Конфиденциальная информация: виды, суть понятия и способы защиты от утечки

Информация – это знания и сведения, которые могут передаваться, храниться, преобразовываться и использоваться. Существует два типа информации: общедоступная и конфиденциальная.

Передача или использование закрытой информации может навредить предприятию, человеку или даже государству. Чтобы суметь защитить ценные данные, нужно знать, что такое конфиденциальность и что именно является конфиденциальной информацией. 

Что такое конфиденциальность?

Конфиденциальность данных – это необходимость защиты от утечки информации, которая ограничена по доступу и представляет ценность для правообладателя. Понятие применимо во многих сферах, например, в медицинских учреждениях доступ к записям о пациентах имеет ограниченный круг лиц.

Нежелание столкнуться с утечкой информации понятно, поэтому конфиденциальная информация защищается на законодательном уровне. Например, регулируют конфиденциальность: Конституция РФ, федеральные законы, законы субъектов РФ, нормативные акты.

Что такое конфиденциальная информация?

Что понимается под конфиденциальной информацией? Ограниченные по доступу сведения, утечку которых предотвращает конфиденциальность – это конфиденциальная информация. К таким сведениям принято относить, например, личные данные сотрудников, клиентов, партнеров или исключительное право компании на секреты производства – коммерческую тайну.

Обеспечение безопасности конфиденциальных данных – важная задача для любой организации. Компания, не сумевшая защитить конфиденциальную информацию, в будущем может не только потерять доверие сотрудников и клиентов, но и понести материальные и репутационные убытки. В организацию с плохой репутацией не захотят устраиваться новые работники, увеличивается риск закрытия предприятия.

Какая информация не может быть конфиденциальной? 

К конфиденциальным данным о предприятии не может относиться информация, которую можно получить из общедоступных документов организации.

Информация об организации, которая не будет являться конфиденциальной по ст. 5 Федерального закона от 29.07.2004 №98-ФЗ «О коммерческой тайне»:

• об имуществе предприятия;
• о состоянии безопасного функционирования объектов на производстве и безопасности граждан;
• о кадровой политике (к примеру, о численности сотрудников) и об удержании зарплаты или выплат работникам;
• о факте привлечения к ответственности из-за нарушения законов;
• данные учредительных документов;
• сведения из лицензии на осуществление предпринимательской деятельности;
• информация о доходах (размере, структуре) некоммерческих организаций.

Виды конфиденциальной информации

Информация, которая подлежит защите, есть в каждой компании вне зависимости от сферы деятельности. Соответственно существует немало видов конфиденциальных данных, их классифицируют в том числе по масштабности и областям.

Рассмотрим основные виды конфиденциальных данных, перечисленных в тексте Указа Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»:

• Персональные данные.

К личным данным принято относить сведения о частной жизни человека, позволяющие определить его личность. Если человек не давал разрешения на огласку, например, даты рождения или образования, такие сведения распространять запрещается.

• Судебная тайна и тайна уголовного судопроизводства.

Сведения о ведении следствия и судопроизводстве являются конфиденциальными, как и информация о судье, потерпевшем, свидетеле и других участниках процесса. Сами участники тоже не вправе разглашать информацию об уголовном процессе, для чего составляется расписка о неразглашении. 

• Служебная тайна.

Это конфиденциальные данные о деятельности органов власти (государственных, региональных или муниципальных). Подобные сведения становятся известны гражданину в процессе его работы на должности госслужащего или другого работника органов власти. Особенность в том, что именно государственный орган является носителем информации.

• Профессиональная тайна.

Конфиденциальными в подобном случае также являются данные, полученные сотрудником во время работы. У этого вида тайны есть много подвидов, связанных напрямую с областью деятельности: адвокатская, врачебная, нотариальная, банковская, журналистская тайны, тайна связи. Нарушает профессиональную тайну, например, журналист, который в своей статье указал персональные данные источника без его разрешения.

• Коммерческая тайна.

Включает в себя ценные для компании сведения о ведении бизнеса, не доступные третьим лицам. К подобным данным, к примеру, может относиться уникальная технология производства, при раскрытии которой организация потеряет конкурентоспособность и прибыль.

К этому виду конфиденциальных данных относится все, что позволяет обладателю получить коммерческую выгоду (сведения о клиентах, контрагентах, о планах компании, идеях развития, о финансах и прочее). Важно подписывать соглашение о неразглашении с сотрудниками, чтобы не допустить утечки информации, относящейся к коммерческой тайне.

• Государственная тайна.

Данные государственной важности, получение и передача которых могут нанести ущерб безопасности целого государства, являются государственной тайной. Она включает в себя информацию из множества разных областей: политической, военной, разведывательной, экономической и научной. За распространение данных гостайны предусмотрена уголовная ответственность ( по ст. 283 УК РФ).

Конфиденциальные сведения – это объединение множества видов и подвидов закрытой информации, которые защищаются на законодательном уровне. Но на этом инструменты охраны конфиденциальных данных не заканчиваются.

Способы защиты конфиденциальных данных

Защита конфиденциальных сведений направлена на поддержание безопасности данных от воздействия извне. 

Меры защиты конфиденциальных данных можно разделить на три уровня (согласно ст. 16 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»):

• Правовой уровень.

Законы, указы, нормативные акты ложатся в основу других уровней охраны данных и создания системы информационной безопасности в компаниях. Законы дают рекомендации и регламентируют обращение с конфиденциальными сведениями.

• Организационный уровень.

Внутри организации разрабатываются регламенты работы с ценной информацией.

К некоторым из мер организационного уровня защиты относится:

– подготовка политики, инструкций по информационной безопасности;

– разработка регламентов допуска работников к конфиденциальной информации и подписание сотрудниками соглашения о неразглашении;

– проведение обучений и инструктажей об информационной безопасности;

– определение ответственности за нарушение конфиденциальности.

Проще говоря, организационный уровень обеспечивает безопасность с помощью внутренних документов, которые регулируют вопросы обращения с конфиденциальной информацией в компании.

• Технический уровень.

Регламенты работы с конфиденциальной информацией, разработанные на организационном уровне, чаще всего внедряются с помощью технической защиты.

Для обеспечения безопасности на техническом уровне используются следующие средства защиты:

– программные: используется специальный софт или встроенные функции безопасности (антивирус, программы шифрования данных).

– аппаратные: физические устройства (токены, шифраторы, блокираторы), защищающие носители информации и обеспечивающие безопасную передачу сведений;

– инженерно-технические: предназначены для защиты помещений и оборудования от распространения закрытой информации (сигнализация, видеонаблюдение, звукоизоляция);

– математические (криптографические): внедрение стенографических способов защиты для безопасности передачи данных в сети (криптопровайдеры, VPN, электронная цифровая подпись).

Федеральный закон устанавливает наличие трех уровней защиты конфиденциальных данных, но  в некоторых источниках можно встретить упоминание и четвертого уровня. 

• Морально-этические средства защиты. 

Подразумевают, что конфиденциальные сведения защищаются благодаря моральным нормам и этическим правилам. Эффективность у такой меры обеспечения безопасности небольшая: слишком многое зависит от случая и благонадежности сотрудника.

Убедиться еще на этапе подбора в благонадежности кандидата можно с помощью автоматизированного сервиса по проверке персонала от компании SpectrumData.

Сервис помогает сгруппировать информацию как о правовой, так и о финансовой благонадежности кандидата. 

За 3 минуты вы получите отчет с различными сведениями и узнаете об отсутствии/наличии у соискателя связей с другими компаниями, о задолженностях, судимости и так далее. 

От тщательного подбора персонала зависит эффективность компании. Важно со всех сторон изучить сотрудника, которому будет доверена конфиденциальная информация, потому что от этого может зависеть безопасность и репутация бизнеса.

Ответственность за нарушение конфиденциальности данных

Если конфиденциальность данных нарушена, лицо может обратиться в суд. Физическое или юридическое лицо могут рассчитывать на защиту прав, репутации, чести, моральную компенсацию, возмещение убытков ( ч. 2 ст. 17 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).

В делах о нарушении конфиденциальности сведений чаще упоминаются персональные данные, государственная, служебная и коммерческая тайны. В зависимости от серьезности причиненного ущерба и важности использованной конфиденциальной информации, назначается соответствующая мера наказания.

• Дисциплинарная ответственность наступает, например, при разглашении сотрудником персональных данных коллеги. В таком случае руководство компании применяет к сотруднику дисциплинарное взыскание в виде замечания, выговора или, только в крайнем случае, увольняет провинившегося согласно п. 6 ст. 81 ТК РФ.
• Административная ответственность накладывается в случае, когда, например, оператор обрабатывает персональные данные клиентов без их согласия. По статье 13.14 КоАП РФ выставляется административный штраф физическому лицу в размере от 5 до 10 тыс. рублей, должностному – от 40 до 50 тыс. рублей, а юридическому – от 100 до 200 тыс. рублей.
• Гражданско-правовая ответственность наступает в случае, если нарушили исключительное право компании на секрет производства. Виновнику придется возместить ущерб в полном размере, если доказана его вина ( согласно ст. 1472 ГК РФ).
• Уголовная ответственность касается незаконного получения и разглашения коммерческой, налоговой или банковской тайн. Например, сбор сведений об этих тайнах неправомерным способом наказывается штрафом до 500 тыс. рублей либо лишением свободы до двух лет по ч. 1 ст. 183 УК РФ.

Часто задаваемые вопросы

Что такое конфиденциальная информация простыми словами?

Простыми словами конфиденциальные данные – это защищенные законом сведения тайного характера, которые нельзя показать публично. В первую очередь, к конфиденциальной информации принято относить личные данные людей, государственную и коммерческую тайны. За нарушение конфиденциальности можно привлечь к ответственности вплоть до уголовной в зависимости от важности использованной информации.

Являются ли персональные данные конфиденциальными?

К персональным данным относится ФИО, место проживания, образование и прочие личные сведения. Неправомерное получение и использование данных о частной жизни нарушает права человека, если их распространили без разрешения (ст. 137 УК РФ). Следовательно, конфиденциальными персональные данные являются до тех пор, пока на их обработку не будет дано разрешение самого человека.

Что запрещено относить к конфиденциальной информации?

Относить к конфиденциальной информации ( согласно ст. 8 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации») запрещено:

• нормативные акты, которые отвечают за правовой статус органов власти и затрагивающие права и свободы гражданина;
• состояние экологии;
• деятельность органов власти и использование бюджетных ресурсов;
• архивы с открытым доступом;
• информацию, хранящуюся в открытых библиотеках, музеях, специальных информационных системах, созданных для обеспечения граждан этими сведениями.

Автор: Дилара Ильясова