Конфиденциальность

Конфиденциальность. (англ. confidence - доверие) - необходимость предотвращения утечки (разглашения) какой-либо информации.

В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз - The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee ) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.

Определения

Конфиденциальность информации - принцип аудита , заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов , получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.

Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя .

Конфиденциальная информация - информация , доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Однозначное определение понятия «служебная тайна» в действующем законодательстве РФ отсутствует. Служебная тайна является одним из объектов гражданских прав по гражданскому законодательству РФ. Режим защиты служебной тайны в целом аналогичен режиму защиты коммерческой тайны . В ряде случаев за разглашение служебной тайны закон предусматривает уголовную ответственность (например, за разглашение тайны усыновления , или за разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, лицом, которому такие сведения стали известны по службе) .

Служебная тайна - информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащаяся в государственных (муниципальных) информационных ресурсах, накопленная за счет государственного (муниципального) бюджета и являющаяся собственностью государства, защита которой осуществляется в интересах государства .

Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).

Актуальность конфиденциальности

С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.

При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации . Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях , на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.

С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность ».

Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.

На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности . А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.

Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.

С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты , программы защиты от сетевых вторжений , программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.

Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.

Конфиденциальность в законодательстве РФ

Примечания

Литература

• Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. - М.: ИНФРА-М, 2007. - VI, 858 с - (Б-ка словарей «ИНФРА-М»)

Ссылки

• Конфиденциальная информация в российском законодательстве

См. также

Wikimedia Foundation . 2010 .

Синонимы :

Антонимы :

Смотреть что такое "Конфиденциальность" в других словарях:

Секретность, тайность, доверительность, засекреченность. Ant. открытость, гласность Словарь русских синонимов. конфиденциальность см. секретность Словарь синонимов русского языка. Практический справочник. М.: Русский язык … Словарь синонимов

конфиденциальность - Свойство информации, состоящее в том, что она не может быть доступна для ознакомления неавторизованным пользователям и / или процессам. Содержание критической информации в секрете; доступ к ней ограничен узким кругом пользователей (отдельных лиц… … Справочник технического переводчика

КОНФИДЕН ИАЛЬНЫЙ [дэ], ая, ое; лен, льна (книжн.). Секретный, доверительный. К. разговор. Сообщить конфиденциально (нареч.). Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова

Конфиденциальность - Этическое требование, применяющееся как в экспериментальных исследованиях, так и в психотерапии. Согласно этому требованию участники или пациенты имеют право на то, чтобы информация, собранная во время исследования или сеанса лечения, не… … Большая психологическая энциклопедия

конфиденциальность - 2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. [ИСО/МЭК 7498 2] Источник … Словарь-справочник терминов нормативно-технической документации

конфиденциальность - ▲ ограниченность доступ, к (предмету), сведения конфиденциальность. конфиденциальный не подлежащий широкой огласке; доступный узкому кругу лиц (# разговор). конфиденциально. доверительность. доверительный (# тон). доверительно. доверять (#… … Идеографический словарь русского языка

Понятие "конфиденциальная информация" очень часто встречается в юридической практике. Что оно означает, и какие виды существуют? Рассмотрим это далее.

Общее понятие

Прежде чем рассматривать то, какие существуют виды конфиденциальной информации, следует детально разобраться в общих особенностях самого понятия.

Итак, если говорить очень простым языком, то к категории конфиденциальной информации относятся все те задокументированные сведения, которые хранятся на определенном предприятии или в организации любой формы собственности, распространение которых является нежелательным для самого лица. Это связано с тем, что такие сведения, как правило, представляют собой данные относительно определенных особенностей деятельности компании или фирмы, разглашение которых может нанести вред их обладателю.

Если говорить юридическими терминами, то в первых статьях Закона "Об информации" говорится о том, что рассматриваемое понятие подразумевает под собой документированные сведения, доступ к которым охраняется от всестороннего вмешательства законодательством России, действующим в настоящее время.

Законодательное регулирование

Понятие конфиденциальной информации, ее виды и характеристика закреплены в определенных нормативных актах, которые в настоящее время действуют на территории России. Какие относятся к их числу?

Главную роль в определении такого понятия играет Закон "Об информации", который закрепляет само понятие как в общем, так и в узком смыслах. Что касается видов конфиденциальной информации по законам РФ, то их полный перечень детальным образом представлен в положениях, прописанных в Указе Президента №188.

Кроме всего прочего, конфиденциальную информацию могут составлять сведения относительно конкретного лица - такие данные именуются персональными данными. Регулирование данного понятия производится на основании статей Закона "О персональных данных".

Обеспечение сохранности конфиденциальной информации, полученной в результате ведения деятельности определенного характера, в России происходит на основании актов отраслевого законодательства. В частности, к таким относятся законы "О нотариате", Об адвокатской деятельности", "О врачебной тайне" и т. п.

Кроме всего этого, отдельное внимание следует уделять сохранности информации, которая представляет собой тайну деятельности предприятия. Данные положения отлично регулирует Закон "О коммерческой тайне".

Методы регулирования конфиденциальной информации

Для того чтобы обеспечить надлежащую сохранность информации, составляющей конфиденциальные сведения, законодатель предусмотрел определенный перечень мер и методов, которые позволяют делать это.

Так, законодатель отмечает то, что для того, чтобы обеспечить сохранность конфиденциальных сведений, необходимо четко определиться, какие данные подходят к их числу. С такой целью предусматривается установление самого понятия "конфиденциальная информация", виды ее, а также определенный перечень сведений, которые могут составлять ее.

Кроме этого, для обеспечения сохранности сведений, представляющих собой тайну, законодатель предусматривает определенный порядок выдачи фактов, отнесенных к данной категории, а также определенные запреты на действия, наличие которых может привести к нарушению установленного режима безопасности информации, отведенной под группу секретной.

Виды

Что касается основных видов конфиденциальной информации, то на практике можно встретить небольшое их количество. Все они перечислены в содержании Указа Президента №188, который был издан в 1997 году.

Персональные данные

Если говорить кратко, вид конфиденциальной информации, представляющий собой персональные данные, подразумевает под своим понятием определенный спектр данных, которые касаются непосредственно определенного лица, именуемого в юридической практике субъектом персональных данных. Какие сведения относятся к этой группе данных? В первую очередь, под ними подразумеваются личные сведения - фамилия, имя, а также отчество. Кроме этого, в числе сведений, составляющих персональную информацию, законодатель определяет адрес, по которому лицо прописано или совершает свое проживание, место рождения и дату, место фактического пребывания в определенный момент. К списку данных, представляющих собой конфиденциальную информацию, также относят и сведения, имеющиеся в документах, удостоверяющих личность человека (дату и место его выдачи, серию, номер и т. п.)

Кроме всего прочего, к перечню сведений, составляющих персональные данные, законодатель также определяет и ту информацию, которая известна сотрудникам органов ЗАГС в результате совершения ими своих профессиональных обязанностей.

Законодатель определяет особенные принципы произведения обработки данных, которые представляют собой персональную информацию. Безусловно, все они должны быть соблюдены надлежащим образом. Практика показывает, что именно это позволяет точно обеспечить сохранность данных.

Работа с конфиденциальной информации в российском законодательстве предусматривает соблюдение соответствия всех целей, для которых осуществляется обработка предоставленных лицом сведений, тем, что были заявлены в качестве тех, для которых истребовались данные. Кроме этого, их объем должен полностью соответствовать тому, который необходим для реализации заявленной цели.

Законодатель предусматривает то, что все данные, которые были отведены под группу сведений, составляющих персональную информацию, должны быть исключительно достоверными. Что касается органов и специалистов, которые производят их обработку, то они не должны использовать те сведения, которые не нужны для достижения поставленной цели.

Что касается процесса хранения данных, то оно должно осуществляться лишь таким образом, чтобы по предоставленным сведениям можно было определить их владельца. Если говорить о сроках, в течение которых должен производиться процесс хранения данный вид конфиденциальной информации из классификации, рассматриваемой в этой статье, то он не должен превышать то время, которое необходимо для реализации поставленной цели. По истечении отведенного периода все данные должны быть уничтожены в установленном порядке. То же самое следует сделать тогда, когда отсутствует необходимость использования сведений.

Обработка персональных данных

Существуют определенные правила обработки персональных данных, которые обязательно следует учитывать в процессе работы с ними. Так, данный процесс осуществляется исключительно в соответствии со всеми требованиями, которые представлены в статьях ФЗ "Об информации". В соответствии предписанными в нем положениями, обработку данных может осуществлять исключительно оператор и только по согласию самого лица.

В определенных случаях данное согласие не требуется. В частности, это касается того момента, когда обработка персональных данных производится для получения статистических данных или для изучения, подтверждения научных утверждений. В некоторых случаях, это требуется для того, чтобы произвести защиту жизни и здоровья людей, а также некоторых других интересов, отнесенных к группе жизненно важных. В том случае, если журналист занимается осуществлением своей профессиональной деятельности, тогда когда факт заполучения им информации не принесет существенного ущерба лицу, являющемуся владельцем данных, он также может использовать сведения в своей работе.

В юридической практике нередко случаются такие ситуации, когда использование персональных данных лица без его согласия на то, производится в целях обеспечения соблюдения требований, предписанных договором, исполнения его положений. Однако, это возможно лишь в том случае, когда одной из его сторон является субъект, занимающийся предпринимательской деятельностью.

Коммерческая тайна

Это особый вид конфиденциальной информации. Правовой способ ее защиты и хранения также отличается своими определенными особенностями. В чем они состоят?

В первую очередь, следует понимать то, что коммерческая тайна - это информация, которая представляет собой особенности производства товаров, а также ведения бизнеса, при раскрытии которой предприятие или организация попросту перестанет получать доход.

Следует понимать еще и то, что наряду с коммерческой тайной в юридической практике существует и служебная. Данное понятие может быть использовано только в определенных государственных службах. Она представляет собой секретную информацию, охраняемую законом в особенном порядке. Что касается ее содержания, то оно, как правило, касается особенностей несения государственной службы, которые скрыты от всеобщего обозрения и имеют режим закрытого или ограниченного доступа.

Основные положения, которые касаются коммерческой и служебной тайны регулируются нормами, прописанными в статьях Законов "О коммерческой тайне" и "О служебной тайне".

За разглашение лицами, которые являются носителями информации, представляющей собой служебную или коммерческую тайну, вверенных им сведений, они могут быть подвержены ответственности, различных видов: уголовной, гражданско-правовой, административной, а также дисциплинарной, что особенно часто применяется на различных предприятиях.

Документированные информационные ресурсы

Это один из основных видов конфиденциальной информации, который очень часто используется как среди юридических, так и среди физических лиц. Она имеет особенный режим обеспечения сохранности представленных данных, а ее оформление представлено в особой форме.

