В своей деятельности предприятия любой формы собственности руководствуются нормами федеральных законов Российской Федерации и правовых актов отраслевого и регионального уровней.
С учетом специфики деятельности на основе базовых законов разрабатываются внутренние положения, с которыми должны быть ознакомлены сотрудники.
По сути, локальные правовые акты конкретизируют обязанности, требования, правила доступа к сведениям, распространение или уничтожение которых может отрицательно сказаться на деловой репутации предприятия.
Разберемся с пакетом документации по информационной безопасности, направленной на обеспечение сохранности данных.
Требования закона к комплектности и содержанию локальных актов по информационной безопасности
Гарантировать целостность данных и предотвратить их потерю позволяет комплексный подход к решению проблем сохранности конфиденциальных сведений, когда наряду с применением технологических средств проводятся организационные мероприятия.
Руководители, перед тем как определиться с политикой информационной безопасности, должны установить потенциальные угрозы, которые возникают в процессе разработки, использования, передачи ценных сведений.
Точного списка внутренних документов для организации работ по защите информации в законодательных актах нет. Поэтому перечни отличаются в зависимости от вида деятельности компании.
Выделим документы, устанавливающие порядок проведения мероприятий с целью защиты данных, наличие которых поможет избежать неприятностей при проверках обеспечения безопасности различными контролирующими органами. Их можно подготовить по шаблонам, конкретизируя нюансы, связанные с деятельностью компании.
1. Положения:
- о защите персональных, секретных, конфиденциальных сведений;
- о правилах пользования внутренней информационной сетью, использования интернет-ресурсов.
2. Распоряжения:
- о назначении ответственных лиц по обеспечению безопасности обработки персональных данных;
- о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним;
- о создании комиссии, которая занимается классификацией системы и присваивает ей соответствующий класс защиты.
3. Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений.
4. Модель угроз безопасности, составленную на основе анализа.
5. Утвержденный список лиц с доступом к информации, имеющей стратегическое значение.
6. Правила:
- проведения процедуры идентификации пользователей;
- установки (инсталляции) программного обеспечения;
- резервирования баз данных, их восстановления при возникновении нештатных ситуаций.
7. Формы журналов учета:
- приема/выдачи съемных носителей данных;
- технических средств для обработки и передачи информации;
- проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами;
- тестирования средств, обеспечивающих конфиденциальность, защиту информации;
- плановых мероприятий, проводимых с целью предотвращения хищений, несанкционированного доступа к секретной информации, выявления потенциальных угроз.
Опционально в организации должны быть локальные документы по обработке, использованию и хранению персональных данных (на основе ФЗ № 152), по использованию криптографических средств для защиты системы.
Чтобы документы внутреннего пользования действительно помогали обеспечивать надежную работу системы, важно, чтобы их разрабатывали при участии ИБ-специалистов.
16.06.2020
В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.
Ключевые моменты закона об информационной безопасности:
- Нельзя собирать и распространять информацию о жизни человека без его согласия.
- Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
- Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
- Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
- Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
- У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
- Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
152-ФЗ «О персональных данных»
Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»
Ключевые моменты закона:
- Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
- Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
- Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
- Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
- Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
Серверы облачной платформы VK Cloud (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.
При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
98-ФЗ «О коммерческой тайне»
Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.
Ключевые моменты закона о защите информации компании:
- Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
- Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
- Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
- Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
- Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
63-ФЗ «Об электронной подписи»
Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона:
- Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
- Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
- Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
- Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Ключевые моменты закона об информационной безопасности критически важных структур:
- Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
- Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
- Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
- Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
- Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
- При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
- Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.
Главные законы об информации и информационной безопасности
- 149-ФЗ об информационной безопасности — устанавливает основные права и обязанности, касающиеся информации и информационной безопасности.
- 152-ФЗ — описывает правила работы с персональными данными.
- 98-ФЗ — определяет, что относится к коммерческой тайне компаний.
- 68-ФЗ — дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
- 187-ФЗ — описывает правила защиты IT-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства. К таким сферам относится здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и некоторая промышленность.
Читать по теме:
- Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать.
- Как защищают персональные данные в облаке.
- Что такое информационная безопасность и какие данные она охраняет.
- Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
В 2021 году охранная система каждого более или менее крупного бизнеса должна быть не только физической, ведь сегодня угрозы корпоративной безопасности могут принимать практически любой, даже самый простецкий вид. Повсеместная глобализация принесла огромное количество преимуществ, но с повальным развитием технологий у предпринимателей появилось множество проблем, касающихся защиты информации. Человек, сумевший добраться до сведений о своих конкурентах, получает мощный перевес для работы на рынке, тем самым превращаясь в настоящего монополиста. Именно поэтому абсолютно каждой организации следует надежно хранить свои данные, предваряя все попытки несанкционированного вторжения.
