Файл: Персональные данные в системе информации ограниченного доступа.pdf

114 степени разрешен. Ст. 16 Федерального закона Об информации, информационных технологиях и о защите информации указывает на то, что в содержание защиты информации входит принятие правовых, организационных и технических мер, направленных
1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации
2) соблюдение конфиденциальности информации ограниченного доступа
3) реализацию права на доступ к информации. Соответственно защита информации – это определенный комплекс мер правовых, организационных и технических мер, направленный на обеспечение целостности информации (воспрепятствование уничтожению, модификации, неправомерному блокированию, копированию, предоставлению, распространению и иным неправомерным действиям, соблюдение ее конфиденциальности (создание условий, исключающих неправомерный доступ к информации, ее распространение, разглашение, а также создание условий для реализации права на информацию. Безусловно, эти действия в целом направлены на обеспечение информационной безопасности – создание состояния защищенности интересов личности, общества и государства в информационной сфере и их реализацию. В этом случае следует согласиться с мнением ИЛ. Бачило
2
, что обеспечение информационной безопасности не ограничивается только защитой информации, которая является важнейшей, ноне единственной частью этой деятельности, требующей обращения к политике информатизации в целом, к сложной оценке процессов возникновения и проявления угроз безопасности.
1
Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149-
ФЗ (ред. от 19.12.2016).
2
Бачило, ИЛ. Информационное право учебник для вузов / ИЛ. Бачило. – М Высшее образование, Юрайт-
Издат, 2009. – СВ итоге вполне можно установить определенную взаимосвязь между понятиями информационная безопасность, защита информации и конфиденциальность, которые во многом соотносятся как общее и частное. Конфиденциальность при этом можно рассматривать как один из элементов защиты информации, а последнюю – как часть информационной безопасности. Возвращаясь к термину конфиденциальность, можно отметить его сравнительно широкое использование в законодательных текстах, в частности, такие положения присутствуют в ст. 7 Федерального закона О персональных данных, ст. 6 Федерального закона Об основах социального обслуживания граждан в Российской Федерации, ст. 6 Федерального закона О финансовом оздоровлении сельскохозяйственных товаропроизводителей, ст. 22 Федерального закона О третейских судах в РФ, ст. 9 Федерального закона О государственной защите судей, должностных лиц правоохранительных и контролирующих органов, в ст. 41 Закона РФ О средствах массовой информации и многих других законодательных актов. Одним из первых актов, где стал использоваться этот термин, является Федеральный закон О коммерческой тайне. Практически с самого его создания термин конфиденциальность стал своего рода лейтмотивом закона и был использован в определении самого понятия коммерческая тайна, которая трактовалась через режим конфиденциальности, да и далее по тексту закона он использовался неоднократно. Действующая сейчас редакция содержит его упоминание 18 раз. Причем определение самому
1
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017).
2
Об основах социального обслуживания граждан в Российской Федерации федер. закон от 28.12.2013
№ 442-ФЗ (ред. от 21.07.2014).
3
О финансовом оздоровлении сельскохозяйственных товаропроизводителей федер. закон от 09.07.2002
№ 83-ФЗ (ред. от 21.07.2014).
4
О третейских судах в Российской Федерации федер. закон от 24.07.2002 № 102-ФЗ (ред. от 29.12.2015).
5
О государственной защите судей, должностных лиц правоохранительных и контролирующих органов федер. закон от 20.04.1995 № 45-ФЗ (ред. от 07.02.2017).
6
О средствах массовой информации закон РФ от 27.12.1991 № 2124-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 15.07.2016).
7
О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014). – Ст. 3.

116 термину конфиденциальность таки не было дано, вплоть до его появления в Федеральном законе Об информации, информационных технологиях и о защите информации в 2006 году
1
Современное законодательство трактует его как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Надо сказать, что схожие трактовки и положения достаточно часто можно теперь встретить в целом ряде законов и нормативно-правовых актов, однако с некоторыми нюансами. Дело в том, что термин конфиденциальность или те случаи, когда законодательство упоминает его, может иметь некоторые различия в трактовке или содержании. Достаточно часто для этого используются указание на необходимость субъекта, как правило – конфидента тайны, воздерживаться от определенных действий с информацией, в частности не передавать, не раскрывать, не разглашать, не сообщать, не предоставлять, не распространять»
7
Такое обилие терминов, с одной стороны, выглядит странным, однако поэтому поводу возможны некоторые комментарии. Если вернуться к структуре отношений по охране тайны как конфиденциальной информации, то этому вполне можно найти объяснение.
1
Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149-
ФЗ (ред. от 19.12.2016).
2
О негосударственных пенсионных фондах федер. закон от 07.05.1998 № 75-ФЗ (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 01.01.2017). – Ст. 15.
3
Об инвестиционном товариществе федер. закон от 28.11.2011 № 335-ФЗ (ред. от 21.07.2014). – Ст. 12; О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7.
4
О финансовом оздоровлении сельскохозяйственных товаропроизводителей федер. закон от 09.07.2002
№ 83-ФЗ (ред. от 21.07.2014). – Ст. 6.; О третейских судах в Российской Федерации федер. закон от
24.07.2002 № 102-ФЗ (ред. от 29.12.2015). – Ст. 22.; О средствах массовой информации закон РФ от
27.12.1991 № 2124-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 15.07.2016). – Ст. 41.; О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014). – Ст. 11 ч. 2, п. 2. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 28.03.2017). – Ст. 727.
6
О Центральном банке Российской Федерации (Банке России федер. закон от 10.07.2002 № 86-ФЗ (ред. от
28.03.2017). – Ст. 51, абз. 2.; О банках и банковской деятельности федер. закон от 02.12.1990 № 395-1 (ред. от 03.07.2016) (с изм. и доп, вступ. в силу с 01.01.2017). – Ст. 26.
7
О персональных данных федер. закон от 27.07.2006 № 152-ФЗ (ред. от 22.02.2017). – Ст. 7.

