Проблемы защиты информации в деятельности органов государственной власти

Размещено на http://www.allbest.ru

- 2 -

Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации

Направление подготовки государственное и муниципальное управление

Кафедра государственного и муниципального управления

КУРСОВАЯ РАБОТА

на тему:

«Проблемы защиты информации в деятельности органов государственной власти»

Пермь 2013 г

Содержание

Введение

1. Теоретико-правовые основы режима конфиденциальной информации

1.1. Понятие информации, и ее значение в деятельности различных субъектов

1.2 Понятие конфиденциальности и виды конфиденциальной информации

1.3 Основные источники правового регулирования конфиденциальной информации

2. Информационная безопасность и защита конфиденциальной информации

2.1 Угрозы и меры по предупреждению утечки конфиденциальной информации

2.2 Организация систем защиты конфиденциальной информации

3. Оценка защиты конфиденциальной информации в Администрации МО "Карагайский район" Пермский край

3.1 Организация работы по защите конфиденциальной информации и персональных данных в Администрации МО "Карагайский район"

3.2 Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края

Заключение

Список используемой литературы

конфиденциальная информация защита государственная

Введение

Актуальность темы дипломной работы обусловлена тем, что информация - важнейший продукт общественного производства, постоянно наращиваемый ресурс человечества; сегодня это наиболее ценный и ходовой объект в международных экономических отношениях. На международном уровне сформировалась система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, имеющий социальное значение.

Вся информация представляет различную ценность для субъекта и, соответственно, ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет создавать различные системы защиты, в том числе и организационную, а главное - правовую. В связи, с чем информация разделяется на три группы: информация для открытого пользования любым потребителем в любой форме; информация ограниченного доступа - только для органов, имеющих соответствующие законодательно установленные права (полиция, налоговая инспекция, прокуратура); информация только для работников (либо руководителей) организации. Информация, относящаяся ко второй и третьей группам, является конфиденциальной и имеет ограничения в распространении. Часть этой информации составляет особый блок и может быть отнесена к тайне.

В современном обществе неизбежность и целесообразность использования информационных технологий и глобальных коммуникаций влечет за собой неотвратимость угроз информационной безопасности и утечке "закрытой" информации.

Потеря информации в личном компьютере в результате проникновения вируса ощутима для его владельца, но нарушение работы систем государственного управления, муниципального самоуправления, систем жизнеобеспечения задевает интересы общества, национальные интересы в целом.

Масштабность угроз информационной безопасности, осознанная международным сообществом, нашла отражение в документах Всемирной встречи на высшем уровне по вопросам информационного общества, где содержится призыв ко всем участникам информационного общества предпринимать соответствующие действия и принимать установленные законодательством меры по предотвращению ненадлежащего использования информационных и телекоммуникационных технологий (ИКТ).

Россия также стала инициатором постановки на уровне ООН проблем международной информационной безопасности (МИБ) и выработки соответствующих рекомендаций.

Проблема защиты конфиденциальной информации органов муниципального самоуправления в настоящее время стоит наиболее остро, так как угрозы нарушения информационной безопасности носят глобальный и трансграничный характер; способы реализации угроз информационной безопасности и формы их проявления постоянно совершенствуются; высокая технологичность этих угроз требует адекватных мер противодействия, предъявляет требования к квалификации специалистов по информационной безопасности.

Конфиденциальная информация является важнейшей составляющей любых информационных отношений. Вопросы правового регулирования по поводу использования и распространения информации в последнее время занимают одно из значительных мест в юридической литературе. Это обусловлено, прежде всего, тем, что содержание юридически значимой тайны заключается в том, что ее предмет образует информация, не предназначенная для широкого круга лиц, а ее разглашение может повлечь нежелательные последствия для владельцев и обладателей тайны.

Следует сказать, что в настоящее время законодательная регламентация общественных отношений, связанных с использованием отдельных видов конфиденциальной информации, несовершенна. Вопрос о нормативно-правовой регламентации тайны затронут Федеральным законом от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации", что является основанием выделения в науке соответствующего направления для исследования. Обозначенные проблемы обусловливают актуальность настоящего исследования.

В научной литературе отдельные аспекты, связанные с обеспечением механизма охраны отдельных видов конфиденциальной информации ограниченного доступа, отражены в научных трудах правоведов, а проблема правовой защиты конфиденциальной информации самостоятельно почти не изучалась.

Объект исследования дипломной работы - виды конфиденциальной информации.

Предмет исследования дипломной работы - правовые отношения в сфере конфиденциальной информации.

Цель дипломной работы - выявить особенности защиты конфиденциальной информации.

Для достижения поставленной цели определены следующие задачи дипломной работы:

1) рассмотреть понятие, признаки и структуру конфиденциальной информации;

2) изучить основные способы и каналы утечки и распространения информации ограниченного доступа;

3) изучить нормативно-правовые основы защиты конфиденциальной информации;

4) проанализировать систему защиты конфиденциальной информации, в том числе и персональных данных в органах муниципального самоуправления;

5) обосновать предложения и рекомендации по совершенствованию правовой защиты сведений, составляющих конфиденциальную информацию в органах местного самоуправления.

1. Теоретико-правовые основы режима конфиденциальной информации

1.1 Понятие информации, и ее значение в деятельности различных субъектов

Термин "информация" происходит от латинского слова "informatio", что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке. В настоящее время наука пытается найти общие свойства и закономерности, присущие многогранному понятию информация, но пока это понятие во многом остается интуитивным и получает различные смысловые наполнения в различных отраслях человеческой деятельности:

Информация играет огромную, ведущую роль в жизнедеятельности каждого предприятия и организации. Для любого субъекта информационных отношений наиболее важны и ценны те сведения, которыми владеют или пользуются только они и никто больше.

Учитывая особенную и, пожалуй, вечную актуальность темы поиска и сохранения информации, государство должно установить для всех "правила игры" на этом поле, гарантировав субъектам информационных отношений права и установив определенные обязанности, специальные ограничения и санкции, то есть полностью в правовом смысле отрегулировать всю систему оборота информации, особенно той, на которую субъекты права имеют или хотят иметь преимущества в использовании, - конфиденциальной.

Первое российское легальное определение понятия "информация" было дано в Федеральном законе от 20 февраля 1995 г № 24-ФЗ "Об информации, информатизации и защите информации", в ст. 2 которого говорилось, что информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления.

В соответствии со ст.2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации", информация - это сведения (сообщения, данные) независимо от формы их представления.

Законодателем определено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения (ст. 5 ФЗ № 149-ФЗ).

Информация имеет ряд особенностей:

- она нематериальна;

- информация хранится и передается с помощью материальных носителей;

- любой материальный объект содержит информацию о самом себе или о другом объекте.

Не материальность информации понимается в том смысле, что нельзя измерить ее параметры известными физическими методами и приборами.

Информация не имеет массы, энергии и т. п. Информация хранится и передается на материальных носителях. Такими носителями являются мозг человека, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и др.

Информации присущи следующие свойства:

1. Информация доступна человеку, если она содержится на материальном носителе. Поэтому необходимо защищать материальные носители информации, так как с помощью материальных средств можно защищать только материальные объекты.

2. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

3. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Информация сегодня является одним из важнейших ресурсов организации. Каждый год ее объемы возрастают в среднем на 30-50%.

В нашем обществе существенно преобразуются все протекающие в нем процессы, что приводит к росту спроса на качественную, достоверную, оперативную информацию. Эти преобразования можно охарактеризовать следующим образом. Во-первых, в результате усложнения общественного поведения увеличиваются информационные потребности людей. Информация превращается в массовый продукт. Во-вторых, информация становится не просто сообщением, имеющим конкретное содержание, а экономическим благом. Она получает рыночную оценку и перестает быть бесплатным товаром. В-третьих, прибыль от продаж и покупок информации не усредняется, поскольку информационный рынок не подчиняется законам совершенной конкуренции. В-четвертых, резко возросли технологические возможности получения, передачи, хранения и использования информации во все возрастающих объемах. Учитывая сказанное, можно сделать вывод, что информация является одним из важнейших средств достижения целей любого вида деятельности. От полноты и качества информации зависят степень реализации и результативность в достижении целей.

