін Е Е

70. ПОНЯТТЯ МІЖНАРОДНОГО ПРАВА МАСОВОЇ ІНФОРМАЦІЇ До засобів масової інформації належать радіомовлення, телевізійне мовлення, поширення тиражованої друкованої, звукової та візуальної продукції (книги, газети, журнали, грамплатівки, компакт-диски,

З книги Шпаргалка з інформаційного права автора Якубенко Ніна Олегівна

2. ПОНЯТТЯ ТА ВИДИ ІНФОРМАЦІЇ: ДОКУМЕНТОВАНА ТА НЕДОКУМЕНТОВАНА ІНФОРМАЦІЯ Існують різні підходи до розуміння інформації. повідомлення,

З книги Правове регулювання рекламної діяльності автора Богацька Софія Германівна

З книги Кодекс про Правопорушення Республіки Молдова чинний з 31.05.2009 автора Автор невідомий

Стаття 75. Розголошення конфіденційної інформації про медичний огляд щодо виявлення інфікування вірусом імунодефіциту людини (ВІЛ), що викликає захворювання на СНІД Розголошення конфіденційної інформації про медичний огляд щодо виявлення інфікування

З книги Журналістське розслідування автора Колектив авторів

4.1. Поняття інформації та методи її обробки Що таке інформація Свого часу знаменитий британський державний діяч Бенджамін Дізраелі зауважив, що, «як правило, найбільшого успіху досягає той, хто має у своєму розпорядженні кращу інформацію». Зрозуміло, що цю саму

З книги Оперативно-розшукова діяльність: удосконалення форм входження її результатів до кримінального процесу автора Царьова Ніна Павлівна

§ 1. Поняття доказів, засобів доведення та відмежування їх від оперативно-розшукової інформації Розвиток правової теорії неможливий без розробки методології. Це стосується будь-якої галузі права, у тому числі до кримінального процесу та оперативно-розшукового.

З книги Релігійна таємниця автора Андрєєв К. М.

Про інформацію, інформаційні технології та захист інформації Федеральний закон від 27 липня 2006 р. № 149-ФЗ (ред. від 02.07.2013) (Витяг) ‹…›Стаття 2. Основні поняття, що використовуються в цьому Федеральному законі‹…›7 ) конфіденційність інформації – обов'язкова для

З книги Конфіденційна інформація у трудових відносинах автора Іванов Дмитро Вікторович

Глава 1 Поняття, види та джерела правового регулювання конфіденційної

З книги Лікарська таємниця. Питання та відповіді автора Аргунова Юлія Миколаївна

1.2. Види та основні джерела правового регулювання конфіденційної

З книги автора

2.3. Відповідальність сторін трудового договору за невиконання обов'язків щодо збереження (нерозголошення) конфіденційної інформації У суспільстві інформація одна із найважливіших елементів бізнесу, та й будь-якої продуктивної діяльності.

З книги автора

Як співвідноситься право на інформацію та право на нерозголошення конфіденційної інформації? Федеральний закон від 27 липня 2006 р. № 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації», розвиваючи положення Конституції РФ, до принципів правового

З книги автора

До якого виду конфіденційної інформації належить лікарська таємниця? Таємниця в загальному розумінні - це "те, що ховається від інших, що відомо не всім, секрет". Етичні норми суспільства припускають, що кожна людина повинна зберігати таємницю, довірену їй іншим

Бібліографічний опис:

Нестеров А.К. Забезпечення інформаційної безпеки [Електронний ресурс] // Освітня енциклопедія сайт

Одночасно з розвитком інформаційних технологій та підвищенням значущості інформаційних ресурсів для організацій, зростає і кількість загроз їхній інформаційній безпеці, а також можливі збитки від її порушень. Виникає об'єктивна необхідність забезпечення інформаційної безпеки підприємства. У зв'язку з цим прогрес можливий лише в умовах цілеспрямованого попередження загроз інформаційній безпеці.

Засоби забезпечення інформаційної безпеки

Забезпечення інформаційної безпеки здійснюється за допомогою двох типів засобів:

  • програмно-апаратні засоби
  • захищені комунікаційні канали

Програмно-апаратні засоби забезпечення інформаційної безпеки у сучасних умовах розвитку інформаційних технологій найбільш поширені у роботі вітчизняних та зарубіжних організацій. Докладно розглянемо основні програмно-апаратні засоби захисту інформації.

Програмно-апаратні засоби захисту від несанкціонованого доступу включають заходи ідентифікації, автентифікації та управління доступом в інформаційну систему.

Ідентифікація – надання суб'єктам доступу унікальних ідентифікаторів.

Сюди відносять радіочастотні мітки, біометричні технології, магнітні карти, універсальні магнітні ключі, логіни для входу до системи тощо.

Аутентифікація – перевірка належності суб'єкта доступу до пред'явленого ідентифікатора та підтвердження його справжності.

До процедур аутентифікації належать паролі, pin-коди, смарт-картки, usb-ключі, цифрові підписи, сеансові ключі тощо. Процедурна частина засобів ідентифікації та аутентифікації взаємопов'язана і, фактично, є базовою основою всіх програмно-апаратних засобів забезпечення інформаційної безпеки, оскільки всі інші служби розраховані на обслуговування конкретних суб'єктів, коректно розпізнаних інформаційною системою. У загальному вигляді ідентифікація дозволяє суб'єкту позначити себе для інформаційної системи, а за допомогою аутентифікації інформаційна система підтверджує, що суб'єкт справді той, за кого він видає. На основі проходження цієї операції проводиться операція з надання доступу до інформаційної системи. Процедури управління доступом дозволяють суб'єктам, що авторизувалися, виконувати дозволені регламентом дії, а інформаційній системі контролювати ці дії на коректність і правильність отриманого результату. Розмежування доступу дозволяє системі закривати від користувачів дані, яких вони мають допуску.

Наступним засобом програмно-апаратного захисту виступає протоколювання та аудит інформації.

Протоколювання включає збирання, накопичення та збереження інформації про події, дії, результати, що мали місце під час роботи інформаційної системи, окремих користувачів, процесів і всіх програмно-апаратних засобів, що входять до складу інформаційної системи підприємства.

