Законодательные меры защиты информации

Правовые меры защиты информации

Правовые меры защиты информации – это законодательное регулирование отношений в этой области. Правовые меры устанавливают правила использования информации и определяют ответственность за нарушение этих правил.

Правовую основу ( законодательные средства ) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Нормативных документов по теме защиты информации реально много. Минимальный их набор, заслуживающий прочтения полностью, независимо от области работы, наверное будет таким:

  • Федеральный закон №152 от 27.07.2006 «О персональных данных»
  • Федеральный Закон №149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации».

ФЗ №152 «О персональных данных» обязателен для понимания в любом случае – как минимум персональные данные своих сотрудников вы будете обязаны защищать.

Перейдем к ФЗ №149. Статьи 1-10 ФЗ №149 обязательны для прочтения. В них зафиксированы понятия в сфере защиты информации, принципы регулирования отношений в этой сфере. Кроме того, установлены права и обязанности обладателя информации, рассмотрены вопросы общедоступной информации, права на доступ к информации и ограничения этого права.

Также представляет интерес статья 16 Закона, которая закрепляет понятие защиты информации, устанавливает обязанность обладателя информации осуществлять защиту ее и вести контроль за обеспечением уровня этой защиты.

Согласно пункту 2 статьи 5 ФЗ №149 вся информация подразделяется на общедоступную и информацию ограниченного доступа. О том, что же такое — информация ограниченного доступа закон тактично умалчивает. Логично будет предположить, что это государственная тайна и конфиденциальная информация.

Вопросами защиты государственной тайны заниматься как-то не пришлось. В рамках этого материала можно только отметить, что основной регулятор здесь – это ФСБ России, а законодательство строится на:

  • законе РФ от 21.07.1993№5485-1 «О государственной тайне»;
  • указе Президента от 30.11.1995 №1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;
  • перечни сведений, подлежащие засекречиванию, уполномоченных органов государственной власти.

Что касается конфиденциальной информации — в Российской Федерации законодательно определено более 50 видов различных тайн и сведений конфиденциального характера. Вот лишь некоторые из них:

Сведения конфиденциального характера

Регулирующий нормативный акт (закон)

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан…»

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»

Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании…»

Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»

Сведения, ставшие известными судебным приставам

Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах»

Налоговый кодекс РФ Часть первая

Возьмем, к примеру, налоговую тайну:

Налоговый кодекс РФ Часть первая. Статья 102. Налоговая тайна:

1. Налоговую тайну составляют любые полученные налоговым органом …сведения о налогоплательщике, за исключением …

2. Налоговая тайна не подлежит разглашению…., за исключением случаев, предусмотренных федеральным законом.

3. Поступившие в налоговые органы… сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.

Статья 313. Налоговый учет. Общие положения

Содержание данных налогового учета (в том числе данных первичных документов) является налоговой тайной. Лица, получившие доступ к информации, содержащейся в данных налогового учета, обязаны хранить налоговую тайну…»

Таким образом, минимальный набор документов по защите информации, подлежащий изучению, будет состоять из ФЗ 149, 152 и законодательства в зависимости от вида тайны или сведений конфиденциального характера.

Далее будем прибавлять документы в зависимости от вида организации, в которой осуществляется защита.

В 99 процентов можно оценить вероятность того, что Ваша организация использует в своей работе электронные цифровые подписи (ЭЦП), значит ФЗ №63 от 06.04.2011 г. «Об электронной подписи» необходимо хотя бы прочитать.

В основном положения ФЗ №63 касается деятельности удостоверяющих центров, однако положения статьи 10 об обязанностях участников электронного взаимодействия подлежат исполнению всеми пользователями ЭЦП.

Еще организация может попадать под действие ФЗ №187 «О безопасности критической информационной инфраструктуры». III категорию объекта присваивают обычно организациям транспорта, связи, энергетики. Соответственно для них будет обязательным знание и исполнение ФЗ №187 и множества подзаконных актов по этой тематике.

Помимо законов, прямо связанных с защитой информации, есть ряд нормативных актов, которые хоть и косвенно касаются этой области, но обязательны для исполнения. Знать наизусть их понятное дело не надо. Примером может служить ФЗ №99 от 04.05.2011 «О лицензировании отдельных видов деятельности». Из закона нас интересует пункт 1 статьи 12, а именно подпункты 1-5.

