ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ПЕРСОНАЛОМ

Понятие и виды конфиденциальной информации

Каждая организация имеет массу различных информационных ресурсов: знания и умения сотрудников, ноу-хау, уникальные технологии, аппаратное и программное обеспечение, базы данных, документацию (в том числе содержащую конфиденциальную информацию). Утечка важной информации причиняет существенный ущерб организации и даже может послужить причиной ее банкротства. Это явление, к сожалению, массовое: по исследованиям специализирующейся на защите от утечек информации компании Scarchinform, в 2015 г. в России больше половины опрошенных компаний (52%) столкнулись с утечками конфиденциальной информации^[1].

За 2015 г. Аналитическим центром InfoWatch зарегистрировано 1505 случаев утечки конфиденциальной информации. Это на 7,8% больше, чем в 2014 г. Основная доля утечки информации приходится на персональные данные и сведения, имеющие потенциальную или действительную коммерческую ценность, — финансовые отчеты, интеллектуальную собственность, бизнес-планы, детали конкретных сделок и пр.

В 2015 г. в 51,2% случаев виновниками утечек информации были настоящие или бывшие сотрудники — 48,9% и 2,3% соответственно. Болес чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджеры, главы отделов и департаментов). Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, выросла на 3,5 и. п., составив 7,6%^[2].

Поэтому обеспечение защиты персональных данных и коммерческой тайны в системе управления персоналом имеет важнейшее практическое значение. При этом применяемые в организации меры безопасности для защиты от рисков утечки информации должны гарантировать конфиденциальность, целостность, своевременную отчетность и контроль доступа. Среди мер безопасности выделяют технические, организационные и управленческие. В свою очередь они обеспечиваются процедурной, физической, системной, коммуникационной и управленческой системами безопасности^[3].

В этой главе мы рассмотрим управленческий аспект обеспечения информационной безопасности.

В организации может обращаться и требовать защиты одновременно несколько видов тайн. Кроме того, конфиденциальную информацию предприятия получают и используют десятки сторонних субъектов.

Правовое определение конфиденциальной информации вытекает из ряда нормативных правовых актов: Конституции РФ, Федерального закона от 27.07.2006 «Об информации, информационных технологиях и о защите информации»^[4], Федерального закона от 29.07.2004 № 98 «О коммерческой тайне»^{[5] [6]}, Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»^[4], Постановления Правительства от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну»^[8] и др.

Информация в целом — это сведения (сообщения, данные) независимо от формы их представления. Вся информация делится на общедоступную и ту, доступ к которой ограничен в соответствии с различными нормативно-правовыми актами. Информация с ограниченным доступом может быть как документированной, так и недокументированной. Документирование информации является обязательным условием включения информации в информационные ресурсы.

Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими се идентифицировать. К недокументированной информации с ограниченным доступом относится семейная и личная тайна, а также тайна голосования и тайна исповеди.

Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и сведения конфиденциального характера.

К конфиденциальной информации, согласно указу Президента, относятся:

• 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
• 2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20.08.2004 № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»^[9] и другими нормативными правовыми актами Российской Федерации.
• 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.).
• 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
• 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

• [1] URL: http://searchinform.ru/main/full-text-search-information-security-product.html
• [2] http://www.infowatch.ru/rcport2013
• [3] Соломанидина Т. О., Соломанидин В. Г. Кадровая безопасностькомпании. М.: Альфа-Пресс, 2011. С. 150-151.
• [4] СЗ РФ. 2006. № 31 (ч. I). Ст. 3448.
• [5] СЗ РФ. 2004. № 32. Ст. 3283.
• [6] СЗ РФ. 1997. № 10. Ст. 1127.
• [7] СЗ РФ. 2006. № 31 (ч. I). Ст. 3448.
• [8] СП РФ. 1992. № 1-2. Ст. 7.
• [9] СЗ РФ. 2004. № 34. Ст. 3534.