Указ президента США № 13556
Указ президента США № 13556 — это нормативный правовой акт, подписанный президентом США Бараком Обамой 4 ноября 2010 года, который установил единую систему классификации и обращения с информацией, обозначаемой грифом «Контролируемая несекретная информация» (Controlled Unclassified Information, CUI). Указ заменил собой разрозненные ведомственные режимы защиты несекретной, но чувствительной информации, создав единую правовую и организационную основу для её идентификации, маркировки, распространения и рассекречивания.
История и предпосылки
До принятия указа № 13556 в США не существовало единой системы для защиты несекретной информации, доступ к которой ограничивался по соображениям национальной безопасности, конфиденциальности, неприкосновенности частной жизни или защиты коммерческой тайны. Различные федеральные ведомства использовали собственные грифы и процедуры, что приводило к путанице, избыточной засекреченности и неэффективному управлению данными. Количество ведомственных грифов, таких как «Только для служебного пользования» (For Official Use Only, FOUO), «Чувствительная, но несекретная» (Sensitive But Unclassified, SBU) и другие, превышало сотню.
В 2008 году президент Джордж Буш-младший подписал меморандум, поручавший Национальному архиву и Администрации по управлению документацией (NARA) разработать единую систему. Указ № 13556 стал результатом этой работы и был опубликован 4 ноября 2010 года. Он вступил в силу 7 ноября 2010 года.
Основные положения
Указ определяет контролируемую несекретную информацию (CUI) как информацию, созданную или находящуюся в распоряжении правительства США, которая требует защиты или контроля в соответствии с законами, нормативными актами или политикой правительства, но не подпадает под действие исполнительного указа о секретной информации (№ 13526). CUI не является секретной (Secret, Top Secret) или совершенно секретной (Confidential), но её раскрытие может нанести ущерб интересам США.
Ключевые элементы указа:
- Создание единого реестра CUI. Указ предписывает NARA вести общедоступный реестр категорий CUI, который заменяет все ранее существовавшие ведомственные грифы. Реестр включает две основные категории: CUI Basic (базовая) и CUI Specified (специфицированная). Для каждой категории определены законы, нормативные акты или политики, требующие её защиты.
- Обязательная маркировка. Все документы, содержащие CUI, должны быть маркированы специальным обозначением, указывающим на категорию и подкатегорию информации. Маркировка размещается в верхнем и нижнем колонтитулах страницы, а также на обложке документа.
- Ограничение на распространение. Указ устанавливает, что CUI не должна распространяться без необходимости, но при этом не должна быть избыточно засекречена. Доступ к CUI предоставляется только тем лицам, которым она необходима для выполнения служебных обязанностей (принцип need-to-know).
- Ответственность за нарушение. Нарушение правил обращения с CUI может повлечь за собой дисциплинарную, административную или уголовную ответственность в зависимости от тяжести последствий.
- Сроки защиты. Указ не устанавливает фиксированных сроков действия грифа, но предписывает ведомствам регулярно пересматривать необходимость защиты CUI и рассекречивать её, когда основания для защиты исчезают.
Классификация и категории
Реестр CUI, разработанный NARA, делит информацию на 20 основных категорий, каждая из которых включает несколько подкатегорий. Примеры категорий:
- Критическая инфраструктура (Critical Infrastructure) — информация о защите объектов критической инфраструктуры (например, электростанции, транспортные узлы).
- Экспортный контроль (Export Control) — информация, подпадающая под законы об экспортном контроле (например, ITAR, EAR).
- Финансовая информация (Financial) — данные о финансовых операциях правительства (например, бюджетные документы).
- Интеллектуальная собственность (Intellectual Property) — патенты, авторские права, коммерческая тайна.
- Неприкосновенность частной жизни (Privacy) — персональные данные граждан (например, медицинские записи, налоговые декларации).
- Правоохранительная деятельность (Law Enforcement) — информация, связанная с расследованиями, оперативно-розыскной деятельностью.
- Национальная безопасность (National Security) — информация, не являющаяся секретной, но затрагивающая оборону или внешнюю политику (например, некоторые разведывательные данные).
- Транспортная безопасность (Transportation Security) — данные о мерах безопасности на транспорте.
Каждая категория имеет свой код и описание. Например, категория «Privacy» (код PRVCY) включает подкатегории, такие как «Медицинские записи» (HIPAA) и «Налоговая информация» (26 USC 6103).
Применение и значение
Указ № 13556 обязателен для всех федеральных органов исполнительной власти США, включая министерства, агентства и комиссии. Он также распространяется на подрядчиков и субподрядчиков, работающих по контрактам с правительством, если они обрабатывают CUI.
Влияние на государственное управление:
- Стандартизация. Указ устранил путаницу, вызванную множеством ведомственных грифов, и создал единую систему, понятную для всех участников.
- Повышение прозрачности. Реестр CUI является общедоступным, что позволяет гражданам и организациям понимать, какие категории информации защищены и почему.
- Снижение избыточной засекреченности. Указ требует, чтобы ведомства не защищали информацию, если для этого нет законных оснований, что способствует открытости правительства.
- Улучшение безопасности. Единая система маркировки и контроля снижает риск утечки чувствительной информации.
Критика и ограничения:
- Сложность внедрения. Переход от разрозненных систем к единой занял несколько лет и потребовал значительных ресурсов. Некоторые ведомства продолжали использовать старые грифы даже после вступления указа в силу.
- Неопределённость в определении. Критики отмечали, что границы между CUI и секретной информацией (Classified) остаются размытыми, что может приводить к неправильной классификации.
- Отсутствие независимого надзора. В отличие от секретной информации, где существует независимый орган (Информационный надзорный совет), за CUI не было создано аналогичного механизма контроля, что вызывает опасения по поводу возможных злоупотреблений.
Взаимосвязь с другими нормативными актами
Указ № 13556 дополняет, но не заменяет другие законы и указы, регулирующие защиту информации:
- Исполнительный указ № 13526 (2009) — регулирует обращение с секретной информацией (Classified).
- Закон о свободе информации (FOIA) — предоставляет право на доступ к информации, за исключением случаев, когда она защищена законом (включая CUI).
- Закон о неприкосновенности частной жизни (Privacy Act) — защищает персональные данные граждан.
- Закон о защите критической инфраструктуры (CIIA) — устанавливает требования к защите информации о критической инфраструктуре.
Интересные факты
- Указ № 13556 был подписан в один день с указом № 13557, который касался управления федеральными информационными системами.
- В 2016 году NARA выпустила окончательную версию реестра CUI, которая включает более 100 подкатегорий.
- В 2023 году президент Джо Байден подписал меморандум, усиливающий контроль за CUI в свете киберугроз, включая требования к шифрованию и мониторингу.
Источники
- Исполнительный указ президента США № 13556 «Контролируемая несекретная информация» (2010).
- Реестр CUI, Национальный архив и Администрация по управлению документацией (NARA), 2016.
- Меморандум президента США «Усиление защиты контролируемой несекретной информации» (2023).
- Доклад Управления по подотчётности правительства США (GAO) «Контролируемая несекретная информация: необходимы дальнейшие действия для обеспечения единообразной реализации» (2015).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →