Классификация информации по видам тайны и степеням конфиденциальности
Определение и нормативное закрепление состава защищаемой информации
Глава 4
Безусловно, весь объем информации, используемой предприятием в его деятельности, необходимо защищать. Вместе с тем очевидно, что применение одинаковых мер защиты информации (независимо от ее вида) не может являться эффективной стратегией. И настоящей главе рассмотрим только деятельность по защите информации, связанную с ограничением доступа к ней (обеспечением конфиденциальности информации).
Создание и обеспечение функционирования КСЗИ предприятия предполагает (как минимум) наличие ответов на следующие вопросы: «Что защищать?»; «От кого (чего) защищать?»; «Какие силы, средства, методы (и т.п.) необходимо применять?».
Ответ на вопрос «Что защищать?» не только является основополагающим, но и требует первоочередного решения. В связи с этим важным направлением деятельности в ходе создания (обеспечения функционирования) КСЗИ на предприятии является определение состава защищаемой информации.
|
|
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Классификация информации по видам тайны — составная часть деятельности по защите информации.
В соответствии со ст. 5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» в зависимости от порядка предоставления или распространения информация подразделяется (рис. 4.1):
1) на информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Кроме того, законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.
Из числа видов информации, доступ к которой ограничен федеральными законами (информация ограниченного доступа), в настоящей главе будут рассмотрены вопросы определения и нормативного закрепления сведений, составляющих государственную тайну, коммерческую тайну, служебную информацию ограниченного распространения, а также персональных данных.
Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» — [20]).
|
|
Коммерческая тайна — конфиденциальная информация, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Информация, составляющая коммерческую тайну, — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, К которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (ст. 3 Федерального закона от 29 июля 20041 № 98-ФЗ «О коммерческой тайне»).
Служебная информация ограниченного распространения (служебная тайна) — служебные сведения, доступ к которым orpaj ничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (п. 3 Указа Президента Российской Федерации от 6 марта 1997 г. № 188).
ИНФОРМАЦИЯ
- Свободно распространяемая
- Предоставляемая по соглашению сторон
- Подлежащая предоставлению или распространению
- Распространяемая ограниченно или запрещаемая к распространению
Рис. 4.1. Классификация информации в зависимости от порядка предоставления или распространения
Информационные ресурсы
* | |||||||||
Открытая информация | Информация ограниченного доступа | ||||||||
Сведения, составляющие государственную тайну | |||||||||
Персональные данные | Служебная тайна | Коммерческая тайна | Профессиональная тайна | ||||||
Танй следствия и судопроизводства, а также сведения о защищаемых лицах, сведения о сущности изобретения, полезной модели, промышленного образца до официального опубликования.
Рис. 4.2. Классификация информационных ресурсов по категориям доступа
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных цлнных» [47]).
Структурная схема классификации информационных ресурсов но категориям доступа представлена на рис. 4.2.
Определение состава защищаемой информации требует, по Крайней мере, решения трех задач.
Задача I. Определение состава информации, ограничение доступа к которой запрещено законодательством, и соответственно Иычленение ее из состава защищаемой информации.
Задача 2. Определение состава используемой (полученной) информации, необходимость зашиты которой обусловлена причинами, не зависящими от предприятия. Такая информация включает:
— государственную тайну;
— коммерческую тайну контрагентов;
— служебную информацию ограниченного распространения, полученную от органов государственной власти или других организаций;
— персональные данные;
— различные виды профессиональных тайн (врачебную, нотариальную, адвокатскую и т.п.);
Задача 3. Определение состава информации, необходимость защиты которой обусловлена интересами предприятия. Такая информация включает:
|
|
— коммерческую тайну предприятия;
— служебную информацию ограниченного распространения, обладателем которой является предприятие.