Так, документированным информационным ресурсом признаются сведения определенного характера, которые зафиксированы на носителе материального типа с указанием отдельных реквизитов, перечень которых для каждого варианта документа представлен в законодательстве отдельно.

Что касается вида носителя конфиденциальной информации, то в качестве него, как правило, используется бумага. Вся фиксация сведений на носителе должна осуществляться в строгом соответствии с указанными в документе требованиями. На эти материальные носители может быть установлено право собственности, что осуществляется в соответствии с нормами гражданского законодательства.

Профессиональная и следственная тайна

В России, как и в других государствах, имеется определенный перечень профессий, которые, в силу своих особенностей, предусматривают обработку лицами определенных данных, которые составляют собой информацию, запрещенную для разглашения. К таким группам лиц, в первую очередь относятся адвокаты, нотариусы, специалисты в области медицины и т. п. Доступ к данным, полученным ими в ходе выполнения трудовых обязанностей, ограничивается на основании положений, представленных в отдельных нормативных актах, а также в Конституции государства. Так, например, в силу особенностей своей деятельности, нотариус знает об особенностях заключения каких-либо сделок, а также об их содержании. Однако лицо, которое занимается осуществлением нотариальной деятельности, не может никоим образом разглашать третьи лицам полученные им сведения.

Какие виды ценной конфиденциальной информации относятся к данной группе? В первую очередь, законодатель определяет таковой сведения, имеющиеся в личной переписке, телефонных переговорах, письмах и в иных отправлениях, которые совершаются через почтовые отделения, телеграфы, а также другие сообщения, взятые из иных источников. В таком случае лишь пользователь почтовых или, например, телеграфных услуг имеет право дать согласие на разглашение данных, составляющих На деле существуют определенные виды конфиденциальной информации в школе, обеспечивать сохранность которой обязаны сотрудники учреждения. К числу таковых могут быть отнесены данные, представленные в медицинских карточках, сведения о факте удочерения или усыновления, о безопасности здания школы, под чем подразумевается ее антитеррористическая защищенность и т. п.

Отдельное внимание следует уделить еще одному существующему в юридической практике понятию - такому, как следственная тайна. Сведения, которые были получены в ходе проведения расследований, а также ведения оперативной деятельности, также не подлежат разглашению, в особенности, лицами, которые имеют к ним прямой или косвенный доступ. Еще один вид охраняемой законом информации - судопроизводства. Обеспечивать надлежащую сохранность сведений, отнесенных к данной группе, обязаны все сотрудники аппарата суда, а, в особенности, те, которые имеют прямое отношение к рассмотрению дела. В том случае, если лицо нарушает установленный режим, в результате чего происходит утечка секретных сведений, оно может понести ответственность - дисциплинарную или уголовную, в зависимости от того, насколько серьезные последствия повлекло за собой деяние и какую форму вины имеет совершенное действие.

Сведения о сущности изобретения

Отдельное внимание законодатель уделяет вопросу, связанному с обеспечением сохранности сведений, которые составляют собой сущность изобретений или каких-либо полезных моделей. Сохранность сведений должна охраняться до того момента, пока оно не будет заявлено в свет официально, а также не будет опубликована информация об объектах.

Каким именно образом обеспечивается защита представленных объектов? Все меры, которые принимает для этого государство, предписаны статьями Гражданского кодекса, в части 4.

Данное понятие и вид конфиденциальной информации предусматривает особенный характер ее защиты. В частности, она может быть представлена в юрисдикционной форме, которая производится с участием специализированных государственных органов, а также созданием патента на это особенное изобретение.

Нередко защита новых изобретений осуществляется в гражданско-правовой форме. Специалисты в области юриспруденции отмечают, что она применяется, как правило, в том случае, когда лицензиат осознанно или случайным образом нарушает прописанные в договоре права и сознательно уклоняется от предусмотренных его содержанием обязанностей. Как правило, по результатам проведения такой формы защиты потерпевшая сторона получает компенсационную выплату, размер которой равен сумме понесенных убытков.

Кроме представленных выше форм защиты этого вида конфиденциальной информации, существует также и административный порядок. Он предусматривает письменное обращение стороны, чьи законные интересы были ущемлены, в специальный орган - Палату патентного ведомства, которая относится к группе апелляционных органов. Законодатель предусматривает довольно длительный процесс рассмотрения поданной заявки, который может длиться до 4 месяцев. По результатам процедуры, как правило, орган принимает свое решение в пользу пострадавшей стороны. На деле такая практика особенно пользуется популярностью среди обладателей патента, который признается недействительным.

Защита засекреченных сведений

Виды конфиденциальной информации и их защита прописаны в положениях различных законов, в числе которых имеется немалое количество отраслевых. Что касается защиты сведений, то она предусматривает комплекс определенных мер, которые создают препятствия к доступу к данным. К ним может быть отнесена необходимость произведения хранения документов-носителей секретных сведений в специальных сейфах, передачу электронных данных по локальной сети, ограничение списка лиц к данным и т. п.

Кроме всего этого, при нарушении установленных требований, виновное лицо обязано понести наказание, соразмерное причиненном им ущербу.

Конфиденциальная информация в любых сферах тщательно охраняется законом. Поэтому обязанность работников, имеющих к ней доступ, – охранять данные и не допускать обнародования. Предусмотрена различная ответственность за разглашение конфиденциальной информации. Человека могут даже осудить по статье из Уголовного кодекса, если он допустил серьезное нарушение. Поэтому в интересах самих работников, чтобы по их вине сведения не просочились к третьим лицам.

