Правовые основы деятельности по защите информации от несанкционированного доступа
В.Бутенко, В.Громов,
Гостехкомиссия России
О категориях информации
При разработке законодательных и других правовых
и нормативных документов, а также при организации защиты информации
важно правильно ориентироваться во всем блоке действующей законодательной
базы в этой области.
Проблемы, связанные с правильной трактовкой и применением
законодательства Российской Федерации в этой области, периодически
возникают в практической работе по организации защиты информации
от ее утечки по техническим каналам, от несанкционированного доступа
к информации и от воздействий на нее при обработке в технических
средствах информатизации (далее - защита информации), а также
в ходе контроля эффективности принимаемых мер защиты. В частности,
такие вопросы возникают применительно к трактовке содержания категорий
"служебная тайна" и "конфиденциальная информация".
Базовым законом в области защиты информации является
принятый в начале 1995 года Федеральный Закон "Об информации,
информатизации и защите информации" (далее для краткости
- "Закон об информации"), который регламентирует отношения,
возникающие при формировании и использовании информационных ресурсов
Российской Федерации на основе сбора, накопления, хранения, распространения
и предоставления потребителям документированной информации, а
также при создании и использовании информационных технологий,
при защите информации и прав субъектов, участвующих в информационных
процессах и информатизации.
В соответствие с этим Законом должны быть приведены
ранее изданные Президентом Российской Федерации и Правительством
Российской Федерации правовые акты, а также все законодательство
России (статья 25 Закона).
Закон гласит:
- информационные ресурсы делятся
на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ (статья 6, часть 1);
- государственные информационные ресурсы Российской
Федерации формируются в соответствии со сферами ведения как: федеральные
информационные ресурсы; информационные ресурсы, находящиеся в
совместном ведении Российской Федерации и субъектов Российской
Федерации; информационные ресурсы субъектов Российской Федерации
(статья 7, часть 1);
- государственные информационные ресурсы являются
ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная
информация, отнесенная законом к категории ОГРАНИЧЕННОГО ДОСТУПА
(статья 10, часть 1);
- документированная информация с ограниченного
доступа по условиям ее правового режима подразделяется на информацию,
отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (статья
10, часть 2).
- конфиденциальная информация - документированная
информация, доступ к которой ограничивается в соответствии с законодательством
Российской Федерации (статья 2);
- ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в
состав федеральных информационных ресурсов, информационных ресурсов
совместного ведения, информационных ресурсов субъектов Российской
Федерации, информационных ресурсов местного самоуправления, а
также получаемые и собираемые негосударственными организациями,
отнесены к категории конфиденциальной информации (статья 11, часть
1).
Из этого Закона следует:
- информация из любой области
знаний и деятельности в принципе является открытой и общедоступной,
если законодательством не предусмотрено ограничение доступа к
ней в установленном порядке;
- категория "конфиденциальная информация",
в соответствии с понятием, приведенным выше из статьи 2 "Закона
об информации", объединяет все виды защищаемой информации
(тайн). Это относится и к государственным и к негосударственным
информационным ресурсам. При этом, исключение составляет информация,
отнесенная к государственной тайне: она к конфиденциальной информации
не относится, а является составной частью информации с ограниченным
доступом (основание - статья 10, часть 2 указанного Закона). Этому
положению "Закона об информации" не соответствует статья
8 Федерального закона "Об участии в международном информационном
обмене" (1996 год), в которой делается ссылка на государственную
тайну "ИЛИ ИНУЮ конфиденциальную информацию" (то есть
информация, составляющая государственную тайну, является здесь
составной частью конфиденциальной информации).
Отнесение информации к категориям осуществляется:
- к государственной тайне - в
соответствии с Законом Российской Федерации "О государственной
тайне";
- к конфиденциальной информации
- в порядке, установленном законодательством РФ;
- к персональным данным о гражданах - федеральным
законом.
Для наглядности категории государственных информационных
ресурсов можно представить следующим образом:
| Информация с ограниченным доступом
|
ОТКРЫТАЯ ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ во всех областях знаний и деятельности
| Информация, отнесенная к государственной тайне
| Конфиденциальная информация
| Персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом)
|
О режимах защиты информации
В соответствии с "Законом об информации"
режим защиты информации устанавливается (статья 21):
- в отношении сведений, отнесенных
к ГОСУДАРСТВЕННОЙ ТАЙНЕ, - уполномоченными органами на основании
Закона Российской Федерации "О государственной тайне";
- в отношении конфиденциальной
информации - СОБСТВЕННИКОМ информационных ресурсов или уполномоченным
лицом на основании "Закона об информации";
- в отношении персональных данных - отдельным федеральным
законом.
Принципиальным здесь является положение, что режим
защиты конфиденциальной информации определяет ее собственник,
то есть соответствующий орган государственной власти или управления,
организация, учреждение, предприятие.
О категории "служебная тайна"
Категория "СЛУЖЕБНАЯ ТАЙНА" ранее применялась
для обозначения сведений ведомственного характера с грифом "секретно"
и за ее разглашение предусматривалась уголовная ответственность.
