Все что нужно знать о работе с методическими документами ФСБ по ГосСОПКА
В связи с
недавним появлением методических документов ФСБ, касающихся ГосСОПКА и
анонсированием их со стороны регулятора на различных конференциях, в
тематических информационных группах возникают вопросы, касающиеся ограничений
на получение этих документов и установленных на них ограничительных пометок.
Кто может получить эти документы и как, на каких условиях, какие ограничения
есть на их распространение и информации из них и т.д.? Давайте разбираться.
недавним появлением методических документов ФСБ, касающихся ГосСОПКА и
анонсированием их со стороны регулятора на различных конференциях, в
тематических информационных группах возникают вопросы, касающиеся ограничений
на получение этих документов и установленных на них ограничительных пометок.
Кто может получить эти документы и как, на каких условиях, какие ограничения
есть на их распространение и информации из них и т.д.? Давайте разбираться.
Освежим для
начала в памяти разделение информации по уровню доступа к ней.
начала в памяти разделение информации по уровню доступа к ней.
В нашем
случае мы будем в основном говорить об информации ограниченного доступа, не являющейся
государственной тайной.
случае мы будем в основном говорить об информации ограниченного доступа, не являющейся
государственной тайной.
В
качестве источника информации для дальнейшего анализа рассмотрим таблицу ниже,
в которой приведен перечень новых методических документов ФСБ. Три из них не
имеют ограничительных пометок, два имеют пометку «Конфиденциально» и один «ДСП».
При этом все шесть документов отсутствуют в публичном доступе и выдаются
коллегами из ФСБ по запросу. Для их получения необходимо направить официальный
письменный запрос от организации в адрес 8 Центра ФСБ России на имя начальника
Центра. Формально, документы может получить любая организация, в том числе не
субъект КИИ, но для отсечения различных «иностранных шпионов» в письме
необходимо обосновать целесообразность получения документов. В некоторых
случаях регулятор просит приложить копию лицензии на гостайну. Об этом ранее тут уже писал Валерий
Комаров по результатам конференции ИНФОБЕРЕГ-2018.
качестве источника информации для дальнейшего анализа рассмотрим таблицу ниже,
в которой приведен перечень новых методических документов ФСБ. Три из них не
имеют ограничительных пометок, два имеют пометку «Конфиденциально» и один «ДСП».
При этом все шесть документов отсутствуют в публичном доступе и выдаются
коллегами из ФСБ по запросу. Для их получения необходимо направить официальный
письменный запрос от организации в адрес 8 Центра ФСБ России на имя начальника
Центра. Формально, документы может получить любая организация, в том числе не
субъект КИИ, но для отсечения различных «иностранных шпионов» в письме
необходимо обосновать целесообразность получения документов. В некоторых
случаях регулятор просит приложить копию лицензии на гостайну. Об этом ранее тут уже писал Валерий
Комаров по результатам конференции ИНФОБЕРЕГ-2018.
|
№
|
Наименование
|
Ограничительная
пометка (Гриф) |
Контролируемое
распространение |
|
1
|
Требования
к подразделениям и должностным лицам субъектов ГосСОПКА |
ДСП
|
+
|
|
2
|
Методические
рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов РФ |
Конфиденциально
|
+
|
|
3
|
Методические
рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак |
Конфиденциально
|
+
|
|
4
|
Методические
рекомендации по обнаружению компьютерных атак на информационные ресурсы РФ |
—
|
+
|
|
5
|
Варианты
организации защищенного канала |
—
|
+
|
|
6
|
Регламент
взаимодействия подразделений ФСБ РФ и Центров Госсопка при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак |
—
|
+
|
Погрузимся
теперь в первоисточники и терминологию.
теперь в первоисточники и терминологию.
Бытует
мнение о том, что у термина Гриф существует всего три значения – «Секретно»,
«Совершенно секретно» и «Особой важности». Отчасти это так, но только отчасти.
Если обратиться к 5485-1-ФЗ О государственной тайне, то в статье 2 можно
увидеть следующее определение:
мнение о том, что у термина Гриф существует всего три значения – «Секретно»,
«Совершенно секретно» и «Особой важности». Отчасти это так, но только отчасти.
Если обратиться к 5485-1-ФЗ О государственной тайне, то в статье 2 можно
увидеть следующее определение:
Гриф секретности — реквизиты, свидетельствующие о степени
секретности сведений, содержащихся в их носителе, проставляемые на самом
носителе и (или) в сопроводительной документации на него.
секретности сведений, содержащихся в их носителе, проставляемые на самом
носителе и (или) в сопроводительной документации на него.
А далее в
статье 8 устанавливаются три степени
секретности сведений, составляющих государственную тайну, и соответствующие
этим степеням грифы секретности для носителей указанных сведений: особой
важности, совершенно секретно и секретно.
статье 8 устанавливаются три степени
секретности сведений, составляющих государственную тайну, и соответствующие
этим степеням грифы секретности для носителей указанных сведений: особой
важности, совершенно секретно и секретно.
Таким
образом, грифов секретности всего три (С, СС, ОВ), но никто и ничто не
ограничивает использование термина «Гриф» без приставки «секретности» для
обозначения других сущностей. К тому же разные толковые словари говорят нам о
том, что Грифом называется в том числе «надпись на документе или издании,
определяющая особый порядок использования им, например Г. для служебного
пользования». Более того, в 98-ФЗ «О Коммерческой тайне» по всему тексту
закона используется именно термин «Гриф», а не «Ограничительная пометка». В
общем, далее будем использовать термин «Гриф» в качестве синонима термина
«Ограничительная пометка».
образом, грифов секретности всего три (С, СС, ОВ), но никто и ничто не
ограничивает использование термина «Гриф» без приставки «секретности» для
обозначения других сущностей. К тому же разные толковые словари говорят нам о
том, что Грифом называется в том числе «надпись на документе или издании,
определяющая особый порядок использования им, например Г. для служебного
пользования». Более того, в 98-ФЗ «О Коммерческой тайне» по всему тексту
закона используется именно термин «Гриф», а не «Ограничительная пометка». В
общем, далее будем использовать термин «Гриф» в качестве синонима термина
«Ограничительная пометка».
Пойдем
дальше и рассмотрим как регулируются вопросы, связанные с обращением документов
с грифами «ДСП» и «Конфиденциально», а также документов без грифов, но
распространяемых контролируемо (не публикуемых в общий доступ).
дальше и рассмотрим как регулируются вопросы, связанные с обращением документов
с грифами «ДСП» и «Конфиденциально», а также документов без грифов, но
распространяемых контролируемо (не публикуемых в общий доступ).
ДСП (Для служебного пользования)
До 2006
года обращение с информацией ограниченного распространения госорганов не
составляющих гостайну регулировалось следующими НПА:
года обращение с информацией ограниченного распространения госорганов не
составляющих гостайну регулировалось следующими НПА:
-
Гражданский кодекс РФ (139
статья); -
1233 Постановление
Правительства РФ от 3 ноября 1994 г. Положение о порядке обращения со
служебной информацией ограниченного распространения в ФОИВах, уполномоченном
органе управления использованием атомной энергии и уполномоченном органе по
космической деятельности (далее обобщенно – ФОИВы и подведы). -
188 Указ Президента РФ от
6 марта 1997 г. N 188 Об утверждении перечня сведений конфиденциального
характера. -
Плюс некоторые ФОИВы
выпустили собственные нормативные акты, касающиеся обращения с информацией
ограниченного распространения. В их числе ФСТЭК, ФССП и др. А вот ФСБ в их
числе нет.
Кроме
этого, в 2006 году в Думу был внесен Законопроект № 124871-4 О служебной
тайне, но он так и не был
принят и, в ноябре 2011, был снят с рассмотрения Думой.