Что является конфиденциальной информацией

Конфиденциальная информация – это личные сведения с ограниченным доступом. Подобные данные бывают разных видов, но все они защищаются законодательством. Сотрудники, которые имеют к ним доступ, обязаны сохранять секретность и не допускать огласки. Тем более, они сами не должны разглашать подобную информацию даже в кругу семьи.

Виды конфиденциальных сведений:

1. Персональные данные физического лица. К ним можно отнести все, что касается событий и фактов частной жизни.
2. Служебная тайна. К ней имеют доступ только государственные сотрудники, занимающие определенную должность. Сюда можно отнести налоговую тайну, сведения об усыновлении и т.д.
3. Профессиональная тайна. Она охраняется Конституцией России, и о ней известно ограниченному числу людей, исполняющему профессиональный долг.
4. Личные дела осужденных за преступления.
5. Коммерческая тайна. Эти сведения необходимо хранить для того, чтобы защитить юридическое лицо от конкуренции, или для получения выгоды.
6. Сведения о судебных решениях и их исполнении в рамках производства.
7. Тайна следствия и судопроизводства. Сюда можно включить сведения о пострадавших и свидетелях, которые нуждаются в государственной защите. Также в секрете держатся данные о судьях и работниках правоохранительных органов.

Данная информация является конфиденциальной, и она не подлежит разглашению. Необходимо соблюдать конфиденциальность подобных сведений с целью защиты интересов физических и юридических лиц. Неразглашение является необходимостью, потому как огласка может привести к тяжелым последствиям. Например, к банкротству фирмы, публичному осуждению человека, опасности, возникшей для свидетелей и потерпевших. Если сотрудник допустит распространение информации, тогда его имеют право наказать в зависимости от тяжести нарушения.

Договор о неразглашении

Для допуска сотрудника к секретным данным потребуется подписать договор о неразглашении. Потому как на основании этого документа можно будет призвать к ответственности, если работник не будет соблюдать свои обязанности относительно сохранности данных. Конкретного образца для соглашения нет, однако должны присутствовать все важные пункты, такие как обязанности сторон и ответственность за разглашение.

Но также нужно понимать, что без нее нельзя получить доступ к секретной информации. В любом случае, стоит обсудить сложившуюся ситуацию лично с начальством, чтобы решить вопрос с договором.

Как доказать разглашение личных сведений

Наказание, допустим, штраф по договору о неразглашении, будет положено только в том случае, если удастся подтвердить факт нарушения. Для этого подойдут любые доказательства. Как правило, их получить нетрудно, если удалось выявить недобросовестного сотрудника.

Однако для начала следует подтвердить тот факт, что секретные данные действительно были, и конкретное лицо имело к ним доступ. Для этого нужно использовать документы, допустим, договор о неразглашении. Доказательства потребуются в любом случае, даже для дисциплинарного взыскания. Тем более, они нужны будут для суда, потому как для привлечения к ответственности по статье требуются веские основания и доказательная база.

Какая ответственность предусмотрена

Сотрудник должен знать, какая информация будет являться секретной, а какая общедоступной. Поэтому он не может обнародовать конфиденциальные данные лишь по той причине, что не знал об ограниченном доступе к ним. В большинстве случаев работники намеренно обнародуют сведения, которые будут подлежать защите. Делается это по личным мотивам или же в корыстных целях.

Наказание зависит от того, в чем будет проявляться нарушение. Рассмотрим виды в зависимости от ответственности, к которой могут привлечь виновного человека.

Какое может быть наказание:

1. Дисциплинарное наказание. Его назначает руководство организации после служебной проверки и расследования. Сотруднику могут сделать выговор, замечание или даже уволить. Конкретное решение зависит от ситуации.
2. Административная ответственность. Она может наступить при разглашении личных данных, а также при нарушении защиты сведений, помимо государственной тайны. Виновный человек может получить наказание в виде штрафа до 10 000 рублей.
3. Уголовная ответственность. Составы преступлений достаточно разнообразны и определяются в индивидуальном порядке. Если нарушение носит уголовный характер, тогда могут даже лишить свободы.
4. Гражданско-правовая ответственность. Потерпевший может взыскать моральный ущерб.

В Украине действуют примерно такие же правила по поводу наказания за разглашение секретных сведений. Ответственности можно избежать лишь в определенных случаях.

Библиографическое описание:

Нестеров А.К. Обеспечение информационной безопасности [Электронный ресурс] // Образовательная энциклопедия сайт

Одновременно с развитием информационных технологий и повышением значимости информационных ресурсов для организаций, растет и количество угроз их информационной безопасности, а также возможный ущерб от ее нарушений. Возникает объективная необходимость обеспечения информационной безопасности предприятия. В связи с этим, прогресс возможен только в условиях целенаправленного предупреждения угроз информационной безопасности.

Средства обеспечения информационной безопасности

Обеспечение информационной безопасности осуществляется с помощью двух типов средств:

• программно-аппаратные средства
• защищенные коммуникационные каналы

Программно-аппаратные средства обеспечения информационной безопасности в современных условиях развития информационных технологий наиболее распространены в работе отечественных и зарубежных организаций. Подробно рассмотрим основные программнно-аппаратные средства защиты информации.

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Конфиденциальная информация в трудовых отношениях Иванов Дмитрий Викторович

1.1. Понятие конфиденциальной информации

В условиях рынка и конкуренции возникают проблемы, связанные с обеспечением безопасности не только физических и юридических лиц, их имущественной собственности, но и информации, имеющей коммерческое значение, иных сведений, в частности, о результатах интеллектуальной деятельности: секретах производства, служебных секретах производства и др.

