Здраствуйте...

Есть тут специалисты по информационной безопасности? Вопрос правовой скорее...

Вот к примеру, вся инфа на дисковом массиве шифрованная лежит...
Ключ в токене или смарт-карте... ну и плюс PIN естественно...

Случилось "несчастье" - пришли люди в камуфляже, изъяли массив... естественно, к тому моменту когда они добрались до него, ключи выгружены, логические диски отключены...
А теперь вопрос собственно...

После анализа содержимого массива, выяснится, что он зашифрован... Какие действия могут препринять сотрудники ведоства, изъявшие его? Обязаны ли мы предоставить доступ к этим данным - тоесть фактически предоставить ключ и PIN? И кто понесет ответственность в случае отказа выполнить это?

Итак, закон "О коммерческой тайне":
Статья 6. Предоставление информации, составляющей коммерческую тайну

1. Обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.

2. В случае отказа обладателя информации, составляющей коммерческую тайну, предоставить ее органу государственной власти, иному государственному органу, органу местного самоуправления данные органы вправе затребовать эту информацию в судебном порядке.

3. Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию в соответствии с частью 1 настоящей статьи, обязаны предоставить эту информацию по запросу судов, органов прокуратуры, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации.

4. На документах, предоставляемых указанным в частях 1 и 3 настоящей статьи органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Вот так. Но, если не выполнены условия отнесения к комм.тайне, то информация таковой не является.
Полагаю, что Ваша информация является именно коммерческой тайной?

Вот ещё. Закон "Об информации, информатизации и защите информации":
Ст.8. П.1. Граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обязаны представлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов.
Перечни представляемой в обязательном порядке документированной информации и перечни органов и организаций, ответственных за сбор и обработку федеральных информационных ресурсов, утверждает Правительство Российской Федерации.

Ну, ответственность понесёт ваша организация, конечно.
Если конкретно, то: директор, начальник службы безопасности, кто-нибудь ещё.

Я ведь по существу ответил? Или вообще не в тему?

Обязаны ли мы предоставить доступ к этим данным - тоесть фактически предоставить ключ и PIN? И кто понесет ответственность в случае отказа выполнить это?
Только по судебному предписанию При этом оно может быт обжаловано в более высокой инстанции. Просто по чьему-то указанию вы предявлять не обязаны...

Но не надо забывать нашу специфику... "Закон что дышло - куда повернешь, туда и вышло". Если не выдадете "добровольно", то всегда найдуться способы "законного" давления. Самое безопасное в этом случае - сослаться на утерю ключа... Но это должно быть убедительно, иначе все равно могут надовить...


О, Coutty хорошую цитату выудил... Я же, по существу, продублировал п.2

NashSerge
Я бывал в Вашей ситуации. Вобще имея грамотного юриста на фирме который будет Вас "опекать", любимым органам оооочень трудно доказать что Вы не забывали ключа.
Я ей богу, даже не представляю как такое можно сделать законным порядком.
Естественно если Вас оставят "наедине" из Вас быстренько вытрясут душу.
Совета 2 (Оба дал зам нач. РУБОП области в отставке)
1) Единственным железным аргументом в нашей юриспруденции, еще начиная с Царя батюшки является собственоручное признание, остальное, по сути лажа которую можно оспорить.
2) Утверждая что-либо хотя бы раз, ни когда не меняйте показаний.
Сказали что Земля плоская - значит плоская, до конца процесса.
Именно по этому самой выгодной формулировкой, не позволяющей подставить Вас под "лжесвидительствование" является формулировка "не помню". Именно "не помню", а не "не знаю".

Coutty
Организация должна предоставить информацию по списку, правильно?
Мы же не должны открывать им ВСЕ содержимое того же дискового массива?

Касательно грифа "КТ" - какая разница нанесен он или нет?
В конце концов есть служебная тайна, которую мы тоже не хотим "предоставлять" интересующимся сторонам, для чего и пытаемся защитить инфу...

