понедельник, 26 октября 2015 г.

Вопрос читателя. Информация ограниченного доступа

Здравствуйте, дорогие читатели! Сегодня я хочу предложить Вашему вниманию два письма читателя Сергея Симонова об определении информации ограниченного доступа.
 
Добрый день. Озадачился я недавно вопросом что такое ИОД (информация ограниченного доступа). В ГИС помимо ПДн есть и коммерческая тайна, и служебная информация… да мало ли что ещё есть… НО! Требования по защите проработаны только для ПДн. Для служебной тайны вообще нет своего закона, хотя о нем говорят с 2004 года. Вот ФСТЭК и озаботился защитой всего (в том числе и ПДн) в ГИС запихав в понятие ИОД все виды конфиденциальной информации по УП №188. (абстрактно запихал) Однако, формулировки что такое ИОД я не нашёл. Так что же такое ИОД? В своих поисках выявил огромное количество формулировок: сообщения ограниченного доступа, служебные сведениями ограниченного распространения, сведения ограниченного доступа… Нашел ли я ответ? Думаю что да. Взгляните, может будет интересно. Возможно я упустил что-то. Что-то лежавшее на поверхности.
Поискав ещё немного обнаружил любопытное толкование ИОД на сайте http://www.wikisec.ru/
3. В составе информации ограниченного доступа различают сведения, составляющие государственную тайну, и конфиденциальную информацию. Информации ограниченного доступа подразделяется на секретную и конфиденциальную.

Также Сергей прислал майнд-карту: ссылка (не обращайте внимание, если браузер ругается, это не вирус :))
 
2 письмо
Обсудил с коллегами свою схему. Принял критику. Судя по моей схеме в ГИС обрабатывается только ПДн, служебная информация ограниченного распространения, Комм.Т. Но это не так. Так же присутствует общедоступная информация (скажем, о деятельности организации публикуемая в виде отчетов на офф сайте) и согласно ФЗ-149 ст.8. п.4. «Не может быть ограничен доступ к: 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну)».
Согласно тому же 149 ФЗ ст5. п2. «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вот и получается что доступ к ПДн/КоммТ ограничен ФЗ-152/ ФЗ- 98.
Однако не понятно, что делать со служебной информацией ограниченного распространения. Отдельного ФЗ по ней нет. Однако несть целая россыпи приказов ФСТЭК\ФСБ по необходимости её защиты. Но это приказы и методические рекомендации, а не федеральные законы. Получается что служебная информация ограниченного распространения это не ИОД?
Но согласно 149-ФЗ ст.9, п.4. конфиденциальность служебной информация соблюдать надо.
 
В качестве своего комментария могу сказать, что ситуация со служебной тайной действительно неоднозначная. Несмотря на то, что данную пометку повсеместно используют, на уровне законов требования защиты не закреплены. Как мы знаем, термин "конфиденциальная информация" хоть и часто встречается в жизни, но в законодательстве определены "сведения конфиденциального характера". Неоднозначность понятийного аппарата в информационной безопасности приводит к различным спорам и вызывает недопонимание специалистами друг друга.