Конфиденциальные данные – это те сведения, доступ к которым ограничен в соответствии с законом и нормативными актами.
Примерами конфиденциальной информации являются тайны следствия и судопроизводства, личные дела осужденных, данные об изобретениях до их публикации, коммерческая, служебная и профессиональная тайны, а также персональные данные.
Существуют пять Федеральных законов, которые регулируют защиту конфиденциальной информации.
Федеральные законы, регулирующие сферу защиты конфиденциальных данных
ФЗ № 149 «Об информации, информационных технологиях и защите информации».
Этот документ – главный закон об информации в РФ. Именно в нем дано определение термина «информация», а также указано, какие данные относятся к конфиденциальным, а какие – к общедоступным. Так, например, в законе указано, что нельзя собирать и публиковать сведения о жизни человека без его согласия на это. Кроме того, в нем говорится, что тот, кто обладает информацией, обязан держать закрытым доступ к ней третьих лиц.
Информация – это любые сведения и знания о чем-либо.
ФЗ № 152 «О персональных данных».
Этот закон раскрывает понятие персональных данных, а также повторяет необходимость согласия человека на сбор и использование этих данных.
Персональные данные – это те сведения, которые относятся к человеку и его жизни: ФИО, адрес, номер телефона, фотографии, реквизиты паспорта и другие.
Также в законе указано, что для сбора персональных данных должна иметься определенная цель, а также все условия для защиты этих данных от третьих лиц. А еще – что по требованию носителя персональных данных они должны быть удалены из информационного поля организации.
ФЗ № 98 «О коммерческой тайне».
В этом законе раскрывается понятие коммерческой тайны и особенностей ее охраны.
Коммерческая тайна – это та информация, которая позволяет компании получать коммерческую выгоду или увеличивать доходы.
В документе сказано, что каждая компания самостоятельно решает, какая информация относится к коммерческой тайне и меры по ее защите. Не допустить утечки этих сведений – обязанность самой компании. Если кто-то из сотрудников организации разглашает коммерческую тайну, к нему допустимо применение санкций в виде увольнения, штрафа и даже уголовной ответственности. Однако если государство потребует у организации раскрыть ее коммерческую тайну в случае подозрений о ее недобросовестности, компания обязана это сделать.
ФЗ № 63 «Об электронной подписи».
В этом законе указано, что такое электронная подпись, и почему она относится к конфиденциальным данным. Также в законе говорится, что ее обладатель должен самостоятельно сохранять в тайне ключ к электронной подписи.
Электронная подпись – это цифровая аналогия подписи от руки.
ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации».
Этот закон имеет отношение к компаниям, которые являются стратегически важными для России и ее населения: организации в сфере медицины, науки, транспорта, связи, энергетики, топливной, ракетно-космической, оборонной и химической промышленностей. Ухудшение качества производительности в них может негативно сказаться на уровне жизни населения и даже на всем технологическом процессе в стране. Поэтому и уделяется особое внимание к информационным данным этих организаций.
Так, в документе говорится о существовании Государственной системы обнаружения, предупреждения и ликвидаций последствий компьютерных атак – ГосСОПКА. Все компании критически важной инфраструктуры обязаны подключиться к ГосСОПКА, купив специальное программное обеспечение. Также такие компании обязаны сообщать обо всех инцидентах в сфере информационной безопасности и предоставлять условия для проверки системы защиты государством.
Меры по защите конфиденциальной информации
Сертификация данных.
Сертификация – это метод проверки того, насколько меры по защите соответствуют требованиям из этой сферы.
Иными словами, сертификация позволяет подтвердить наличие качественной системы безопасности информации в компании.
Лицензирование.
Лицензирование – это получение разрешения на выполнение какой-либо деятельности.
В сфере информационной безопасности лицензии могут составляться в качестве своеобразного договора о конфиденциальности информации и способах ее неразглашения.
Категорирование.
Категорирование – это метод усиления информационной безопасности, основанный на разделении данных по категориям секретности.
Категорирование позволяет выделить из всех данных совершенно секретную информацию и не допустить ее утечки.
Аттестация.
Аттестация – это способ проверки хранилищ конфиденциальных материалов на наличие у них технических средств, обеспечивающих безопасность помещения.
Аттестат в данном случае – это тот документ, который подтверждает, что это помещение пригодно для безопасного хранения конфиденциальных данных.
Организационные меры.
К таким мерам относятся создание службы безопасности или назначение конкретного сотрудника ответственным за конфиденциальность информации, создание пропускной системы к особо секретным документам, тщательный отбор персонала, которому доступны конфиденциальные данные, наличие охраны на территории компании, установка ПО на компьютеры, усиливающих их способность противостоять хакерским взломам и т.п.
Инженерно-технические меры.
Таковыми являются: использование карт идентификации, качественное оснащение сейфов, установка видеонаблюдения (в том числе и скрытого), использование систем шифрования, оборудование помещений стальными дверями, кодовыми замками и решетками и многие другие средства защиты.
Правовые меры.
Они включают в себя контроль за исполнением юридических норм по информационной безопасности, проверку состояния пропускных документов у сотрудников, проведение методических бесед с работниками о мерах ответственности за разглашение конфиденциальных данных, взятие письменных согласий у сотрудников на сохранение коммерческой тайны и т. п.