этого, в 2006 году в Думу был внесен Законопроект № 124871-4 О служебной
тайне, но он так и не был
принят и, в ноябре 2011, был снят с рассмотрения Думой.
Зато в
2006 году вышла четвертая часть ГК РФ и новый трехглавый закон (149-ФЗ).
2006 году вышла четвертая часть ГК РФ и новый трехглавый закон (149-ФЗ).
Что
касается ГК РФ, то ст. 139 утратила силу, в результате коммерческая тайна ушла
в четвертую часть ГК РФ, а служебная тайна выпала.
касается ГК РФ, то ст. 139 утратила силу, в результате коммерческая тайна ушла
в четвертую часть ГК РФ, а служебная тайна выпала.
Что
касается 149-ФЗ, то в нем исчезло определение конфиденциальной информации,
которое было в старом трехглавом законе (24-ФЗ) и теперь есть
только информация ограниченного доступа /информация
ограниченного распространения /информация, требующая обеспечения
конфиденциальности. При этом в ст. 9 определено, что ограничение доступа
к информации должно устанавливаться законами (а не подзаконными актами, к
которым в том числе относится 1233-ПП, распространяющийся, в том числе на ФСБ).
касается 149-ФЗ, то в нем исчезло определение конфиденциальной информации,
которое было в старом трехглавом законе (24-ФЗ) и теперь есть
только информация ограниченного доступа /информация
ограниченного распространения /информация, требующая обеспечения
конфиденциальности. При этом в ст. 9 определено, что ограничение доступа
к информации должно устанавливаться законами (а не подзаконными актами, к
которым в том числе относится 1233-ПП, распространяющийся, в том числе на ФСБ).
Таким
образом, с 2006 года служебная тайна (ДСП) выпала из под охраняемой законом тайны.
Это в свою очередь формально означает, что все необходимые правила и ограничения,
связанные с передачей такой информации во вне и ее защитой (плюс
ответственность за нарушения) со стороны получившей ее Организации или
гражданина, должны отражаться в договоре между ФОИВом и третье стороной, которой
ФОИВ передает информацию. 1233-ПП в данном случае формально действует только на
сам ФОИВ и подведомственные ему организации, ограничиваясь только
дисциплинарной ответственностью в отношении соответствующих должностных лиц.
образом, с 2006 года служебная тайна (ДСП) выпала из под охраняемой законом тайны.
Это в свою очередь формально означает, что все необходимые правила и ограничения,
связанные с передачей такой информации во вне и ее защитой (плюс
ответственность за нарушения) со стороны получившей ее Организации или
гражданина, должны отражаться в договоре между ФОИВом и третье стороной, которой
ФОИВ передает информацию. 1233-ПП в данном случае формально действует только на
сам ФОИВ и подведомственные ему организации, ограничиваясь только
дисциплинарной ответственностью в отношении соответствующих должностных лиц.
И здесь 149-ФЗ
разрешает обладателю информации самостоятельно решать такие вопросы:
разрешает обладателю информации самостоятельно решать такие вопросы:
3.
Обладатель информации, если иное не предусмотрено федеральными законами,
вправе:
Обладатель информации, если иное не предусмотрено федеральными законами,
вправе:
1)
разрешать или ограничивать доступ к информации, определять порядок и условия
такого доступа;
разрешать или ограничивать доступ к информации, определять порядок и условия
такого доступа;
Конфиденциально
Порядок проставления
грифов ограничения доступа на документах, содержащих важную для их обладателя
информацию, не определен. Законодательством кроме гостайны установлены грифы
ограничения доступа к документам, содержащим коммерческую тайну (98-ФЗ) и служебную
тайну (1233-ПП). В случаях, когда законодательством не установлена форма грифа
ограничения доступа к документам, содержащим информацию ограниченного доступа,
собственник или пользователь информации может самостоятельно принимать решения
о применении какого-либо грифа. Т.е. при желании в своей организации можно
присвоить ЛЮБОЙ гриф или пометку или присвоить каждому уровню
конфиденциальности. И написать свою внутреннюю политику на этот счет или иной локальный
нормативный акт, регламентирующий работу с такими документами. Нет в законах РФ
запрета на подобное. Все что не запрещено — разрешено! Это касается в том числе
грифа «Конфиденциально». Не нравится гриф «Конфиденциально» — можно
использовать любой из синонимов (кроме
С, СС и ОВ, которые по закону о гостайне можно использовать только для
обозначения документов, содержащих сведения, составляющие гостайну). При этом
чаще всего используется гриф «Конфиденциально». Он удобен тем, что не
раскрывает характера информации, содержащейся в документе.
грифов ограничения доступа на документах, содержащих важную для их обладателя
информацию, не определен. Законодательством кроме гостайны установлены грифы
ограничения доступа к документам, содержащим коммерческую тайну (98-ФЗ) и служебную
тайну (1233-ПП). В случаях, когда законодательством не установлена форма грифа
ограничения доступа к документам, содержащим информацию ограниченного доступа,
собственник или пользователь информации может самостоятельно принимать решения
о применении какого-либо грифа. Т.е. при желании в своей организации можно
присвоить ЛЮБОЙ гриф или пометку или присвоить каждому уровню
конфиденциальности. И написать свою внутреннюю политику на этот счет или иной локальный
нормативный акт, регламентирующий работу с такими документами. Нет в законах РФ
запрета на подобное. Все что не запрещено — разрешено! Это касается в том числе
грифа «Конфиденциально». Не нравится гриф «Конфиденциально» — можно
использовать любой из синонимов (кроме
С, СС и ОВ, которые по закону о гостайне можно использовать только для
обозначения документов, содержащих сведения, составляющие гостайну). При этом
чаще всего используется гриф «Конфиденциально». Он удобен тем, что не
раскрывает характера информации, содержащейся в документе.
Гриф «Конфиденциально» на
документах в данном случае подразумевает, что организация (в данном случае ФСБ)
имеет собственное конфиденциальное делопроизводство с утвержденным локальным
нормативным актом (ЛНА) по обработке конфиденциальной информации в организации,
отличной от информации ДСП. При этом организация внутри может ограничивать
доступ сколько угодно и как угодно: перечни сведений, пометки, инструкции,
регламенты. Но когда речь идет о выходе таких документов наружу, тут, как и с
информацией ДСП, должен быть соответствующий договор с контрагентом, в котором
прописан порядок защиты.
документах в данном случае подразумевает, что организация (в данном случае ФСБ)
имеет собственное конфиденциальное делопроизводство с утвержденным локальным
нормативным актом (ЛНА) по обработке конфиденциальной информации в организации,
отличной от информации ДСП. При этом организация внутри может ограничивать
доступ сколько угодно и как угодно: перечни сведений, пометки, инструкции,
регламенты. Но когда речь идет о выходе таких документов наружу, тут, как и с
информацией ДСП, должен быть соответствующий договор с контрагентом, в котором
прописан порядок защиты.
Открытая информация
контролируемого распространения
контролируемого распространения
Где-то посередине между общедоступной информацией и
информацией ограниченного доступа существует еще пласт информации, которая
никак не классифицирована и соответственно содержащие ее документы не имеют
грифа, но в то же время она является достаточно чувствительно для ее владельца,
чтобы не стать общедоступной. Такая практика есть и в России и в других
странах. Если говорить о России, то так, например, было с документом «Методические
рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА».
Документ вроде и открытый, но в то же время в свободном доступе его нет. Правда,
на одной из конференций, представители НКЦКИ на своем стенде свободно раздавали
CD-диски с
этим документом.
