Новым Постановлением вносятся изменения в определение понятия «конфиденциальная информация». К предыдущему толкованию добавлено уточнение о других видах тайн, охраняемых законом. Так, согласно новой редакции, конфиденциальная информация – все виды информации (включая коммерческую, банковскую, налоговую, нотариальную, врачебную (тайну медицинского работника), личную, адвокатскую тайны и (или) иную охраняемую законом тайну), в отношении которой в соответствии с законодательством Республики Казахстан, актами органов Евразийского экономического союза, входящих в право Евразийского экономического союза, международными договорами ограничен доступ (установлена конфиденциальность), то есть установлено обязательное для выполнения лицом, получившим доступ к данной информации, требование не передавать (не разглашать) такую информацию третьим лицам без письменного согласия ее обладателя, если иное не предусмотрено другими нормативными правовыми актами.
Также понятие файлового сообщения, обозначавшего один из видов шифровального сообщения, заменено понятием «шифрованное сообщение», который представляет собой специальный вид документа, представленный на бумажных и электронных носителях информации, подлежащий зашифрованию или полученный в результате расшифрования.
Срок присвоения служебной информации ограниченного распространения пометки «Для служебного пользования» (ДСП) как и раньше не должен превышать 15 лет, однако он продлен до 30 лет для государственных органов, имеющих специальный государственный архив.
Значительные изменения внесены в Главу 3 – «Учет, передача, использование, обработка и хранение служебной информации ограниченного распространения с пометкой "Для служебного пользования" или "Конфиденциально"».
Так, пункт 12 изложен в новой редакции и гласит:
«В СЭД (прим. ред. - системе электронного документооборота) допускаются создание, обработка, учет и уничтожение служебной информации ограниченного распространения:
- в зашифрованном диске на рабочей станции, подключенной к единой транспортной среде государственных органов (далее – ЕТС ГО) и не имеющей доступа к Интернету, без возможности копирования (переноса) электронных документов (файлов) на электронные носители и обратно (в том числе жесткий диск):
- в облачном хранилище с использованием решений типа «тонкий клиент», без возможности скачивания электронного документа (файла) из облачного хранилища.
Для защиты базы данных облачного хранилища (полей базы данных), зашифрованных дисков на рабочих станциях и электронных документов (файлов) служебной информации ограниченного распространения используются отечественные средства криптографической защиты информации (далее – СКЗИ) не ниже третьего уровня безопасности по государственному стандарту СТРК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».
Положения части первой настоящего пункта не распространяются на государственные органы и организации, указанные в пунктах 12-2 и 12-3 настоящих Правил, а также на Вооруженные Силы Республики Казахстан, другие войска и воинские формирования, использующие СЭД».
Эта глава дополняется новыми требованиями к электронным файлам в системе госорганов, имеющих пометку «ДСП» или «Конфиденциально»:
12-1. При создании электронных документов (файлов) служебной информации ограниченного распространения или загрузке вложений к документу на сервер облачного хранилища пользователь зашифровывает их с помощью СКЗИ и подписывает электронной цифровой подписью (далее – ЭЦП) с регистрационным свидетельством удостоверяющего центра государственных органов.
При просмотре электронных документов (файлов) служебной информации ограниченного распространения пользователь расшифровывает вложения к документу с помощью СКЗИ и ЭЦП.
Электронные документы (файлы) служебной информации ограниченного распространения допускается хранить:
- в зашифрованном диске на рабочей станции пользователя до истечения практической необходимости;
- в облачных хранилищах до уничтожения по акту о выделении к уничтожению документальных материалов, не подлежащих хранению.
Вложения электронных документов (файлов) служебной информации ограниченного распространения распечатываются только сотрудниками (работниками) службы ДОУ.
12-2. Специальным государственным органам, Вооруженным Силам Республики Казахстан, другим войскам и воинским формированиям, использующим СЭД, допускаются создание, обработка, учет и уничтожение служебной информации, а также прием и отправка служебной информации ограниченного распространения посредством абонентских пунктов, подключенных к ЕТС ГО, не имеющих подсоединения к локальной сети и сети Интернет, с возможностью распечатки или скачивания (загрузки) электронных документов (файлов) служебной информации ограниченного распространения из облачного хранилища (в облачное хранилище).
12-3. Уполномоченному органу по регулированию, контролю и надзору финансового рынка и финансовых организаций, Национальному Банку Республики Казахстан, его ведомствам, организациям, входящим в его структуру, юридическим лицам, 50 и более процентов голосующих акций (долей участия в уставном капитале) которых принадлежат Национальному Банку Республики Казахстан или находятся в его доверительном управлении, а также аффилированным с ними юридическим лицам, использующим СЭД, допускаются:
1) создание, обработка (без хранения), учет и уничтожение служебной информации ограниченного распространения c пометкой «ДСП» на рабочих станциях, не имеющих подключения к локальной сети, ЕТС ГО и сети Интернет, при наличии антивирусных средств и контроля состояния физических и логических портов;
2) прием и отправка служебной информации ограниченного распространения c пометкой «ДСП» посредством абонентского пункта, подключенного к ЕТС ГО, с возможностью распечатки или скачивания (загрузки) электронных документов (файлов) служебной информации ограниченного распространения из облачного хранилища (в облачное хранилище).
12-4. Регламентация работы со служебной информацией ограниченного распространения с пометкой «Конфиденциально» в уполномоченном органе по регулированию, контролю и надзору финансового рынка и финансовых организаций, Национальном Банке Республики Казахстан, его ведомствах, организациях, входящих в его структуру, юридических лицах, пятьдесят и более процентов голосующих акций (долей участия в уставном капитале) которых принадлежат Национальному Банку Республики Казахстан или находятся в его доверительном управлении, а также аффилированных с ними юридических лицах, использующих СЭД, устанавливается соответствующим правовым актом уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций и Национального Банка Республики Казахстан.
Кроме того, согласно поправкам, в журнале регистрации событий информационных систем и сервисов, на которых ведется обработка и (или) размещается служебная информация ограниченного распространения, должны фиксироваться все действия пользователей с указанием времени, идентификатора пользователя и типа операции (создание, просмотр, редактирование, подписание, регистрация, пересылка, печать).
Перед началом работы с электронными документами (файлами), содержащими служебную информацию ограниченного распространения, до пользователей доводится инструкция о порядке работы с предупреждениями о рисках, связанных с утечкой информации ограниченного распространения по вине пользователя, и действиях в случаях утраты ЭЦП либо истечения срока её действия.
В информационных системах, предназначенных для работы со служебной информацией ограниченного распространения, должен предусматриваться функционал журналирования событий для регистрации действий пользователей.
Собственники и владельцы информационных систем и сервисов, на которых ведется обработка и (или) размещается служебная информация ограниченного распространения, несут предусмотренную законодательством ответственность за безопасность хранения и защиту электронных документов (файлов), содержащих служебную информацию ограниченного распространения.
Руководители государственных органов, организаций принимают все необходимые организационные, технические и правовые меры по обеспечению защиты служебной информации ограниченного распространения вне зависимости от вида, формы, содержания и предоставления электронного носителя, в том числе с использованием соответствующих средств криптографической защиты информации и (или) информационных систем в защищенном исполнении, отнесенных к государственным секретам..
Полный текст Постановления доступен по ссылке.
