Что понимается под конфиденциальной информацией
Что понимается под конфиденциальной информацией
Статья 32. Конфиденциальная информация
1. Информация, представляемая заинтересованным лицом в орган, проводящий расследования, рассматривается в качестве конфиденциальной при представлении этим лицом обоснований, свидетельствующих о том, что раскрытие такой информации предоставит преимущество в условиях конкуренции третьему лицу либо повлечет за собой неблагоприятные последствия для лица, представившего такую информацию, или для лица, у которого данное лицо получило такую информацию. Конфиденциальная информация не должна разглашаться без разрешения представившего ее заинтересованного лица, за исключением случаев, предусмотренных федеральными законами.
Орган, проводящий расследования, вправе требовать от представляющего конфиденциальную информацию заинтересованного лица представления ее неконфиденциальной версии. Неконфиденциальная версия должна содержать сведения, достаточные для понимания существа представленной конфиденциальной информации. В случаях, если в ответ на требование органа, проводящего расследования, о представлении неконфиденциальной версии конфиденциальной информации заинтересованное лицо заявляет, что конфиденциальная информация не может быть представлена в таком виде, это лицо должно представить доказательства невозможности представления конфиденциальной информации в таком виде.
В случае, если орган, проводящий расследования, установит, что обоснования, представленные заинтересованным лицом, не позволяют отнести представленную информацию к конфиденциальной информации, либо заинтересованное лицо, не представившее неконфиденциальную версию конфиденциальной информации, не представляет и обоснование невозможности представления конфиденциальной информации в таком виде или представляет сведения, которые не являются обоснованием невозможности представления конфиденциальной информации в таком виде, орган, проводящий расследования, может не учитывать эту информацию.
2. Орган, проводящий расследования, несет предусмотренную законодательством Российской Федерации ответственность за разглашение конфиденциальной информации.
Защита конфиденциальной информации (сведений конфиденциального характера)
Автор статьи:
Гончаров Андрей Михайлович
Для любой организации, независимо от вида деятельности, одной из важнейших сфер бизнес интереса является защита конфиденциальной информации.
Для создания эффективной системы защиты информации, компании необходимо определить степень важности различных типов данных, знать, где они хранятся, каким образом и кем обрабатываются и как уничтожаются в конце жизненного цикла. Без этого будет сложно предотвратить утечку конфиденциальных данных и обосновать финансовые расходы на защиту информации.
Нормативной основой для понятия «конфиденциальности» информации являются:
Категории информации по степени конфиденциальности
Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся она представляет различную ценность для организации и ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы системы защиты, в том числе и организационную, а главное — правовую.
В связи, с чем информация разделяется на три группы:
Информация второй и третьей категории является конфиденциальной.
Примерный перечень конфиденциальной информации:
Уровни защиты информации
Для принятия правильных мер, следует точно определить уровень защиты информации.
Можно выделить три уровня системы защиты конфиденциальной информации:
Важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты, а также порядка её использования.
Очень важно отразить в Политике информационной безопасности организации перечень конфиденциальной информации.
В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
В целях охраны конфиденциальности информации руководитель Организации обязан:
Обеспечение защиты конфиденциальных документов достигается следующими основными методами: 
В соответствии с ГОСТ Р 50922-2006 можно выделить следующие (обобщенные) организационные и технические меры защиты конфиденциальной информации:
В завершении стоит отметить важность и определяющую значимость эффективно выстроенной системы защиты конфиденциальной информации по причине высокой ценности такой информации.
Такая система должна быть продуманной, прозрачной и комплексной.
Система защиты конфиденциальной информации не должна иметь пробелов как в обеспечении ИБ элементов информационной инфраструктуры Организации, так и в её реализации на документарном уровне. Все уровни и элементы системы защиты конфиденциальной информации должны быть взаимосвязаны, оптимально выстроены и контролируемы.
От эффективности этой системы зависит жизнеспособность организации т.к. информация, в условиях современности – самый ценный ресурс.