Из них следует, что под лицензирование попадает:

  • разработка, производство, распространение криптографических средств и специальных технических средств, предназначенных для негласного получения информации;
  • деятельность по выявлению электронных устройств, предназначенных для негласного получения информации
  • разработка и производство средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации.

Посмотреть перечень лицензий можно на сайте ФСТЭК:

    Деятельность по технической защите конфиденциальной информации:

Разработка и производство СЗИ:

В отличие от ФСТЭК, ФСБ не публикует перечень лицензий в открытом доступе. Чтобы проверить такую лицензию, нужно обратиться в ФСБ с письменным запросом, указав реквизиты лицензии.

Или, например, Федеральный Закон №184 от 27.12.2002 «О техническом регулировании».

Из статьи 5 закона следует, что для продукции (работ, услуг) используемой для защиты информации, относимой к информации ограниченного доступа обязательными, помимо требований технических регламентов, являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

На практике это означает, что программы или устройства, используемые для защиты информации, должны иметь действующий сертификат ФСБ или ФСТЭК .

Реестр сертифицированных СЗИ на сайте ФСТЭКа:

Почему мы в этом материале затрагиваем темы лицензирования и сертификации? Регуляторы (ФСБ или ФСТЭК) приравнивают выполнение работ по защите информации организацией, не имеющей соответствующей лицензии к отсутствию таких работ, а использование технического средства или программы, с просроченным или отсутствующим сертификатом – к отсутствию таких средств или программ. Результат – нарушение и наказание.

Помимо законов, отношения в области защиты информации регулируются указами и распоряжениями Президента РФ и постановлениями Правительства РФ:

Указы и распоряжения Президента РФ

    «Вопросы федеральной службы по техническому и экспортному контролю» от 16.08.2004 №1085 – определяет цели и задачи ФСТЭК России.

«Основными задачами ФСТЭК России являются:

9) осуществление в пределах своей компетенции контроля деятельности по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации … и организациях ;

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации …

10) выдает предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;»

  • «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 №188.

    • Для государственных учреждений и организаций обязателен для исполнения указ:

    «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351.

    В нем речь идет о подключение информационных систем и сетей государственных органов, содержащих государственную и служебную тайну, к сети Интернет только с использованием шифровальных (криптографических) средств, имеющих сертификат ФСБ или ФСТЭК.

    Постановления Правительства РФ:

      «О лицензировании деятельности по технической защите конфиденциальной информации» от 03.02.2012 г.

    — В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» ФЗ №99 постановлением вводится положение о лицензировании деятельности по технической защите конфиденциальной информации. В положении определен закрытый перечень работ и услуг по защите конфиденциальной информации, подлежащих лицензированию.

  • «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» от 03.03.2012 №171

    • — постановлением утверждено Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, котором определены виды работ и услуг, подлежащие обязательному лицензированию, а также установлены требования к соискателю лицензии в зависимости от лицензирующего органа (ФСБ или ФСТЭК)

    • Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.

    — Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации.

    Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов, например, Роскомнадзора. С ними можно (и нужно) ознакомиться на сайтах соответствующих ведомств.

    Наконец, не забудем про ГОСТы, касающиеся тематики разговора. Вот лишь некоторые для примера:

    • ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
    • ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
    • ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
    • ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
    • ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
    • ГОСТ Р 52069.0-2013 Защита информации. Система стандартов. Основные положения
    • ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура показателей качества
    • ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

    Полный перечень ГОСТов есть на сайте ФСТЭК. Вот ссылка:

    Не соблюдение законов по защите информации влечет за собой угрозы информационной безопасности. Реализация угроз может привести к негативным последствиям, что в свою очередь наказуемо в соответствии с этими законами вплоть до уголовной ответственности (к примеру статьи 272-274 Уголовного кодекса РФ).

    На этой оптимистичной ноте заканчиваем обзор правовых мер защиты информации. Хотелось бы думать, что материал получился доступным для понимания. Переходим к организационным мерам защиты.

    Меры по обеспечению информационной безопасности

    Защита данных
    с помощью DLP-системы

    В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

    Как обеспечить информационную безопасность предприятия

    Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

    Концепция безопасности

    В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

    В концепции обеспечения информационной безопасности предприятия определяются:

    • информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
    • основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
    • модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
    • требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
    • методы и средства защиты информации.

    Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

    После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

    Объекты защиты

    Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия. Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств. Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

    Массивы информации становятся объектами защиты после признания их таковыми и отнесения к конфиденциальной информации.