117 Основной обязанностью конфидента является сохранение полученных сведений втайне и иных ограничений на обработку информации, которые установлены ее обладателем, те. субъектом тайны. Следовательно, все указанные термины используются для формулировки все той же обязанности конфидента по сохранению тайны сведений, те. ограничивают его право на какую-либо их передачу за пределы отношений обладатель – конфидент. Однако в использовании вышеперечисленных терминов могут быть некоторые отличия. В частности, в определенных случаях предполагается, что информация как бы покидает круг отношений обладатель – конфидент, не становясь при этом открытой и общедоступной, в таком случае, попадая к другому конфиденту, изменяется ее правовой режиму последнего. И если такие действия предполагаются, а иногда это происходит и без согласия обладателя, например в силу требований закона, то соответственно часто используется формула не разглашать, те. не предавать огласке или, иными словами, исключить смену правового режима информации с режима информации ограниченного доступа на режим общедоступной информации. В иных случаях, когда предполагается, что права обладателя могут быть нарушены, в том числе самим фактом передачи сведений третьим лицам пусть и на условиях соблюдения конфиденциальности отношений, те. конфидент – субконфидент», тов таком случае вполне логичным будет описание обязанностей конфидента как не сообщать, не передавать, не раскрывать, имея ввиду в том числе и разглашение информации, как передачу ее неограниченному кругу лиц. В целом можно говорить о том, что общий анализ существующих законодательных положений определяет термин конфиденциальность как требование, обращенное к конфиденту воздерживаться от действий по передаче или раскрытию информации третьим лицам, те. не участникам отношений обладатель – конфидент или неопределенному кругу лиц. При этом конфидент, по-видимому, должен воздерживаться именно от активных действий по передаче, сообщению, раскрытию, разглашению информации.

118 В таком случае возникает вопрос о достаточности подобных действий для защиты интересов обладателя. Как выясняется, это далеко не всегда так. В частности, Федеральный закон О коммерческой тайне одним из первых указывает на необходимость охраны конфиденциальности информации, которая предусматривает ряд фактически активных действий – мероприятий по выполнению этого требования. Более того, смысл статьи 10 этого закона напрямую связывает выполнение или реализацию этих мер с применением к той или иной информации режима коммерческой тайны. Эти меры могут быть также дополнены иными, как то – применение технических средств и методов защиты информации. Далее в п. 5 всё той же статьи 10 указывается на то, что применяемые меры являются разумными и достаточными, если выполнены два условия исключается доступ к информации, составляющей коммерческую тайну, без согласия ее обладателя и обеспечивается возможность использования информации работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. Как видим, термин конфиденциальность в таком случае подразумевает осуществление определенных действий по защите информации от несанкционированного обладателем доступа к ней со стороны третьих лиц, невыполнение которых, по-видимому, можно рассматривать как отказ к применению в отношении этой информации режима коммерческой тайны, следовательно, о его отсутствии. Надо сказать, что представленный в Федеральном законе О коммерческой тайне перечень является в некотором роде аналогичным мероприятиям по защите государственной тайны, который можно представить в упрощенном виде определение объекта защиты, те. какая информация защищается, ее перечень принятие для защиты организационных мер определение лиц, имеющих право доступа
1
О коммерческой тайне федер. закон от 29.07.2004 № 98-ФЗ (ред. от 12.03.2014).

119 определение порядка, правил обработки, обращения информации определение ответственных лиц, подразделений за организацию мероприятий по защите информации учет лиц, получивших доступ, и материальных носителей информации использование для защиты информации технических средств использование программных, программно-технических, технических средств (средства аутентификации, криптографии, резервного хранения, видеонаблюдения, охраны, сигнализации, антивирусные средства и др. Безусловно, напрямую в Законе РФ О государственной тайне, в отличие от Федерального закона О коммерческой тайне, такой перечень не присутствует отдельно водной из статей, но его вполне можно сформировать из общего системного анализа закона с поправкой на секретность вместо конфиденциальности и некоторые другие особенности. К сожалению, другие законодательные и нормативные акты, как правило, никак не раскрывают суть того, каким образом будет обеспечиваться конфиденциальность сведений, те. не раскрывают, в чем состоит специальный режим той или иной тайны. Аналогичного мнения придерживается и Е.К. Волчинская
1
, говоря о конфиденциальности применительно к нотариальной тайне, она отмечает отсутствие соответствующих положений в большинстве законодательных и нормативных актов, включая нормы законодательства о нотариате. Далее в своих рассуждениях Е.К. Волчинская совершенно справедливо отмечает, что конкретно режим тайны определен только в случае государственной и коммерческой тайны, а также тот факт, что без этого (те. без указания на конкретные меры по обеспечению конфиденциальности) режим нотариальной тайны не выглядит завершенными убедительным.
1
Волчинская, Е.К. Нотариальная тайна и режимы конфиденциальности / Е.К. Волчинская // Нотариальный вестник. – 2013. – № 4 (апрель. – (http://www.notariat.ru/publ/zhurnal-notarialnyj-vestnik/archive/5499/6525/). – Дата обращения 02.04.2017.

120 Ст. 16 Федерального закона Об информации, информационных технологиях и о защите информации также содержит лишь достаточно общее указание на конфиденциальность, как одно из направлений правовых, организационных и технических мер по обеспечению защиты информации, в рамках которых обладатель, оператор информационной системы должен обеспечить
– предотвращение несанкционированного доступа к информации и или) передачи ее лицам, не имеющим права на доступ к информации
– своевременное обнаружение фактов несанкционированного доступа к информации
– предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации
– недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование
– возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней
– постоянный контроль над обеспечением уровня защищенности информации»
1
Примечательно, что федеральный закон о персональных данных также первоначально не содержал никаких указаний на конкретные меры защиты, которые должен был предпринять оператор для защиты персональных данных в информационных системах, а лишь содержал общее требование предпринимать организационные и технические меры для защиты персональных данных, причем до 2009 года в обязательном порядке указывал на необходимость использования шифровальных (криптографических) средств, совершенно не делая различий между разными информационными системами, объемами данных и других обстоятельств, что серьезным образом
1
Об информации, информационных технологиях и о защите информации федер. закон от 29.07.2006 № 149-
ФЗ (ред. от 19.12.2016).

121 затрудняло реализацию закона и стоимость таких мероприятий. Указанные положения неоднократно подвергались критике как со стороны операторов, таки со стороны ученых-юристов. Итогом работы над дальнейшим совершенствованием законодательных положений стала существенная переработка статьи 19, а также появление статьи 18.1 Федерального закона О персональных данных, которые в действующей редакции уже содержат конкретный ив достаточной степени детальный перечень мер, как организационных, таки технических, которые должные быть приняты оператором для защиты персональных данных. В целом этот перечень вполне можно уложить в уже озвученный выше алгоритм защиты информации применительно к коммерческой и государственной тайне
1. Определение объекта защиты. Сюда можно отнести положения ст. 2 Закона, а также ст. 18 ист, которые в совокупности обязывают оператора определить объем обрабатываемых персональных данных.
2. Принятие организационных мер принятие соответствующих локальных актов и разработка политики конфиденциальности, определяющих порядок и правила обработки персональных данных оператором (ст.
18.1, ч. 1, п. 2, 4, 5; ст. 18.1, ч. 2, п. 4; ст. 19, ч. 2, п. 8); назначение и определение ответственных лиц и подразделений за организацию обработки персональных данных (ст. 18.1, ч. 1, п. 1); ознакомление работников оператора, непосредственно осуществляющих обработку, с нормами законодательства о персональных данных, политикой конфиденциальности и локальными нормативными актами об обработке персональных данных и их обучение, что фактически позволяет говорить о них как о специальных субъектах юридической ответственности (ст. 18.1, ч. 1, п. 6);

122 учет лиц, имеющих доступ к персональным данными учет материальных носителей (ст. 19, ч. 2, пи иные организационные меры по контролю (аудиту) обработки персональных данных и их защите (ст. 18.1, ч. 2, пи ст. 19, ч. 1, п. 4);
3. Использование технических мер по защите информации (ст. 18.1, ч. 1, пи ст. 19, ч. 2, п. 2). По мнению автора, более логично этот общий алгоритм изложен в утвержденном Постановлением Правительства от 21 марта 2012 года № 211 Перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Несмотря на то, что Перечень относится только к одной из групп операторов – государственными муниципальным органам, нов целом содержит общий порядок действий по организации защиты информационных систем персональных данных, укладывающийся на все 100% в существующие и уже сложившиеся алгоритмы защиты информации, используемые в случае государственной и коммерческой тайны. Отличие закона о персональных данных заключается ив значительно более подробной детализации необходимых к применению оператором организационных и технических мер, причем в зависимости от определенных параметров информационных систем персональных данных, что выглядит вполне логично, учитывая, что в первую очередь при защите персональных данных преследуются интересы субъекта, а не оператора. Более подробно применяемые организационные и технические меры устанавливаются исходя из типов информационных систем. Так, в
1
Постановление Правительства РФ Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами от 21.03.2012 № 211 (ред. от 06.09.2014).