Виды защищаемой информации и категории данных

Информационная безопасность Лекция 2. Виды защищаемой информации и категории данных Введение В России есть категории данных, которые защищаются государством: 1. 2. 3. 4. 5. Персональные данные. Регулируются федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ. Банковская тайна. Сведения о банковских операциях и счетах. Регулируются федеральным законом от 02.12.1990 N 395-1 (ред. от 02.07.2021) "О банках и банковской деятельности" (статья 26). Медицинская (врачебная) тайна. Регулируются статьей 4 федерального закона № 323-ФЗ от 21 ноября 2011 г. «Об основах охраны здоровья граждан в Российской Федерации». Тайна связи. Управляется федеральным законом от 17.07.1999 N 176-ФЗ (ред. от 27.12.2019) "О почтовой связи" (статья 15) и федеральным законом от 07.07.2003 N 126-ФЗ (ред. от 02.07.2021) "О связи" (статья 63). Сведения, составляющие государственную тайну. Регулируются федеральным законом Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1. Административная ответственность Административная ответственность наступает для компаний, должностных лиц или индивидуальных граждан. При повторных нарушениях, невыполнении закона операторамисанкции ужесточаются: 1. 2. КоАП ст. 13.14. Разглашение информации с ограниченным доступом. влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от ста тысяч до двухсот тысяч рублей. КоАП 13.11. Нарушение законодательства Российской Федерации в области персональных данных. влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. Ответственность граждан - уголовная В зависимости от категории тайны граждане, которые допустили несанкционированное распространение, сбор, уничтожение или модификацию данных могут быть привлечены к ответственности: 1. 2. 3. Ст. 137 УК РФ. Нарушение неприкосновенности частной жизни. Вилка санкций от штрафа 200 т.р. до лишения свободы на срок до 5 лет. УК РФ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Вилка санкций от штрафа 500 т.р. до лишение свободы на срок до 7 лет. УК РФ Статья 283. Разглашение государственной тайны. Вилка санкций от ареста 4-6 месяцев до лишения свободы на срок до 7 лет. Персональные данные - определение Согласно Федеральному закону 27.07.2006 № 152-ФЗ-ФЗ персональных данных»: от «О Персональные данные (ПДн) - сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые могут быть предоставлены другим лицам. Инциденты с персональными данными Инциденты с персональными данными занимают долю в 60-70% от общего числа утечек. Страдают в основном граждане. Зная персональные данные можно совершить различные виды преступлений (от мошенничества и шантажа до нарушений в сфере рекламы). В РФ компании, допустившие утечки, довольствуются сравнительно небольшими штрафами. Основные виды инцидентов-преступления блэкхэтов и некомпетентность сотрудников оператора ПДн. Персональные данные - GDPR GDPR (General Data Protection Regulation) — это общий регламент о защите персональных данных всех физических лиц, которые находятся на территории Европейского союза. Регламент работает с 25 мая 2018 года. В основе GDPR лежат 6 принципов, которые призваны улучшить работу с персональными данными пользователей: ● ● ● ● ● ● Законность, справедливость и прозрачность. Пользователи должны знать, к каким их персональным данным компании имеют доступ. Ограничение цели. Компании могут собирать только те данные, которые помогут исполнить пользовательское соглашение. Минимизация данных. Компании не имеют права собирать больше данных, чем необходимо для достижения цели. Точность. Компании должны своевременно обновлять или удалять некорректные данные. Ограничение хранения. Данные пользователей не должны храниться дольше, чем это требуется для выполнения обязательств. Целостность и конфиденциальность. Данные следует защищать от несанкционированного доступа, незаконной обработки или повреждения. Персональные данные - отличия законов РФ и GDPR Статья 9 GDPR перечисляет данные, которые по умолчанию нельзя обрабатывать. ● ● ● ● ● расовое или этническое происхождение; религиозные, философские и политические взгляды; членство в профсоюзах; биометрические и генетические данные; данные о состоянии здоровья и половой жизни. К ПДн относятся ФИО, адрес, e-mail, данные паспорта, геолокация, IP-адрес, cookie-файлы, биометрия. GDPR требует уведомлять субъекта об утечке. 