Оскільки у кожного компонента інформаційної системи існує заздалегідь заданий набір можливих подій відповідно до запрограмованих класифікаторів, то події, дії та результати поділяються на:

  • зовнішні, спричинені діями інших компонентів,
  • внутрішні, викликані діями самого компонента,
  • клієнтські, викликані діями користувачів та адміністраторів.
Аудит інформації полягає у проведенні оперативного аналізу в реальному часі або в заданий період.

За результатами аналізу або формується звіт про події, що мали місце, або ініціюється автоматична реакція на позаштатну ситуацію.

Реалізація протоколювання та аудиту вирішує такі завдання:

  • забезпечення підзвітності користувачів та адміністраторів;
  • забезпечення можливості реконструкції послідовності подій;
  • виявлення спроб порушень інформаційної безпеки;
  • надання інформації для виявлення та аналізу проблем.

Найчастіше захист інформації неможливий без застосування криптографічних засобів. Вони використовуються для забезпечення сервісів шифрування, контролю цілісності та аутентифікації, коли засоби аутентифікації зберігаються у користувача в зашифрованому вигляді. Існує два основні методи шифрування: симетричний та асиметричний.

Контроль цілісності дозволяє встановити справжність і ідентичність об'єкта, якою виступає масив даних, окремі порції даних, джерело даних, і навіть забезпечити неможливість відзначити досконале у системі дію з масивом інформації. Основу реалізації контролю цілісності становлять технології перетворення даних із використанням шифрування та цифрові сертифікати.

Іншим важливим аспектом є використання екранування, технології, яка дозволяє, розмежовуючи доступ суб'єктів до інформаційних ресурсів, контролювати всі інформаційні потоки між інформаційною системою підприємства та зовнішніми об'єктами, масивами даних, суб'єктами та контрсуб'єктами. Контроль потоків полягає в їх фільтрації і, у разі необхідності, перетворення інформації, що передається.

Завдання екранування – захист внутрішньої інформації від ворожих зовнішніх чинників і суб'єктів. Основною формою реалізації екранування виступають міжмережеві екрани або файрволли, різних типів та архітектури.

Оскільки однією з ознак інформаційної безпеки є доступність інформаційних ресурсів, то забезпечення високого рівня доступності є важливим напрямком у реалізації програмно-апаратних заходів. Зокрема, поділяється два напрями: забезпечення стійкості до відмови, тобто. нейтралізації відмов системи, здатність працювати у разі виникнення помилок, і забезпечення безпечного і швидкого відновлення після відмов, тобто. обслуговуваність системи.

Основна вимога до інформаційних систем полягає в тому, щоб вони працювали завжди із заданою ефективністю, мінімальним часом недоступності та швидкістю реагування.

Відповідно, доступність інформаційних ресурсів забезпечується за рахунок:

  • застосування структурної архітектури, яка означає, що окремі модулі можуть бути за потреби відключені або швидко замінені без шкоди іншим елементам інформаційної системи;
  • забезпечення відмовостійкості за рахунок: використання автономних елементів підтримуючої інфраструктури, внесення надлишкових потужностей у конфігурацію програмно-апаратних засобів, резервування апаратних засобів, тиражування інформаційних ресурсів усередині системи, резервне копіювання даних тощо.
  • забезпечення обслуговування за рахунок зниження термінів діагностування та усунення відмов та їх наслідків.

Іншим типом засобів забезпечення інформаційної безпеки є захищені комунікаційні канали.

Функціонування інформаційних систем неминуче пов'язане з передачею даних, тому для підприємств необхідно також забезпечити захист інформаційних ресурсів, що передаються, використовуючи захищені комунікаційні канали. Можливість несанкціонованого доступу до даних при передачі трафіку відкритими каналами комунікації обумовлена ​​їх загальнодоступністю. Оскільки "комунікації на всьому їхньому протязі фізично захистити неможливо, тому краще спочатку виходити з припущення про їхню вразливість і відповідно забезпечувати захист". І тому використовуються технології тунелювання, суть якого у тому, щоб інкапсулювати дані, тобто. упаковати або обернути пакети даних, що передаються, включаючи всі службові атрибути, у власні конверти. Відповідно, тунель є захищеним з'єднанням через відкриті канали комунікацій, яким передаються криптографічно захищені пакети даних. Тунелювання застосовується для забезпечення конфіденційності трафіку за рахунок приховування службової інформації та забезпечення конфіденційності та цілісності даних, що передаються при використанні разом з криптографічними елементами інформаційної системи. Комбінування тунелювання та шифрування дозволяє реалізувати віртуальну приватну мережу. При цьому кінцевими точками тунелів, що реалізують віртуальні приватні мережі, є міжмережні екрани, що обслуговують підключення організацій до зовнішніх мереж.

Міжмережеві екрани як точки реалізації сервісу віртуальних приватних мереж

Таким чином, тунелювання та шифрування виступають додатковими перетвореннями, що виконуються в процесі фільтрації мережного трафіку поряд з трансляцією адрес. Кінцями тунелів, окрім корпоративних міжмережевих екранів, можуть бути персональні та мобільні комп'ютери співробітників, точніше, їх персональні міжмережеві екрани та файрволи. Завдяки такому підходу забезпечується функціонування захищених каналів комунікації.

Процедури забезпечення інформаційної безпеки

Процедури забезпечення інформаційної безпеки прийнято розмежовувати на адміністративний та організаційний рівень.

  • До адміністративних процедур відносяться дії загального характеру, що вживаються керівництвом організації, для регламентації всіх робіт, дій, операцій у галузі забезпечення та підтримки інформаційної безпеки, що реалізуються за рахунок виділення необхідних ресурсів та контролю результативності заходів, що вживаються.
  • Організаційний рівень є процедурами щодо забезпечення інформаційної безпеки, включаючи управління персоналом, фізичний захист, підтримку працездатності програмно-апаратної інфраструктури, оперативне усунення порушень режиму безпеки та планування відновлювальних робіт.

З іншого боку, розмежування адміністративних та організаційних процедур є безглуздим, оскільки процедури одного рівня не можуть існувати окремо від іншого рівня, порушуючи тим самим взаємозв'язок захисту фізичного рівня, персонального та організаційного захисту в концепції інформаційної безпеки. На практиці, забезпечуючи інформаційну безпеку організації, не нехтують адміністративними чи організаційними процедурами, тому логічніше розглядати їх як комплексний підхід, оскільки обидва рівні стосуються фізичного, організаційного та персонального рівнів захисту інформації.