Информация обладает рядом присущих ей свойств.

Полезность информации состоит в том, что она создает субъекту выгодные условия для принятия оперативного решения и получения эффективного результата.

В свою очередь, полезность информации (особенно коммерческой) зависит от своевременного ее доведения до субъекта предпринимательства. Например, из-за несвоевременного поступления полезных по своему содержанию сведений упускается возможность заключить выгодную торговую или иную сделку. Результат – время упущено, информация теряет свою полезность.

Критерии полезности и своевременности тесно взаимосвязаны и взаимозависимы с критерием достоверности оцениваемой информации. Недостоверные сведения сводят к нулевому эффекту своевременность и кажущуюся их полезность для субъекта предпринимательства.

Ценность информации – это комплексный показатель ее качества, мера пригодности для принятия решений в конкретной сфере. Отсюда коммерческая ценность информации – это показатель ее пригодности (полезности) для принятия решений в коммерческой деятельности. Ценность информации складывается из достоверности, актуальности, полноты, полезности и своевременности информации.

Для предпринимательской деятельности, а значит, и для трудовых отношений (т. е. предпринимателя – работодателя), особое значение имеет коммерческая информация. В зарубежной экономической литературе предпринимательская информация рассматривается не в качестве средства достижения положительного результата (прибыли), а, прежде всего, как условие, способствующее или препятствующее его наступлению (например, в законодательстве Великобритании иностранные юристы выделяют такое понятие, как «бизнес-информация»).

По мнению английских правоведов (Ли, Мартина, Хейда), в рыночной экономике информация также является товаром, и ее получение, хранение, передача и использование должны подчиняться законам товарно-денежных отношений. Каждый собственник имеет право охранять свои интересы и защищать необходимую информацию, получая при этом определенную свободу предпринимательства. Право на тайну означает ограничение государственного вмешательства в экономическую жизнь предприятия и защиту его интересов при взаимодействии с другими субъектами рыночных отношений. Главное назначение бизнес-информации – обеспечивать предприятию экономические преимущества в конкурентной борьбе.

Информация как понятие имеет различные аспекты изучения. В переводе с латинского «informatio» – разъяснение, изложение, уведомление, истолкование, представление, иначе говоря, сведения о чем-либо, являющиеся объектом сбора, хранения и переработки. Такое определение дается в экономическом словаре.

В конце 50-х годов один из основоположников кибернетики – Норберт Винер определил информацию как «обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств. Процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде». В данном определении ученый впервые затрагивает проблему неполноты получаемой индивидом информации, с одной стороны, и необходимость защиты сведений от «случайностей внешней среды» – с другой.

Правовое понятие информации дано в п. 1 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ (далее – Закон об информации): информация – сведения (сообщения, данные) независимо от формы их представления. В п. 1 ст. 5 указанного Закона говорится о том, что информация может являться объектом публичных, гражданских и иных правовых отношений. Надо сказать, что предполагаются некоторые изменения терминологии, предусмотренные проектом Федерального закона № 404643–5 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона „Об информации, информационных технологиях и о защите информации“, рассмотренного в первом чтении Государственной Думой РФ 6 октября 2010 г., а именно слова „конфиденциальная информация“ заменить словами „информация, в отношении которой установлено требование об обеспечении ее конфиденциальности,“ либо словами „информация ограниченного доступа“.

Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. Таким образом, термин «информация» становится универсальным, он обозначает любые сведения о ком-либо или о чем-либо, получаемые из любого источника в любой форме: письменной, устной, визуальной и т. п. В данном определении сведения понимаются как реальные объекты социальной жизни: лица, предметы, факты, события, явления, процессы. Эти сведения могут служить и объектом познания, и ресурсом пополнения информационной базы: с одной стороны, сведения могут быть получены в результате исследования окружающей действительности и приобщены к уже существующей объективной системе знаний о мире, а с другой – быть объектом поиска, производимого конкретным потребителем для достижения его целей.

Кроме того, при взаимодействии информации и общества происходит изменение социальных регуляторов (морали, права), а также структурное изменение всего общества под воздействием технических и технологических процессов. Повсеместное внедрение информационных технологий и основанных на них информационных телекоммуникационных сетей привело к формированию глобального межгосударственного информационного виртуального пространства, в котором информация вращается в непривычной для традиционного права электронной форме.

Таким образом, усиление информационной зависимости человека от растущего объема потребляемой информации требует упорядочения и системной организации самой информации, в том числе с помощью норм права.

Родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А. Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений). К ним, в частности, относятся известная самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; сохранение передаваемой информации у передающего субъекта (этим признаком информация принципиально отличается от вещных материальных объектов); способность к сохранению, агрегированию, интегрированию, накоплению, «сжатию»; количественная определенность; системность.

Качество современного уровня правового регулирования отношений по поводу информации во многом определяется степенью учета законодателем этих признаков (свойств).

Первое российское легальное определение понятия «информация» было дано в Федеральном законе «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ, в ст. 2 которого говорилось, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления. В действующем Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 152-ФЗ определение информации, как выше говорилось, представлено в более общем виде. Информацией являются любые сведения (сообщения, данные) независимо от формы их предоставления.