Глава 3. Понятие и состав конфиденциальной информации
Глава 3. Понятие и состав конфиденциальной информации
Состав конфиденциальной информации
3.1.1. Информация в зависимости от категории доступа к ней подразделяется:
— на общедоступную информацию, к которой относятся общеизвестные сведения и иная информация, доступ к которой не ограничен (публикации, сообщения в средствах массовой информации, выступления на конференциях и выставках, интервью и т. п.),
— на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3.1.2. Информация ограниченного доступа включает в себя:
информацию, составляющую государственную тайну (секретную), защита которой осуществляется в соответствии с законодательством Российской Федерации о государственной тайне;
3.1.3. К сведениям конфиденциального характера относятся:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т. д.);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
сведения о существе изобретения, полезной модели, промышленного образца до официальной публикации информации о них.
3.1.4. Состав сведений, относящихся к служебной тайне, регламентируется специальным перечнем, который утверждается главой администрации Инсарского муниципального района Республики Мордовия.
3.1.5. Носители информации, составляющей служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования». Часто он сопровождается пометами «Лично», «Не для печати», «Не подлежит оглашению», «Только адресату» и др.
3.1.6. Информация ограниченного доступа, не содержащая сведений, отнесенных к государственной тайне, должна иметь гриф конфиденциальности.
3.1.7. При организации защиты конфиденциальных сведений необходимо четко регламентировать:
перечень сведений конфиденциального характера специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района;
процедуру допуска сотрудников к сведениям, составляющим служебную, коммерческую или другую тайну;
обязанности исполнителей, допущенных к сведениям, которые составляют служебную, коммерческую или другую тайну;
правила обращения (делопроизводство, учет, хранение, размножение и т. д.) с документами;
правила доступа (передачи) к информации иных лиц;
ответственность за разглашение сведений, оставляющих служебную, коммерческую или другую тайну.
Виды конфиденциальной информации в администрации Инсарского муниципального района
3.2.1. В автоматизированных системах администрации Инсарского муниципального района может обрабатываться информация следующих видов:
сведения, составляющие государственную тайну;
сведения, составляющие служебную тайну;
сведения, составляющие коммерческую тайну;
открытая общедоступная информация.
3.2.2. Сведения, составляющие государственную тайну, обрабатываются в автоматизированных системах на базе автономных персональных ЭВМ и в рамках Положения не рассматриваются.
3.2.3. Сведения, составляющие служебную тайну, могут включать служебную предметную информацию и служебную технологическую информацию, представляющую идентификаторы и пароли пользователей, настройки межсетевых экранов и т. д.
3.2.4. Служебная предметная информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями федерального законодательства и РД ФСТЭК «СТР-К».
3.2.5. Служебная технологическая информация, составляющая служебную тайну, должна защищаться в соответствии с требованиями нормативных правовых документов по обеспечению информационной безопасности и защите информации в автоматизированных системах администрации Инсарского муниципального района.
3.2.6. Сведения, составляющие коммерческую тайну, могут быть отнесены к сведениям, составляющим служебную тайну с обеспечением их защиты на уровне требований, применяемых к защите служебной тайны, или рассматриваться как коммерческая тайна с обеспечением их защиты на уровне требований Федерального закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
3.2.7. Обеспечение защиты персональных данных должно обеспечиваться в соответствии с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и РД ФСТЭК России.
3.2.8. Открытая информация может быть доступна для всех сотрудников органов государственной власти Республики Мордовия, защите подлежит ее целостность и доступность.
3.2.9. Открытая общедоступная информация размещается на информационных порталах органов государственной власти Республики Мордовия и издается в публичных изданиях. Защите подлежит ее целостность, доступность и достоверность. Защита этой информации должна обеспечиваться в соответствии с требованиями в объемах законодательства.