NashSergeОрганизация должна предоставить информацию по списку, правильно?
Мы же не должны открывать им ВСЕ содержимое того же дискового массива?
Оба предложения не протеворечат друг другу. Если в предписании буде указано о необходимости получения доступа ко ВСЕМУ содержимому жесткого диска, то тогда должны... Но тут уже вступают в силу судебные случаи в противовес "убеждению" с их стороны. Если ты отказался предоставить информацию на официальное требования государственного органа, то по закону они не имеют права применять к тебе за это какие-либо санкции, а должны судебном порядком получить соответствующее предписание... Которое в свою очередь ты опять можешь обжаловать в суде высшей инстанции... Это если по "букве" закона... Пока на практике мне встречались в основном ситуации из поговорки - "Прав тот..., у кого больше прав" (С)

Если в предписании буде указано о необходимости получения доступа ко ВСЕМУ содержимому жесткого диска, то тогда должны...

Ммм... а такой вопрос - почему на этом диске вообще что-то быть должно? Мало ли чего они изъяли... у меня вон поломанных дисков куча - с них они тоже инфу хотят? ну пусть считывают - я не против!
В конце концов действительно - массив стоит пока не функционирующий - ключ потеряли - теперь инфу сами достать не можем... может нам ФСБ поможет с этим? :-)

Касательно грифа "КТ" - какая разница нанесен он или нет?
Ну, если он не нанесён, то информация не является коммерческой тайной по закону =^_^= С этим ничего не поделать.
По поводу служебной тайны сказать не могу - не нашёл у себя в архиве закона о служебной тайне, но думаю, что там то же самое.
[off]Я надеюсь, что ваше понятие "служебная тайна" не отличается от официального? (адвокатская, медицинская, нотариальная и там ещё какие-то) Производственная тайна служебной не является. Это просто конфиденциальная информация. И, пожалуй, от "органов" её будет трудно защитить.

может нам ФСБ поможет с этим?
ФСБ вообще не при делах. Они работают ТОЛЬКО с государственной тайной. Чего лезут?

NashSergeМмм... а такой вопрос - почему на этом диске вообще что-то быть должно? Мало ли чего они изъяли... у меня вон поломанных дисков куча - с них они тоже инфу хотят? ну пусть считывают - я не против!
В конце концов действительно - массив стоит пока не функционирующий - ключ потеряли - теперь инфу сами достать не можем...
А почему "вообще что-то быть должно" - не твое дело, ты реагируешь на запрос. Ты либо предоставляешь доступ к запрашиваемой информации, либо отказываешся ее предоставить (по закону далее уже действует судебный порядок), либо заявляешь о технической невозможности выполнить их требования. При этом они могут "поверить", а могут и нет. В первом случае все на этом и кончиться. Во втором случае по закону опять же начинает действовать судебный порядок, на котором производиться дознание о справедливости оправдания об отсутствии технической возможности (типа утери ключа или пропажи бумажки с паролем). В судебном порядке твои высказывания действительно могут признаться справедливоми и санкций применяться не будет, однако соответствующие носители по решению суда могут переданы для экспертизы с целью попытки получения доступа к информации без использования "штатной технической возможности". На самом деле в спецлабораториях можно добиваться некоторых результатов, недоступных подавляющему большинству пользователей, просто все имеет свою цену... На практике либо на это просто забивают, либо начинается "продавливание", чтобы ты сам "добровольно" все сделал, что тебя просят (если надо, то и до утюжка дойдет, ценность имеет и эту сторону медали)...

ФСБ вообще не при делах. Они работают ТОЛЬКО с государственной тайной. Чего лезут?
Правда что ли?... Значит я отстал от жизни... А я то считал, что они занимаются вопросами безопасности государства, в том числе информационной, независимо от грифа угрозы...;) Основным документом определяющим работы с секретами является СТР-97..., однако че-то я не слышал о наличии в нем приложений по контртеррористической деятельности и др., к чему как класс сложно отнести понятие грифа...;)

Coutty
Никуда ФСБ не лезет - просто один из примеров силовых структур... и лезут они кстати далеко не только в гос.тайну... они лезут туда, куда им интересно!

По поводу служебной информации - по твоей градации я говорил о "производственной" информации...
По поводу грифа и спецслужб - какая разница для них служебная информация или КТ - при "желании" они без проблем принесут санкцию на изъятие хоть той, хоть той... изымая компьютеры и сервера, они изначально не знают информация с каким грифом там - им на это... параллельно...
А защитить как раз эту информацию от органов только таким методом как мне представляетсся и можно... есть кончено еще вариант с уничтожением информации при "тревоге", но это слишком круто в смысле последствий... для информации главным образом... :-)


Greyman
Я реагирую на запрос, и готов предоставить (да они и сами заберут) открытую инфу... Другой - нет! Такая формулировка имеет право на жизнь?