Пункт 3 ст. 5 Закона об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Так, по этому основанию информация подразделяется на свободно распространяемую; предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; информацию, распространение которой в Российской Федерации ограничивается или запрещается, например, информация, составляющая государственную или коммерческую тайну. В п. 2 этой статьи приводится разделение информации в зависимости от категории доступа к ней. По этому основанию информация может быть общедоступной; ограниченного доступа.

Основы правового режима информации ограниченного доступа были установлены в ст. 10 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Часть 2 ст. 10 определяла два базовых типа информации ограниченного доступа: информация, отнесенная к государственной тайне (т. е. секретная), и конфиденциальная информация.

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (п. 1 ст. 9 Закона об информации). Таким образом, конфиденциальной может быть любая информация, могущая повлечь указанные последствия. Конфиденциальная информация может выражаться не только в секретах производства, сведениях, недоступных для других, но и быть тайной. Российское законодательство устанавливает различные виды тайны: государственную, коммерческую, служебную, профессиональную, иную, а также персональные данные. Регулированию отношений, связанных с персональными данными, посвящен специальный Федеральный закон «О персональных данных», принятый 27 июля 2006 г. № 152-ФЗ (далее – Закон о персональных данных).

Конфиденциальная информация определена в п. 7 ст. 2 Закона об информации через требование не передавать такую информацию третьим лицам без согласия ее обладателя. Надо сказать, что ее режим довольно резко критикуется в литературе как весьма неопределенный. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» использует лишь самые общие нормативные установки, например: «Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение» (ч. 4 ст. 9).

Само слово «конфиденциальность» в переводе с латинского означает «доверие» (т. е. передавая такую информацию, мы надеемся на ее сохранность и нераспространение, так как ее разглашение может нанести сторонам определенный ущерб). Это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять-таки через информацию с ограниченным доступом, не содержащую государственную тайну, во-первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во-вторых, государственная тайна – это тоже конфиденциальная информация.

Возникает вопрос и о соотношении конфиденциальной информации и информации ограниченного доступа. Понятие информации, находящейся в ограниченном обороте, очень «молодое» даже по меркам российского информационного права, пишет С. В. Комлев. Впервые это понятие было введено в Федеральный закон «О кредитных историях». Несмотря на то что смысловое содержание понятия информации, находящейся в ограниченном обороте, активно использовалось и ранее, законодатель официально ввел его в российскую правовую систему только в начале 2005 г. Согласно ч. 4 ст. 7 указанного законодательного акта совокупность информации, содержащейся в титульной, основной и дополнительной (закрытой) частях кредитных историй, является ограниченно оборотоспособным объектом. Представляется не только достаточно удобным, но и обоснованным и возможным распространить этот термин на весь спектр информации, хоть и не относящейся к государственной тайне, но свободное распространение которой нанесет существенный вред общественным отношениям. Под информацией, находящейся в ограниченном обороте, следует понимать информацию, обладатель которой принимает меры к ее охране и защите и свободное распространение которой может нарушить права и свободы человека или затронуть его законные интересы, а также может нанести вред экономическим интересам организации.

К информации, находящейся в ограниченном обороте, относятся сведения, составляющие:

1) коммерческую тайну; 2) аудиторскую тайну; 3) банковскую тайну; 4) налоговую тайну; 5) тайну страхования; 6) тайну связи; 7) тайну завещания; 8) адвокатскую тайну; 9) врачебную тайну; 10) тайну усыновления ребенка; 11) содержание кредитных историй физических, юридических лиц и индивидуальных предпринимателей.

Из приведенного перечня видно, что информация, находящаяся в ограниченном обороте, встречается во многих сферах общественной жизни. Информация, находящаяся в ограниченном обороте, характеризуется следующими признаками: она не является государственной тайной; в информации содержатся сведения, свободный оборот которых может нанести ущерб обладателю данных сведений или лицу, сведения о котором содержатся в информации. Собственник или законный обладатель принимает меры по охране и защите информации.

Надо сказать, что действующее законодательство, точно не определяя конфиденциальную информацию, тем самым затрудняет и понимание соотношения безусловно близких и взаимозависимых категорий, в том числе конфиденциальной информации и информации ограниченного доступа, коммерческой, служебной, профессиональной, иной тайны, секретов производства, служебных произведений. Этому препятствует разнобой терминологии различных нормативных правовых актов, регулирующих рассматриваемые отношения, а в некоторых случаях и коллизия некоторых норм законов, о чем более подробно ниже, когда речь пойдет о конкретных видах конфиденциальной информации. Анализируя нормативные правовые акты, имеющие прямое отношение к рассматриваемому вопросу, можно констатировать, что информация разделяется на 1) общедоступную; 2) информацию ограниченного доступа (терминология ст. 7 и 9 Закона, которая, как можно судить по тексту, тождественна сведениям конфиденциального характера (терминология Указа Президента РФ от 6 марта 1997 г. в ред. Указа Президента РФ от 23 сентября 2005 г.). В свою очередь, информация ограниченного доступа (сведения конфиденциального характера) подразделяется на персональные данные, коммерческую, служебную, профессиональную и иные тайны. Особняком стоит государственная тайна, хотя она, разумеется, представляет собой конфиденциальные сведения.

Заслуживает внимания мнение Е. К. Волчинской, которая полагает, что можно выделить несколько условий, необходимых и достаточных для установления режимов конфиденциальности:

– заинтересованность субъекта в ограничении доступа к информации, свидетельствующая о том, что конкретная информация представляет для него ценность (в моральном, материальном или ином аспекте);

– наличие интереса (права) других субъектов на получение и/или использование этой информации, т. е. обладатель, реализуя свой интерес, не должен нарушать законные права других субъектов на получение информации;

– право ограничивать доступ к информации может распространяться только на информацию, полученную законным путем, в том числе самостоятельно, по договору, в дар и т. д.;

– информация, доступ к которой ограничивается, не должна быть общеизвестной;

– обладатель информации, к которой он хочет ограничить доступ, должен обеспечить необходимые меры защиты этой информации – установить режим тайны.

Указом Президента Российской Федерации от 6 марта 1997 г. № 188 (в редакции Указа Президента РФ от 23 сентября 2005 г. № 1111 установлен перечень сведений конфиденциального характера:.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Согласно ст. 5 Закона «О коммерческой тайне» от 29 июля 2004 года к сведениям, которые не могут составлять коммерческую тайну, относятся перечисленные в п. 1–11:

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации, а именно ст. 9 Закона об информации. В соответствии с ним «Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну служебную тайну и иную тайну обязанность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение» (п. 4). Понятие конфиденциальной информации достаточно широкое, поскольку к этой категории, надо полагать, относятся все виды информации ограниченного доступа, защищаемой законом, – коммерческая, профессиональная и другие тайны, а также некоторые иные сведения, в отношении которых установлен режим конфиденциальности.

Перечень сведений, составляющих конфиденциальную информацию, не подлежит расширенному толкованию. Поэтому произвольное отнесение кем-либо к разряду конфиденциальной другой, не предусмотренной перечнем информации не влечет за собой правовых последствий. Общедоступной информацией являются общеизвестные сведения и иная информация, доступ к которой не ограничен. Установлению правового режима общедоступной информации посвящена ст. 7 Закона об информации. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать свое имя в качестве источника такой информации.

В п. 1 ст. 6 Закона об информации дано понятие «обладатель информации», под которым понимается физическое, юридическое лицо, Российская Федерация, ее субъект, муниципальное образование, которые либо своими силами создали информацию, либо приобрели на основании закона или договора право предоставлять или ограничивать возможность других лиц получать и использовать определенную информацию. Обращает на себя внимание, однако, что из этого перечисления выпадают организации без образования юридического лица, что отнюдь небезразлично для трудовых отношений, т. к. эти организации могут быть работодателями (ст. 20 ТК РФ).

Предметом обладания являются сведения независимо от формы их предоставления.

В прежнем законодательстве субъект, осуществляющий права собственности в отношении информационных ресурсов, информационных систем, технологий и средств их обеспечения лишь в части владения и пользования ими, а также реализующий полномочия распоряжения в пределах, установленных Законом, именовался владельцем указанных объектов.

С точки зрения трудового права небезынтересно определить, при каких обстоятельствах как та, так и другая сторона трудового договора может обладать конфиденциальной информацией, и какого именно вида.

Исходя из содержания ст. 6 Закона об информации, работодатель – безусловный обладатель как производственной, технической, экономической, организационной и другой конфиденциальной информации, так и информации, касающейся работника, необходимой работодателю в силу исполнения работником своей трудовой функции (ст. 65, 88 ТК РФ). Работник также может быть обладателем производственной и прочей информации, во-первых, потому, что она может быть доверена ему работодателем как необходимая для выполнения трудовой функции, во-вторых, работнику могут принадлежать результаты интеллектуальной деятельности, созданные в процессе трудовой деятельности, как-то: изобретения; полезные модели; промышленные образцы и т. п. (ст. 1225 ГК РФ). Кроме того, в силу главы 14 ТК РФ и Закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ работник – физическое лицо является субъектом персональных данных (п. 1 ст. 3).

Однако при этом надо иметь в виду следующее.

Согласно главе 70 части четвертой ГК РФ, в отличие от недействующего ныне Закона об авторских правах 1993 г., по-иному решаются вопросы авторских прав на служебные произведения. В свое время в ст. 14 Закона об авторском праве служебные произведения делились на произведения, созданные «в порядке выполнения служебных обязанностей» и «в порядке служебного задания» работодателя. Эти два положения отличаются друг от друга тем, что при выполнении служебного задания работнику дается прямое указание о создании определенного произведения, причем такое указание может не вытекать из его служебных обязанностей и находиться за рамками таких обязанностей. В п. 1 ст. 1295 ГК РФ понятие служебного произведения сужено таким образом, что под него подпадают лишь произведения, созданные в пределах установленных для работника трудовых обязанностей, и взаимоотношения работника и работодателя по поводу служебного задания должны регулироваться дополнительным соглашением.

Любые условия, касающиеся взаимоотношений между работником (автором) и работодателем по поводу служебного произведения, могут быть согласованы как в трудовом, так и в ином договоре (абз. 1 п. 2 ст. 1295 ГК РФ). Хотя служебные произведения создаются в рамках трудовых отношений, следует согласиться с мнением В. А. Дозорцева, что трудовой договор в этом случае является основанием заключения гражданско-правового договора, поскольку субъективные гражданские права, включая право на получение автором вознаграждения от работодателя, могут предоставляться только по гражданско-правовому договору.

