Федеральный закон «Об информации, информационных технологиях и защите информации» устанавливает, что информация может быть как общедоступной, так и ограниченной для доступа. Для информации с ограниченным доступом обязательным является соблюдение ее конфиденциальности. Конфиденциальность информации – обязательное для лица, имеющего доступ к информации, требование не передавать ее кому-либо без согласия обладателя этой информации.

Виды конфиденциальной информации отражены в Указе Президента РФ № 188 от 06.03.1997. Среди них:

• Персональные данные;
• Коммерческая тайна;
• Служебная тайна, тайна следствия и исполнительного производства;
• Коммерческая тайна и сведения, составляющие интеллектуальную собственность, до их публикации;
• Профессиональная тайна (врачебная, адвокатская, нотариальная, тайна переписки, переговоров, сообщений и т.д.).

Самыми распространенными видами конфиденциальной информации являются персональные данные и сведения, составляющие коммерческую тайну.

Персональные данные

Персональные данные – любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) или позволяющая его определить.

Оборот и обработка персональных данных регулируются Федеральным законом № 152-ФЗ «О персональных данных». Основные требования этого закона:

• Обязательное согласие субъекта персональных данных на сбор, обработку, передачу, публикацию и любые действия с персональными данными, производимые третьими лицами (операторами персональных данных). Обработка персональных данных без согласия допускается только в случаях, предусмотренных законом.
• Обязанность операторов персональных данных регламентировать их обработку, выполнять требования субъектов персональных данных и органа власти, осуществляющего контроль и надзор за обработкой персональных данных. Эти полномочия закреплены за Роскомнадзором.
• Обязанность операторов персональных данных соблюдать конфиденциальность персональных данных, принимать меры для их безопасности и защиты информационных систем, принимаемых для их обработки.

Требования к защите персональных данных отражены как в самом 152-м Законе, так и в принятых в его исполнение Постановлении Правительства РФ № 1119 и Приказе ФСТЭК № 21.

Выполнение этих требований осуществляется с помощью как организационных, так и технических мер. Обеспечить техническую защиту персональных данных помогают сертифицированные средства защиты информации. В частности, от внутренних ИБ-угроз (разглашения, нарушения правил доступа, неправомерного изменения или удаления персональных данных сотрудниками оператора) помогают защититься DLP- и DCAP-системы. А обнаружение ИБ-угроз и инцидентов в информационных системах персональных данных – задача SIEM-систем.

О том, как эти системы помогают выполнить нормативные требования к защите персональных данных, другой информации и информсистем, читайте в наших «белых книгах»:

• Выполнение нормативных требований с помощью DLP и DCAP.
• Выполнение нормативных требований с помощью SIEM.

Коммерческая тайна

Статус коммерческой тайны отличается тем, что предприятия должны самостоятельно определить, какие из их данных будут к ней относиться. Статья 3 закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ указывает, что к коммерческой тайне относится не просто информация любого характера, имеющая коммерческую ценность и недоступная для третьих лиц, а лишь та, в отношении которой ее обладатель ввел режим коммерческой тайны. Поэтому, если предприятию необходимо предотвратить неправомерное использование своей информации (например, конкурентами), иметь возможность привлечь нарушителей к ответственности и возместить ущерб, ему необходимо самостоятельно определить данные, отнесенные к коммерческой тайне, регламентировать работу с ними и принять меры информационной безопасности.

Своевременно введенный и подтвержденный мерами защиты режим коммерческой тайны позволяет привлечь нарушителей к ответственности вплоть до уголовной. Так, пострадавшая компания может, например, добиться возбуждения дела по ст. 183 УК РФ и заявить в его рамках гражданский иск о возмещении вреда.

Однако, если режим коммерческой тайны не был своевременно и грамотно введен, то защитить права обладателя коммерческой тайны становится проблематично. Приведем реальный пример из российской судебной практики:

Компания торговала с Китаем. Ее директор (наемный специалист) общался с поставщиками и покупателями, знал специфику товаров, выстраивал логистику. В то же время топ-менеджер имел свою фирму в другой отрасли. Со временем наемный директор перепрофилировал собственный бизнес, стал рассылать коммерческие предложения клиентам работодателя от имени собственной фирмы, заключать сделки с ними.

Работодатель пожаловался в ФАС на недобросовестную конкуренцию со стороны этой фирмы и неправомерное использование ей коммерческой тайны. Регулятор жалобу удовлетворил. Но директор обжаловал решение в суде и тот обнаружил, что у компании-работодателя не был определен перечень сведений, составляющих коммерческую тайну, не использовались пометки «Коммерческая тайна» для этих данных. В результате решение ФАС было отменено.

Советы о том, как ввести режим коммерческой тайны в организации, читайте в нашем чек-листе.

Иные категории конфиденциальной информации

Состав конфиденциальных сведений, не относящихся к коммерческой тайне или персональных данным, порядок работы с ними и их защиты, в той или иной мере определен в различных нормативных документах. В первую очередь, к таким данным относится информация для служебного пользования. Основным документом, регулирующим ее обработку и защиту, является Постановление Правительства РФ от 03.11.1994 № 1233. В соответствии с ним федеральные органы власти устанавливают внутренние правила работы с информацией для служебного пользования (см. например, Приказ Минобрнауки от 13.06.2023 № 598, Приказ Роскомнадзора от 27.07.2023 № 112). Аналогичные правила для себя устанавливают и региональные органы власти (см., например, Распоряжение Губернатора Оренбургской области от 02.06.2022 № 183-р, Постановление Кабинета Министров Республики Татарстан от 12.12.2017 № 975).