По поводу расшифровки - криптоанализ дает результаты не для всех алгоритмов шифрования... во всяком случае пока...
В любом случае - это труд, и труд немалый... Не думаю что к примеру наша организация удостоится ТАКОГО внимания...

NashSergeПо поводу служебной информации - по твоей градации я говорил о "производственной" информации...
Это не моя градация. Это из законодательства.
есть кончено еще вариант с уничтожением
Если информацию дублировать (и уносить, скажем, домой - хранить в чулане, завёрнутой в тряпочку), то не так уж это и страшно. Не, ну место, конечно, лучше понадёжнее придумать...

Greyman, безопасностью государства - без вопросов. В данном случае речь идёт только об информации, вот её и трогаем.
Что есть гос.тайна?
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. - из закона о гос.тайне.
Т.е. инфа о контрразведывательной деятельности не может быть открытой.
Про СТР-97 не слышал и текст в Гугле и Яндексе не нашёл.

NashSergeЯ реагирую на запрос, и готов предоставить (да они и сами заберут) открытую инфу... Другой - нет! Такая формулировка имеет право на жизнь?
Конечно. Однако если ими будет изъят носитель, на котором будет обнаружена зашифрованная информация, то тогда будет не очень хорошо. Если в суд предъявить экспертное заключение по этому поводу и он его примет, то это уже может в крайнем случае и до статьи дойти, как укрывательство, препятствие следствию и т. п. лучше тогда "включать дурачка", типа - отдал все что есть, что еще найдете - забирайте, про остальное не знаю...

Coutty
Не надо путать понятия. Если часть информации может быть гостайной, которая влияет на безопасность государства, то это не значит, что информация, не являющаяся гостайной, также не может влиять на безопасность государства.
Т.е. инфа о контрразведывательной деятельности не может быть открытой.
Это еще почему? Опять ты путаешь. Данные о конкретной операции действительно могут быть секретны, но то, что эта деятельность в принципе ведется и примерно в каких объемах - открытая информация. Про понятие "категория объекта" слышал?

Ты внимательно читал свою же цитату? Тебя не смутила формулировка "распространение которых может нанести ущерб безопасности РФ"? Так вот, сейчас ты сам попытался подставить это определение под некую эфемерную информацию (контртеррористическая деятельность - это слишком обще). Законом же определены органы, которые имеют право относить конкретную информацию к тому или иному грифу...
Про СТР-97 не слышал и текст в Гугле и Яндексе не нашёл.
Ну на этом можно и закончить, ИМХО... Это первый документ, с которым ты знакомишся после получения соответствующего допуска перед работой с секретной информацией..., он определяет порядок работы с секретной информацией... и сам он тоже секретный...:spy:

Greyman-sensei, я ещё только учусь... :sorry: А дискуссия - хорошее средство получения информации.
Если получу допуск, буду ознакомляться с доком.

Coutty
Про СТР-97 не слышал и текст в Гугле и Яндексе не нашёл.
И слава богу. Как только "найдешь", тут же станешь не выездным на 5 лет, "с правом продления до 10"

kim-aa, ну дак я уже почти невыездной. К пятому курсу наверняка стану таковым. Да и нечего мне за границей делать =)))

kim-aaИ слава богу. Как только "найдешь", тут же станешь не выездным на 5 лет, "с правом продления до 10"
Утрируешь...;) 3-я форма ограничение на выезд не накладывает, а 2-ая и 1-ая позволяют выезд, просто с согласования органов и оставлением загранпаспорта в пасольстве по прибытии в страну. Если же он найдет грифованый документ в открытых источниках, то лично он ни в чем виновен не будет, просто будет начато расследование по поводу нарушения 1-ой категории. Его же под форму подводить смысла будет мало, т. к. документ все равно уже куча народа просмотрела, т. ч. скорей всего будет гриф пересматриваться... Хотя что придет в голову "чекистом" - всякое бывает...