информацией ограниченного доступа существует еще пласт информации, которая
никак не классифицирована и соответственно содержащие ее документы не имеют
грифа, но в то же время она является достаточно чувствительно для ее владельца,
чтобы не стать общедоступной. Такая практика есть и в России и в других
странах. Если говорить о России, то так, например, было с документом «Методические
рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА».
Документ вроде и открытый, но в то же время в свободном доступе его нет. Правда,
на одной из конференций, представители НКЦКИ на своем стенде свободно раздавали
CD-диски с
этим документом.
В нашем же случае подобные документы – это документы
из таблицы выше с номерами 4-6. Правила работы с такими документами отсутствуют
и формально нет никаких ограничений на их использование и распространение, но выкладывать
эти открытые документы конечно же не стоит, регулятор наверняка не просто так
их не выложил в открытый доступ. Вполне возможно, что документы еще будут
доработаны и выложены регулятором в открытый доступ, как говориться поживем,
увидим.
из таблицы выше с номерами 4-6. Правила работы с такими документами отсутствуют
и формально нет никаких ограничений на их использование и распространение, но выкладывать
эти открытые документы конечно же не стоит, регулятор наверняка не просто так
их не выложил в открытый доступ. Вполне возможно, что документы еще будут
доработаны и выложены регулятором в открытый доступ, как говориться поживем,
увидим.
Вполне возможно, что и указанные чуть выше «Методические
рекомендации по созданию…» по этой же причине не выкладывались, только вот
время их выкладывания в общий доступ так и не пришло из-за того, что эти
рекомендации фактически заменили новые методические документы ФСБ, которые мы
сегодня обсуждаем.
рекомендации по созданию…» по этой же причине не выкладывались, только вот
время их выкладывания в общий доступ так и не пришло из-за того, что эти
рекомендации фактически заменили новые методические документы ФСБ, которые мы
сегодня обсуждаем.
Что касается примеров в других странах, то в США,
например, на уровне правительства определена информация Sensitive But
Unclassified (SBU), являющаяся чувствительной, но не классифицированной. Она хоть
и не классифицирована, но требует строгого контроля над ее распространением. Данный
тип информации включает в себя в том числе материалы, касающиеся критической
инфраструктуры США.
например, на уровне правительства определена информация Sensitive But
Unclassified (SBU), являющаяся чувствительной, но не классифицированной. Она хоть
и не классифицирована, но требует строгого контроля над ее распространением. Данный
тип информации включает в себя в том числе материалы, касающиеся критической
инфраструктуры США.
Выводы:
-
Информация ДСП и
информация, содержащаяся в документах с грифом «Конфиденциально», не являются
охраняемой законом информацией и поэтому все правила и ограничения по работе с
информацией, а также порядок ее защиты должны быть прописаны в договорах с
организациями, которым данная информация передается. -
Обязанности по
обеспечению сохранности информации ДСП несут ФОИВы (в нашем случае ФСБ) и их
подведы. А для информации, содержащейся в документах с грифом «Конфиденциально»
— обладатель информации (в нашем случае тоже
ФСБ). Кроме того — те, кто принял на себя обязательства по сохранению этой
информации (для обоих грифов) на основании договора с ФСБ, в котором должен
быть прописан порядок защиты такой информации. -
Ответственность за
нарушение п.2 может быть дисциплинарная (для организации-обладателя информации)
или предусмотренная в договорных обязательствах с остальными организациями (если
не предусмотрели, то формально ответственности нет). -
Если обязательства и/или
ответственность по защите информации (для обоих грифов) не прописаны в
договоре, то при работе с соответствующими документами организациям, получившим
на руки такие документы, стоит руководствоваться двумя основными общепринятыми
принципами:-
документ с грифом запрещено цитировать без
разрешения автора документа -
документ с грифом запрещено передавать третьим
лицам (организациям) или выкладывать в общий доступ. Этот же пункт справедлив и
для открытой информации контролируемого распространения.
-
Источник — Блог Павла Луцика «Информационная безопасность на 360°».
