О видах конфиденциальной информации

pic
С наступлением информационного этапа развития человечества, стремительного движения вперед информационных технологий, когда практически любая информация сразу же при появлении становится достоянием огромного количества людей, особую значимость приобретают вопросы защиты информации, не предназначенной для широкой огласки и распространения. В настоящей статье делается попытка определения, анализа и классификации видов конфиденциальной информации, закрепленной законодательством Республики Узбекистан.

Основополагающим законодательным актом в этой сфере можно назвать Закон Республики Узбекистан «О принципах и гарантиях свободы информации», где даны определения основных понятий «информация», «информационная сфера», «конфиденциальная информация», «информационная безопасность», «защита информации» и другие.

В соответствии с этими определениями конфиденциальная информация — это документированная информация, доступ к которой ограничивается в соответствии с законодательством. Защита информации — это меры по предотвращению угроз информационной безопасности и устранению их последствий, а информационная безопасность — это состояние защищенности интересов личности, общества и государства в информационной сфере. Информационная сфера, в свою очередь, представляет собой сферу деятельности субъектов, связанную с созданием, обработкой и потреблением информации. [Статья 3. Основные понятия]. В том же законе определено, что «Защите подлежит любая информация, противоправное обращение с которой может причинить ущерб ее собственнику, владельцу, пользователю и иному лицу». [Статья 11. Защита информации].

А так как в информационном веке практически все члены общества в той или иной мере создают, обрабатывают или потребляют информацию, затрагивающую их законные интересы, интересы государства и общества в целом, становится актуальным вопрос: «Какую именно информацию, каким конкретным образом необходимо защищать на рабочем месте и в повседневной жизни?».

В зарубежной научной литературе можно найти несколько попыток классификации конфиденциальной информации, ни одна из которых не получила достаточно широкого признания, что тоже свидетельствует об актуальности данной проблемы.

Например, А. И. Алексенцев (Российская Федерация) предлагает следующие основания разделения информации по видам тайны:

• собственники информации (по отдельным видам они могут частично совпадать)
• области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны
• на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).

В то же время А. А. Фатьянов (Россия) классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

Вместе с тем при этих подходах выпадает такой существенный признак конфиденциальной информации, как причина возникновения или обладания ею как собственника, так и владельца. Хотя такой признак намного облегчил бы установку норм, регулирующих порядок работы и защиты конфиденциальной информации в зависимости от причин ее возникновения. Ведь человек как субъект информации может по-разному отнестись к своей персональной и конфиденциальной информации, которая оказалась известна ему в силу его служебного положения или профессиональных обязанностей.

pic

Также необходимо отметить, что третий признак, предлагаемый А. И. Алексенцевым, практически дублирует первый и является избыточным. Учитывая это и для учета особенностей отечественной нормативно-правовой базы в разрабатываемом подходе к классификации конфиденциальной информации, проведем анализ законодательства страны.

В таблице 1 приведены виды конфиденциальной информации, закрепленные на уровне законов Республики Узбекистан, а в таблице 2 — Гражданским кодексом страны и некоторые нормы законодательства, регулирующие отдельные взаимоотношения по информационной безопасности — такие, как право на защиту информации, права и обязанности собственников и владельцев информации и др.

Отдельное рассмотрение Гражданского кодекса, прежде всего, связано с тем, что общее законодательство, за исключением нескольких норм в отдельных законах, рассматривающих вопросы персональных данных и интересов личности в целом, в основном регулирует два вида взаимоотношений: «юридическое лицо — юридическое лицо» и «юридическое лицо — физическое лицо». Гражданский же кодекс вбирает в себя также взаимоотношения вида «физическое лицо — физическое лицо».

Существует также множество подзаконных нормативно-правовых актов, в том числе ведомственных, уточняющих и определяющих отдельные вопросы взаимоотношений в сфере информационной безопасности.

Анализируя вышеуказанные нормы законодательства и принимая во внимание тенденции развития законодательной базы по различным сферам деятельности, будем выделять следующие признаки классификации конфиденциальной информации:

• собственник (государство, негосударственное юридическое лицо, физическое лицо)
• причина возникновения и обладания (персональная информация, профессиональная и служебная тайна)
• сфера деятельности (банковская, медицинская, военная, коммерческая и т.д. тайна).

О степенях конфиденциальности защищаемой информации можно сказать, что действующими нормативно-правовыми актами установлены категории степеней конфиденциальности только для информации, собственником которой является государство или государственные учреждения и предприятия («особой важности», «совершенно секретно», «секретно» и «для служебного пользования»). Причем эта классификация в основном совпадает как с классификацией, принятой в Российской Федерации и других стран СНГ («особой важности», «совершенно секретно», «секретно»), так и в США и ряде стран-членов НАТО («конфиденциально (confidential»), «секретно (secret)», «совершенно секретно (top secret)»).

pic

Что же касается частных компаний и физических лиц, несмотря на то, что Законом Республики Узбекистан «Об информатизации» определено, что «порядок организации защиты информационных ресурсов и информационных систем, содержащих информацию о государственных секретах и конфиденциальную информацию, определяется Кабинетом Министров Республики Узбекистан», в стране еще не приняты нормативно-правовые акты, регулирующие эти вопросы. Здесь же необходимо отметить и то, что вышеназванный законодательный акт рассматривает вопросы, связанные именно с компьютеризированной обработкой информации, о чем свидетельствуют определения терминов «информационный ресурс» и «информационная система». Следовательно, конфиденциальная информация частных лиц и компаний, при обработке которой не используются средства информатизации, не подпадает под его нормы.

Учитывая это, мы будем рассматривать «степень конфиденциальности» как вспомогательный признак классификации конфиденциальной информации.

В таблице 3 приведены результаты попытки определения признаков классификации, видов соответствующих тому или иному признаку классификации и правила отнесения конфиденциальной информации к тому или иному виду по соответствующим признакам.

В заключение можно сказать, что описанная классификация видов конфиденциальной информации может быть использована как при разработке новых и совершенствовании существующих нормативно-правовых актов в сфере информационной безопасности, так и специалистами-практиками по информационной безопасности при разработке политики безопасности, подготовке и реализации конкретных мероприятий по обеспечению информационной безопасности, а также частными лицами.

Таблица 1

pic
pic
pic
pic

Таблица 2

pic

Таблица 3

pic

Orphus system