В настоящее время эта категория из Уголовного кодекса изъята и
в прежнем ее понимании из правового поля исчезла в связи с принятием
в июле 1993 года Закона "О государственной тайне" по
двум причинам:
- во-первых, информация с грифом
"секретно" теперь составляет государственную тайну;
- во-вторых, применение грифов секретности для
других категорий информации не допускается в соответствии со статьей
8 указанного Закона.
Вместе с тем, Гражданским кодексом Российской Федерации,
введенным в действие с 1995 года, предусмотрена категория "служебная
тайна" в сочетании с категорией "коммерческая тайна".
Статья 139 Кодекса гласит:
- Информация составляет служебную или коммерческую
тайну в случае, если информация имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к
ней нет свободного доступа на законном основании и обладатель
информации принимает меры к охране ее конфиденциальности.
- Информация, составляющая служебную или коммерческую
тайну, защищается способами, предусмотренными настоящим Кодексом
и другими законами.
Из этого следует, что произошло изменение содержания
категории "служебная тайна": с января 1995 года под
ней (по аналогии с коммерческой тайной в негосударственных структурах)
понимается служебная информация в государственных структурах,
имеющая коммерческую ценность. В отличие от коммерческой тайны
(в коммерческих структурах) защищаемая государством конфиденциальная
информация не ограничивается только коммерческой ценностью, поэтому
служебная тайна является составной частью конфиденциальной информации.
В государственных структурах еще может быть информация, имеющая
политическую или иную ценность. Поскольку к служебной тайне она
не относится, ей необходимо присваивать гриф "конфиденциально"
или иной гриф (к примеру, "для служебного пользования",
применяемый в органах исполнительной власти и установленный постановлением
Правительства Российской Федерации от 3 ноября 1994 г. N 1233).
Такая трактовка категории "служебная тайна"
соответствует проекту Федерального закона "О коммерческой
тайне", где предусмотрено при передачи информации с грифом
"коммерческая тайна" в государственные органы охранять
ее как служебную тайну (статья 18, часть 1 проекта Закона).
За разглашение служебной тайны уголовная ответственность
новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой
тайны (статья 183).
Изложенное можно проиллюстрировать следующим образом:
| Информация, отнесенная к
государственной тайне, гриф
| Информация, составляющая
служебную тайну, гриф
|
Основание и время действия
| "ОВ" | "сов.секретно"
| "секретно" |
"секретно" | представляющая коммерческую
ценность
|
До 1994 года
Постановление Совета Министров СССР от 12 мая 1987г. N 556-126 (приложение).
| + |
+ | -
| + |
- |
С 1994 года
Закон РФ "О государственной тайне" от 21 июля 1993 года N 5485-1 (ст.8, части 2 и 4).
| + |
+ | +
| - |
- |
С 1995 года
Гражданский кодекс Российской Федерации 1994 года (статья 139).
| - |
- | -
| - |
+ |
Результаты анализа законодательных документов по вопросу о категориях
информации можно обобщить в виде, представленном на схеме 1.
О некоторых вопросах организации защиты
информации
Первое. В одном органе государственной власти (управления),
в государственной или коммерческой организации могут циркулировать
несколько видов информации, как своей, так и "чужой",
то есть других собственников информации, которые передали ее им
в установленном порядке.
К примеру, в Банке России это государственная тайна,
конфиденциальная информация (в том числе служебная тайна), банковская
тайна, коммерческая тайна коммерческих банков.
В коммерческом банке это государственная тайна и
конфиденциальная информация, переданные ему государственными органами
или организациями в установленном порядке; банковская тайна, коммерческая
тайна о его коммерческой деятельности.
Следует уточнить, что охрана в кредитных организациях,
в Банке России тайны об операциях, о счетах и вкладах клиентов
и корреспондентов (банковская тайна), а также иных сведений, устанавливаемых
кредитной организацией, предусмотрено статьей 26 Федерального
закона "О банках и банковской деятельности". Под иными
сведениями, необходимо понимаются сведения о "производственной"
(коммерческой) деятельности соответствующей организации, не подпадающие
под понятие банковской тайны, но так же, как и она, не подлежащие,
по решению этой организации, широкому распространению.
Очевидно, что организация защиты информации в государственных
и коммерческих кредитных организациях имеет свою специфику и требует
единого подхода и координации со стороны Банка России.
О контроле состояния защиты конфиденциальной
информации
Статьей 21 (часть 3) "Закона об информации"
предусмотрен контроль со стороны органов государственной власти
за соблюдением требований к защите информации с ограниченным доступом,
порядок которого определяет Правительство Российской Федерации.
Это означает, что контроль состояния защиты должен
охватывать все три составляющие информации с ограниченным доступом,
входящей в государственные информационные ресурсы:
- информацию, составляющую государственную
тайну;
- конфиденциальную информацию;
- персональные данные о гражданах.
При этом, контроль в равной степени должен охватывать
и негосударственные структуры при наличии у них (при передаче
им на законном основании) указанных видов информации, входящих
в государственные информационные ресурсы.
[Назад]
[Содержание]
[Вперед]
|