В связи с
недавним появлением методических документов ФСБ, касающихся ГосСОПКА и
анонсированием их со стороны регулятора на различных конференциях, в
тематических информационных группах возникают вопросы, касающиеся ограничений
на получение этих документов и установленных на них ограничительных пометок.
Кто может получить эти документы и как, на каких условиях, какие ограничения
есть на их распространение и информации из них и т.д.? Давайте разбираться.
Освежим для
начала в памяти разделение информации по уровню доступа к ней.
В нашем
случае мы будем в основном говорить об информации ограниченного доступа, не являющейся
государственной тайной.
В
качестве источника информации для дальнейшего анализа рассмотрим таблицу ниже,
в которой приведен перечень новых методических документов ФСБ. Три из них не
имеют ограничительных пометок, два имеют пометку «Конфиденциально» и один «ДСП».
При этом все шесть документов отсутствуют в публичном доступе и выдаются
коллегами из ФСБ по запросу. Для их получения необходимо направить официальный
письменный запрос от организации в адрес 8 Центра ФСБ России на имя начальника
Центра. Формально, документы может получить любая организация, в том числе не
субъект КИИ, но для отсечения различных «иностранных шпионов» в письме
необходимо обосновать целесообразность получения документов. В некоторых
случаях регулятор просит приложить копию лицензии на гостайну. Об этом ранее тут уже писал Валерий
Комаров по результатам конференции ИНФОБЕРЕГ-2018.
№
|
Наименование
|
Ограничительная
пометка (Гриф)
|
Контролируемое
распространение
|
1
|
Требования
к подразделениям и должностным лицам субъектов ГосСОПКА
|
ДСП
|
+
|
2
|
Методические
рекомендации по установлению причин и ликвидации последствий компьютерных
инцидентов, связанных с функционированием информационных ресурсов РФ
|
Конфиденциально
|
+
|
3
|
Методические
рекомендации по проведению мероприятий по оценке степени защищенности от
компьютерных атак
|
Конфиденциально
|
+
|
4
|
Методические
рекомендации по обнаружению компьютерных атак на информационные ресурсы РФ
|
-
|
+
|
5
|
Варианты
организации защищенного канала
|
-
|
+
|
6
|
Регламент
взаимодействия подразделений ФСБ РФ и Центров Госсопка при осуществлении
информационного обмена в области обнаружения, предупреждения и ликвидации последствий
компьютерных атак
|
-
|
+
|
Погрузимся
теперь в первоисточники и терминологию.
Бытует
мнение о том, что у термина Гриф существует всего три значения – «Секретно»,
«Совершенно секретно» и «Особой важности». Отчасти это так, но только отчасти.
Если обратиться к 5485-1-ФЗ "О государственной тайне", то в статье 2 можно
увидеть следующее определение:
Гриф секретности - реквизиты, свидетельствующие о степени
секретности сведений, содержащихся в их носителе, проставляемые на самом
носителе и (или) в сопроводительной документации на него.
А далее в
статье 8 устанавливаются три степени
секретности сведений, составляющих государственную тайну, и соответствующие
этим степеням грифы секретности для носителей указанных сведений: "особой
важности", "совершенно секретно" и "секретно".
Таким
образом, грифов секретности всего три (С, СС, ОВ), но никто и ничто не
ограничивает использование термина «Гриф» без приставки «секретности» для
обозначения других сущностей. К тому же разные толковые словари говорят нам о
том, что Грифом называется в том числе «надпись на документе или издании,
определяющая особый порядок использования им, например Г. "для служебного
пользования"». Более того, в 98-ФЗ «О Коммерческой тайне» по всему тексту
закона используется именно термин «Гриф», а не «Ограничительная пометка». В
общем, далее будем использовать термин «Гриф» в качестве синонима термина
«Ограничительная пометка».
Пойдем
дальше и рассмотрим как регулируются вопросы, связанные с обращением документов
с грифами «ДСП» и «Конфиденциально», а также документов без грифов, но
распространяемых контролируемо (не публикуемых в общий доступ).
ДСП (Для служебного пользования)
До 2006
года обращение с информацией ограниченного распространения госорганов не
составляющих гостайну регулировалось следующими НПА:
- Гражданский кодекс РФ (139 статья);
- 1233 Постановление Правительства РФ от 3 ноября 1994 г. "Положение о порядке обращения со служебной информацией ограниченного распространения в ФОИВах, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности (далее обобщенно – ФОИВы и подведы)".
- 188 Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".
- Плюс некоторые ФОИВы выпустили собственные нормативные акты, касающиеся обращения с информацией ограниченного распространения. В их числе ФСТЭК, ФССП и др. А вот ФСБ в их числе нет.
Кроме
этого, в 2006 году в Думу был внесен Законопроект № 124871-4 "О служебной
тайне", но он так и не был
принят и, в ноябре 2011, был снят с рассмотрения Думой.
Зато в
2006 году вышла четвертая часть ГК РФ и новый "трехглавый закон" (149-ФЗ).
Что
касается ГК РФ, то ст. 139 утратила силу, в результате коммерческая тайна ушла
в четвертую часть ГК РФ, а служебная тайна выпала.
Что
касается 149-ФЗ, то в нем исчезло определение конфиденциальной информации,
которое было в старом "трехглавом законе" (24-ФЗ) и теперь есть
только "информация ограниченного доступа "/"информация
ограниченного распространения "/"информация, требующая обеспечения
конфиденциальности". При этом в ст. 9 определено, что ограничение доступа
к информации должно устанавливаться законами (а не подзаконными актами, к
которым в том числе относится 1233-ПП, распространяющийся, в том числе на ФСБ).