Для хозяйствующего субъекта зачастую наиболее ценной является информация, которую он использует для достижения целей предприятия/организации и разглашение которой может лишить его возможностей реализовать эти цели, то есть создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите.

Чтобы понять, какую ценность информация имеет для получателя, рассмотрим, основные процессы, которые происходят при этом. Целесообразно отнести к таким процессам следующие:

1. Определение или постановка цели, которую хочет получатель (приемник) информации.

2. Получение информации.

3. Преобразование смысла, заключенного в полученной информации на основе использования определенных возможностей (процесс получения данных).

4. Аналитическая оценка возможности применения полученной информации для достижения поставленной цели на основе использования возможностей.

5. Принятие решения об использовании или не использовании полученной информации для достижения поставленной цели:

- если принято решение о неиспользовании полученной информации для достижения поставленной цели, то полученная информация не имеет ценности с точки зрения достижения поставленной цели;

- если принято решение об использовании полученных знаний (информации) для достижения поставленной цели, то полученная информация имеет ценность с точки зрения достижения поставленной цели.

6. Осуществление действий по достижению поставленной цели на основе использования возможностей и ранее полученных знаний.

7. Оценка результатов достижения поставленной цели на основе использования определенных критериев, которые удовлетворяют получателя информации:

- если оценка результатов, по достижению поставленной цели, удовлетворяет получателя информации, то эта информация обладала определенной положительной ценностью для решения этой задачи;

- если оценка результатов, по достижению поставленной цели, не удовлетворяет получателя информации, то эта информация также обладала определенной ценностью для решения этой задачи, но эта ценность может оказаться даже отрицательной.

Одну и туже информацию могут получить несколько пользователей/получателей и в одно время. При этом у получателей информации могут быть как одинаковые, так и разные цели. Но ценность полученной информации всегда будет индивидуальна для каждого отдельно взятого получателя. Это можно объяснить простым примером. В мире каждый человек индивидуален, обладает собственными знаниями и имеет свою шкалу ценности информации при реализации, поставленной цели. Однако основные процессы, которые возникают при определении ценности информации и, имеют место для любого отдельно взятого субъекта. При этом необходимо отметить, что в организациях, например, в органах муниципального самоуправления, где получателей и пользователей информации достаточно много, эти процессы усложняются, так как руководитель коллектива является ответственным лицом при окончательной оценки ценности информации, полученной коллективом для достижения поставленной цели.

Если его способности и ранее полученные знания не позволяют получить из этой информации соответствующие знания для принятия наиболее эффективного решения, то в результате органы муниципальной (местной) власти могут не достичь необходимого результата управления. Этот пример еще раз показывает, что ценность полученной информации всегда индивидуальна.

Отсюда можно констатировать, что под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности.

Ценность документов определяется с учетом, как особой роли организации, так и ее типового характера в системе органов власти и управления, значимостью выполняемых ею функций.

К критериям содержания документа относится значимость информации документа, его уникальность, типичность документа. Наибольшую ценность среди документов, образующихся в деятельности организации, имеют документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации работы, планирование и отчетность, основные направления деятельности, контроль и др.). Другая группа документов имеет вспомогательный характер, большую часть её составляют первичные бухгалтерские документы, документы по вопросам снабжения организации, бытовым и административно-хозяйственным вопросам.

1.2 Понятие конфиденциальности и виды конфиденциальной информации

Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".

Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.

Отметим, что родоначальником отдельного информационно-правового направления сначала советского, а ныне российского правоведения стал А.Б. Венгеров. Он выделил определенные признаки (свойства) информации, принципиально значимые для правового опосредования отношений по поводу информации (информационных отношений), отнеся к ним, в частности, известную самостоятельность информации по отношению к своему носителю; возможность многократного использования одной и той же информации; ее неисчерпаемость при потреблении; способность к сохранению, агрегированию, интегрированию, накоплению, "сжатию" и др.

В соответствии со ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.

В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.

Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.

Так в соответствии с международным стандартом ISO 17799 "Безопасность информационных систем" используются следующие обозначения:

ОТ - открытая информация;

КИ - конфиденциальная информация;

СКИ - строго конфиденциальная информация.

В российском законодательстве используются следующие грифы конфиденциальности:

ОТ - открытая информация;

ДВИ - для внутреннего использования;

КИ - конфиденциальная информация.

В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:

- собственники информации (по отдельным видам они могут частично совпадать);

- области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны;

- на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).

Конфиденциальная информация может быть предметом трудового договора. Обладателем конфиденциальной информации всегда является работодатель и работник, причём последний обладает не только сведениями о себе (персональными данными), но в силу трудового договора может хранить секреты производства и иные тайны.

Условием трудового договора будет обязанность не разглашать информацию, отвечающую признакам конфиденциальности (п. 7 ст. 2 закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"), а не только охраняемую законом тайну (государственная служебная, коммерческая, иная).

Таким образом, конфиденциальная информация может быть не только дополнительным, как об этом сказано в статье 57 ТК РФ, но и обязательным условием трудового договора.

А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.

В соответствии со ст.8 Федерального закона от 21.07.1993 № 5485-1 (ред. от 18.07.2009) "О государственной тайне" только для информации составляющей государственную тайну устанавливаются три степени секретности сведений, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Примечательно, что в США и в ряде НАТО грифы секретности схожи с установленными отечественным законодательством - "конфиденциально (confidential)", "секретно (secret)", "совершенно секретно (top secret)". Для остальных видов тайн данное основание классификации пока не разработано, при этом согласно ст. 8 Федерального закона от 21.07.1993 № 5485-1 (ред. от 18.07.2009) "О государственной тайне", использование названных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 30.11.95г. №1203 (уточнен Указом Президента РФ от 11.02.2006 № 90). К сведениям, представляющим государственную тайну, относят:

- информацию в военной области;

- информацию о внешнеполитической и внешнеэкономической деятельности;

- информацию в области экономики, науки и техники;

- сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения:

- о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение;

- о методах и средствах защиты секретной информации;

- о государственных программах и мероприятиях в области защиты государственной тайны.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

Следует обратить внимание, что вышеизложенные классификации не являются исчерпывающими и их разработка еще предстоит науке и законодательству. Отсутствие четкой классификации конфиденциальной информации и их правовых режимов в законодательстве приводит к значительному числу противоречий и пробелов.

С правовым режимом конфиденциальной информации связано еще больше неопределенности, чем с режимом секретной информации. Считается, что типология конфиденциальной информации была установлена Указом Президента РФ от 6 марта 1997 г. N 188 "О перечне сведений конфиденциального характера". Указом определено шесть типов конфиденциальной информации, которые представлены следующим образом:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Перечень сведений конфиденциального характера дополняют другие нормативно-правовые акты: Основы законодательства РФ "Об основах охраны здоровья граждан Российской Федерации", законы РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании", "О нотариате", "Об адвокатуре", "Об основных гарантиях избирательных прав граждан РФ", "О банках и банковской деятельности", а также Налоговый кодекс РФ, Семейный кодекс РФ и др.

К этому Указу накопилось довольно много претензий, главные из которых состоят в том, что он классифицирует виды конфиденциальной информации неполно, и некорректно. В последнем случае, например, указывают на то, что такая разновидность профессиональной тайны по этому Указу, как "тайна переписки... согласно ст. 23 Конституции РФ должна относиться к праву каждого человека, а не только специалиста определенной профессии", указывают также на то, что не проводится разграничения персональных данных и тайны частной жизни, и т.д. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" также не снимает обозначенной проблемы, поскольку использует лишь самые общие нормативные установки, например: "Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение" (ч. 4 ст. 9).

Рассмотрим наиболее существенные виды информации конфиденциального характера, утвержденные Указом Президента РФ от 06 марта 1997 № 188.

27 июля 2006 года вступил в силу Федеральный закон Российской Федерации № 152-ФЗ "О персональных данных". Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:

"Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания" (п.10. ст.3 ФЗ № 152-ФЗ).

Принятие Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) призвано защитить конфиденциальные сведения (персональные данные субъекта), такие как: ФИО, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В качестве примера конфиденциальности информации о персональных данных субъекта можно привести положения, отмеченные в Письме Банка России от 28 ноября 2001 г. № 137-Т "О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем" (состав персональных данных для идентификации физического лица):

- фамилия, имя, а также отчество (если иное не вытекает из закона или национального обычая);

- дата и место рождения;

- место жительства (регистрации);

- место пребывания;

- сведения о документе, удостоверяющем личность (наименование, серия и номер, орган, выдавший документ, дата выдачи документа).

Другим примером являются персональные данные, предусмотренные ФЗ от 15 ноября 1997 г. № 143-ФЗ: "Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния".

Одно из противоречий о защите персональных данных субъекта наглядно иллюстрирует банковская практика. Например, при открытии накопительного вклада на имя другого лица, вкладчик должен предоставить банку персональные данные этого лица; при оформлении кредита в банке или торговых точках необходима ксерокопия документа, содержащего персональные данные (в основном, паспорта); при оформлении договора зарплатного проекта для сотрудников предприятия банк обязан уведомить каждого сотрудника предприятия о начале обработки его персональных данных и получить согласие до выпуска карты и т.д. Все это существенно осложняет работу банков, процедуру обработки информации и передачи ее третьей стороне. Также, становится невозможной работа по обмену информацией о клиенте между филиалами одного банка. Филиал не может отправить куда-либо сведения об этом гражданине или информацию о его текущих делах без получения соответствующего разрешения от клиента. Необходимо учесть, что клиент имеет право не давать согласие на передачу его персональных данных третьим лицам. В этом случае гражданин получает возможность скрыть отрицательно характеризующую его информацию.

Проблема связана с отношением регулирующих органов к персональным данным как к самостоятельному объекту правовой охраны наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п. И для этого есть основания, поскольку в ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" положения о персональных данных включены в статью, где перечислены виды информации ограниченного доступа (государственная, коммерческая, служебная, профессиональная тайны). Это создает путаницу, так как требование конфиденциальности персональных данных не абсолютно. Открытые персональные данные также обрабатываются и должны защищаться, например, на официальных сайтах органов государственной власти, профессиональных энциклопедиях и т.п.

Следующий вид информации с ограниченным доступом - служебная тайна - представляет наибольшую сложность с точки зрения определения ее понятия и правового режима, поскольку в этот вид тайны в разное время включалось и теперь включается различное содержание.

Определение служебной тайны дано в Указе Президента РФ от 06 марта 1997 № 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера", согласно которому служебная тайна представляет собой служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами. Стоит отметить, в связи с отменой ст. 139 ГК РФ данное определение утратило всякую правовую основу.

В действующем законодательстве не определено однозначно понятие служебной тайны. Большинство ученых склонно придерживаться мнения, что к служебной тайне относятся те сведения о физических и юридических лицах, которые становятся известными различным должностным лицам по роду их служебной деятельности, однако в силу своего особого характера не могут свободно распространяться. В силу этого к служебной тайне относят тайну следствия, врачебную тайну, налоговую тайну, адвокатскую тайну и др.

Для обозначения служебной информации конфиденциального характера помимо термина "служебная тайна" используется целый ряд других, в первую очередь, - "служебная информация".

Длительное время единственным источником, в котором было закреплено легальное определение служебной информации, была ст.31 Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг": "служебной информацией федеральный закон понимает любую не являющуюся общедоступной информацию об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения…".