152-ФЗ: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Свободная формулировка-свободная трактовка. Запрещенных к обработке категорий данных нет. Уведомление субъекта об утечке не требуется. Копирование разрешения. данных не требует получения Комплаенс-офицер и процессы информирования необязательны. Персональные данные - биометрия Биометрия – это идентификация человека по уникальным биологическим и поведенческим характеристикам. Существует пять самых распространенных типов биометрии: отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони. Биометрия является специальной категорией персональных данных в РФ и требует особой защиты (информированное согласие на обработку, специальные технические методы защиты). Во многих странах сбор биометрии незаконен. Единая биометрическая система в России - основной оператор обработки и сбора биометрии (совместный проект ЦБ РФ и ПАО Ростелеком). Тайна связи - определение Под тайной связи понимается тайна переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи, не подлежащая разглашению без согласия пользователя услуг почтовой связи. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. (ст. 63 Федеральный закон от 07.07.2003 N 126-ФЗ "О связи"). Ограничение допускается только по решению суда Тайна почтовой связи Под почтовыми сообщениями подразумевается информация, передаваемая с помощью оператора почтовой связи. Электронная почта не относится к тайне почтовой связи. оператор почтовой связи должен оказывать соответствующий вид услуг и иметь лицензию (выдается Роскомнадзором). Осмотр и вскрытие почтовых сообщений допустимо только на основании судебных решений. Незаконные операции с почтовыми сообщениями (вскрытие чужих писем) - преступление. Для контроля отсутствия вскрытия писем используется опечатывание. Специальные детекторы проверяют отсутствие в письмах и посылках вредных веществ, излучений, взрывных устройств без вскрытия. Тайна переговоров Касается телефонных переговоров и сообщений по сетям электросвязи (Интернет в том числе). Обеспечивается операторами электросвязи, имеющими лицензию. Ограничение права допускается только на основании судебных решений. Операторы связи обязаны хранить данных сообщений абонентов в течение 6 месяцев (“пакет Яровой”). Доступ к архивам допускается только на основании судебных решений. В тайну переговоров входит содержимое сообщений, маршрут их прохождения, время и геолокация, идентификаторы отправителя и получателя. Примеры тайны связи и инцидентов Примеры тайны связи: 1. 2. 3. Письма и посылки граждан и организаций. Телефонные переговоры, в том числе сведения о самом факте существования соединения. Данные, передаваемые по сети Интернет или иным инфокоммуникационным сетям. Самые частые нарушения: 4. 5. 6. Запись переговоров без уведомления записываемой стороны. Разглашение данных о соединениях сотрудниками операторов. Вскрытие чужих писем из хулиганских побуждений. Врачебная тайна Враче́ бная та́ йна — медицинское, правовое, социально-этическое понятие, представляющее собой запрет медицинскому работнику сообщать третьим лицам информацию о состоянии здоровья пациента, диагнозе, результатах обследования, самом факте обращения за медицинской помощью и сведения о личной жизни, полученных при обследовании и лечении. Запрет распространяется также на всех лиц, которым эта информация стала известна в случаях, предусмотренных законодательством. Врачебная тайна - инциденты с данными Разглашение медицинской тайны, либо несанкционированный доступ к ней - уголовное преступление. Обязаны сохранять врачебную тайну любые лица, получившие к ней доступ при обучении, исполнении трудовых \ служебных обязанностей: врачи и медперсонал, психологи, юристы, обслуживающий персонал медицинских учреждений (вплоть до водителей СМП), работники социальных служб, военкоматов, силовых структур, судов и иных учреждений, которым становится известна медицинская тайна гражданина. Банковская тайна Банковская тайна — юридический принцип, в соответствии с которым банки и иные кредитные организации защищают сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни. Банковская тайна - инциденты Разглашение банковской тайны - уголовное преступление. Обработкой банковской тайны могут заниматься только банки. Ряд государственных органов могут получать доступ к сведениям банковской тайны граждан (ФТС, ПФР, ФСС, Счетная палата РФ, ЦБ РФ, ФСБ, ФНС). В остальных случаяхтолько по решению суда. Также, в некоторых случаях, по разрешению клиента (БКИ, АСВ). Ответственность за незаконное разглашение банковской тайны несет кредитная организация, которая допустила утечку данных, если это не стало последствиями деятельности блэкхэтов. Государственная тайна Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативнорозыскной деятельности, распространение которых может нанести ущерб государству. Решение о засекречивании каких-либо данных принимает государство. Решение о допуске граждан к данным принимается ФСБ России. Классификация секретной информации: ● ● ● Особой Важности (ОВ) - наиболее секретная информация, разглашение которой несет ущерб государству в целом. В США принят гриф TOP SECRET. Совершенно Секретно (СС) - информация, разглашение которой несет ущерб отдельным ведомствам. Аналог в США: SECRET. Секретно (С) - все остальные сведения. Аналог в США: CONFIDENTIAL. Государственная тайна-ответственность За разглашение государственной тайны предусмотрена уголовная ответственность. Незнание факта секретности не освобождает от ответственности за нарушение закона. О случайном факте ознакомления с государственной тайной следует поставить в известность оперативного дежурного ФСБ России. Топографические карты масштабом 1:100000 и менее относятся к секретной информации. Лица, допущенные к секретной информации могут быть ограничены в правах (например - выезд в иностранные государства). Государственная тайна-порядок допуска Граждане, принимаемые на определенные должности (Распоряжение Президента РФ от 16.04.2005 №151-рп) проходят процедуру получения допуска к сведениями, составляющим государственную тайну: 1. 2. 3. 4. Анкетирование. Проверка анкеты уполномоченным органом. Подпись соглашения (подписки) о неразглашении. Ознакомление с информацией. После окончания работы (увольнения) срок действия подписки может быть продлен вплоть до пожизненного. Государственная тайна - инциденты Потеря секретных государственных сведений чрезвычайный инцидент, который может поставить под угрозу национальную безопасность. Подобную информацию добывают шпионы и сливают нелояльные сотрудники, также она утекает в результате хакерских атак и случайных действий персонала. Наиболее известный случай: Wikileaks и Джулиан Ассанж. Инциденты с государственной тайной часто приравниваются к шпионажу, что является причиной серьезных санкций и уголовного преследования. Коммерческая тайна Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Под режимом конфиденциальности информации понимается введение и поддержание особых мер по защите информации. Критерии отнесения к КТ должны быть определены на предприятии и могут включать: научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Коммерческая тайна - инциденты Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает критериям и не входит в перечень информации, которая не может составлять коммерческую тайну (ст.5 закона «О коммерческой тайне»). Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом. Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. Соглашение о конфиденциальности (NDA) NDA - юридический договор, заключённый двумя сторонами с целью взаимного обмена материалами, знаниями или другой информацией с ограничением к ней доступа третьим лицам. Данный тип соглашений служит для предотвращения утечки любой конфиденциальной информации: от коммерческой тайны до персональных данных. Может быть односторонним или взаимным в зависимости от направления передачи информации. Нарушения NDA входят в зону действия Гражданского Кодекса, а санкции к нарушителю должны быть определены в договоре. Сторонами могут быть как юридические лица, так и физические. Система ограничительных грифов Ограничительный гриф - реквизит документа, указывающий на его тип и возможный статус конфиденциальности. Должен быть размещен таким образом, чтобы чтение документа было невозможно без прочтения грифа. Могут ограничивать доступ к документу, указывать на тип защищаемой информации, способы ознакомления с документом. Часть грифов определены федеральными законами, часть - могут быть введены конкретными организациями. Грифы организаций наиболее целесообразно применять в сочетании с фирменными бланками.