вторник, 23 октября 2018 г.

Все что нужно знать о работе с методическими документами ФСБ по ГосСОПКА



В связи с недавним появлением методических документов ФСБ, касающихся ГосСОПКА и анонсированием их со стороны регулятора на различных конференциях, в тематических информационных группах возникают вопросы, касающиеся ограничений на получение этих документов и установленных на них ограничительных пометок. Кто может получить эти документы и как, на каких условиях, какие ограничения есть на их распространение и информации из них и т.д.? Давайте разбираться.
Освежим для начала в памяти разделение информации по уровню доступа к ней.



В нашем случае мы будем в основном говорить об информации ограниченного доступа, не являющейся государственной тайной.
В качестве источника информации для дальнейшего анализа рассмотрим таблицу ниже, в которой приведен перечень новых методических документов ФСБ. Три из них не имеют ограничительных пометок, два имеют пометку «Конфиденциально» и один «ДСП». При этом все шесть документов отсутствуют в публичном доступе и выдаются коллегами из ФСБ по запросу. Для их получения необходимо направить официальный письменный запрос от организации в адрес 8 Центра ФСБ России на имя начальника Центра. Формально, документы может получить любая организация, в том числе не субъект КИИ, но для отсечения различных «иностранных шпионов» в письме необходимо обосновать целесообразность получения документов. В некоторых случаях регулятор просит приложить копию лицензии на гостайну. Об этом ранее тут уже писал Валерий Комаров по результатам конференции ИНФОБЕРЕГ-2018.
Наименование
Ограничительная пометка (Гриф)
Контролируемое  распространение
1
Требования к подразделениям и должностным лицам субъектов ГосСОПКА
ДСП
+
2
Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ
Конфиденциально
+
3
Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак
Конфиденциально
+
4
Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы РФ
-
+
5
Варианты организации защищенного канала
-
+
6
Регламент взаимодействия подразделений ФСБ РФ и Центров Госсопка при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
-
+
 
