Что называется конфиденциальной информацией
Какие сведения относятся к конфиденциальной информации
Защита данных
на базе системы
Д еятельность многих организаций и служб связана с необходимостью хранения данных, огласка которых нежелательна. Конфиденциальность некоторых из них официально подтверждается законодательными актами. Существует информация, которая сохраняется в тайне по инициативе руководства предприятий или личным пожеланиям граждан. Чтобы конфиденциальные сведения не попали к посторонним лицам, должна быть организована их защита. Для обеспечения информационной безопасности используются специальные методы и компьютерные программы.
Сведения, не подлежащие разглашению
Информацией, не подлежащей огласке, считают не только служебные или государственные тайны, но и данные, доступные ограниченному кругу лиц. Ограничения могут накладываться, например, на сообщения о чрезвычайных событиях, губительных природных явлениях, санитарно-эпидемиологической обстановке в стране.
О том, какие сведения официально считаются конфиденциальными, говорится в Указе Президента Российской Федерации (с последними дополнениями от 13 июля 2015 года за № 357). К ним относятся:
Сведения, которые не считаются конфиденциальными
Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.
Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.
Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.
Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.
К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.
Меры сохранения конфиденциальности сведений
Руководство компании должно заранее принять меры для защиты конфиденциальной информации. Такими мерами являются:
1. Введение разрешительной системы доступа к секретным работам и документам, содержащим важные данные. Необходимо соблюдать режим коммерческой тайны. Следует четко оговаривать список доверенных лиц, которым дается разрешение на вход в информационную систему.
2. Ограничение доступа посторонних лиц в помещения, где хранятся секретные документы или важные компьютерные программы.
3. Надежное хранение паролей и ключей доступа к ценным сведениям. Это позволит защитить их от похищения, подмены или уничтожения.
4. Резервное копирование важных материалов. Оно позволяет в случае необходимости доказать их подлинность, воспроизвести утерянные данные.
Все предпринимаемые действия должны согласовываться с законодательством Российской Федерации.
Средства, используемые для обеспечения сохранности данных
Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.
Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.
Идентификация
Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.
Аутентификация
Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.
К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.
После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.
Протоколирование
Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.
Аудит
Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.
Шифрование
Для создания конфиденциальности проводится шифрование данных, относящихся к коммерческим тайнам.
Экранирование
При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.
Использование защищенных коммуникационных каналов
Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.
Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.
Заключение
Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания. Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам.
К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.
В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.
Конфиденциальная и коммерческая информация
konfidencialnaya_i_kommercheskaya_informaciya.jpg
Похожие публикации
Конфиденциальная информация – это сведения, не подлежащие публичному распространению и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям секретной информации может грозить дисциплинарная, материальная, административная, а в некоторых случаях даже уголовная ответственность.
Виды конфиденциальной информации
Главный признак конфиденциальности каких-либо сведений – законодательное ограничение доступа к определенному роду информации. Без согласия обладателя тайны данные сведения запрещается передавать посторонним лицам, не имеющим права их знать. Подобная характеристика дана в Федеральном законе об информации № 149 от 27.07.2006 (ст. 2).
Полный перечень конфиденциальной информации представлен в президентском указе № 188, изданном более 20 лет назад – 6 марта 1997 года. Согласно этому документу, к секретным сведениям, не подлежащим разглашению, относятся данные:
В 2015 году в указ Президента № 188 был добавлен новый пункт (п. 7), в соответствии с которым теперь конфиденциальной является информация и о принудительном исполнении судебных и властных актов, а также сведения, содержащиеся в личных делах осужденных граждан. Исключение составляют общедоступные данные, являющиеся таковыми согласно Федеральному закону № 229 от 02.10.2007 «Об исполнительном производстве».
Конфиденциальная информация, коммерческая тайна: отличия
Перечень конфиденциальных сведений наглядно иллюстрирует, что коммерческая тайна является одним из ее видов. То есть это более узкое понятие, имеющее непосредственное отношение к бизнесу, извлечению прибыли. Конфиденциальная коммерческая информация, ее сохранение, способствует успешной деятельности компании, дает ей преимущество над конкурентами. Именно в этом заключается главное предназначение оберегаемых фирмой сведений, имеющих коммерческую ценность.
Компания сама устанавливает режим секретности для определенной информации, фиксируя это в специальном Положении. Также руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям, которые составляют коммерческую тайну.
Конфиденциальная информация организации не всегда связана с необходимостью удержать или повысить прибыль. Вышеназванный указ Президента № 188 показывает, что она имеет широкий спектр. К конфиденциальным сведениям относятся различные виды тайн: служебная, коммерческая, профессиональная и т.д. Их перечень определен правовыми актами и охраняется законом. Следует отметить, что конфиденциальная информация становится коммерческой тайной только после того, как организация в локальных актах признает ее таковой.
Ответственность за разглашение конфиденциальной информации
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями, работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную информацию, ее носитель может получить дисциплинарное взыскание, вплоть до увольнения.
Работа с конфиденциальной информацией подразумевает повышенную ответственность сотрудника, которому в силу служебного положения она стала известна. 81-я статья ТК РФ одним из оснований для расторжения трудового договора по инициативе руководства называет разглашение работником коммерческой или другой тайны. Если утечка конфиденциальной информации нанесла компании реальный материальный ущерб, сотрудник должен его компенсировать в полном размере (243-я статья ТК РФ). Но работодателю придется доказать, что материальные потери фирмы являются следствием действий подчиненного.
Подписав документ о неразглашении конфиденциальной информации, и нарушив это обязательство, работнику нужно помнить о возможной уголовной ответственности, установленной 183-й статьей УК РФ. Она применяется, если без согласия владельца разглашена налоговая, коммерческая или банковская тайна, о которой гражданину стало известно в ходе исполнения трудовых или служебных обязанностей. Максимальный штраф за это деяние составляет миллион рублей. Возможны и иные виды наказания, например, лишение свободы или принудительные работы сроком до трех лет.
Также, если разглашена конфиденциальная информация, закон позволяет применить к гражданину или должностному лицу административную ответственность в виде штрафа. В первом случае он может достигать 500-1000 рублей, во втором – 4000-5000 рублей (ст. 13.14 КоАП РФ).
Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.
Конфиденциальность
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Содержание
Определения
Конфиденциальность информации — принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно содержащиеся в них сведения без согласия собственника экономического субъекта, за исключением случаев, предусмотренных законодательными актами.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Защита конфиденциальности является одной из трёх задач информационной безопасности (наряду с защитой целостности и доступность информации).
Актуальность конфиденциальности
С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий. Многие административные меры по защите конфиденциальности частных лиц и организаций утратили свою силу в связи с переходом документооборота в абсолютно новую среду.
При получении личных писем, при заключении договоров, во время деловой переписки, при телефонных разговорах со знакомыми и незнакомыми людьми, человек пользовался различными средствами аутентификации. Личные письма отправлялись с указанием существующего почтового адреса или имели штамп именно тех почтовых отделений, где проводилась обработка таких писем. При заключении договоров применялись бланки, произведённые на типографиях, на которых с использованием пишущих машинок, имевших уникальные серийные номера, печатался текст, который затем подписывался должностным лицом и заверялся печатью организации. При разговорах по телефону, достоверно было известно, что разговор ведётся именно с тем человеком, голос которого был ранее известен. Многие сотни административных мер были направлены на защиту конфиденциальности при общении людей.
С внедрением компьютерных технологий в жизнь человека многое изменилось. При использовании, например, электронной почты появилась возможность указания несуществующего обратного адреса или имитации получения письма от знакомого человека. При повседневном общении через сеть Интернет многие признаки, идентифицирующие того или иного человека в обычной жизни (пол, возраст, степень образования), перестали быть таковыми. Появилась так называемая «виртуальная реальность».
