Правовое регулирование защиты информации в РФ

Согласно ФЗ "Об информации, информационных технологиях и о защите информации" (далее 149-ФЗ) информация – это сведения (сообщения, данные) независимо от формы их представления.

Это значит, что информация – не только документы, но и, например, данные о переговорах, устная информация или переписка.

Как сказано в законе, информация может являться объектом публичных, гражданских и иных правовых отношений. По сути, сам закон признает важность информации как отдельного объекта и регулирует правовой режим работы с этим активом и его защиты.

Применительно к информации закон установил и принципы работы с ней:

• Свобода поиска, получения, передачи, производства и распространения информации любым законным способом. Подразумевается, что каждый может свободно искать и получать информацию (конечно, не прибегая к незаконным методам).
• Установление ограничений доступа к информации только федеральными законами. Таким образом, запрет на получение информации может установить только закон. Как правило, это делается применительно к важным объектам, таким как медицинские данные или банковская информация.
• Открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами. Так как деятельность органов управления должна быть прозрачной, то любой гражданин может получить информацию о ходе конкретной работы, ссылаясь на этот принцип.
• Достоверность информации и своевременность ее предоставления.
• Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Данный принцип может быть ограничен только в случае, установленном законом. Так, в настоящее время рассматривается закон, по которому правоохранительные органы смогут получать данные о переписке в соцсетях, а владельцы сайтов должны хранить переписку в течение 6 месяцев. Эта норма вводится в общем пакете так называемых "антитерроистических поправок" и направлена на защиту безопасности страны.

Этими принципами следует руководствоваться при работе с информацией (и не нарушать их при выстраивании системы защиты). Более того, это не просто общие принципы, которые не отражаются на практической деятельности. Ими можно и нужно оперировать в случае спорных ситуаций.

Например, если участник общества хочет получить информацию о деятельности компании, а компания такую информацию не предоставляет, участник может ссылаться не только на закон об ООО, но и на принципы работы с информацией и невозможность ограничения доступа.

Или, скажем, вы разрабатываете проект и не знаете, можно ли использовать тут или иную информацию. В этом случае вы можете ссылаться на указанные принципы, соотнося их со специальными законами применительно к видам информации, c которыми вы работаете.

Передача и распространение информации

В части 1 ст. 5 149-ФЗ предусмотрено, что информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, но при условии, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Таким образом, законодатель разделяет всю информацию на несколько видов в зависимости от режима обращения с ней:

• Свободно распространяемая (это значит, что информация не имеет коммерческой ценности и не имеет ограничений в обращении).
• Предоставляемая по соглашению лиц, участвующих в соответствующих отношениях (например, информация составляющая коммерческую тайну, персональные данные). Как правило, такая информация появляется при взаимоотношении между контрагентами.
• Информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению (т.е. информация, к которой нельзя ограничить доступ, например информация которая не может быть отнесена к коммерческой тайне согласно постановлению правительства РСФСР от 05.12.1991 № 35 (ред. от 03.10.2002) "О перечне сведений, которые не могут составлять коммерческую тайну").
• Информация, распространение которой в Российской Федерации ограничивается или запрещается (например, сведения, составляющие государственную тайну).

Исходя из подобного деления, часть информации имеет ограниченный доступ к ней третьих лиц и нуждается в особой защите (например, персональные данные или коммерческая и служебная тайна).

Защита информации

Порядок защиты предусматривается в зависимости от конкретного вида информации специальным законом.

Так, для персональных данных принят 152-ФЗ "О персональных данных", который предусматривает необходимые минимальные организационные и технические меры для защиты. В подзаконных актах описываются документы, которые должны быть приняты в организации для защиты персональных данных, и регламентируется порядок сбора и обработки информации.

Аналогичный закон регулирует коммерческую тайну и ее защиту.

При этом есть общие принципы защиты информации, которые установлены 149-ФЗ и должны распространяться на все виды информации.

Комплекс мер защиты, который предусматривает закон, включает в себя:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

По сути, вне зависимости от того, с какой информацией мы работаем (если она важна для компании), необходимо:

• Определить место хранения информации. Это можно закрепить приказом по компании, указав, где хранится информация и как осуществляется доступ к ней. Например, приказ по хранению учредительных документов может выглядеть, как показано в приложении.
• Определить круг лиц, которые имеют доступ к такой информации. Целесообразно вести учет лиц, которые получают доступ, чтобы в случае спорных ситуаций иметь на руках доказательства.
• Предоставлять доступ к информации лицам, которые имеют на это право.

Нужно отметить, что порядок защиты информации во всех нормативных актах прописан рамочно, что позволяет компаниям самостоятельно детализировать все процедуры по защите на уровне локальных актов.

Такая детализация необходима в случае, когда нам важно не только формально защитить информацию, но и иметь возможность отстаивать свои права на информацию в суде, а значит, доказывать применение всех необходимых мер по защите информации.

Не стоит игнорировать эту возможность – это позволит вам защитить от контрагентов и третьих лиц важную информацию.