Если продолжать рассматривать фигуру обладателя информации, то необходимо сказать, что в Законе об информации появляется особый субъект правоотношений в сфере информации – оператор информационной системы. Определение его понятия впервые дано в Законе «О персональных данных», в п. 2 ст. 3 которого сказано, что оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. По общему правилу, оператором считается собственник используемых при этом технических средств, хотя в ч. 5 ст. 14 Закона об информации содержится исключение из этого правила, сделанное в отношении государственных информационных систем: при создании такой системы ее оператором может быть и лицо, с которым этот собственник заключил договор об эксплуатации информационной системы. Если информационная система не является государственной или муниципальной, то порядок ее создания и эксплуатации определяется ее оператором (ч. 6 ст. 13 Закона об информации). Поэтому прежде чем привлечь оператора к оказанию услуг по эксплуатации информационной системы и заключить с ним соответствующий договор, важно ознакомиться с его внутренними правилами или положениями (которые обычно включаются в условия договора и поэтому имеют юридическую силу для сторон).

С учетом высказанных соображений можно предложить для обсуждения следующее определение понятия конфиденциальной информации.

Под конфиденциальной информацией следует понимать легально полученную информацию, которая в силу закона или иного акта, имеющего юридическое значение, доступна строго определенному кругу лиц и в отношении которой установлен режим определенного рода секретности.

Из книги Федеральный Закон о саморегулируемых организациях автора Дума Государственная

Статья 7. Раскрытие саморегулируемой организацией информации и защита саморегулируемой организацией информации от ее неправомерного использования 1. Саморегулируемая организация обязана раскрывать путем ее опубликования в средствах массовой информации и в

Из книги Налоговый кодекс Российской Федерации. Части первая и вторая. Текст с изменениями и дополнениями на 1 октября 2009 г. автора Автор неизвестен

Статья 93.1. Истребование документов (информации) о налогоплательщике, плательщике сборов и налоговом агенте или информации о конкретных сделках 1. Должностное лицо налогового органа, проводящее налоговую проверку, вправе истребовать у контрагента или у иных лиц,

Из книги Кодекс Российской Федерации об административных правонарушениях. Текст с изменениями и дополнениями на 1 ноября 2009 г. автора Автор неизвестен

Статья 15.12. Выпуск или продажа товаров и продукции, в отношении которых установлены требования по маркировке и (или) нанесению информации, необходимой для осуществления налогового контроля, без соответствующей маркировки и (или) информации, а также с нарушением

Из книги Уголовный кодекс Украины в анекдотах автора Кивалов С В

Статья 361-2. Несанкционированные сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации 1. Несанкционированные сбыт

Из книги Шпаргалка по международному праву автора Лукин Е Е

70. ПОНЯТИЕ МЕЖДУНАРОДНОГО ПРАВА МАССОВОЙ ИНФОРМАЦИИ К средствам массовой информации относятся радиовещание, телевизионное вещание, распространение тиражированной печатной, звуковой и визуальной продукции (книги, газеты, журналы, грампластинки, компакт-диски,

Из книги Шпаргалка по информационному праву автора Якубенко Нина Олеговна

2. ПОНЯТИЕ И ВИДЫ ИНФОРМАЦИИ: ДОКУМЕНТИРОВАННАЯ И НЕДОКУМЕНТИРОВАННАЯ ИНФОРМАЦИЯ Существуют различные подходы к пониманию информации.С точки зрения философии информация – это некое разнообразие, которое отражающий субъект создает об отражаемом; сообщение,

Из книги Правовое регулирование рекламной деятельности автора Богацкая Софья Германовна

Из книги Кодекс о Правонарушениях Республики Молдова в силе с 31.05.2009 автора Автор неизвестен

Статья 75. Разглашение конфиденциальной информации о медицинском осмотре по выявлению инфицирования вирусом иммунодефицита человека (ВИЧ), вызывающего заболевание СПИДом Разглашение конфиденциальной информации о медицинском осмотре по выявлению инфицирования

Из книги Журналистское расследование автора Коллектив авторов

4.1. Понятие информации и методы ее обработки Что такое информация В свое время знаменитый британский государственный деятель Бенджамин Дизраэли подметил, что, «как правило, наибольшего успеха добивается тот, кто располагает лучшей информацией». Понятно, что эту самую

Из книги Оперативно-розыскная деятельность: совершенствование форм вхождения ее результатов в уголовный процесс автора Царева Нина Павловна

§ 1. Понятие доказательств, средств доказывания и отграничение их от оперативно-розыскной информации Развитие правовой теории невозможно без разработки методологии. Это относится к любой отрасли права, в том числе к уголовному процессу и оперативно-розыскному

Из книги Религиозная тайна автора Андреев К. М.

Об информации, информационных технологиях и о защите информации Федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 02.07.2013) (Извлечение) ‹…›Статья 2. Основные понятия, используемые в настоящем Федеральном законе‹…›7) конфиденциальность информации – обязательное для

Из книги Конфиденциальная информация в трудовых отношениях автора Иванов Дмитрий Викторович

Глава 1 Понятие, виды и источники правового регулирования конфиденциальной

Из книги Врачебная тайна. Вопросы и ответы автора Аргунова Юлия Николаевна

1.2. Виды и основные источники правового регулирования конфиденциальной

Из книги автора

2.3. Ответственность сторон трудового договора за невыполнение обязанностей по сохранению (неразглашению) конфиденциальной информации В современном обществе информация является одним из наиболее значимых элементов бизнеса, да и любой продуктивной деятельности.

Из книги автора

Как соотносится право на информацию и право на неразглашение конфиденциальной информации? Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», развивая положения Конституции РФ, к числу принципов правового

Из книги автора

К какому виду конфиденциальной информации относится врачебная тайна? Тайна в общем понимании – это «то, что скрывается от других, что известно не всем, секрет». Этические нормы общества предполагают, что каждый человек должен сохранять тайну, доверенную ему другим