Быстро и эффективно решить проблемы связанные с защитой конфиденциальности в компьютерных системах невозможно. Появилась необходимость в комплексном подходе к решению данных проблем. Этот подход должен предполагать использование организационных и правовых мер, а также программно-аппаратных средств, обеспечивающих защиту конфиденциальности, целостности и доступности.
На сегодняшний день в организациях для обеспечения корректной работы со сведениями конфиденциального характера существует набор норм. Руководитель организации подписывает перечень сведений, имеющих конфиденциальный характер. В договоре, подписываемом работником и работодателем, существует пункт, в котором говорится об ответственности за некорректную работу с конфиденциальными сведениями, в результате чего при несоблюдении прописанных в договоре норм по работе с этими сведениями, появляется законное основание для привлечения таких сотрудников к административной или уголовной ответственности. А также в организациях имеется комплекс мер, направленных на обеспечение защиты конфиденциальных сведений. Например, такими мерами могут являться: подбор квалифицированного персонала, прогнозирование возможных угроз и проведение мероприятий по их предотвращению, использование различного уровня доступа персонала к информации с различной секретностью.
Так как невозможно детально изучить данную область в короткие сроки, было введено направление по подготовке специалистов в сфере информационной безопасности.
| 090000 | Информационная безопасность |
|---|---|
| 090100 | Информационная безопасность |
| 090101 | Криптография |
| 090102 | Компьютерная безопасность |
| 090103 | Организация и технология защиты информации |
| 090104 | Комплексная защита объектов информатизации |
| 090105 | Комплексное обеспечение информационной безопасности автоматизированных систем |
| 090106 | Информационная безопасность телекоммуникационных систем |
| 090107 | Противодействие техническим разведкам |
| 090108 | Информационная безопасность (СПО) |
С помощью программно-аппаратных средств защиты информации, представленных различными производителями, можно достичь более высоких показателей эффективности, если применять их комплексно. К таким средствам относят оборудование для криптографической защиты речевой информации, программы для криптографической защиты текстовой или иной информации, программы для обеспечения аутентификации почтовых сообщений посредством электронной цифровой подписи, программы обеспечения антивирусной защиты, программы защиты от сетевых вторжений, программы выявления вторжений, программы для скрытия обратного адреса отправителя электронного письма.
Подобный перечень программно-аппаратных средств, как правило, разрабатывается специалистами в области защиты информации с учётом многих факторов, например характеристики автоматизированной системы, количества пользователей в этой системе, различия уровня доступа этих пользователей и т. д.
Конфиденциальность в законодательстве РФ
Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как «обеспечение доступа к информации только авторизованным пользователям.»
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
 | Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |  |
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Дополнительные сведения о типах конфиденциальной информации
Определение и классификация конфиденциальных элементов, которые находятся под контролем организаций, является первым шагом в области защиты информации. Microsoft 365 предоставляет три способа определения элементов, чтобы их можно было классифицировать:
Типы конфиденциальных сведений — классификаторы на основе шаблонов. Они обнаруживают конфиденциальную информацию, например номера социального обеспечения, кредитной карты или банковских счетов, чтобы идентифицировать конфиденциальные элементы, см. в статьи Определения объектов типа конфиденциальной информации.
Типы конфиденциальной информации используются в
Основные части типа конфиденциальной информации
Каждая сущность типа конфиденциальной информации определяется этими полями:
Дополнительные информацию об уровнях уверенности в этом видео
Пример типа конфиденциальной информации
Номер национального удостоверения (DNI) Аргентины
Формат
Восемь цифр, разделенных точками.
