М.Ю.Емельянников Директор по развитию бизнеса НИП «ИНФОРМЗАЩИТА»
Тайны в российском законодательстве
В законодательстве России около 50 видов различных тайн
ь Государственная ь Коммерческая ь Профессиональная (тайна связи, банковская, медицинская, врачебная, адвокатская, нотариальная, аудиторская, тайна усыновления, …)
ь Служебная (госорганов, таможенная, налоговая, следствия и судопроизводства, о защищаемых лицах и мерах государственной защиты, …)
ь Личная и семейная (тайна частной жизни, персональные данные, …)
ь Секреты мастерства…
Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах: 2) установление ограничений доступа к информации только федеральными законами
Статья 5. Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)
ФЗ «Об информации, информационных технологиях и о защите информации»
Конфиденциальность информации ограниченного доступа
Указ Президента РФ 1997 года № 188
Сведения конфиденциального характера
ФЗ«О лицензировании отдельных видов деятельности»
Деятельность по технической защите конфиденциальной информации
Служебная тайна (ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления») Налоговая тайна («Налоговый кодекс РФ») Врачебная тайна («Основы законодательства РФ об охране здоровья граждан»)
Адвокатская тайна (ФЗ «Об адвокатской деятельности и адвокатуре в РФ») …
Государственная тайна (Статья 283 УК РФ «Разглашение государственной тайны») Коммерческая, налоговая и банковская тайна (Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») Тайна связи (Статья 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений») Личная и семейная тайна (Статья 137 УК РФ «Нарушение неприкосновенности частной жизни») Персональные данные (Статья 13.11КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом» Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей …
Регламентируется государством (ФОИВ, уполномоченными в соответствующих областях): ь Государственная тайна ь Персональные данные Определяется обладателем:
ь Коммерческая тайна Регламентируется профессиональным
регулятором и/или профессиональным сообществом: ь Банковская тайна Не регламентируется вообще:
ь Практически все остальные виды тайн и секретов в РФ
Главные проблемы, решаемые законом:
1. Предоставляет бизнесу правовую охрану коммерческой тайны и дает механизм ее реализации
2. Выдвигает обязательные требования, при выполнении которых предоставляется правовая охрана
3. Определяет условия передачи информации, составляющей коммерческую тайну, третьим лицам – физическим и юридическим, в том числе работникам предприятий
ФЗ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
Главные проблемы, решаемые законом:
1. Обеспечивает неприкосновенности частной жизни граждан
2. Гарантирует предоставление гражданам доступа к их персональным данным в органах власти и частных организациях, определяет порядок такого доступа
ФЗ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Условия предоставления правовой охраны со стороны государственных институтов:
ь установление в организации режима КТ путем реализации организационных мер и ввода в действие внутренних нормативных документов по охране конфиденциальности;
ь организация разрешительной системы доступа персонала к ИКТ на основании трудовых договоров;
ь передача ИКТ контрагентам на основании гражданско-правовых договоров;
ь организация контроля за соблюдением режима коммерческой тайны
ФЗ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
Требования, предъявляемые государством к оператору персональных данных:
1. Обеспечение безопасности (конфиденциальности) обработки персданных
2. Получение персданных только от субъектов
3. Предоставление субъекту всех имеющихся данных о нем по требованию
4. Уведомительный характер обработки 5. Подконтрольность и поднадзорность деятельности операторов госорганам
ФЗ от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
1. Усиление государственного регулирования, в том числе – введение различного рода ограничений и условий
2. Ограничение доступа к информации только федеральными законами
3. Обязательность наличия правового режима обращения с информацией и его зависимость от обладателя (коммерческая - служебная - банковская - налоговая - таможенная и др. виды тайн) при неизменности статуса персональных данных
4. Обязательность перечня сведений ограниченного доступа и его пополняемость
5. Ограничительные грифы (пометки) и учет носителей 6. Закрепление обязанностей в трудовых договорах 7. Учет ознакомления с ИОД
Обязательно ли устанавливать особый правовой режим в отношении информации ограниченного доступа? Фактически –да
Сколько таких режимов должно быть? Законодательно не определено. На практике – один правовой режим ограничения с учетом максимальных требований, предъявляемых в защите информации, или введение особенностей защиты для отдельных категорий (коммерческая тайна, персональные данные органов госвласти, конфиденциальная информация инопартнеров и т.п.)
Надо ли и как защищать информацию ограниченного доступа, если такой порядок не определен? Надо, поскольку от ответственности за неправомерное обращение, разглашение, передачу третьим лицам никто не освобождал. Как? В рамках введенного режима конфиденциальности
Надо ли специально устанавливать режим коммерческой тайны? Да. Нет режима – нет информации, составляющей коммерческую тайну
Сколько должно быть перечней информации ограниченного доступа? Можно ли ограничиться одним – перечнем конфиденциальных сведений? Нет, нельзя. Федеральные законы требуют наличия перечней для конкретных видов информации. Перечней должно быть столько, сколько самостоятельных видов информации ограниченного доступа выделяется в организации (на предприятии)
Надо ли уставливать режим коммерческой тайны приказом? Надо, иначе доказать правомерность его установления, сроки , с которого он действует, правомерность отнесения и обязанности работников будет затруднительно
Без установления режима коммерческой тайны получение правовой помощи государственных институтов невозможно. Установление режима коммерческой тайны позволяет защитить интересы ее обладателя во взаимоотношениях с: ь Собственными работниками ь Контрагентами ь Конкурентами
Зачем устанавливать режим коммерческой тайны?
ь Государственными и муниципальными органами ь СМИ ь Акционерами и независимыми директорами ь Рейдерами
ь Операторами персональных данных являются все юридические лица России ь Под обработкой персональных данных понимается практически все, что с ними можно сделать, начиная с собственно получения тем или иным способом и заканчивая уничтожением или обезличиванием ь За обработкой ведется государственной контроль и надзор ь За невыполнение требований установлена гражданско-правовая, уголовная, административная и дисциплинарная ответственность
Почему надо защищать персональные данные?
Система государственного контроля и надзора за обеспечением безопасности персданных при их обработке в ИС:
• Уполномоченный орган по защите прав субъектов персональных данных [Роскомнадзор]
• ФОИВ, уполномоченный в области обеспечения безопасности [ФСБ]
• ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации [ФСТЭК]
• Министерство связи и массовых коммуникаций [порядок проведения классификации информационных систем ПД, формирование требований оп безопасности ИСПДн]
Почему надо защищать персональные данные?