3.2.10. Виды информации и требования к защите представлены в следующей таблице:
Сведения, составляющие государственную тайну
Сведения, составляющие служебную тайну
Сведения, составляющие коммерческую тайну
Сведения, составляющие служебную тайну (технологическая информация)
Открытая общедоступная информация
3.2.11. Любая информация ограниченного доступа, вне зависимости от форм хранения, подлежит адекватной (дифференцированной) защите, в том числе:
информация, циркулирующая в средствах связи и вычислительной техники;
информация, передаваемая по каналам связи, локальным или глобальным вычислительным сетям;
информация, представленная в виде информативных акустических и электромагнитных сигналов, физических полей;
информация на бумажной, магнитной или другой основе;
информационные массивы и базы данных, которые должны защищаться в соответствии с законодательством Российской Федерации и интересами Республики Мордовия.
3.2.12. К сведениям, подлежащим защите в администрации Инсарского муниципального района, относятся:
сведения, определенные Перечнем сведений конфиденциального характера соответствующего специалиста по информатизации, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района, утверждаемых главой администрации Инсарского муниципального района;
иные сведения, составляющие охраняемую действующим законодательством тайну (приложение 2);
иные сведения, определенные собственником информации (федеральные органы исполнительной власти, их территориальные органы) при ее передаче администрации Инсарского муниципального района в соответствии с соглашениями о конфиденциальности в рамках их совместной деятельности.
3.2.13. Перечень сведений специалиста, осуществляющего техническое обслуживание информационного ресурса администрации Инсарского муниципального района, составляющих служебную и коммерческую тайну, утверждается Главой администрации Инсарского муниципального района и определяет сведения, которые не подлежат разглашению в открытой переписке, переговорах по открытым каналам связи и в средствах массовой информации. Перечень охватывает информацию ограниченного распространения по всем сферам деятельности администрации Инсарского муниципального района.
3.2.14. Перечень разрабатывается в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указом Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера», постановлением Правительства Российской Федерации от 5 декабря 1991 г. N 35 «О перечне сведений, которые не могут составлять коммерческую тайну», постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» и другими правовыми актами, определяющими состав сведений ограниченного распространения.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Статья 32. Конфиденциальная информация
Статья 32. Конфиденциальная информация
1. Информация, представляемая заинтересованным лицом в орган, проводящий расследования, рассматривается в качестве конфиденциальной при представлении этим лицом обоснований, свидетельствующих о том, что раскрытие такой информации предоставит преимущество в условиях конкуренции третьему лицу либо повлечет за собой неблагоприятные последствия для лица, представившего такую информацию, или для лица, у которого данное лицо получило такую информацию. Конфиденциальная информация не должна разглашаться без разрешения представившего ее заинтересованного лица, за исключением случаев, предусмотренных федеральными законами.
Орган, проводящий расследования, вправе требовать от представляющего конфиденциальную информацию заинтересованного лица представления ее неконфиденциальной версии. Неконфиденциальная версия должна содержать сведения, достаточные для понимания существа представленной конфиденциальной информации. В случаях, если в ответ на требование органа, проводящего расследования, о представлении неконфиденциальной версии конфиденциальной информации заинтересованное лицо заявляет, что конфиденциальная информация не может быть представлена в таком виде, это лицо должно представить доказательства невозможности представления конфиденциальной информации в таком виде.
В случае, если орган, проводящий расследования, установит, что обоснования, представленные заинтересованным лицом, не позволяют отнести представленную информацию к конфиденциальной информации, либо заинтересованное лицо, не представившее неконфиденциальную версию конфиденциальной информации, не представляет и обоснование невозможности представления конфиденциальной информации в таком виде или представляет сведения, которые не являются обоснованием невозможности представления конфиденциальной информации в таком виде, орган, проводящий расследования, может не учитывать эту информацию.
2. Орган, проводящий расследования, несет предусмотренную законодательством Российской Федерации ответственность за разглашение конфиденциальной информации.
ГАРАНТ:
См. комментарий к статье 32 Федерального закона
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!