Шаблон
Контрольная сумма
Определение
Политика DLP имеет среднюю уверенность в том, что она обнаруживает этот тип конфиденциальной информации, если в непосредственной близости от 300 символов:
Ключевые слова
Keyword_argentina_national_id
More on confidence levels
В определении объекта типа конфиденциальной информации уровень доверия отражает, сколько подтверждающих данных обнаруживается в дополнение к основному элементу. Чем больше подтверждающих данных содержит элемент, тем выше уверенность в том, что соответствие элементу содержит чувствительную информацию, которую вы ищете. Например, совпадения с высоким уровнем доверия будут содержать больше подтверждающих данных в непосредственной близости от основного элемента, в то время как совпадения с низким уровнем доверия не содержат практически никаких подтверждающих доказательств в непосредственной близости.
Высокий уровень доверия возвращает меньшее количество ложных срабатывай, но может привести к более ложным отрицательным результатам. Низкий или средний уровень уверенности возвращает больше ложных срабатывай, но мало к нулю ложных негативов.
Вы должны использовать шаблоны высокого уровня доверия с низким количеством, скажем, от пяти до десяти, и с низким уровнем доверия с более высокими подсчетами, скажем, 20 или более.
Если у вас есть существующие политики или настраиваемые типы конфиденциальной информации (SITs), определяемые с помощью уровней уверенности на основе номеров (также знаю, как точность), они автоматически будут сопопосаться с тремя дискретными уровнями уверенности; низкая уверенность, средняя уверенность и высокая уверенность в пользовательском интерфейсе Центра обеспечения безопасности и соответствия требованиям.
Создание пользовательских типов конфиденциальной информации
Создать пользовательский тип конфиденциальной информации для защиты от потери данных в Центре безопасности и соответствия требованиям можно с помощью нескольких вариантов:
С помощью пользовательского интерфейса. Вы можете настроить пользовательский тип конфиденциальной информации, используя пользовательский интерфейс Центра безопасности и соответствия требованиям. В этом методе можно использовать регулярные выражения, ключевые слова и словари ключевых слов. Дополнительные сведения см. в статье Создание пользовательского типа конфиденциальной информации.
С помощью EDM. вы можете настроить пользовательские типы конфиденциальной информации с использованием классификации на основе точного совпадения данных (EDM). Этот метод позволяет создать динамический тип конфиденциальной информации с помощью защищенной базы данных, которую можно периодически обновлять. См. сведения о точном совпадении типов конфиденциальнойинформации на основе данных.
С помощью PowerShell. Вы можете настроить пользовательские типы конфиденциальной информации с использованием PowerShell. Хотя этот метод сложнее, чем использование пользовательского интерфейса, он предоставляет дополнительные параметры конфигурации. См. статью Создание пользовательского типа конфиденциальной информации в PowerShell Центра безопасности и соответствия требованиям.
Улучшенные уровни доверия доступны для немедленного использования в области предотвращения потери данных для Microsoft 365, Microsoft Information Protection для Microsoft 365, соответствия требованиям к коммуникациям, управления информацией и управления записями. Microsoft 365 Защита информации теперь поддерживает языки набора символов двойного byte для:
Эта поддержка доступна для конфиденциальных типов информации. Дополнительные сведения см. в статье Заметки о выпуске: поддержка защиты информации для наборов двухбайтовых символов (предварительная версия).
Для выявления шаблонов, содержащих символы китайского или японского языков и однобайтовые символы, или шаблонов, содержащих элементы китайского/японского и английского языков, определите два варианта ключевого слова или регулярного выражения.
Если наряду с символами китайского языка, японского языка или двухбайтовой кодировки в списке ключевых слов и фраз также содержатся не китайские и не японские слова (например, только на английском языке), рекомендуется создать два словаря/списка ключевых слов. Один — для ключевых слов, содержащих символы китайского языка, японского языка или двухбайтовой кодировки, а другой — только для английского языка.
При создании регулярного выражения с использованием двухбайтового дефиса или двухбайтовой точки необходимо исключить оба этих символа точно так же, как из регулярных выражений исключаются дефис и точка. Пример регулярного выражения: