Можно ли размещать в облаке документы с грифом для служебного пользования (ДСП)

print

Для служебного пользованияВокруг вопросов безопасности в облаках существует множество мифов. Одним из таких мифов является невозможность размещения в облачной инфраструктуре документов “ДСП”. Наиболее широко документы с данным грифом используются в государственных учреждениях но и для коммерческих организаций этот вопрос может быть интересен. Защита информации, составляющей служебную или коммерческую тайну не достаточно урегулирована на законодательном уровне, что порождает множество конфликтов и проблем.

Попробуем разобраться в этом вопросе.

ДСП относится к не секретной информации. Это информация не подлежащая открытому публикованию.

До 2006 года

До 2006 года обращение с информацией ограниченного распространения не составляющих гос. тайну регулировалось:

  • ст. 139 ГК РФ (для всех)
    Статья 139. Служебная и коммерческая тайна
     
    1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
    2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
    Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.
  • Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (для государственных органов)
    Утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233
    1.2. К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью.

    1.6. Должностные лица, принявшие решение об отнесении служебной информации к разряду ограниченного распространения, несут персональную ответственность за обоснованность принятого решения и за соблюдение ограничений, предусмотренных пунктом 1.3 настоящего Положения.

    1.7. Служебная информация ограниченного распространения без санкции соответствующего должностного лица не подлежит разглашению (распространению).

    1.8. За разглашение служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, государственный служащий (работник организации) может быть привлечен к дисциплинарной или иной предусмотренной законодательством ответственности.

    2.1. Необходимость проставления пометки “Для служебного пользования” на документах и изданиях, содержащих служебную информацию ограниченного распространения, определяется исполнителем и должностным лицом, подписывающим или утверждающим документ. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам.

    2.2. Прием и учет (регистрация) документов, содержащих служебную информацию ограниченного распространения, осуществляются, как правило, структурными подразделениями, которым поручен прием и учет несекретной документации.

    2.3. Документы с пометкой “Для служебного пользования”:

    • печатаются в машинописном бюро. На обороте последнего листа каждого экземпляра документа машинистка должна указать количество отпечатанных экземпляров, фамилию исполнителя, свою фамилию и дату печатания документа. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для регистрации работнику, осуществляющему их учет. Черновики и варианты уничтожаются этим работником с отражением факта уничтожения в учетных формах;
    • учитываются, как правило, отдельно от несекретной документации. При незначительном объеме таких документов разрешается вести их учет совместно с другими не секретными документами. К регистрационному индексу документа добавляется пометка “ДСП”;
    • передаются работникам подразделений под расписку;
    • пересылаются сторонним организациям фельдъегерской связью, заказными или ценными почтовыми отправлениями;
    • размножаются (тиражируются) только с письменного разрешения соответствующего руководителя. Учет размноженных документов осуществляется по-экземплярно;
    • хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).
  • 188 Указом Президента (Указ Президента РФ от 6 марта 1997 г. N 188 “Об утверждении перечня сведений конфиденциального характера”)

С 2006 года

В 2006 году вышла 4 часть ГК РФ и новый, т.н. “трехглавый закон” (Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”). Соответственно утратила силу ст.139 ГК РФ (коммерческая тайна ушла в 4 часть ГК РФ, а служебная тайна выпала).

Кроме того после принятия нового “трехглавого закона”:

  • исчезло законодательное определение конфиденциальной информации (это определение было в старом “трехглавом законе” [Федеральный закон от 20 февраля 1995 года N 24-ФЗ “Об информации, информатизации и защите информации”]) и с этого момента есть только:
    • “информация ограниченного доступа”
    • “информация ограниченного распространения”
    • “информация требующая обеспечения конфиденциальности”

    (при этом гос. тайна тоже подпадает под эти определения)

  • ст. 9 определено, что ограничение доступа к информации должно устанавливаться законами (а не подзаконными актами):
    Статья 9. Ограничение доступа к информации
     
    1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

    2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Таким образом с 2006 года служебная тайна выпала из под охраняемой законом тайны.

Любопытный факт: в 2006 году в Думу был внесен Законопроект № 124871-4 “О служебной тайне”, но он так и не был принят и, в ноябре 2011, был снят с рассмотрения Думой.

В результате

  • служебная тайна (информация и документы под служебной отметкой ДСП) не является охраняемой законом тайной. Из этого следует, что с одной стороны не существует лицензий, сертификатов и соответствующих средств по защите информации именно такой категории, с другой стороны закон этого и не требует (в отличие например от защиты персональных данных).
  • обязанности по обеспечению сохранности служебной тайны несут только государственные/муниципальные органы а также те, кто принял на себя обязательства по сохранению этой информации. Если это регламентировано ведомственными инструкциями (для гос. органов) или внутренними регламентами (для коммерческих организаций), такие обязательства необходимо вносить в договор с провайдером. Договор RTCloud содержит соглашение о неразглашении информации.
  • ответственность может быть только дисциплинарная (для физических лиц) или предусмотренная в договорных обязательствах (для юридических лиц).

Таким образом не существует юридических ограничений по размещению информации ДСП и соответствующих систем документооборота в облачной инфраструктуре. Обязательства провайдера по сохранению конфиденциальной информации необходимо в явном виде отражать в договоре.