Основою комплексних процедур забезпечення інформаційної безпеки є політика безпеки.

Політика інформаційної безпеки

Політика інформаційної безпекив організації – це сукупність документованих рішень, прийнятих керівництвом організації та спрямованих на захист інформації та асоційованих із нею ресурсів.

В організаційно-управлінському плані політика інформаційної безпеки може бути єдиним документом або оформлена у вигляді кількох самостійних документів чи наказів, але в будь-якому разі має охоплювати такі аспекти захисту інформаційної системи організації:

  • захист об'єктів інформаційної системи, інформаційних ресурсів та прямих операцій з ними;
  • захист усіх операцій, пов'язаних з обробкою інформації у системі, включаючи програмні засоби обробки;
  • захист комунікаційних каналів, включаючи дротові, радіоканали, інфрачервоні, апаратні тощо;
  • захист апаратного комплексу від побічних електромагнітних випромінювань;
  • управління системою захисту, включаючи обслуговування, модернізацію та адміністраторські дії.

Кожен із аспектів має бути докладно описаний та документально закріплений у внутрішніх документах організації. Внутрішні документи охоплюють три рівні процесу захисту: верхній, середній та нижній.

Документи верхнього рівня політики інформаційної безпеки відображають основний підхід організації до захисту власної інформації та відповідність державним та/або міжнародним стандартам. На практиці в організації існує лише один документ верхнього рівня, який має назву "Концепція інформаційної безпеки", "Регламент інформаційної безпеки" і т.п. Формально дані документи не становлять конфіденційної цінності, їх поширення не обмежується, але можуть випускати в редакції для внутрішнього використання та відкритої публікації.

Документи середнього рівня є строго конфіденційними і стосуються конкретних аспектів інформаційної безпеки організації: засобів захисту інформації, безпеки баз даних, комунікацій, криптографічних засобів та інших інформаційних та економічних процесів організації. Документальне оформлення реалізується у вигляді внутрішніх технічних та організаційних стандартів.

Документи нижнього рівня поділені на два типи: регламенти робіт та інструкції з експлуатації. Регламенти робіт є суворо конфіденційними та призначені лише осіб, які за боргом служби здійснюють роботу з адміністрування окремих сервісів інформаційної безпеки. Інструкції з експлуатації можуть бути як конфіденційними, так і публічними; вони призначені для персоналу організації та описують порядок роботи з окремими елементами інформаційної системи організації.

Світовий досвід свідчить, що політика інформаційної безпеки завжди документально оформляється тільки у великих компаніях, що мають розвинену інформаційну систему, що висувають підвищені вимоги до інформаційної безпеки, середні підприємства найчастіше мають лише частково документально оформлену політику інформаційної безпеки, малі організації в переважній більшості взагалі не дбають про документальне оформлення політики безпеки. Незалежно від формату документального оформлення цілісний чи розподілений, базовим аспектом є режим безпеки.

Існує два різні підходи, які закладаються в основу політики інформаційної безпеки:

  1. "Дозволено все, що не заборонено".
  2. "Заборонено все, що не дозволено".

Фундаментальним дефектом першого підходу полягає в тому, що на практиці передбачити усі небезпечні випадки та заборонити їх неможливо. Поза всякими сумнівами, слід застосовувати лише другий підхід.

Організаційний рівень інформаційної безпеки

З погляду захисту інформації, організаційні процедури забезпечення інформаційної безпеки видаються як "регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх та зовнішніх загроз".

Заходи з управління персоналом, спрямовані на організацію роботи з кадрами з метою забезпечення інформаційної безпеки, включають розподіл обов'язків та мінімізацію привілеїв. Поділ обов'язків наказує такий розподіл компетенцій і зон відповідальності, у якому одна людина неспроможна порушити критично важливий в організацію процес. Це знижує ймовірність помилок та зловживань. Мінімізація привілеїв передбачає наділення користувачів лише тим рівнем доступу, який відповідає необхідності виконання ними службових обов'язків. Це зменшує збитки від випадкових чи навмисних некоректних дій.

Фізичний захист означає розробку та вжиття заходів для прямого захисту будівель, в яких розміщуються інформаційні ресурси організації, прилеглих територій, елементів інфраструктури, обчислювальної техніки, носіїв даних та апаратних каналів комунікацій. Сюди відносять фізичне управління доступом, протипожежні заходи, захист підтримуючої інфраструктури, захист від перехоплення даних та захист мобільних систем.

Підтримка працездатності програмно-апаратної інфраструктури полягає у попередженні стохастичних помилок, що загрожують пошкодженням апаратного комплексу, порушенням роботи програм та втратою даних. Основні напрями у цьому аспекті полягають у забезпеченні підтримки користувачів та програмного забезпечення, конфігураційного управління, резервного копіювання, управління носіями інформації, документування та профілактичні роботи.

Оперативне усунення порушень режиму безпеки переслідує три основні цілі:

  1. Локалізація інциденту та зменшення шкоди, що завдається;
  2. Виявлення порушника;
  3. Попередження повторних порушень.

Зрештою, планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити збитки від них та зберегти здатність до функціонування хоча б у мінімальному обсязі.

Використання програмно-апаратних засобів та захищених комунікаційних каналів має бути реалізовано в організації на основі комплексного підходу до розробки та затвердження всіх адміністративно-організаційних регламентних процедур забезпечення інформаційної безпеки. В іншому випадку, вжиття окремих заходів не гарантує захисту інформації, а часто, навпаки, провокує витоку конфіденційної інформації, втрати критично важливих даних, пошкодження апаратної інфраструктури та порушення роботи програмних компонентів інформаційної системи організації.

Методи забезпечення інформаційної безпеки

Для сучасних підприємств характерна розподілена інформаційна система, яка дозволяє враховувати у роботі розподілені офіси та склади компанії, фінансовий облік та управлінський контроль, інформацію з клієнтської бази, з урахуванням вибірки за показниками тощо. Таким чином, масив даних дуже значний, причому в переважній більшості це інформація, що має пріоритетне значення для компанії в комерційному та економічному плані. Фактично забезпечення конфіденційності даних, що мають комерційну цінність, становить одне з основних завдань забезпечення інформаційної безпеки в компанії.