Таким
образом, с 2006 года служебная тайна (ДСП) выпала из под охраняемой законом тайны.
Это в свою очередь формально означает, что все необходимые правила и ограничения,
связанные с передачей такой информации во вне и ее защитой (плюс
ответственность за нарушения) со стороны получившей ее Организации или
гражданина, должны отражаться в договоре между ФОИВом и третье стороной, которой
ФОИВ передает информацию. 1233-ПП в данном случае формально действует только на
сам ФОИВ и подведомственные ему организации, ограничиваясь только
дисциплинарной ответственностью в отношении соответствующих должностных лиц.
И здесь 149-ФЗ
разрешает обладателю информации самостоятельно решать такие вопросы:
3.
Обладатель информации, если иное не предусмотрено федеральными законами,
вправе:
1)
разрешать или ограничивать доступ к информации, определять порядок и условия
такого доступа;
Конфиденциально
Порядок проставления
грифов ограничения доступа на документах, содержащих важную для их обладателя
информацию, не определен. Законодательством кроме гостайны установлены грифы
ограничения доступа к документам, содержащим коммерческую тайну (98-ФЗ) и служебную
тайну (1233-ПП). В случаях, когда законодательством не установлена форма грифа
ограничения доступа к документам, содержащим информацию ограниченного доступа,
собственник или пользователь информации может самостоятельно принимать решения
о применении какого-либо грифа. Т.е. при желании в своей организации можно
присвоить ЛЮБОЙ гриф или пометку или присвоить каждому уровню
конфиденциальности. И написать свою внутреннюю политику на этот счет или иной локальный
нормативный акт, регламентирующий работу с такими документами. Нет в законах РФ
запрета на подобное. Все что не запрещено - разрешено! Это касается в том числе
грифа «Конфиденциально». Не нравится гриф «Конфиденциально» - можно
использовать любой из синонимов (кроме
С, СС и ОВ, которые по закону о гостайне можно использовать только для
обозначения документов, содержащих сведения, составляющие гостайну). При этом
чаще всего используется гриф «Конфиденциально». Он удобен тем, что не
раскрывает характера информации, содержащейся в документе.
Гриф «Конфиденциально» на
документах в данном случае подразумевает, что организация (в данном случае ФСБ)
имеет собственное конфиденциальное делопроизводство с утвержденным локальным
нормативным актом (ЛНА) по обработке конфиденциальной информации в организации,
отличной от информации ДСП. При этом организация внутри может ограничивать
доступ сколько угодно и как угодно: перечни сведений, пометки, инструкции,
регламенты. Но когда речь идет о выходе таких документов наружу, тут, как и с
информацией ДСП, должен быть соответствующий договор с контрагентом, в котором
прописан порядок защиты.
Открытая информация
контролируемого распространения
Где-то посередине между общедоступной информацией и
информацией ограниченного доступа существует еще пласт информации, которая
никак не классифицирована и соответственно содержащие ее документы не имеют
грифа, но в то же время она является достаточно чувствительно для ее владельца,
чтобы не стать общедоступной. Такая практика есть и в России и в других
странах. Если говорить о России, то так, например, было с документом «Методические
рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА».
Документ вроде и открытый, но в то же время в свободном доступе его нет. Правда,
на одной из конференций, представители НКЦКИ на своем стенде свободно раздавали
CD-диски с
этим документом.
В нашем же случае подобные документы – это документы
из таблицы выше с номерами 4-6. Правила работы с такими документами отсутствуют
и формально нет никаких ограничений на их использование и распространение, но выкладывать
эти открытые документы конечно же не стоит, регулятор наверняка не просто так
их не выложил в открытый доступ. Вполне возможно, что документы еще будут
доработаны и выложены регулятором в открытый доступ, как говориться поживем,
увидим.
Вполне возможно, что и указанные чуть выше «Методические
рекомендации по созданию…» по этой же причине не выкладывались, только вот
время их выкладывания в общий доступ так и не пришло из-за того, что эти
рекомендации фактически заменили новые методические документы ФСБ, которые мы
сегодня обсуждаем.
Что касается примеров в других странах, то в США,
например, на уровне правительства определена информация Sensitive But
Unclassified (SBU), являющаяся чувствительной, но не классифицированной. Она хоть
и не классифицирована, но требует строгого контроля над ее распространением. Данный
тип информации включает в себя в том числе материалы, касающиеся критической
инфраструктуры США.
Выводы:
- Информация ДСП и информация, содержащаяся в документах с грифом «Конфиденциально», не являются охраняемой законом информацией и поэтому все правила и ограничения по работе с информацией, а также порядок ее защиты должны быть прописаны в договорах с организациями, которым данная информация передается.
- Обязанности по обеспечению сохранности информации ДСП несут ФОИВы (в нашем случае ФСБ) и их подведы. А для информации, содержащейся в документах с грифом «Конфиденциально» - обладатель информации (в нашем случае тоже ФСБ). Кроме того - те, кто принял на себя обязательства по сохранению этой информации (для обоих грифов) на основании договора с ФСБ, в котором должен быть прописан порядок защиты такой информации.
- Ответственность за нарушение п.2 может быть дисциплинарная (для организации-обладателя информации) или предусмотренная в договорных обязательствах с остальными организациями (если не предусмотрели, то формально ответственности нет).
- Если обязательства и/или ответственность по защите информации (для обоих грифов) не прописаны в договоре, то при работе с соответствующими документами организациям, получившим на руки такие документы, стоит руководствоваться двумя основными общепринятыми принципами:
- документ с грифом запрещено цитировать без разрешения автора документа
- документ с грифом запрещено передавать третьим лицам (организациям) или выкладывать в общий доступ. Этот же пункт справедлив и для открытой информации контролируемого распространения.
