Закон о неразглашении

Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию

Закон о неразглашении

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы Mail.ru Cloud Solutions находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Источник: https://mcs.mail.ru/blog/zakonodatelstvo-ob-informatsionnoy-bezopasnosti

Силовики получат широкую неизвестность

Закон о неразглашении

Госдума во вторник приняла в первом чтении законопроект, позволяющий скрывать персональные данные, в том числе сведения об имуществе, судей, силовиков, сотрудников контролирующих органов и близких им людей даже при отсутствии угрозы их жизни и здоровью. Единороссы подчеркнули актуальность этой инициативы, а коммунисты выразили опасение, что она «закроет рот» авторам антикоррупционных расследований.

Законопроект с поправками к закону «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» был внесен 8 декабря депутатами во главе с председателем комитета Госдумы по безопасности Василием Пискаревым («Единая Россия»). Под действие закона подпадают судьи, прокуроры, полицейские, сотрудники ФСБ, ФСИН, ФССП и ФСО, ряд категорий военных и росгвардейцев, а также работники контрольных органов, Счетной палаты, таможенники, налоговики и антимонопольщики.

Сейчас госзащита предоставляется «при наличии угрозы посягательства на жизнь, здоровье и имущество указанных лиц в связи с их служебной деятельностью», и для обеспечения их безопасности возможен «временный запрет на выдачу персональных данных» защищаемых лиц, хранящихся в любых реестрах.

  • Авторы уточняют, что засекречивание персональных данных может применяться даже при отсутствии угрозы, а также может касаться сведений об имуществе.
  • Исключения могут быть сделаны при расследовании уголовного дела или для исполнения требований антикоррупционного законодательства.

Один из авторов инициативы, единоросс Дмитрий Вяткин, представляя законопроект депутатам, сразу заявил о его актуальности: по его словам, есть примеры, когда эта информация собирается не только гражданами страны, но и «зарубежными организациями с целью выявления лиц, которые занимаются выполнением особых государственных задач». «Это может быть информация, содержащаяся в системах Пенсионного фонда, Росреестра, обязательного медицинского страхования, ГИБДД, ФССП, налоговая информация»,— перечислил он.

Напомним, накануне оппозиционер Алексей Навальный опубликовал на своем сайте пост, в котором назвал имена тех, кто якобы пытался его отравить.

По его словам, к предполагаемому отравлению причастны восемь сотрудников с медицинским и химическим образованием из секретного подразделения, действующего под прикрытием Института криминалистики ФСБ.

К такому выводу пришел отдел расследований ФБК совместно с Bellingcat, The Insider и CNN при участии Der Spiegel.

«Неужели все на свете должны знать все о тех людях, которые служат в ФСБ, ГРУ или СВР? Конечно же, нет»,— продолжил защищать инициативу член комитета по безопасности единоросс Анатолий Выборный.

Депутаты от оппозиционных фракций были с ним не совсем согласны. Игорь Моляков («Справедливая Россия») поинтересовался у авторов, чем в вопросе защиты персональных данных сельский механизатор отличается от лейтенанта ФСБ. Господин Выборный на это ответил, что вопрос «не по существу».

Веру Ганзю (КПРФ) волновала перспектива, что из-за сокрытия сведений об имуществе «в очередной раз может получиться, что в каком-то гараже опять найдем складированные деньги в миллиардах рублей». «Купюры в гаражах не декларируются и в базы данных не заносятся»,— заверил коллегу господин Вяткин.

Он напомнил, как «во время массовых беспорядков в Москве один из блогеров призывал к актам насилия в отношении детей сотрудников правоохранительных органов и понес уголовную ответственность» (Владислав Синица в сентябре 2019 года был приговорен к пяти годам заключения по ч. 2 ст.

 282 УК РФ за возбуждение ненависти или вражды).

Отвечая на вопрос коммуниста Алексея Куринного о том, как много людей затрагивает этот законопроект, Дмитрий Вяткин сообщил лишь, что «за последнее время были выявлены реальные угрозы в отношении почти 300 сотрудников ФСБ и членов их семей».

Николай Коломейцев (КПРФ) спросил авторов, не кажется ли им, что своей инициативой они «закрывают рот остаткам смелых журналистов, которые выявляют высокопоставленных коррупционеров».

Господину Вяткину, как выяснилось, так не кажется, поскольку «проверки соблюдения антикоррупционного законодательства проводятся не журналистами, а в установленном законом порядке».

В итоге за принятие законопроекта в первом чтении проали 314 депутатов (во фракции «Единой России» сейчас 336 человек) при необходимом минимуме 226 , против был один и еще четверо воздержались.

Мария Макутина

Госдума приняла 15 декабря во втором чтении законопроект о наказании чиновников за хамство в отношении граждан. Его внесли еще в мае секретарь генсовета «Единой России», сенатор Андрей Турчак и глава комитета Госдумы по информационной политике Александр Хинштейн, предложившие изменить ст. 5.61 («Оскорбление») Кодекса об административных правонарушениях (КоАП).

Часть поправок касается всех нарушителей. Так, согласно законопроекту, оскорбление может быть выражено не только в неприличной, как в действующей редакции, но и в иной «противоречащей общепринятым нормам морали и нравственности форме», а также совершено публично с использованием интернета или в отношении нескольких лиц, «в том числе индивидуально неопределенных».

За такое нарушение штраф для граждан составит от 5 до 10 тыс. руб. При обсуждении законопроекта на пленарном заседании депутат от КПРФ Алексей Куринный отметил, что понятие «общепринятых норм морали» в законодательстве не закреплено. В ответ единоросс Виктор Пинский сообщил, что профильный комитет решил не ограничиваться каким-то определенным списком форм оскорблений.

Государственным и муниципальным служащим посвящены две новые части этой статьи. Оскорбление, совершенное такими лицами «в связи с осуществлением своих полномочий», будет караться штрафом в размере от 50 до 100 тыс. руб., а при повторном правонарушении — от 100 до 150 тыс. руб. Другим вариантом наказания является дисквалификация на срок до одного года, а при повторном случае — до двух лет.

Также ко второму чтению единоросс Дмитрий Вяткин дополнил КоАП новой статьей о наказании за клевету юридических лиц, которых нельзя привлечь по аналогичной статье Уголовного кодекса.

За распространение заведомо ложных сведений, порочащих честь и достоинство другого лица, им будет грозить штраф от 500 тыс. до 3 млн руб.

16 декабря Госдума планирует принять законопроект в окончательном третьем чтении.

Источник: https://www.kommersant.ru/doc/4615747

Ответственность за разглашение персональных данных по 137 УК РФ

Закон о неразглашении

Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность. Сущность юридического понятия персональных данных, необходимость законной защиты конфиденциальности частной жизни человека, ответственность за разглашение персональных данных — все эти вопросы рассмотрены в нашей статье.

Виды ответственности за разглашение персональных данных

Каждый человек наделен Конституцией РФ правом на сохранение тайны частной жизни (ст. 23). Защита этого права обеспечивается путем выполнения положений ст. 24 Конституции, декларирующей, что сбор и распространение сведений о личной, семейной жизни человека без его согласия незаконны.

Смысл юридического термина «персональные данные» сформулирован в законе «О персональных данных» от 27.07.2006 № 152-ФЗ. Это любая информация о различных данных, прямо или косвенно относящаяся к физическому лицу. При этом информация может касаться как определенного физического лица, так и того, кого пытаются определить.

Подробнее о том, что такое персональные данные, мы рассказали здесь.

Пример

Есть физическое лицо — Иванов Иван Иванович. Очевидно, что указанные личные данные не позволят однозначно установить определенного человека, ведь лиц с такими «параметрами» наверняка очень много. Тем не менее Ф. И. О. — это персональные данные известного нам физического лица.

Информация же «Иванов Иван Иванович, паспорт 45 08 № 123456» позволяет идентифицировать (определить) конкретного человека — выбрать из многочисленной группы одного с точной характеристикой.