Забезпечення інформаційної безпеки на підприємствімає бути регламентовано такими документами:

  1. Регламент забезпечення інформаційної безпеки. Включає формулювання цілей та завдань забезпечення інформаційної безпеки, перелік внутрішніх регламентів із засобів захисту інформації та положення про адміністрування розподіленої інформаційної системи компанії. Доступ до регламенту обмежений керівництвом організації та керівником відділу автоматизації.
  2. Регламенти технічного забезпечення захисту. Документи є конфіденційними, доступ обмежений співробітниками відділу автоматизації та вищим керівництвом.
  3. Регламент адміністрування розподіленої системи захисту. Доступ до регламенту обмежений співробітниками відділу автоматизації, які відповідають за адміністрування інформаційної системи, та вищим керівництвом.

При цьому цими документами не слід обмежуватись, а опрацювати також нижні рівні. В іншому випадку, якщо у підприємства інших документів, що стосуються забезпечення інформаційної безпеки, не буде, це свідчить про недостатній ступінь адміністративного забезпечення захисту інформації, оскільки відсутні документи нижнього рівня, зокрема інструкції з експлуатації окремих елементів інформаційної системи.

Обов'язкові організаційні процедури включають:

  • основні заходи щодо диференціації персоналу за рівнем доступу до інформаційних ресурсів,
  • фізичний захист офісів компанії від прямого проникнення та загроз знищення, втрати або перехоплення даних,
  • Підтримка працездатності програмно-апаратної інфраструктури організована у вигляді автоматизованого резервного копіювання, віддаленої перевірки носіїв інформації, підтримка користувачів та програмного забезпечення здійснюється на запит.

Сюди також слід віднести регламентовані заходи щодо реагування та усунення випадків порушень інформаційної безпеки.

Насправді часто спостерігається, що підприємства недостатньо уважно ставляться до цього питання. Усі дії в цьому напрямку здійснюються виключно в робочому порядку, що збільшує час усунення випадків порушень та не гарантує запобігання повторним порушенням інформаційної безпеки. Крім того, повністю відсутня практика планування дій щодо усунення наслідків після аварій, витоків інформації, втрати даних та критичних ситуацій. Все це суттєво погіршує інформаційну безпеку підприємства.

На рівні програмно-апаратних засобів має бути реалізована трирівнева система забезпечення інформаційної безпеки.

Мінімальні критерії забезпечення інформаційної безпеки:

1. Модуль управління доступом:

  • реалізовано закритий вхід до інформаційної системи, неможливо зайти до системи поза верифікованими робочими місцями;
  • для співробітників реалізовано доступ з обмеженим функціоналом з мобільних персональних комп'ютерів;
  • авторизація здійснюється за формованим адміністраторами логінам та паролям.

2. Модуль шифрування та контролю цілісності:

  • використовується асиметричний метод шифрування даних, що передаються;
  • масиви критично важливих даних зберігаються в базах даних у зашифрованому вигляді, що не дозволяє отримати доступ до них навіть за умови злому інформаційної системи компанії;
  • контроль цілісності забезпечується простим цифровим підписом всіх інформаційних ресурсів, що зберігаються, оброблюються або передаються всередині інформаційної системи.

3. Модуль екранування:

  • реалізовано систему фільтрів у міжмережевих екранах, що дозволяє контролювати всі інформаційні потоки по каналах комунікації;
  • зовнішні з'єднання з глобальними інформаційними ресурсами та громадськими каналами зв'язку можуть здійснюватися лише через обмежений набір верифікованих робочих станцій, що мають обмежене з'єднання з корпоративною інформаційною системою;
  • захищений доступ із робочих місць співробітників для виконання ними службових обов'язків реалізовано через дворівневу систему проксі-серверів.

Нарешті, за допомогою технологій тунелювання на підприємстві має бути реалізована віртуальна приватна мережа відповідно до типової моделі побудови для забезпечення захищених комунікаційних каналів між різними відділеннями компанії, партнерами та клієнтами компанії.

Незважаючи на те, що комунікації безпосередньо здійснюються мережами з потенційно низьким рівнем довіри, технології тунелювання завдяки використанню засобів криптографії дозволяють забезпечити надійний захист всіх даних, що передаються.

Висновки

Основна мета всіх заходів в галузі забезпечення інформаційної безпеки полягає в захисті інтересів підприємства, так чи інакше пов'язаних з інформаційними ресурсами, які воно має. Хоча інтереси підприємств не обмежені конкретною областю, всі вони концентруються навколо доступності, цілісності та конфіденційності інформації.

Проблема забезпечення інформаційної безпеки пояснюється двома основними причинами.

  1. Накопичені підприємством інформаційні ресурси є цінністю.
  2. Критична залежність від інформаційних технологій зумовлює їхнє широке застосування.

Враховуючи широке різноманіття існуючих загроз для інформаційної безпеки, таких як руйнування важливої ​​інформації, несанкціоноване використання конфіденційних даних, перерви в роботі підприємства внаслідок порушень роботи інформаційної системи, можна зробити висновок, що це об'єктивно призводить до великих матеріальних втрат.

У забезпеченні інформаційної безпеки значної ролі грають програмно-апаратні засоби, створені задля контроль комп'ютерних сутностей, тобто. обладнання, програмних елементів, даних, утворюючи останній та найбільш пріоритетний рубіж інформаційної безпеки. Передача даних також має бути безпечною в контексті збереження їхньої конфіденційності, цілісності та доступності. Тому в сучасних умовах для забезпечення захищених комунікаційних каналів застосовуються технології тунелювання у комбінації із криптографічними засобами.

Література

  1. Галатенко В.О. Стандарти інформаційної безпеки. - М.: Інтернет-університет інформаційних технологій, 2006.
  2. Партика Т.Л., Попов І.І. Інформаційна безпека. - М.: Форум, 2012.

В організаціях завжди є управлінські документи, витік змісту яких небажаний або просто шкідливий, оскільки може бути використаний прямо або безпосередньо на шкоду її авторам.