    Классификация осуществляется как по типу информации, так и по местам ее хранения.

    Конфиденциальную информацию обычно классифицируют следующим образом:

    • персональные данные, подлежащие защите на основании норм федерального законодательства;
    • программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
    • программные продукты, созданные или доработанные в интересах компании;
    • базы документооборота;
    • архивы электронной почты и внутренней переписки;
    • производственная информация, документы стратегического характера;
    • научная информация, данные НИОКР;
    • финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

    Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

    Меры по обеспечению информационной безопасности

    Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

    Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

    • доступность сведений. Под этим определением понимается возможность и для авторизованного субъекта в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
    • целостность информации. Это означает ее неизменность, отсутствие любых посторонних, неавторизованных вмешательств, направленных на изменение или уничтожение данных, нарушение системы их расположения;
    • конфиденциальность или абсолютная недоступность данных для неавторизованных субъектов;
    • отсутствие отказа или невозможность отрицать принадлежность действий или данных;
    • аутентичность или возможность достоверного подтверждения авторства информационных сообщений или действий в системе.

    Организационные меры

    К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

    Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

    • документирование и оптимизацию бизнес-процессов;
    • установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
    • создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
    • информирование или переобучение персонала;
    • организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
    • получение лицензий, например, на работу с государственной тайной;
    • обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
    • создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
    • установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
    • выполнение всех требований законодательства по защите персональных данных;
    • разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

    Технические меры

    К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

    К принципам построения такой системы относятся:

    • простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
    • внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
    • минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
    • использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
    • использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
    • управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
    • протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
    • эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

    При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

    • средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
    • средства антивирусной защиты;
    • SIEM-системы и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

    Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

    Нормативно-правовые акты и документы по защите информации

    Федеральные законы Российской Федерации

    1. «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 г.

    2 . Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

    3. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

    4. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

    5. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»

    6. Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

    7. Федеральный закон от 07.05.2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»

    8. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (начало действия с 01.09.2015 г.)

    Постановления Правительства Российской Федерации

    9. Постановление Правительства от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

    10. Постановление Правительства от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    11. Постановление Правительства от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    12. Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

    Нормативно-правовые акты и документы ФСТЭК России

    13. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России 14.02.2008 г.

    14. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России 15.02.2008 г.

    15. Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

    16. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

    17. «Методический документ. Меры защиты информации в государственных информационных системах», утверждены ФСТЭК России 11.02.2014 г.

    Нормативно-правовые акты и документы ФСБ России

    18. Приказ ФАПСИ при Президенте Российской Федерации от 13.06.2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

    19. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

    20. «Типовые требования по организации функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для использования для обеспечения

    безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/6/6-622 (носят рекомендательный характер)

    21. «Методические рекомендации по обеспечению безопасности персональных данных с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/54-144 (носят рекомендательный характер)

    22. «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержден руководством 8 Центра ФСБ России от 08.08.2009 г. № 149/7/2/6-1173

    23. Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    24. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утверждены руководством 8 Центра ФСБ России от 31.03.2015 г. №149/7/2/6-432

    Нормативно-правовые акты и документы Роскомнадзора

    25. Приказ Роскомнадзора от 16.07.2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных»

    26. Приказ Минкомсвязи России от 14.11.2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»

    27. Приказ Минкомсвязи России от 21.12.2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»

    28. Приказ Роскомнадзора от 03.12.2012 г. № 1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»

    29. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 г.

    30. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»

    31. «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 г.

    32. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

    33. «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утверждены Роскомнадзором 13.12.2013 г.

    34. «Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утверждены Роскомнадзором 30.12.2014 г.

    35. «Федеральный закон «О персональных данных»: научно-практический комментарий», под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжаевой – 2015 г.

    Отдел по организации приема и рассмотрению письменных обращений граждан 8 (3532) 91-15-09
    (многоканальный)

    Отдел организации специализированной и высокотехнологичной медицинской помощи 8 (3532) 77-06-97
    77-35-79

    Телефон «Горячей линии» по обращению граждан по вопросам оказания медицинской помощи 8-800-200-56-03
    8 (3532) 44-89-38

    Конфиденциальная информация: как защитить корпоративные данные

    С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

    Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

    Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

    Источники конфиденциальной информации

    • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

    Документы материальные и представленные в электронном виде.

    Технические средства носителей информации и их обработки.

    Производственные и промышленные отходы и т.д.

    Угрозы конфиденциальной информации

    • Утечка информации.

    Отсутствие доступа к информации.

    Каналы утечки конфиденциальной информации (через организацию деятельности)

    • Деятельность с контрагентами на основе гражданско-правовых договоров.

    Запросы из государственных органов.

    Проведение переговоров с потенциальными контрагентами.

    Посещения территории предприятия.

    Реклама, выставки, публикации в печати, интервью для прессы.

    Каналы утечки конфиденциальной информации (через технические средства)

    По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

      Акустический канал утечки информации.

    Доступ к компьютерной сети.

    Побочные электромагнитные излучения и наводки.

    Каналы утечки конфиденциальной информации (через человеческий фактор)

    • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

    Через уволившихся сотрудников.

    7 важных мер по защите информации

    Есть семь основных направлений работы по защите корпоративных данных от утечек:

    1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
    2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
    3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
    4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
    5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
    6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
    7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

    Подготовительные мероприятия: что нужно сделать для настройки системы защиты

    • Определить, какая информация подлежит или нуждается в защите.

    Оптимизировать защищаемые информационные потоки.

    Определить формы представляемой информации.

    Установить виды угроз защищаемой информации и варианты их реализации.

    Установить, кому может быть интересна защищаемая информация.

    Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

    Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

    Определить сроки актуальности защищаемой информации.

    На что обратить внимание

    • Использование гаджетов на территории предприятия.

    Удаленный доступ к информации.

    Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

    Настройка программного оборудования (особенно после обновления).

    Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

    Разграничение доступа к информации.

    Дробление информации на части.

    5 принципов информационной безопасности

    «Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

    «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

    «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

    «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

    «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

    Запомнить

    • Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
    • Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
    • Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
    • Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

    Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

    • Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
    • Владельцам бизнеса;
    • Начальникам структурных подразделений.

    Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

    Технологии защиты информации в компании

    Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

    Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
    Посмотреть ответ

    Базовые элементы информационной безопасности

    Рассмотрим основные составляющие информационной безопасности:

    • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
    • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
    • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

    Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

    Разновидности угроз информационной безопасности

    Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

    Угрозы доступности

    Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

    Рассмотрим подробнее источники угроз доступности:

    • Нежелание обучаться работе с информационными системами.
    • Отсутствие у сотрудника необходимой подготовки.
    • Отсутствие техподдержки, что приводит к сложностям с работой.
    • Умышленное или неумышленное нарушение правил работы.
    • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
    • Ошибки при переконфигурировании.
    • Отказ ПО.
    • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

    Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

    Угрозы целостности

    Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

    1. Ввод неправильных данных.
    2. Изменение сведений.
    3. Подделка заголовка.
    4. Подделка всего текста письма.
    5. Отказ от исполненных действий.
    6. Дублирование информации.
    7. Внесение дополнительных сведений.

    Внимание! Угроза нарушения целостности касается и данных, и самих программ.

    Базовые угрозы конфиденциальности

    Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

    1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
    2. Использование одних и тех же паролей в различных системах.
    3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
    4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
    5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
    6. Хранение сведений на резервных носителях.
    7. Распространение информации по множеству источников, что приводит к перехвату сведений.
    8. Оставление ноутбуков без присмотра.
    9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

    Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

    Методы защиты информации

    Методы защиты, как правило, используются в совокупности.

    Инструменты организационно-правовой защиты

    Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

    Инструменты инженерно-технической защиты

    Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

    • Защита помещения компании от действий злоумышленников.
    • Защита хранилищ информации от действий заинтересованных лиц.
    • Защита от удаленного видеонаблюдения, прослушивания.
    • Предотвращение перехвата сведений.
    • Создание доступа сотрудников в помещение компании.
    • Контроль над деятельностью сотрудников.
    • Контроль над перемещением работников на территории компании.
    • Защита от пожаров.
    • Превентивные меры против последствий стихийных бедствий, катаклизмов.

    Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

    Криптографические инструменты защиты

    Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

    • Защита конфиденциальности сведений, которые передаются по открытым каналам.
    • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
    • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
    • Сохранение целостности данных при их передаче и хранении.
    • Подтверждение отправки сообщения с информацией.
    • Защита ПО от несанкционированного применения и копирования.

    КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

    Программно-аппаратные инструменты для защиты сведений

    Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

    • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
    • Инструменты для шифрования данных.
    • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
    • Инструменты для уничтожения сведений на носителях.
    • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

    В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.