Персональные данные включают Ф. И. О., реквизиты удостоверения личности, место и дату рождения, адрес, образование, семейное, имущественное положение, номер страхового свидетельства и другую подобную информацию, относящуюся исключительно к конкретному человеку.

Кадровая служба работодателя в силу своих функций занимается сбором документов работников, формированием их личных дел в целях установленного порядка кадрового учета.

Личное дело сотрудника содержит сведения о семейной, личной жизни, должности и сумме вознаграждения за труд, удостоверении личности и пр.

Документарный состав личных дел — это персональные данные сотрудников, и наниматель, следуя положениям законодательства, обязан обеспечить их защиту (ст. 18.1 закона № 152-ФЗ).

Что будет, если не получить согласие на обработку и использование персональных данных, читайте здесь.

А здесь вы найдете образец такого согласия.

Ст. 7 закона № 152-ФЗ закрепляет статус конфиденциальности персональных данных. Указанная статья запрещает в общем случае лицам, имеющим доступ к личной информации, раскрывать эти сведения, не имея на то согласия их обладателя.

Последствия несоблюдения правил трудовой дисциплины, в том числе раскрытия информации, подробно описаны в статье «Дисциплинарный проступок по ТК РФ – понятие и признаки».

За несоблюдение данной нормы возникает ответственность (ст. 24 закона № 152-ФЗ). Основные ее виды следующие:

  • дисциплинарная — по ТК РФ;
  • административная — по КоАП РФ;
  • уголовная — по УК РФ.

О величине санкций за разглашение персональных данных сотрудников работником, имеющим доступ к такой информации, рассказали эксперты КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите в Путеводитель по кадровым вопросам.

Ст. 81 (о разглашении персональных данных, ставших доступными в связи с исполнением должностных обязанностей) и 90 ТК РФ (о нарушении порядка получения, хранения, обработки информации, имеющей признаки персональной) в качестве максимальной меры ответственности за разглашение персональной информации называют увольнение.

Подробнее о дисциплинарной ответственности см. статью «Дисциплинарная ответственность работника и ее виды».

Согласно ст. 13.11 и 13.14 КоАП РФ разглашение персональных данных наказывается административным штрафом.

Штраф по КоАП планируют увеличить в 10 раз. Законопроект уже внесен в Госдуму. Подробнее о планируемых нововведениях узнайте в Обзорном материале от КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Уголовная ответственность по ст. 137 УК РФ

Виновные в неисполнении условий получения, хранения и защиты информации, составляющей персональные данные, могут быть привлечены и к уголовной ответственности.

Ст. 137 УК РФ в качестве состава преступления называет несоблюдение неприкосновенности частной жизни. Обратимся к понятию частной жизни. Ст. 152.

2 ГК РФ определяет частную жизнь человека как сведения о его происхождении, месте жительства, личной, семейной жизни и т. д. Список сведений является открытым.

Сравнивая понятие частной жизни в гражданском законодательстве и понятие персональных данных в законе № 152-ФЗ, можно сделать вывод об их тождественности.

Умышленные действия, выражающиеся в незаконном сборе, распространении сведений о частной жизни человека без его согласия, признаются преступлением, наказуемым по ст. 137 УК РФ, т. е. влекут за собой уголовную ответственность.

Квалифицирующим признаком данного преступления является факт использования служебного положения при совершении указанных действий.

Уголовная ответственность определяется в виде:

  • либо штрафа;
  • либо обязательных, принудительных или исправительных работ;
  • либо лишения свободы.

Итоги

Разглашение персональных данных человека без его согласия незаконно и влечет за собой ответственность в соответствии с трудовым, административным, а в случае умышленных действий — уголовным законодательством.

Источник: https://zen.yandex.ru/media/nalognalog/otvetstvennost-za-razglashenie-personalnyh-dannyh-po-137-uk-rf-5f964f994dcc5c613c9a7e8e

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.