Така інформація і відповідно документи, які її містять, вважаються конфіденційними (закритими, що захищаються).

Документована інформація обмеженого доступу завжди належить до одного з видів таємниці - державної чи недержавної.

Відповідно до цього документи поділяються на секретніі несекретні.

Обов'язковою ознакою (критерієм належності) секретного документа є наявність у ньому відомостей, що становлять відповідно до законодавства державну таємницю.

Несекретні документи, Що включають відомості, що належать до недержавної таємниці (службової, комерційної, банківської, професійної, виробничої та інших.), чи містять особисті дані громадян, називаються конфіденційними.

Законодавством РФ встановлено, що документована інформація (документи) є загальнодоступною, за виняткомвіднесеної законом до категорії обмеженого доступу.

При цьому документована інформація з обмеженим доступомпідрозділяється:

1) на інформацію, віднесену до державної таємниці,

2) конфіденційну інформацію.

Обидва зазначені види інформації підлягають захисту від незаконного розповсюдження (розголошення) і відносяться до таємниці, що охороняється законодавством.

Обов'язковою ознакою конфіденційного документає наявність у ньому інформації, що підлягає захисту.

Тобто, конфіденційна, насамперед, інформація, а потім уже стають конфіденційними і документи, в яких ця інформація зафіксована.

До категорії конфіденційної інформаціївідносяться всі види інформації обмеженого доступу, що захищається законом – комерційна, службова, особиста. Крім державних секретів.

Інформація може бути поділена на три категорії.

1. Несекретна (або відкрита)яка призначена для використання як усередині фірми, так і поза нею.

2. Для службового використанняяка призначена тільки для використання всередині фірми. Вона поділяється, своєю чергою, на дві підкатегорії:

Доступну всім співробітників фірми;

Доступну для певних категорій співробітників, але яка може бути передана у повному обсязі іншому співробітнику для виконання необхідної роботи.

3. Секретна інформація(або інформація обмеженого доступу), яка призначена для використання лише спеціально уповноваженими співробітниками фірми та не призначена для передачі іншим співробітникам у повному обсязі або частинами.



Інформацію другої та третьої категорії зазвичай називають конфіденційною.

Таким чином, конфіденційна інформація- інформація, доступ до якої обмежується відповідно до законодавства та рівня доступу до інформаційного ресурсу.

Конфіденційна інформація стає доступною або розкритою лише санкціонованим особам, об'єктам або процесам.

Російське законодавство виділяє кілька видів конфіденційної інформації.

Указом Президента РФ від 06.03.1997 № 188 (ред. Від 23.09.2005) затверджено Перелік відомостей конфіденційного характеру:

1. Відомостіпро факти, події та обставини приватного життягромадянина, що дозволяють ідентифікувати його особу (персональні дані).

2. Відомості, що становлять таємницю слідства та судочинства, а також відомості про особи, що захищаються і заходи державного захисту, що здійснюється відповідно до Федерального закону від 20 серпня 2004 р. № 119-ФЗ «Про державний захист потерпілих, свідків та інших учасників кримінального судочинства» та іншими нормативними правовими актами Російської Федерації.

3. Службові відомості, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу Російської Федерації та федеральними законами (службова таємниця).

4. Відомості, пов'язані з професійною діяльністю, доступ до яких обмежений відповідно до Конституції Російської Федерації та федеральних законів (лікарська, нотаріальна, адвокатська таємниця, таємниця листування, телефонних переговорів, поштових відправлень, телеграфних або інших повідомлень і так далі).

5. Відомості, пов'язані з комерційною діяльністю, доступ до яких обмежений відповідно до Цивільного кодексу Російської Федерації та федеральними законами (комерційна таємниця).



6. Відомості про сутність винаходу, корисні моделі або промислового зразка до офіційної публікації інформації про них.

Конфіденційність інформаціїпередбачає захист від несанкціонованого доступу.

Конфіденційність

Конфіденційність.(англ. confidence- довіра) - необхідність запобігання витоку (розголошення) будь-якої інформації.

В англо-американській традиції розрізняють два основні види конфіденційності: добровільну (privacy) та примусову (secrecy). (Див. Едвард Шилз - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee )) , корпорації, державного органу, громадської чи політичної організації. Хоча privacy і secrecy схожі за значенням, на практиці вони зазвичай суперечать один одному: посилення secrecy веде до порушення та зменшення privacy. тільки secrecy.

Визначення

Конфіденційністьінформації - принцип аудиту , полягає у цьому, що аудитори зобов'язані забезпечувати безпеку документів , одержуваних чи складених ними під час аудиторської діяльності, і немає права передавати ці документи чи його копії будь-яким третім особам, або розголошувати усно які у них відомості без згоди власника економічного суб'єкта, крім випадків, передбачених законодавчими актами.

Конфіденційністьінформації - обов'язкове до виконання особою, який отримав доступом до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника .

Конфіденційна інформація- інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації і є комерційною, службовою або особистою таємницею, що охороняється її власником.

Службова таємниця- Конфіденційна інформація, що захищається за законом, стала відомою в державних органах і органах місцевого самоврядування тільки на законних підставах і в виконанні їх представниками службових обов'язків, а також службова інформація про діяльність державних органів, доступ до якої обмежений федеральним законом або в силу службової необхідності. Однозначне визначення поняття «службова таємниця» у чинному законодавстві РФ відсутнє. Службова таємниця одна із об'єктів цивільних прав у цивільному законодавству РФ. Режим захисту службової таємниці загалом аналогічний режиму захисту комерційної таємниці. У ряді випадків за розголошення службової таємниці закон передбачає кримінальну відповідальність (наприклад, за розголошення таємниці усиновлення або за розголошення відомостей, що становлять комерційну, податкову або банківську таємницю, особою, якій такі відомості стали відомі по службі).

Службова таємниця- інформація з обмеженим доступом, за винятком відомостей, віднесених до державної таємниці та персональних даних, що міститься в державних (муніципальних) інформаційних ресурсах, накопичена за рахунок державного (муніципального) бюджету та є власністю держави, захист якої здійснюється на користь держави.

Захист конфіденційності є одним із трьох завдань інформаційної безпеки (поряд із захистом цілісності та доступність інформації).

Актуальність конфіденційності

З моменту початку використання комп'ютерних технологій у всіх сферах діяльності людини виникло багато проблем, пов'язаних із захистом конфіденційності. Це пов'язано з обробкою документів із застосуванням комп'ютерних технологій. Багато адміністративних заходів щодо захисту конфіденційності приватних осіб та організацій втратили свою силу у зв'язку з переходом документообігу в абсолютно нове середовище.

При отриманні особистих листів, під час укладання договорів, під час ділового листування, при телефонних розмовах зі знайомими і незнайомими людьми, людина користувалася різними засобами аутентифікації . Особисті листи надсилалися із зазначенням існуючої поштової адреси або мали штамп саме тих поштових відділень, де проводилася обробка таких листів. Під час укладання договорів застосовувалися бланки, вироблені на друкарнях , у яких з використанням друкарських машинок, мали унікальні серійні номери, друкувався текст, який потім підписувався посадовцем і завірявся печаткою організації. При розмовах по телефону достовірно було відомо, що розмова ведеться саме з тією людиною, голос якої раніше був відомий. Багато сотень адміністративних заходів були спрямовані на захист конфіденційності під час спілкування людей.

З впровадженням комп'ютерних технологій у життя багато чого змінилося. При використанні, наприклад, електронної пошти з'явилася можливість вказати неіснуючу зворотну адресу або імітацію отримання листа від знайомої людини. При повсякденному спілкуванні через мережу Інтернет багато ознак, що ідентифікують тієї чи іншої людини у звичайному житті (стаття, вік, ступінь освіти), перестали бути такими. З'явилася так звана "віртуальна реальність".

Швидко та ефективно вирішити проблеми, пов'язані із захистом конфіденційності в комп'ютерних системах, неможливо. З'явилася потреба у комплексному підході до вирішення цих проблем. Цей підхід має передбачати використання організаційних та правових заходів, а також програмно-апаратних засобів, що забезпечують захист конфіденційності, цілісності та доступності.

На сьогоднішній день в організаціях для забезпечення коректної роботи з інформацією конфіденційного характеру існує набір норм. Керівник організації підписує перелік відомостей, що мають конфіденційний характер. У договорі, який підписується працівником та роботодавцем, існує пункт, у якому йдеться про відповідальність за некоректну роботу з конфіденційними відомостями, внаслідок чого при недотриманні прописаних у договорі норм щодо роботи з цими відомостями, з'являється законна підстава для притягнення таких працівників до адміністративної чи кримінальної відповідальності . А також в організаціях є комплекс заходів, спрямованих на захист конфіденційних відомостей. Наприклад, такими заходами можуть бути: підбір кваліфікованого персоналу, прогнозування можливих загроз та проведення заходів щодо їх запобігання, використання різного рівня доступу персоналу до інформації з різною таємністю.

Оскільки неможливо детально вивчити цю область у короткі терміни, було запроваджено напрям з підготовки фахівців у сфері інформаційної безпеки.

За допомогою програмно-апаратних засобів захисту інформації, представлених різними виробниками, можна досягти вищих показників ефективності, якщо застосовувати їх комплексно. До таких засобів відносять обладнання для криптографічного захисту мовної інформації, програми для криптографічного захисту текстової або іншої інформації, програми для забезпечення автентифікації поштових повідомлень за допомогою електронного цифрового підпису, програми забезпечення антивірусного захисту, програми захисту від мережевих вторгнень, програми виявлення вторгнень, програми для приховання зворотного адреси відправника електронного листа.

Подібний перелік програмно-апаратних засобів, як правило, розробляється фахівцями в галузі захисту інформації з урахуванням багатьох факторів, наприклад, характеристики автоматизованої системи, кількості користувачів у цій системі, відмінності рівня доступу цих користувачів і т.д.

Конфіденційність у законодавстві РФ

Примітки

Література

  • Великий юридичний словник. 3-тє вид., Дод. та перероб. / За ред. проф. А. Я. Сухарєва. – М.: ІНФРА-М, 2007. – VI, 858 с – (Б-ка словників «ІНФРА-М»)

Посилання

  • Конфіденційна інформація у російському законодавстві

Див. також


Wikimedia Foundation.

2010 .:

Синоніми:

Антоніми

    Секретність, таємність, довірливість, засекреченість. Ant. відкритість, гласність Словник російських синонімів. конфіденційність див. Секретність Словник синонімів російської мови. Практичний довідник М.: Російська мова … Словник синонімів

    конфіденційність- Властивість інформації, що полягає в тому, що вона не може бути доступною для ознайомлення неавторизованим користувачам та/або процесам. зміст критичної інформації в секреті; доступ до неї обмежений вузьким колом користувачів (окремих осіб). Довідник технічного перекладача

    КОНФІДЕН ІАЛЬНИЙ [де], ая, ое; льон, льону (книжн.). Секретний, довірчий. розмова. Повідомити конфіденційно (назв.). Тлумачний словник Ожегова. С.І. Ожегов, Н.Ю. Шведова. 1949 1992 … Тлумачний словник Ожегова

    Конфіденційність- Етична вимога, що застосовується як в експериментальних дослідженнях, так і в психотерапії. Згідно з цією вимогою учасники або пацієнти мають право на те, щоб інформація, зібрана під час дослідження або сеансу лікування, не… Велика психологічна енциклопедія

    конфіденційність- 2.6 конфіденційність (confidentiality): Властивість інформації бути недоступною та закритою для неавторизованого індивідуума, логічного об'єкта чи процесу. [ІСО/МЕК 7498 2] Джерело … Словник-довідник термінів нормативно-технічної документації

    конфіденційність- ▲ обмеженість доступ, до (предмету), відомості про конфіденційність. конфіденційний не підлягає широкому розголосу; доступний вузькому колу осіб (# розмова). конфіденційно. довірливість. довірчий (# тон). довірливо. довіряти (#… … Ідеографічний словник української мови

Поняття "конфіденційна інформація" дуже часто зустрічається в юридичній практиці. Що воно означає і які види існують? Розглянемо це далі.

Загальне поняття

Перш ніж розглядати те, які існують види конфіденційної інформації, слід детально розібратися у загальних особливостях поняття.

Отже, якщо говорити дуже простою мовою, то до категорії конфіденційної інформації відносяться всі задокументовані відомості, які зберігаються на певному підприємстві або в організації будь-якої форми власності, поширення яких є небажаним для самої особи. Це пов'язано з тим, що такі відомості, як правило, є даними щодо певних особливостей діяльності компанії або фірми, розголошення яких може завдати шкоди їх власнику.

Якщо говорити юридичними термінами, то перших статтях Закону " Про інформацію " говориться у тому, що поняття має на увазі під собою документовані відомості, доступ яких охороняється від всебічного втручання законодавством Росії, чинним нині.

Законодавче регулювання

Поняття конфіденційної інформації, її види та характеристика закріплені у певних нормативних актах, які нині діють на території Росії. Які відносяться до них?

Головну роль визначенні такого поняття відіграє Закон "Про інформацію", який закріплює саме поняття як у загальному, так і у вузькому сенсах. Що ж до видів конфіденційної інформації з законам РФ, їх повний перелік детально представлений у положеннях, прописаних в Указі Президента №188.

До того ж, конфіденційну інформацію можуть становити відомості щодо конкретної особи - такі дані іменуються персональними даними. Регулювання цього поняття провадиться на підставі статей Закону "Про персональні дані".

Забезпечення безпеки конфіденційної інформації, отриманої внаслідок ведення діяльності певного характеру, у Росії відбувається виходячи з актів галузевого законодавства. Зокрема, до таких належать закони "Про нотаріат", Про адвокатську діяльність", "Про лікарську таємницю" тощо.

Крім усього цього, окрему увагу слід приділяти збереженню інформації, яка є таємницею діяльності підприємства. Дані положення добре регулює Закон "Про комерційну таємницю".

Методи регулювання конфіденційної інформації

Щоб забезпечити належну безпеку інформації, що становить конфіденційні відомості, законодавець передбачив певний перелік заходів та методів, які дозволяють робити це.

Так, законодавець наголошує на тому, що для того, щоб забезпечити збереження конфіденційних відомостей, необхідно чітко визначитися, які дані підходять до їх числа. З цією метою передбачається встановлення самого поняття "конфіденційна інформація", види її, а також певний перелік відомостей, які можуть становити її.

Крім цього, для забезпечення збереження відомостей, що становлять таємницю, законодавець передбачає певний порядок видачі фактів, віднесених до цієї категорії, а також певні заборони на дії, наявність яких може призвести до порушення встановленого режиму безпеки інформації, що відведена під секретну групу.

Види

Щодо основних видів конфіденційної інформації, то на практиці можна зустріти невелику їх кількість. Усі вони перераховані у змісті Указу Президента №188, який було видано 1997 року.

Персональні дані

Якщо говорити коротко, вид конфіденційної інформації, що є персональними даними, має на увазі під своїм поняттям певний спектр даних, що стосуються безпосередньо певної особи, що іменується в юридичній практиці суб'єктом персональних даних. Яка інформація стосується цієї групи даних? Насамперед, під ними маються на увазі особисті відомості - прізвище, ім'я, а також по батькові. Крім цього, серед відомостей, що становлять персональну інформацію, законодавець визначає адресу, за якою особа прописана або здійснює своє проживання, місце народження та дату, місце фактичного перебування у певний момент. До списку даних, що є конфіденційною інформацією, також відносять і відомості, що є в документах, що засвідчують особу людини (дату і місце її видачі, серію, номер тощо)

Окрім іншого, до переліку відомостей, що становлять персональні дані, законодавець також визначає і ту інформацію, яка відома співробітникам органів РАГС внаслідок виконання ними своїх професійних обов'язків.

Законодавець визначає особливі принципи твору обробки даних, які є персональною інформацією. Безумовно, всі вони мають бути дотримані належним чином. Практика показує, що це дозволяє точно забезпечити збереження даних.

p align="justify"> Робота з конфіденційної інформації в російському законодавстві передбачає дотримання відповідності всіх цілей, для яких здійснюється обробка наданих особою відомостей, тим, що були заявлені як ті, для яких вимагалися дані. Крім цього, їх обсяг має повністю відповідати тому, що необхідне реалізації заявленої мети.

Законодавець передбачає те, що всі дані, які були відведені під групу відомостей, що становлять персональну інформацію, мають бути виключно достовірними. Що ж до органів та фахівців, які проводять їх обробку, то вони не повинні використовувати ті відомості, які не потрібні для досягнення поставленої мети.

Що ж до процесу зберігання даних, воно має здійснюватися лише в такий спосіб, щоб за наданими відомостями можна було визначити їх власника. Якщо говорити про терміни, протягом яких повинен проводитися процес зберігання даний вид конфіденційної інформації з класифікації, що розглядається в цій статті, то він не повинен перевищувати той час, який потрібний для реалізації поставленої мети. Після закінчення відведеного періоду всі дані мають бути знищені у встановленому порядку. Те саме слід зробити тоді, коли відсутня необхідність використання відомостей.

Обробка персональних даних

Існують певні правила обробки персональних даних, які обов'язково слід враховувати у процесі роботи з ними. Так, цей процес здійснюється виключно відповідно до всіх вимог, які подано у статтях ФЗ "Про інформацію". Відповідно до наведених у ньому положень, обробку даних може здійснювати виключно оператор і лише за згодою самої особи.

У певних випадках дана згода не потрібна. Зокрема це стосується того моменту, коли обробка персональних даних проводиться для отримання статистичних даних або для вивчення, підтвердження наукових тверджень. У деяких випадках це необхідно для того, щоб захистити життя і здоров'я людей, а також деякі інші інтереси, віднесені до групи життєво важливих. У тому випадку, якщо журналіст займається здійсненням своєї професійної діяльності, тоді коли факт отримання ним інформації не завдасть істотних збитків особі, яка є власником даних, він також може використати відомості у своїй роботі.

У юридичній практиці нерідко трапляються такі ситуації, коли використання персональних даних особи без її згоди на те, провадиться з метою забезпечення дотримання вимог, передбачених договором, виконання його положень. Однак це можливо лише в тому випадку, коли однією з його сторін є суб'єкт, який займається підприємницькою діяльністю.

комерційна таємниця

Це особливий вид конфіденційної інформації. Правовий спосіб її захисту та зберігання також відрізняється своїми певними особливостями. У чому вони?

Насамперед, слід розуміти те, що комерційна таємниця - це інформація, яка є особливостями виробництва товарів, а також ведення бізнесу, при розкритті якої підприємство або організація просто перестане отримувати дохід.

Слід розуміти ще й те, що поряд із комерційною таємницею в юридичній практиці існує й службова. Дане поняття може бути використане лише у певних державних службах. Вона є секретною інформацією, що охороняється законом в особливому порядку. Щодо її змісту, то воно, як правило, стосується особливостей несення державної служби, які приховані від загального огляду та мають режим закритого чи обмеженого доступу.

Основні положення, що стосуються комерційної та службової таємниці, регулюються нормами, прописаними у статтях Законів "Про комерційну таємницю" та "Про службову таємницю".

За розголошення особами, які є носіями інформації, що представляє собою службову або комерційну таємницю, довірених їм відомостей, вони можуть бути піддані відповідальності різних видів: кримінальної, цивільно-правової, адміністративної, а також дисциплінарної, що особливо часто застосовується на різних підприємствах.

Документовані інформаційні ресурси

Це один із основних видів конфіденційної інформації, який дуже часто використовується як серед юридичних, так і серед фізичних осіб. Вона має особливий режим забезпечення безпеки представлених даних, та її оформлення представлено у спеціальній формі.

Так, документованим інформаційним ресурсом визнаються відомості певного характеру, які зафіксовані на носії матеріального типу із зазначенням окремих реквізитів, перелік яких для кожного варіанта документа представлений у законодавстві окремо.

Що стосується виду носія конфіденційної інформації, то як нього, як правило, використовується папір. Вся фіксація відомостей на носії повинна здійснюватися у суворій відповідності до зазначених у документі вимог. На ці матеріальні носії може бути встановлене право власності, що здійснюється відповідно до норм цивільного законодавства.

Професійна та слідча таємниця

У Росії, як і в інших державах, є певний перелік професій, які в силу своїх особливостей передбачають обробку особами певних даних, які становлять інформацію, заборонену для розголошення. До таких груп осіб, насамперед належать адвокати, нотаріуси, спеціалісти в галузі медицини тощо. . Так, наприклад, через особливості своєї діяльності, нотаріус знає про особливості укладання будь-яких угод, а також про їх зміст. Однак особа, яка займається провадженням нотаріальної діяльності, не може жодним чином розголошувати третім особам отримані ним відомості.

Які види цінної конфіденційної інформації належать до цієї групи? Насамперед, законодавець визначає такий відомості, що у особистому листуванні, телефонних переговорах, листах та інших відправленнях, які відбуваються через поштові відділення, телеграфи, і навіть інші повідомлення, взяті з інших джерел. У такому випадку лише користувач поштових або, наприклад, телеграфних послуг має право дати згоду на розголошення даних, що складають. До таких можуть бути віднесені дані, подані в медичних картках, відомості про факт удочеріння чи усиновлення, про безпеку будівлі школи, під чим мається на увазі її антитерористична захищеність тощо.

Окрему увагу слід приділити ще одному існуючому юридичній практиці поняття - такому, як слідча таємниця. Відомості, отримані під час проведення розслідувань, і навіть ведення оперативної діяльності, також підлягають розголошенню, особливо, особами, які мають до них прямий чи опосередкований доступ. Ще один вид інформації, що охороняється законом - судочинства. Забезпечувати належну безпеку відомостей, віднесених до цієї групі, зобов'язані всі співробітники апарату суду, а особливо, ті, що мають пряме відношення до розгляду справи. У тому випадку, якщо особа порушує встановлений режим, внаслідок чого відбувається витік секретних відомостей, вона може понести відповідальність - дисциплінарну або кримінальну, залежно від того, наскільки серйозні наслідки спричинило діяння і яку форму вини має досконала дія.

Відомості про сутність винаходу

Окрему увагу законодавець приділяє питанню, пов'язаному із забезпеченням збереження відомостей, які становлять сутність винаходів або будь-яких корисних моделей. Збереження відомостей повинна охоронятися доти, доки вона не буде заявлена ​​у світ офіційно, а також не буде опублікована інформація про об'єкти.

Яким чином забезпечується захист представлених об'єктів? Усі заходи, які вживає для цього держава, передбачені статтями Цивільного кодексу у частині 4.

Дане поняття та вид конфіденційної інформації передбачає особливий характер її захисту. Зокрема, вона може бути представлена ​​в юрисдикційній формі, яка проводиться за участю спеціалізованих державних органів, а також створення патенту на цей особливий винахід.

Нерідко захист нових винаходів здійснюється у цивільно-правовій формі. Фахівці у сфері юриспруденції зазначають, що вона застосовується, зазвичай, у разі, коли ліцензіат усвідомлено чи випадковим чином порушує прописані у договорі правничий та свідомо ухиляється від передбачених його змістом обов'язків. Як правило, за результатами проведення такої форми захисту потерпіла сторона отримує компенсаційну виплату, розмір якої дорівнює сумі завданих збитків.

Крім представлених вище форм захисту цього виду конфіденційної інформації, існує також адміністративний порядок. Він передбачає письмове звернення сторони, чиї законні інтереси були защемлені, до спеціального органу - Палати патентного відомства, яка належить до групи апеляційних органів. Законодавець передбачає досить тривалий процес розгляду поданої заявки, який може тривати до 4 місяців. За результатами процедури, як правило, орган ухвалює своє рішення на користь постраждалої сторони. Насправді така практика особливо користується популярністю серед власників патенту, який визнається недійсним.

Захист засекречених відомостей

Види конфіденційної інформації та їх захист прописані в положеннях різних законів, серед яких є чимало галузевих. Щодо захисту відомостей, то вона передбачає комплекс певних заходів, які створюють перешкоди доступу до даних. До них може бути віднесена необхідність зберігання документів-носіїв секретних відомостей у спеціальних сейфах, передачу електронних даних по локальній мережі, обмеження списку осіб до даних тощо.

Крім всього цього, при порушенні встановлених вимог, винна особа зобов'язана понести покарання, пропорційне завданих їм збитків.



ПОХОДЖЕННЯ СТАТТІ