Помимо этого, существуют виды конфиденциальной информации, характерные для отдельных отраслей:

• Налоговая тайна – любые сведения о плательщике налогов или страховых взносов, полученные налоговым органом, органами внутренних дел, следственными, таможенными органами, органами государственных внебюджетных фондов (например, Социального фонда), за исключением отдельных категорий данных, определенных ст. 102 НК РФ.
• Банковская тайна – сведения о счетах и вкладах клиентов или корреспондентов финансовых организаций, операциях по счетам и иные обрабатываемые организациями финсектора сведения, определенные ст. 26 Федерального закона «О банках и банковской деятельности».
• Врачебная тайна - сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, разглашение которых недопустимо в соответствии со ст. 13 Федерального закона «Об основах охраны здоровья граждан в РФ».

Так, например, порядок защиты банковской тайны устанавливается Положением ЦБ РФ от 30.01.2025 № 851-П.

Отметим, что одни и те же данные могут относиться к нескольким категориям конфиденциальной информации одновременно. Особенно часто такая ситуация складывается в отношении сведений о гражданах. Так, например, компания может ввести режим коммерческой тайны в отношении персональных данных своих клиентов.

В таком случае меры по их защите должны соответствовать требованиям 152-ФЗ и принятых в соответствии с ним актов, но в случае утечки нарушение может быть квалифицировано как разглашение коммерческой тайны, а компания сможет претендовать на возмещение причиненного нарушителем ущерба.

Защита информации

Базовые положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в законе № 149-ФЗ. В соответствии с законодательством, под защитой информации понимается:

• обеспечение защиты сведений ограниченного доступа от неправомерных: доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения;
• соблюдение конфиденциальности информации с ограниченным доступом;
• обеспечение мер по доступности информации.

149-й закон также закрепляет основные ИБ-обязанности для обладателей защищаемой информации:

• предотвращение несанкционированного доступа к информации;
• своевременное обнаружение фактов такого доступа и предотвращение их последствий;
• недопущение воздействия на технические средства обработки информации;
• обеспечение восстановления информации, поврежденной или удаленной вследствие несанкционированного доступа;
• контроль за обеспечением уровня защищенности информации;
• локализация на территории РФ баз персональных данных граждан РФ.

Для защиты критичных данных существуют следующие виды защиты:

• Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым возможен только для лиц, допущенных к работе с этой информацией.
• Аппаратная. Аппаратный способ защиты предполагает использование специальных устройств, препятствующих нежелательному доступу к информации (например, генераторов шума, постановщиков помех, размыкателей, аппаратных токенов).
• Программная. Защита информации осуществляется с помощью программного обеспечения, которое предназначено для предотвращения неправомерного доступа к информации, ее разглашения и утечки, нежелательного воздействия на информсистемы, ПО и технические средства, предназначенные для работы с этой информацией.
• Криптографическая (математическая). Криптографическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц. Шифрование может применяться к информации на разных носителях, а криптосредства могут быть как аппаратными, так и программными. 

Ответственность за правонарушения в сфере информации

За разглашение конфиденциальной информации, а также нарушение требований по обеспечению ее безопасности законодательство предусматривает различные виды ответственности:

• Дисциплинарная. Данный вид ответственности применяется, если работник допустил нарушение своих трудовых обязанностей. Например, ст. 81, 192 ТК РФ позволяют уволить работника, разгласившего коммерческую или служебную тайну).
• Гражданско-правовая. Указанный вид ответственности предполагает взыскание компенсации морального или материального вреда за разглашение сведений ограниченного доступа. Например, ст. 11 Закона о коммерческой тайне позволяет обладателю коммерческой тайны требовать возмещения убытков, понесенных вследствие ее разглашения.
• Административная. К административной ответственности привлекается лицо, совершившее нарушение, предусмотренное Кодексом об административной ответственности. Например, действия или бездействие оператора персональных данных, повлекшие их утечку наказываются согласно ст. 13.11 КоАП РФ. К административной ответственности могут привлекаться и граждане, и организации, и их должностные лица (например, руководители или ответственные за работу с конфиденциальной информацией и ее защиту).
• Уголовная. Уголовная ответственность устанавливается за общественно опасные нарушения с конфиденциальной информацией. Например, использование сотрудником организации неправомерно полученных персональных данных клиентов наказывается в соответствии со ст. 272.1 УК РФ.

При этом, за одно нарушение его виновник может быть привлечен сразу к нескольким видам ответственности. Например, сотрудник, совершивший разглашение коммерческой тайны, может быть подвергнут дисциплинарному взысканию в виде увольнения, в отношении него может быть возбуждено уголовное дело по ст. 183 УК РФ, а его работодатель может предъявить к нему гражданский иск о возмещении нанесенного им ущерба. Подробнее о том, как привлечь такого нарушителя к ответственности, читайте в нашем материале.

Ужесточение ответственности

В последнее время заметна тенденция к ужесточению ответственности за нарушения с конфиденциальной информацией.

Так, приняты поправки в ст. 183 УК РФ: разглашение коммерческой, налоговой, банковской тайны по корыстным мотивам, группой лиц или в случае крупного ущерба, будет караться лишением свободы на срок 2-5 лет и штрафом до 5 млн рублей. В случае же тяжких последствий (угрозы жизни людей, банкротству организации и т.п.) срок лишения свободы составит 3-7 лет, а штраф – 1-5 млн рублей.

В 2025 году вступили в силу поправки в КоАП РФ, ужесточившие ответственность за утечки персональных данных. Согласно новой редакции ст. 13.11 КоАП, максимальный штраф за инцидент для бизнеса может составить до 3% от годовой выручки компании, допустившей утечку.