Федеральный закон «О персональных данных» № 152-ФЗ поясняет, что можно считать персональными данными. Исходя из ст. 3 закона, персональные данные – это любые сведение относящиеся (прямо или косвенно) к субъекту персональных данных, то есть физическому лицу.
Согласно закону, получение, обработка, хранение и иные действия с персональными данными физического лица, производятся только с согласия последнего.
При этом лицо, которое занимается обработкой персональных данных, не имеет права разглашать сведения, которые ему предоставляет гражданин. В исключительных случаях допускается передача таких данных, если физическое лицо лично дает на это согласие, либо это предусмотрено действующим законодательством.
Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.
В зависимости от ценности защищаемых сведений, меняются требования. К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей. В случае работы с государственной тайной работник часто не имеет права покидать пределы РФ. Запрет на выезд за границу – один из частных способов защитить ценные сведения от утечки.
Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации:
· возраст;
· должность;
· наличие офицерского звания (для государственной тайны);
· стаж работы в организации.
Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.
Система контроля доступа также учитывает и ценность самих конфиденциальных данных. Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.
Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.
Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.
Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений.
Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.
Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).
Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали. Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение. Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.
Главным нормативным документом, который дает определение разным видам информации и регулирует ее применение, является Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» от 27.06.2006 г. (последняя редакция от 18.03.2019). Согласно ст. 9 этого закона, ограничение доступа к информации устанавливается федеральными законами в целях охраны основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
При этом требования об ограничениях доступа к сведениям разрабатываются и контролируются специальным органом исполнительной власти, на который возлагаются функции по надзору в сфере информационных технологий и массовых коммуникаций.
Законом охраняется также право на нераспространение информации о личной жизни физического лица (гражданина), поскольку такие сведения относятся к категории семейной тайны.
К отдельной категории относится информация, составляющая государственную тайну, поэтому многие служащие перед поступлением на работу подписывают соответствующие документы о неразглашении данных. Охрана такой информации осуществляется согласно закону Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1, по которому к категории государственной тайны относятся сведения по следующим направлениям:
· экономика, наука и техника;
· военная промышленность и вооружение;
· внешняя и внутренняя политика;
· сведения в области разведывательной и контрразведывательной деятельности.
Если говорить о конфиденциальной информации, полный ее перечень изложен в Указе Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». Документ относит к ним следующие виды информации:
1. Персональные данные гражданина.
2. Сведения, которые составляют тайну следствия и судопроизводства.
3. Служебные данные.
4. Информация о сущности изобретения (полезная модель, экспериментальная установка, промышленный образец).
5. Профессиональная тайна.
Важно понимать, что информацию с ограниченным доступом следует хранить особым образом, исключая риск ее попадания к третьим лицам, поскольку это может привести к утечке секретных данных, а также причинить ущерб или вред государству, личности или коммерческой фирме. По этой причине охране информации от хищения, искажения и незаконного распространения уделяют повышенное внимание, используя для этого специальные системы контроля, ограничивающие доступ.