В данный тип информации входит:

Государственная тайна, служебная тайна

Ноу-хау (секреты производства) и коммерческая тайна

Персональные данные (в порядке защиты личной тайны}

Другие виды тайн

Информация как объект гражданских правоотношений -- произведения науки и литературы, другие формы, отображающие информацию (например, карты, фотографии и т.п.), а также информация, содержащаяся в документах, закрепляющих авторские права на изобретения, полезные модели, промышленные образцы (патенты, свидетельства).

Массовая информация -- информация, содержащая сообщения информационного характера, подготавливаемая и распространяемая СМИ и (или) через Интернет целью информирования населения, в том числе реклама деятельности физических и юридических лиц, производимых продуктов и предоставляемых услугах, предлагаемых потребителям.

Официальные документы -- законы, судебные решения, иные тексты законодательного, административного и судебного характера, а также их официальные переводы. Эта информация создается в порядке законотворческой или иной правовой деятельности.

Обязательно представляемая документированная информация -обязательные контрольные экземпляры документов, информация в учетных документах, данные документов, представляемых в органы статистики, налоговая, регистрационная и другая такого типа информация. Такая информация создается юридическими и физическими лицами в порядке учета и отчетности и направляется в обязательном порядке разным органам и организациям в соответствии с действующим законодательством.

Государственная тайна -- защищаемые государством сведения, создаваемые в условиях секретности в соответствии с законодательством РФ.

Коммерческая тайна (информация, составляющая коммерческую тайну) -- научно-техническая, технологическая, коммерческая, организационная или иная используемая в экономической деятельности информация, включая ноу-хау. Режим защиты такой информации устанавливается законом.

Информация о гражданах (персональные данные) создается самими гражданами в их повседневной деятельности, в том числе связанной с реализацией прав и свобод (права на труд, на жилище, на отдых, медицинское обслуживание, социальное страхование, пенсионное обеспечение, па свободу слова и многое другое) и выполнением обязанностей (например, воинской обязанности) и представляется как сведения о себе (персональные данные) разным субъектам. Документированной информацией здесь являются анкеты, истории болезни, декларации о доходах, банковские записи и т.п.

Научно-юридическая информация - сведения, содержащиеся в юридических монографиях, статьях, справочниках, комментариях, докладах на юридические темы и т.п.

Можно говорить и о других основаниях классификации, проводимой для исследований информации как объекта информационных правоотношений.

2. Понятие о защите информационных систем

Определение персональных данных дано в Законе №152-ФЗ: «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Кроме этого, введено определение оператора персональных данных: «государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Согласно статье 19 ФЗ-№152, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». С 1 января 2008 г. деятельность операторов ПД считается законной при наличии регистрации этих операторов в реестре. Но только 28 марта 2008 г. Управление по защите прав субъектов ПД Россвязькомнадзора выпустит приказ №154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных».

Рисунок 1

В октябре 2012 года зарегистрировано около 30 тыс. операторов ПД, но потенциально таким оператором может быть каждое юридическое и даже физическое лицо, работающее с ПД, а таковых в России около 7 млн. Зарегистрировать миллионы операторов в одном госреестре чрезвычайно сложно, поэтому Россвязькомнадзор принял решение о проведении регистрации по территориальному признаку -- в каждом субъекте федерации. информация защита шифровальный

Прежде чем приступить к обработке ПД, оператор обязан уведомить Уполномоченный орган по защите прав субъектов ПД (Управление Россвязькомнадзора) о своем намерении. В свою очередь Управление ведет реестр операторов ПД и имеет право на контроль их деятельности, вплоть до приостановления или прекращения работ, если они производятся с нарушением требований, установленных Правительством РФ.

Субъект ПД самостоятельно решает вопрос передачи кому-либо своих ПД, документально оформляя свое намерение. В соответствии со статьей 9 ФЗ-№152 обработка персональных данных осуществляется только при условии согласия в письменной форме с указанием следующих данных:

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

Лица, виновные в нарушении требований обработки и хранения ПД, несут гражданскую, уголовную, дисциплинарную и иную, предусмотренную законодательством РФ, ответственность.

Субъект ПД имеет право на получение сведений об операторе и информации, касающейся обработки его ПД, на доступ к своим ПД, а также на обжалование действий или бездействия оператора. Кроме того, субъект ПД может обратиться за защитой своих прав и законных интересов, в том числе за возмещением убытков и (или) компенсацией морального вреда в судебном порядке.

В Постановлении Правительства №781 содержится определение информационной системы персональных данных (ИСПДн): «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

Это же постановление №781 возлагает на ФСТЭК и ФСБ России разработку методов и способов защиты ПД в информационных системах, а на оператора ПД -- задачу обеспечения безопасности ПД и обязанность классификации ИС. Оно устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИСПДн, а средства защиты ПД должны пройти оценку соответствия (во ФСТЭК России и ФСБ России). Достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора.

Для создания и внедрения системы защиты персональных данных необходима реализация комплекса мероприятий. Как правило, проект по созданию такой системы включает следующие этапы: предпроектная стадия (разработка технического задания на ИСПДн), стадия проектирования и реализации (разработка системы защиты ИСПДн), стадия ввода в эксплуатацию системы защиты (в том числе этап опытной эксплуатации ИСПДн), приемо-сдаточные испытания, а также оценка соответствия ИСПДн нормативным требованиям.

3. Системы шифрования информации

Правила разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию ПД при их обработке в ИС устанавливает ФСБ РФ. Целесообразность их применения выясняется на этапе определения модели угроз. Если они признаются необходимыми, то применяемые средства криптографической защиты информации (СКЗИ) должны соответствовать требованиям российского законодательства. Типовые требования в отношении информации, не содержащей секретных сведений и государственной тайны, разработаны ФСБ и предоставляются по запросу оператора ПД. По данным Perimetrix, шифрование ПД и других конфиденциальных данных в местах хранения внедрено только в 36% российских компаний.

Ни Федеральный закон, ни Постановление Правительства № 791-2007, ни нормативные документы ФСБ и ФСТЭК, к сожалению, однозначного ответа о необходимости применения СКЗИ не дают. Чтобы его получить, придется построить модель угроз безопасности персональным данным, выявить угрозы, актуальные для конкретной информационной системы с учетом класса ее защищенности, и внедрить криптографические средства защиты информации для нейтрализации угроз, против которых они оказываются действенными. Применение СКЗИ представляется очевидным в следующих ситуациях:

1) наличие территориально распределенных систем, где в качестве транспорта для передачи персональных данных служат глобальные информационные сети (Internet) и сети связи общего пользования, в которых невозможно обеспечить контроль оператора персональных данных за доступом к передаваемой информации (на транзитных узлах Internet, телефонных станциях при использовании коммутируемого доступа и т.п.);

2) вынос за пределы контролируемой территории мобильных устройств обработки персональных данных, в том числе используемых для удаленного доступа к ИСПДн (ноутбуки, КПК и т.п.). В этом случае необходимо шифровать как информацию, передаваемую по незащищенным каналам связи, так и персональные данные, хранящиеся на жестких дисках мобильных устройств, поскольку возможен несанкционированный доступ к устройствам в результате их хищения, изъятия правоохранительными органами и органами пограничного контроля, в том числе зарубежных государств, и т.п.;

3) применение многопользовательских систем персональных данных первого класса, где разграничение доступа обеспечивается исключительно шифрованием информации на дисках и управлением криптографическими ключами.

Заключение