Погрузимся теперь в первоисточники и терминологию.
Бытует мнение о том, что у термина Гриф существует всего три значения – «Секретно», «Совершенно секретно» и «Особой важности». Отчасти это так, но только отчасти. Если обратиться к 5485-1-ФЗ "О государственной тайне", то в статье 2 можно увидеть следующее определение:
Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.
А далее в статье 8 устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".
Таким образом, грифов секретности всего три (С, СС, ОВ), но никто и ничто не ограничивает использование термина «Гриф» без приставки «секретности» для обозначения других сущностей. К тому же разные толковые словари говорят нам о том, что Грифом называется в том числе «надпись на документе или издании, определяющая особый порядок использования им, например Г. "для служебного пользования"». Более того, в 98-ФЗ «О Коммерческой тайне» по всему тексту закона используется именно термин «Гриф», а не «Ограничительная пометка». В общем, далее будем использовать термин «Гриф» в качестве синонима термина «Ограничительная пометка».
Пойдем дальше и рассмотрим как регулируются вопросы, связанные с обращением документов с грифами «ДСП» и «Конфиденциально», а также документов без грифов, но распространяемых контролируемо (не публикуемых в общий доступ).
ДСП (Для служебного пользования)
До 2006 года обращение с информацией ограниченного распространения госорганов не составляющих гостайну регулировалось следующими НПА:
  • Гражданский кодекс РФ (139 статья);
  • 1233 Постановление Правительства РФ от 3 ноября 1994 г. "Положение о порядке обращения со служебной информацией ограниченного распространения в ФОИВах, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности (далее обобщенно – ФОИВы и подведы)".
  • 188 Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера".
  • Плюс некоторые ФОИВы выпустили собственные нормативные акты, касающиеся обращения с информацией ограниченного распространения. В их числе ФСТЭК, ФССП и др. А вот ФСБ в их числе нет.
Кроме этого, в 2006 году в Думу был внесен Законопроект № 124871-4 "О служебной тайне", но он так и не был принят и, в ноябре 2011, был снят с рассмотрения Думой.
Зато в 2006 году вышла четвертая часть ГК РФ и новый "трехглавый закон" (149-ФЗ).
Что касается ГК РФ, то ст. 139 утратила силу, в результате коммерческая тайна ушла в четвертую часть ГК РФ, а служебная тайна выпала.
Что касается 149-ФЗ, то в нем исчезло определение конфиденциальной информации, которое было в старом "трехглавом законе" (24-ФЗ) и теперь есть только "информация ограниченного доступа "/"информация ограниченного распространения "/"информация, требующая обеспечения конфиденциальности". При этом в ст. 9 определено, что ограничение доступа к информации должно устанавливаться законами (а не подзаконными актами, к которым в том числе относится 1233-ПП, распространяющийся, в том числе на ФСБ).
Таким образом, с 2006 года служебная тайна (ДСП) выпала из под охраняемой законом тайны. Это в свою очередь формально означает, что все необходимые правила и ограничения, связанные с передачей такой информации во вне и ее защитой (плюс ответственность за нарушения) со стороны получившей ее Организации или гражданина, должны отражаться в договоре между ФОИВом и третье стороной, которой ФОИВ передает информацию. 1233-ПП в данном случае формально действует только на сам ФОИВ и подведомственные ему организации, ограничиваясь только дисциплинарной ответственностью в отношении соответствующих должностных лиц.
И здесь 149-ФЗ разрешает обладателю информации самостоятельно решать такие вопросы:
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
Конфиденциально
Порядок проставления грифов ограничения доступа на документах, содержащих важную для их обладателя информацию, не определен. Законодательством кроме гостайны установлены грифы ограничения доступа к документам, содержащим коммерческую тайну (98-ФЗ) и служебную тайну (1233-ПП). В случаях, когда законодательством не установлена форма грифа ограничения доступа к документам, содержащим информацию ограниченного доступа, собственник или пользователь информации может самостоятельно принимать решения о применении какого-либо грифа. Т.е. при желании в своей организации можно присвоить ЛЮБОЙ гриф или пометку или присвоить каждому уровню конфиденциальности. И написать свою внутреннюю политику на этот счет или иной локальный нормативный акт, регламентирующий работу с такими документами. Нет в законах РФ запрета на подобное. Все что не запрещено - разрешено! Это касается в том числе грифа «Конфиденциально». Не нравится гриф «Конфиденциально» - можно использовать любой из синонимов  (кроме С, СС и ОВ, которые по закону о гостайне можно использовать только для обозначения документов, содержащих сведения, составляющие гостайну). При этом чаще всего используется гриф «Конфиденциально». Он удобен тем, что не раскрывает характера информации, содержащейся в документе.
Гриф «Конфиденциально» на документах в данном случае подразумевает, что организация (в данном случае ФСБ) имеет собственное конфиденциальное делопроизводство с утвержденным локальным нормативным актом (ЛНА) по обработке конфиденциальной информации в организации, отличной от информации ДСП. При этом организация внутри может ограничивать доступ сколько угодно и как угодно: перечни сведений, пометки, инструкции, регламенты. Но когда речь идет о выходе таких документов наружу, тут, как и с информацией ДСП, должен быть соответствующий договор с контрагентом, в котором прописан порядок защиты.
Открытая информация контролируемого распространения
Где-то посередине между общедоступной информацией и информацией ограниченного доступа существует еще пласт информации, которая никак не классифицирована и соответственно содержащие ее документы не имеют грифа, но в то же время она является достаточно чувствительно для ее владельца, чтобы не стать общедоступной. Такая практика есть и в России и в других странах. Если говорить о России, то так, например, было с документом «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА». Документ вроде и открытый, но в то же время в свободном доступе его нет. Правда, на одной из конференций, представители НКЦКИ на своем стенде свободно раздавали CD-диски с этим документом.
В нашем же случае подобные документы – это документы из таблицы выше с номерами 4-6. Правила работы с такими документами отсутствуют и формально нет никаких ограничений на их использование и распространение, но выкладывать эти открытые документы конечно же не стоит, регулятор наверняка не просто так их не выложил в открытый доступ. Вполне возможно, что документы еще будут доработаны и выложены регулятором в открытый доступ, как говориться поживем, увидим.
Вполне возможно, что и указанные чуть выше «Методические рекомендации по созданию…» по этой же причине не выкладывались, только вот время их выкладывания в общий доступ так и не пришло из-за того, что эти рекомендации фактически заменили новые методические документы ФСБ, которые мы сегодня обсуждаем.
Что касается примеров в других странах, то в США, например, на уровне правительства определена информация Sensitive But Unclassified (SBU), являющаяся чувствительной, но не классифицированной. Она хоть и не классифицирована, но требует строгого контроля над ее распространением. Данный тип информации включает в себя в том числе материалы, касающиеся критической инфраструктуры США.
Выводы:
  1. Информация ДСП и информация, содержащаяся в документах с грифом «Конфиденциально», не являются охраняемой законом информацией и поэтому все правила и ограничения по работе с информацией, а также порядок ее защиты должны быть прописаны в договорах с организациями, которым данная информация передается.
  2. Обязанности по обеспечению сохранности информации ДСП несут ФОИВы (в нашем случае ФСБ) и их подведы. А для информации, содержащейся в документах с грифом «Конфиденциально» -  обладатель информации (в нашем случае тоже ФСБ). Кроме того - те, кто принял на себя обязательства по сохранению этой информации (для обоих грифов) на основании договора с ФСБ, в котором должен быть прописан порядок защиты такой информации.
  3. Ответственность за нарушение п.2 может быть дисциплинарная (для организации-обладателя информации) или предусмотренная в договорных обязательствах с остальными организациями (если не предусмотрели, то формально ответственности нет).
  4. Если обязательства и/или ответственность по защите информации (для обоих грифов) не прописаны в договоре, то при работе с соответствующими документами организациям, получившим на руки такие документы, стоит руководствоваться двумя основными общепринятыми принципами:
    1. документ с грифом запрещено цитировать без разрешения автора документа
    2. документ с грифом запрещено передавать третьим лицам (организациям) или выкладывать в общий доступ. Этот же пункт справедлив и для открытой информации контролируемого распространения.
 

Комментариев нет:

Отправить комментарий