Следует обратить внимание на то, что, во-первых, данное определение не является универсальным и применяется только в рамках соответствующего правового института. Во-вторых, закон прямо устанавливает, что служебная информация представляет собой сведения с ограниченным доступом. В третьих, в связи с принятием 27 июля 2010 Федерального закона № 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", ст.31. Федерального закона от 22.04.1996 № 39-ФЗ "О рынке ценных бумаг" утратил силу в январе 2011 г. Термин "служебная информация" заменена термином "инсайдерская информация".

Понятие "служебная информация" также, находит свое отражение в законодательных актах -- посвященных государственной и муниципальной службе, где используется достаточно часто, но ее содержание в них не раскрывается. Так, в Федеральном законе от 27.07.2004 № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" ст.15 и ст.7 Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается обязанность соблюдать порядок работы со служебной информацией: "не разглашать сведения, составляющие государственную и иную охраняемую федеральным законом тайну, а также сведения, ставшие ему известными в связи с исполнением должностных обязанностей, в том числе сведения, касающиеся частной жизни и здоровья граждан или затрагивающие их честь и достоинство", и "сотрудник таможенного органа не вправе: использовать в неслужебных целях средства материально-технического и информационного обеспечения, финансовые средства, другое государственное имущество, а также служебную информацию". Согласно ст. 17 Федерального закона от 27.07.2004 № 79-ФЗ (ред. от 21.11.2011, с изм. от 06.12.2011) "О государственной гражданской службе Российской Федерации" и ст.7.1. Федерального закона от 21 июля 1997 г. № 114-ФЗ "О службе в таможенных органах Российской Федерации" устанавливается запрет для государственных и муниципальных служащих: "разглашать или использовать в целях, не связанных с гражданской службой, сведения, отнесенные в соответствии с федеральным законом к сведениям конфиденциального характера, или служебную информацию, ставшие ему известными в связи с исполнением должностных обязанностей".

В свою очередь в постановлении Правительства РФ от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" понятие "служебная информация" отражено в перечне сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:

- акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

- сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

- описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;

- порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

- решения по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

- сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;

- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.

Таким образом, можно сделать вывод, что служебная информация - это конфиденциальные служебные сведения о деятельности государственных органов, доступ к которой ограничен федеральными законами или в силу исполнения должностных обязанностей, а также сведения, поступившие органам государственной власти от физических и юридических лиц, имеющие действительную ценность в силу неизвестности их третьим лицам и доступ к которым ограничен в соответствии с федеральными законами.

В настоящее время все больше уделяется внимание еще одному виду информации с ограниченным доступом - коммерческая тайна.

Понятие "коммерческая тайна" в переводе с английского "commercial" означает перечень сведений о деятельности фирмы, предприятия, не подлежащих разглашению ввиду возможных убытков, недополученной прибыли и других отрицательных последствий.

В российском законодательстве определение коммерческой тайны указано в ст.3 Федерального закона от 29.07.2004 № 98-ФЗ (ред. от 11.07.2011) "О коммерческой тайне", понятие "коммерческая тайна" - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Под информацией, составляющей коммерческую тайну, понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе, составляющая секреты производства - ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

Носителями коммерческой информации являются руководители предприятий или организаций, а также другие служащие, допущенные к коммерческим секретам. При этом сведения, составляющие коммерческую тайну предприятия или организации в соответствии со ст.4 от 29.07.2004 № 98-ФЗ, разрабатываются и утверждаются руководителем предприятия или организации с учетом требований постановления Правительства Российской Федерации от 05.12.1991 № 35 "О передаче сведений, которые не могут составлять коммерческую тайну".

В российском законодательстве нет исчерпывающих сведений относящихся к понятию "коммерческая тайна", но в литературе приведены примерные перечни сведений, относящихся к коммерческой информации

Так, Э. Соловьев предлагает следующий ориентировочный перечень сведений, составляющих коммерческую тайну:

- сведения о производственных возможностях предприятия;

- организация труда;

- структура кадров и производства;

- сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической деятельности;

- инвестиционные программы;

- имущественное положение предприятия;

- бюджет;

- методы изучения рынка сбыта;

- круг клиентов;

- сведения об иностранных партнерах;

- структура цены;

- условия по сделкам;

- особые условия контрактов;

- сведения о детальной расшифровке предмета лицензий при их купле-продаже;

- результаты научных исследований и проектных разработок;

- технические проекты;

- конструкция объекта;

- изобретения, "ноу-хау", промышленные и технические образцы;

- сведения, связанные с технологической информацией;

- способы производства продукции.

В.А. Герасименко, Д.В. Павлов, А.А. Шиверский приводят следующий примерный перечень сведений, относимых к коммерческой тайне:

1. Сведения стратегического характера:

- планы развития производства, в том числе с применением новых технологий, открытий и т.п.;

- причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления и т.п.

2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции; разработка технологий и новых видов продукции с учетом потребностей рынка и т.д.

3. Деловая информация:

- о торговых и деловых партнерах, клиентах, посредниках, поставщиках и т.д.;

- об условиях контрактов, соглашений, договоров и др.;

- о состоянии кредитно-финансовой системы предприятия;

- маркетинговая информация.

Положительным элементом формулировок содержания коммерческой тайны, приведенных В.А. Герасименко, Д.В. Павлов, А. А. Шиверским и Э. Я. Соловьевым, является то, что они попытались выделить основные области предпринимательской деятельности, в которых могут существовать сведения, составляющие коммерческую тайну.

На основании вышеизложенного можно сделать вывод, что действующее законодательство никак не ограничивает предметный характер информации, составляющей коммерческую тайну. К коммерческой тайне относятся конфиденциальные сведения в областях: производственно-хозяйственной; коммерческой; управленческой; научно-технической; финансовой, главное, чтобы данная информация имела бы коммерческую ценность в силу неизвестности ее третьим лицам.

Остальные виды тайн чаще всего обозначены, их объемы пересекаются, одна тайна накладывается на другую. Такое положение крайне отрицательно складывается на правоприменительной практике. Проблемы с определением круга сведений, относящихся к конкретному виду тайн, существуют даже в отношении наиболее "проработанных" законодательно тайн (таких как, государственная тайна и "ноу-хау"), что нередко подтверждает и судебная практика.

Поэтому, при решении вопроса об отнесении конкретной информации к защищаемой нужно руководствоваться определенными критериями, т.е. признаками, при наличии которых информация может быть отнесена к защищаемой.

Общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.

Критерии отнесения открытой информации к защищаемой:

- необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;

- необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);

- необходимость информации для управленческой деятельности, сюда относится информация, требующаяся для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ее функционирования;

- необходимость информации для финансовой деятельности;

- необходимость информации для обеспечения функционирования социальной сферы;

- необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;

- важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.

Эти критерии обусловливают необходимость защиты открытой информации от утраты.

Названные выше критерии отнесения открытой информации к защищаемой вызывают потребность в защите от утраты и конфиденциальной информации.

Однако основной, определяющий критерий отнесения информации к конфиденциальной и защиты ее от утечки - возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам.

Этот критерий имеет две составляющие: Неизвестность информации третьим лицам. Получение преимуществ от использования информации (получение выгоды, предотвращение политического, экономического или морального ущерба). Эти две составляющие взаимосвязаны и взаимообусловлены с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает преимуществ тому, кто ее защищает, с другой стороны, преимущества можно получить только за счет такой неизвестности.

При отсутствии названных выше критериев нет оснований для перевода информации в категорию защищаемой. Но наличие этих критериев не означает, что информация во всех случаях без исключения должна быть отнесена к охраняемой. Критерии - это лишь объективные показатели возможности отнесения информации к защите.

Для реализации этой возможности в действительности необходимы следующие условия:

1. Если информация не является общедоступной на законном основании, т.е. не содержит сведений, которые запрещено относить к конфиденциальным. Перечни таких сведений содержатся в нормативных актах РФ.

2. Если имеются технические возможности для защиты носителей информации. Речь идет об объектах, которые практически невозможно скрыть от технических средств обнаружения и фиксации, особенно спутниковых.

3. Если затраты на защиту информации не превысят количественных и качественных показателей преимуществ, получаемых при ее защите.

Таким образом, правовой и методологической основой для разработки перечней защищаемой информации являются: критерии отнесения информации к защищаемой; условия отнесения информации к защищаемой; понятие соответствующего вида тайны (их характеристики и показатели); специфика предприятия (для коммерческой тайны, что для одних является коммерческой тайной, для других - рекламная информация).

1.3 Основные источники правового регулирования конфиденциальной информации

В предыдущих разделах были упомянуты некоторые источники, регулирующие правовые режимы конфиденциальной информации. Остановимся на этой теме более подробно.

Обеспечение защиты конфиденциальной информации складывается из следующих составляющих:

1. Нормативные правовые акты РФ.

2. Нормативно-методические и методические документы.

3. Стандарты.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства;

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Приведем примеры:

Основные направления правового регулирования информационных отношений - конституционное и гражданско-правовое. Как продолжение свободы мысли и слова, которая закреплена в ч. 1 ст. 29 Конституции РФ, ч. 4 ст. 29 Конституции РФ закрепляет право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется соответствующим федеральным законом. Этому праву корреспондирует общая обязанность органов государственной власти и местного самоуправления, располагающих такого рода информацией, предоставлять ее по соответствующим запросам. Возможные исключения из этого общего правила должны обязательно иметь форму федерального закона (ч. 3 ст. 55 Конституции РФ). Ст. 42 Конституции РФ говорит о праве каждого на достоверную информацию о состоянии окружающей среды. Ст. 19 Основ законодательства РФ "Об основах охраны здоровья граждан Российской Федерации" конкретизирует это установление закреплением определенного механизма реализации прав граждан на информацию о факторах, влияющих на их здоровье (п.5 пп.7 ст. 19).

Закон Российской Федерации от 5 марта 1992 г. № 2446-1 "О безопасности" (ред. от 26.06.2008) - данный закон призван защитить интересы личности, общества и государства от возможных внешних и внутренних угроз, посягающих на права, свободу, материальные и духовные интересы. Информационная безопасность - есть защита любой информации, и, в первую очередь, конфиденциальной.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите и информации" - назначение закона обеспечение защиты информации, регулирования отношений при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений в области охраны результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Качество современного уровня правового регулирования отношений по поводу информации во многом определяется степенью учета законодателем этих признаков (свойств).

Конфиденциальная информация определена в п. 7 ст. 2 Федерального закона от 27 июля 2006 года № 149-ФЗ через требование не передавать такую информацию третьим лицам без согласия ее обладателя. На мой взгляд, это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять-таки через информацию с ограниченным доступом, не содержащую государственную тайну, во-первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во-вторых, государственная тайна ? это тоже конфиденциальная информация. Поэтому более правильно, на мой взгляд, под конфиденциальной информацией понимать легально полученную информацию, которая в силу закона или иного акта, имеющего юридическое значение, доступна строго определенному кругу лиц, и в отношении которой установлен режим той или иной степени секретности.

Пункт 3 статьи 5 Федерального закона № 149-ФЗ об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Так, по этому основанию информация подразделяется:

1) на информацию, свободно распространяемую, например, посредством средств массовой информации;

2) на информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) на информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) на информацию, распространение которой в Российской Федерации ограничивается или запрещается. Например, информация, составляющая коммерческую или государственную тайну.

В п. 2 этой статьи приводится разделение информации в зависимости от категории доступа к ней. По этому основанию информация может быть общедоступной; ограниченного доступа.

Федеральным законом № 152-ФЗ от 27 июля 2006 "О персональных данных" регулируются отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.