Что значит комплексная безопасность компании
Нетрудно догадаться, что в современных реалиях вопросы, связанные с охраной тех или иных особо важных данных, выдвигаются перед каждым предприятием, вне зависимости от вида осуществляемой деятельности, организационно-правовой формы и места, занимаемого в отрасли. Всевозможные утечки, связанные, например, с документацией, способны нанести непоправимый ущерб интересам фирмы, в том числе и благодаря усилению позиций конкурентов. К счастью, в 2021 году владельцы разных типов бизнеса могут оперировать целыми перечнями различных средств и систем, не допускающих утечки важной информации.
Сегодня под термином о корпоративной безопасности подразумевается понятие о целом комплексе различных мероприятий, нацеленных на повсеместную протекцию экономических, технических и юридических выгод какой-либо организации. Причем абсолютно все меры внедряются в структуры корпорации пошагово, в соответствии с этапами изначально проработанного и продуманного плана. Выполнить все операции наскоком и рядом быстрых решений не получится: в современных реалиях высокие заборы и охранные посты не представляют собой особой проблемы для злоумышленников. Нынешние бизнесмены борются буквально за каждого клиента, и любая утечка способна решить исход рыночной коммерческой битвы.
Внешние и внутренние угрозы корпоративной безопасности компании
К числу самых популярных проблем, с которыми сталкиваются владельцы бизнеса, не позаботившиеся о должной протекции наличествующих сведений, относятся:
- действия нечистых на руку конкурентов;
- финансовый шантаж;
- незаконные влияния со стороны сотрудников государственных учреждений;
- умышленные кражи, взломы, вторжения;
- случаи некомпетентности сотрудников;
- мошенничество и ситуации, связанные с намеренным непогашением кредитов;
- и т. д.
Готовые решения для всех направлений
Ускорь работу сотрудников склада при помощи мобильной автоматизации. Навсегда устраните ошибки при приёмке, отгрузке, инвентаризации и перемещении товара.
Узнать больше
Мобильность, точность и скорость пересчёта товара в торговом зале и на складе, позволят вам не потерять дни продаж во время проведения инвентаризации и при приёмке товара.
Узнать больше
Обязательная маркировка товаров — это возможность для каждой организации на 100% исключить приёмку на свой склад контрафактного товара и отследить цепочку поставок от производителя.
Узнать больше
Скорость, точность приёмки и отгрузки товаров на складе — краеугольный камень в E-commerce бизнесе. Начни использовать современные, более эффективные мобильные инструменты.
Узнать больше
Повысь точность учета имущества организации, уровень контроля сохранности и перемещения каждой единицы. Мобильный учет снизит вероятность краж и естественных потерь.
Узнать больше
Повысь эффективность деятельности производственного предприятия за счет внедрения мобильной автоматизации для учёта товарно-материальных ценностей.
Узнать больше
Первое в России готовое решение для учёта товара по RFID-меткам на каждом из этапов цепочки поставок.
Узнать больше
Исключи ошибки сопоставления и считывания акцизных марок алкогольной продукции при помощи мобильных инструментов учёта.
Узнать больше
Получение сертифицированного статуса партнёра «Клеверенс» позволит вашей компании выйти на новый уровень решения задач на предприятиях ваших клиентов..
Узнать больше
Используй современные мобильные инструменты для проведения инвентаризации товара. Повысь скорость и точность бизнес-процесса.
Узнать больше
Показать все решения по автоматизации
Политика безопасности компании как составляющая нормативного регулирования
Нетрудно догадаться, что в основе любой крупной организации лежит ряд правоприменительных регламентов, расширяемых и сжимаемых в зависимости от сферы деятельности и размеров предприятия. В рамках присутствующих, функционирующих внутри фирмы положений, в обязательном порядке прописываются меры различной протекции как физической, так и технической или информационной. Причем человек, составляющий своды подобных правил, в обязательном порядке опирается на действующее законодательство.
10 принципов обеспечения безопасности компании
К счастью, в 2021 году бизнесмены могут опираться на выкладки, полученные благодаря анализу деятельности каких-либо других организаций. Специалисты, много лет работающие в сфере СБ, сумели выработать перечень основных, принципиальных моментов, по которым осуществляется протекция любого более или менее успешного бренда:
- комплексность;
- своевременность;
- непрерывность;
- законность;
- плановость;
- целесообразность;
- дублирование;
- специализация;
- совершенствование;
- централизация.
Под каждым из этих терминов скрывается особо важный момент, обязательно принимаемый во внимание во время построения надежной охранной системы в рамках какой-либо фирмы.
Создание эффективной службы безопасности компании: пошаговая инструкция
Как уже говорилось ранее, сегодня владельцу бизнеса не нужно самостоятельно сидеть над планом по проработке структур СБ на своем предприятии. Все выкладки давно написаны компетентными людьми — осталось только продумать способ их внедрения.
Шаг 1. Выбор цели
Поиск явных, неявных и криминальных угроз, с последующими выводами о том, как можно их избежать.
Шаг 2. Постановка целей
Расстановка приоритетов и делегирование некоторых секторов общей задачи отдельным специалистам. Анализ ситуаций, в рамках которых беда уже случилась, с полным исследованием всех возможных последствий.
Шаг 3. Формирование отдела
Максимально приемлемый состав СБ на небольшом предприятии, должен включать в себя трех сотрудников — управляющего, заместителя и аудитора. На иные должности у маленькой компании попросту не хватит средств. Это важный этап системы обеспечения корпоративной безопасности.
Шаг 4. Расчет бюджета
СБ — это структура, не приносящая доходов, но напрямую влияющая на количество всяческих убытков. По статистике, на годовое содержание подобного отдела требуется не менее 3 млн рублей.
Шаг 5. Поиск профессионалов
Учет послужных списков, компетенций, знаний и навыков каждого приглашаемого на работу человека. Желательно отдать предпочтение специалистам, ранее трудившимся в МВД, ФСБ, ФСКН и ФСО.
Объекты ОБ
К числу таковых относятся:
- различные бизнес-процессы;
- руководство корпорации и ее персонал;
- активы и финансовые средства;
- товарно-материальные ценности;
- технологические выкладки;
- информационные ресурсы;
- репутация, имидж и так далее.
Именно по этим направлениям работают классические СБ всевозможных профильных организаций.
Субъекты ОБ
Рассмотрение корпоративной безопасности как системного явления производится с учетом следующих переменных:
- руководящий состав;
- отдельно нанятый сотрудник;
- совещательные органы;
- внешняя команда иного юридического лица;
- собственная группа СБ.
Нетрудно догадаться, что в рамках той или другой компании могут функционировать и смешанные варианты, включающие в себя несколько вышеупомянутых аспектов.
Новая парадигма ответственности
Как уже говорилось ранее, в 2021 году абсолютно каждое предприятие должно заботиться о сохранении собственных тайн, технологических карт, сертификатов, сведений и информационных свидетельств. Сегодня к защитным модулям выдвигаются чрезвычайно высокие требования, касающиеся, в том числе и необходимости в комплексном, повсеместном подходе.
Служба безопасности не справится
Чтобы не столкнуться с ситуацией, в рамках которой нанятые мастера попросту не сумели выполнить свои непосредственные обязанности, руководитель должен:
- Обучить обнаружению критических событий.
- Научить анализу тех или иных угроз.
- Рассказать о методах противостояния.
- Ввести должностные стандарты и регламенты.
- Проработать пошаговые инструкции.
Что больше всего мешает выстраивать систему
Сегодня в числе общеизвестных выкладок присутствует целых пять основных фактов, встающих на пути в виде препятствий у каждого бизнесмена, реализующего комплекс мер по протекции предприятия от внешних и внутренних угроз:
- низкая квалификация в профильной отрасли;
- нехватка профессионалов;
- чрезмерная экономия на сопутствующей отрасли;
- страх потери, казалось бы, нужных специалистов.
Избавившись от представленных проблем, руководитель без особого труда займется операциями по повышению эффективности вверенной ему СБ.
Какие задачи стоят перед новообразованной службой
Нетрудно догадаться, что практически все основные дела только что созданной структуры безопасности должны пролегать в двух плоскостях:
- защита любой информации, представляющей интерес для фирмы;
- предотвращение случаев утечки данных в сторону конкурентов;
- обеспечение стабильного операционного функционирования бренда;
- развитие кадрового состава, увеличение числа мастеров своего дела;
- протекция от нападок со стороны партнеров и так далее.
Абсолютно все перечисленные аспекты в обязательном порядке разбиваются на множества шагов, с последующей их тщательной, внимательной и аккуратной проработкой.
Принципы обеспечения безопасности в компании
К числу таковых относятся:
- создание нормативной отчетности;
- установление брендовой политики;
- оформление инструкций по реагированию на разные ситуации;
- непрерывность и комплексность подхода;
- повсеместная координация;
- адресация управления персоналам.
Сюда входят такие принципиальные моменты, как экономность, прозрачность и открытость всех образуемых структур. Причем один из самых важных этапов заключается именно в приобретении профильного программного обеспечения, позволяющего структурировать все имеющиеся на предприятии информационные выкладки.
Шпаргалка распознавания угроз
Общие рекомендации, выдаваемые персоналу новообразованной СБ, имеют приблизительно такой вид:
- всесторонний подход к каждой ситуации;
- действие по минимальному набору документации;
- применение средств обнаружения и профилактики;
- тщательный и внимательный подбор членов команды;
- развитие лояльности специалистов;
- использование безопасного, надежного ПО.
Подобные советы в обязательном порядке отражаются в нормативных, правоприменительных и внутрикорпоративных инструкциях компании.
Международные организации, предоставляющие услуги по аутсорсинговому обслуживанию в области корпоративной безопасности
Сегодня в сети можно найти огромное количество порталов, рассказывающих о тех или иных брендах, функционирование которых лежит исключительно в плоскости построения модулей СБ. К числу самых надежных предприятий подобного толка относятся:
- ControlRisks;
- Kroll;
- GPW LTD;
- Hartsecurity;
- G4S и так далее.
Профильных брендов, предлагающих аналогичные услуги в рамках общего коммерческого рынка, на самом деле очень много. Однако перечисленные организации обладают непререкаемым авторитетом однозначных лидеров для всей сферы в целом. Их клиенты — это крупные корпорации, индивидуальные предприниматели и небольшие юридические лица, официально зарегистрированные на территории различных стран.
Готовые решения для всех направлений
Ускорь работу сотрудников склада при помощи мобильной автоматизации. Навсегда устраните ошибки при приёмке, отгрузке, инвентаризации и перемещении товара.
Узнать больше
Мобильность, точность и скорость пересчёта товара в торговом зале и на складе, позволят вам не потерять дни продаж во время проведения инвентаризации и при приёмке товара.
Узнать больше
Обязательная маркировка товаров — это возможность для каждой организации на 100% исключить приёмку на свой склад контрафактного товара и отследить цепочку поставок от производителя.
Узнать больше
Скорость, точность приёмки и отгрузки товаров на складе — краеугольный камень в E-commerce бизнесе. Начни использовать современные, более эффективные мобильные инструменты.
Узнать больше
Повысь точность учета имущества организации, уровень контроля сохранности и перемещения каждой единицы. Мобильный учет снизит вероятность краж и естественных потерь.
Узнать больше
Повысь эффективность деятельности производственного предприятия за счет внедрения мобильной автоматизации для учёта товарно-материальных ценностей.
Узнать больше
Первое в России готовое решение для учёта товара по RFID-меткам на каждом из этапов цепочки поставок.
Узнать больше
Исключи ошибки сопоставления и считывания акцизных марок алкогольной продукции при помощи мобильных инструментов учёта.
Узнать больше
Получение сертифицированного статуса партнёра «Клеверенс» позволит вашей компании выйти на новый уровень решения задач на предприятиях ваших клиентов..
Узнать больше
Используй современные мобильные инструменты для проведения инвентаризации товара. Повысь скорость и точность бизнес-процесса.
Узнать больше
Показать все решения по автоматизации
Задачи систем КБ
К перечню таковых относятся:
- создание условий для нормальной работы;
- предотвращение всевозможных инцидентов;
- минимизация рисков;
- защита законных структур бизнеса;
- протекция информационных выкладок;
- проведение охранных мероприятий и так далее.
Принципы построения, процессы и направления корпоративной безопасности предприятия в обязательном порядке направляются как во внутреннюю, так и во внешнюю сторону деятельности фирмы. Причем немаловажную роль играет факт использования персоналом какого-либо профессионального или непрофессионального программного обеспечения.
От качества и степени надежности софта зависят случаи утечки нужных данных, и именно поэтому владельцу бизнеса следует подумать о покупке по-настоящему стоящего своих денег ПО.
Для эффективного функционирования и автоматизации различных бизнес-процессов подходит софт от «Клеверенс», который позволяет не только быстро и безопасно проводить все операции, но и помогает повысить эффективность работы предприятия в целом.
Основные виды угроз интересам компании
К числу таковых относятся:
- конкуренция;
- человеческий фактор;
- деятельность государственных органов;
- организованная преступность;
- техногенные и природные катастрофы.
Сотрудники обязаны иметь достойный ответ на проблему любого характера.
Функционирование СБ осуществляется на принятии во внимание следующих принципов:
- комплексность;
- своевременность;
- плановость;
- централизация;
- кооперация;
- законность;
- активность и так далее.
Средства обеспечения протекции
Могут быть техническими, организационными, информационными, финансовыми, правовыми, кадровыми и интеллектуальными.
Подсистемы охранительных структур
К числу таковых относятся следующие разновидности модулей безопасности:
- информационная;
- кадровая;
- физическая;
- личная;
- территориальная;
- правовая и пр.
Причем с любым из перечисленных аспектов должен взаимодействовать отдельный специалист, обладающий соответствующими компетенциями.
Способы функционирования СБ
Основы, риски и задачи корпоративной безопасности организации при проработке инструкций должны учитывать следующий набор методик:
- изменение местоположения;
- устранение объекта опасности;
- маскировка настоящего положения дел;
- активация охранных структур.
Нетрудно догадаться, что на каждый регламент пишется собственная пошаговая инструкция, шаги которой проанализированы заранее.
Служба безопасности компании
Как уже говорилось ранее, в небольших организациях сопутствующий отдел должен состоять из, максимум, трех людей — управленца, заместителя и аналитика. В рамках более крупных компаний ячейка расширяется соответственно габаритам и конфигурации бизнеса.
Подготовка к созданию служб, департаментов, руководителей и отделов комплексной корпоративной безопасности
Здесь основную роль играет плановый подход — предварительное оформление всех будущих шагов. После создания определенной нормативной документации ответственный человек должен неукоснительно следовать заранее созданной схеме действий. Нетрудно догадаться, что основной момент заключается, в том числе и в проработке внутриполитических стандартов для всей фирмы в целом. Заниматься подобными операциями должен сотрудник, спокойной обращающийся с текущими разделами законодательства Российской Федерации. Даже у небольшой фирмы на содержание СБ уходит порядка 3 000 000 рублей в год. Именно поэтому цена ошибки велика, так как данные активы направлены не на увеличение прибыли, а на снижение возможных расходов.
Особенность построения охранительных служб в условиях экономического кризиса
В 2021 году бизнесу пришлось столкнуться со множеством проблем, касающихся международной пандемии и предпосылок надвигающегося финансового упадка. Добиться немалых успехов в деле создания эффективной и оптимальной протекции сегодня можно только с использованием следующих принципов:
- определение направлений, оставляемых на аутсорсинг;
- привлечение сотрудников непрофильных отделов к антикризисным процессам;
- внутрикорпоративные расследования;
- вычисление ненадежных партнеров и контрагентов;
- внесение изменений в общие концепции и так далее.
Модернизации должна подвергаться, в том числе и политика обеспечения безопасности на корпоративных мероприятиях.
Количество показов: 12401
В 2022 году расширили список организаций, которые должны следить за информационной безопасностью. Теперь это не только стратегические предприятия и госструктуры, но и тысячи юридических лиц. Первый доклад в правительство они должны сдать уже 1 июля.
1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность на первых лиц компаний. В документе он перечислил, какие именно организации должны ее обеспечивать:
- органы исполнительной власти;
- высшие исполнительные органы государственной власти российских регионов;
- государственные фонды;
- госкорпорации и организации, которые созданы на основе федеральных законов;
- стратегические предприятия, акционерные общества и системообразующие организации российской экономики;
- юрлица — субъекты критической информационной инфраструктуры РФ.
Многие из этих организаций и так занимались вопросами обеспечения информационной безопасности. Однако некоторые акционерные общества, системообразующие организации российской экономики и субъекты критической информационной структуры РФ подключатся к ним впервые.
22 июня правительство выпустило перечень организаций, которые должны оценить уровень защищенности своих информационных систем. В него попали 72 организации.
В будущем и другие организации, упомянутые в Указе, будут оценивать свою защищенность. Определить, попадает ли компания под требования Указа, можно и из других нормативных актов.
Перечни предприятий, которые утверждены другими законами
Конкретные списки в других нормативных актах и законах есть для стратегических предприятий и акционерных обществ (Указ Президента от 04.08.2004 № 1009) и системообразующих организаций российской экономики (Письмо Минэкономразвития от 23.03.2020 № 8952-РМ/Д18).
Для субъектов критической информационной структуры подробного перечня организаций нет. Согласно закону, субъекты критической информационной инфраструктуры — это госорганы, госучреждения, российские юридические лица и ИП, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления в следующих сферах (ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ):
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банки и другие сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная энергия;
- оборонная;
- ракетно-космическая;
- горнодобывающая;
- металлургическая промышленность;
- химическая промышленность.
Обратите внимание, субъект критической информационной структуры — это не только тот, кому принадлежат такие объекты, но и тот, кто обеспечивает информационное взаимодействие компаний с критически значимыми системами.
Обеспечьте безопасность объектов критической информационной структуры по требованиям ФСТЭК
Заказать услугу
Как именно компании должны обеспечивать информационную безопасность
Они должны обнаруживать, предупреждать и ликвидировать последствия компьютерных атак и реагировать на компьютерные инциденты. Для этого глава государства обязал компании создать специальные структурные подразделения или возложить обязанности на существующие.
Отвечать за информационную безопасность будут персонально руководители компаний (п. 2 Указа № 250).
Как и в каком виде нужно до 1 июля отчитаться перед правительством
Организации из перечня правительства должны до 1 июля предоставить доклад. Как именно он должен выглядеть и в каком виде, пояснений нет.
Но 3 июня Минцифры разработало рекомендации по исполнению 4 пункта Указа и разместило типовое техническое задание, а также типовую форму отчета. Скорее всего, она и станет основой для будущих аудитов.
Кто может оценить информационную безопасность компании
Типовое техническое задание содержит инструкции, которые помогут компаниям оценить защищенность информации и найти следы утечек и взлома информационной инфраструктуры злоумышленником.
Если кратко, это примерный алгоритм проверки, который похож на пентест информационной безопасности по компании в целом.
Согласно рекомендациям Минцифры, чтобы оценить защищенность, компании должны:
- выявить и консолидировать стратегические риски информационной безопасности;
- выявить уязвимость информационной инфраструктуры и технических средств обработки информации;
- выявить недостатки применяемых средств защиты информации и программных продуктов, оценить возможности их использования нарушителем;
- проверить практическую возможность использования уязвимостей;
- получить оценки текущего уровня защищенности на основе объективных свидетельств;
- разработать маршрутную карту модернизации информационной инфраструктуры.
Сделать это могут сами компании либо привлечь стороннюю организацию. Однако оценивать информационную безопасность могут только организации с лицензией от ФСТЭК на деятельность по технической защите конфиденциальной информации (п. 1.в Указа № 250). Реестр таких компаний находится в свободном доступе.
Никита Ярков, эксперт Контура
Любовь Крапивина, руководитель отдела продаж Контур.Безопасности
- Требования ФСТЭК по защите информации
- Меры по обеспечению информационной безопасности
- Рекомендации по технической защите данных
- Документы ФСТЭК по защите данных
- Сертифицированные средства защиты ФСТЭК
- Классы средств защиты данных
- Госреестр средств защиты информации
- Лицензирование деятельности по технической защите информации
ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз. Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне. На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.
Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.
Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00. Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.
Требования ФСТЭК по защите информации
Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.
Выполнение требований регулятора по технической защите информации обязательно при:
- оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
- проведении работ по обеспечению государственной и банковской тайн;
- выполнении обязанностей оператора персональных данных (ПНд);
- передаче информации посредством сети Интернет.
Требования ФСТЭК по технической защите информации распространяются на:
- программное обеспечения и оборудование;
- внешние носители;
- средства связи и шифровки/дешифровки данных;
- операционные системы;
- прочие технические средства хранения, обработки, передачи сведений;
- персональные данные;
- специалистов по обеспечению информационной безопасности.
Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:
- использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
- возможность ограничения и управления правами доступа к персональной информации;
- физическая и программная защита носителей информации;
- регистрация событий безопасности и ведение их журнала;
- применение средств антивирусной защиты;
- регулярный контроль защищенности ПНд;
- обнаружение и предотвращение вторжений, несанкционированного доступа;
- обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
- соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.
Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.
Требования ФСТЭК к специалистам по защите информации включают в себя понимание:
- основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
- в области сертификации средств защиты информации;
- о государственной системе противодействия иностранным техническим разведкам.
К профессиональным знаниям специалистов относится:
- подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
- ориентация в сфере комплексных СЗИ;
- понимание основ методологии построения СЗИ;
- умение работать со средствами контроля защищенности баз данных (БД) и т.д.
С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.
Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.
Меры по защите информации ФСТЭК
Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.
Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.
Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:
- К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
- Требования по охране данных и информации базируются на ряде ГОСТов.
- Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
- Модели угроз основываются на документах и баз ФСТЭК.
Организационные мероприятия предотвращают неправомерные:
- доступ, хищение и распространение закрытых данных;
- уничтожение/изменение целостности данных;
- препятствие получению информации, нарушающее права пользователей.
- Важное значение имеет разработка пакета организационных и распорядительных документов для:
- регламентации процесса безопасности хранения данных;
- порядка выявления инцидентов безопасности;
- регламентации управления конфигурированием информационных систем по защите данных;
- установления методов мониторинга информсистем.
Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.
Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:
- идентификации, аутентификации;
- управления доступом к данным с возможностью контроля;
- ограничений по использованию программ;
- защиты всех информационных носителей;
- ведение регистрационного учета инцидентов в сфере безопасности;
- отслеживания вторжений извне;
- обеспечения целостности находящейся на хранении и обрабатываемой информации;
- защиты в облачной среде.
Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.
Рекомендации ФСТЭК по защите информации
Методические рекомендации ФСТЭК по защите данных предусматривают использование:
- межсетевых экранов, фильтрующих информацию по установленным критериям;
- средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
- антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
- доверенной загрузки;
- контроля за съемными носителями.
ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.
Методические документы и приказы ФСТЭК по защите информации
Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.
Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти. ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д. – полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:
- Приказы ФСТЭК по защите информации;
- Положение ФСТЭК о защите информации;
- Документы ФСТЭК по защите персональных данных базируются на Федеральном законе о персональных данных;
- Одним из основных документов для операторов является положение о лицензировании технической защиты конфиденциальной информации.
- Методические рекомендации и руководящие документов по технической защите информации.
Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:
- федеральное законодательство;
- распоряжения и указы Президента РФ;
- постановления правительства РФ;
- документация ФСБ, ФСТЭК, Роскомнадзора;
- общероссийские стандарты;
- документы руководящие, нормативно-методические.
Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.
В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.
Сертифицированные средства защиты ФСТЭК
Функции ФСТЭК в области сертификации средств защиты информации заключаются в:
- создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
- формировании правил проведения сертификации средств защиты данных;
- аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
- выборе способов подтверждения соответствия СЗИ требования нормативных документов;
- выдаче сертификатов и лицензий на использование знаков соответствия;
- ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
- осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
- рассмотрении апелляций по вопросам сертификации;
- утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.
Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.
Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.
Классы средств защиты информации ФСТЭК
Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.
Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз. Выбор оптимального защитного средства зависит напрямую от класса системы. В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.
Госреестр средств защиты информации ФСТЭК России
Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.
Лицензирование деятельности по технической защите информации ФСТЭК
Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.
Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.
Виды лицензий, связанных с деятельностью:
- по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
- на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
- на разработку и производство средств безопасности;
- на выстраивание мероприятий по сохранности гостайны.
При оформлении лицензии используются только некриптографические методы.
Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.
Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.
1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
- Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
- Инструкция администратора безопасности
- Инструкция ответственного за организацию обработки персональных данных
- Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
- Инструкция по реагированию на инциденты информационной безопасности
- Инструкция пользователя государственной информационной системы
- Приказ об утверждении внутренних нормативных актов по защите информации
- Политика информационной безопасности в составе:
- — Общие положения
- — Технологические процессы обработки защищаемой информации в информационных системах
- — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
- — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
- — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
- — Правила и процедуры выявления, анализа и устранения уязвимостей
- — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
- — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
- — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
- — Форма задания на внесение изменений в списки пользователей информационной системы
- — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
- — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
- — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
- — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
- — Форма списка разрешенного программного обеспечения в информационной системе
- — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
- — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
- — Порядок резервирования информационных ресурсов
- — План обеспечения непрерывности функционирования информационной системы
- Приказ об организации контролируемой зоны
- Положение о контролируемой зоне
- План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
- Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
- Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
- Форма журнала учета приема/выдачи съемных машинных носителей информации
- Форма журнала учета средств защиты информации
- Форма журнала учета периодического тестирования средств защиты информации
- Форма журнала проведения инструктажей по информационной безопасности
- Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
- Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
- Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
- Приказ о классификации государственной информационной системы
- Форма акта классификации государственной информационной системы
- Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
- Положение о защите и обработке персональных данных в составе:
- — Общие положения
- — Основные понятия и состав персональных данных
- — Общие принципы обработки персональных данных
- — Порядок сбора и хранения персональных данных
- — Процедура получения персональных данных
- — Передача персональных данных третьим лицам
- — Трансграничная передача персональных данных
- — Порядок уничтожения и блокирования персональных данных
- — Защита персональных данных
- — Согласие на обработку персональных данных
- — Организация доступа работников к персональным данным субъектов
- — Организация доступа субъекту персональных данных к его персональным данным
- — Права и обязанности оператора персональных данных
- — Права и обязанности работников, допущенных к обработке персональных данных
- — Права субъекта персональных данных
- — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
- Правила рассмотрения запросов субъектов персональных данных или их представителей
- Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
- Форма перечня лиц, допущенных к обработке персональных данных
- Политика в отношении обработки персональных данных
- Приказ об определении уровня защищенности персональных данных
- Форма акта определения уровня защищенности персональных данных
- Правила обработки персональных данных без использования средств автоматизации
- Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
- Форма акта уничтожения персональных данных
- Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
- Форма согласия субъекта на обработку его персональных данных
- Положение о системе видеонаблюдения
- Форма соглашения о неразглашении персональных данных
- Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
- Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
- Форма перечень сотрудников, допущенных к работе с СКЗИ
- Инструкция по обеспечению безопасности эксплуатации СКЗИ
- Форма акта об уничтожении криптографических ключей и ключевых документов
- Схема организации криптографической защиты информации
5. Модель угроз безопасности информации
Общий порядок действий по созданию систем защиты информации
Общий порядок действий по созданию систем защиты информации
Система защиты информации (применительно к органу управления, организации,
учреждению – это совокупность органов и (или) исполнителей,
используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по
правилам и нормам, установленным соответствующими документами в области защиты информации (пункт
2.4.3.
Национального стандарта Российской Федерации ГОСТ Р50922-2006
«Защита информации. Основные термины и определения»).
В организационную структуру системы входят:
-
руководитель – несет персональную ответственность за обеспечение
информационной безопасности (устав организации, положение об органе); -
заместитель руководителя, курирующий вопросы информационно-технической
безопасности (должностной регламент); -
постоянно действующий коллегиальный орган, вырабатывающий предложения по
решению проблемных вопросов в области защиты информации; (положение о
комиссии); -
подразделение или специалист, ответственные за реализацию мероприятий по
технической защите информации (положение о подразделении, должностная
инструкция или регламент специалиста).
Система защиты информации (применительно к объекту обработки информации) –
это совокупность организационных мероприятий, технических, программных
и программно-технических средств защиты информации
и средств контроля эффективности защиты информации
(пункт 3.3 Национального стандарта Российской
Федерации ГОСТ Р51583-2014
«Защита информации. Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения»).
Задачи, решаемые системой защиты информации:
-
исключение неправомерных доступа, копирования, предоставления или
распространения информации (обеспечение конфиденциальности информации); -
исключение неправомерных уничтожения или модифицирования информации
(обеспечение целостности информации); -
исключение неправомерного блокирования информации (обеспечение
доступности информации).
Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации
состоит из стадии создания системы и стадии эксплуатации.
Стадию создания осуществляет (организует) обладатель информации, заказчик;
стадию эксплуатации СЗИ осуществляет оператор.
Жизненный цикл системы защиты информации объекта информатизации
— совокупность взаимоувязанных процессов последовательного изменения
состояния системы защиты информации конкретного объекта от принятия решения
о необходимости защиты обрабатываемой на нем информации до окончания его
эксплуатации.
Стадия (этап) жизненного цикла
– часть жизненного цикла, характеризующаяся определенным состоянием системы
защиты информации, совокупностью видов предусмотренных работ с их конечными
результатами.
Обладатель информации
– лицо, создавшее информацию и (или) имеющее право разрешать или
ограничивать доступ к информации.
Заказчик
– лицо, заключившее контракт на создание объекта обработки информации.
Оператор
– лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее
обработку содержащейся в нем информации.
Уполномоченное лицо
– лицо, осуществляющее на договорной основе с заказчиком или оператором
обработку информационного ресурса и (или) предоставляющее для этих целей
вычислительные ресурсы.
Поставщик информации
– лицо, наделенное полномочиями по предоставлению сведений для их внесения
в базу данных объекта.
Этапы стадии создания системы защиты информации
- Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
- Этап 2. Разработка системы защиты информации (этап проектирования).
- Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
- Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).
Формирование требований к системе защиты информации
Этап 1 осуществляется обладателем информации (заказчиком).
Перечень работ на этапе 1:
- Принятие решения о необходимости защиты обрабатываемой информации.
-
Классификация объекта по требованиям защиты информации (установление
уровня защищенности обрабатываемой информации). -
Определение угроз безопасности информации, реализация которых может
привести к нарушению безопасности обрабатываемой информации. - 4. Определение требований к системе защиты информации.
Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач,
обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные
характеристики объекта и режим обработки информации:
Характеристики объекта:
- статус (принадлежность) объекта (государственный, муниципальный, иной);
- структура объекта (локальный или распределенный);
- масштаб объекта (федеральный, региональный, объектовый);
- наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
- режим обработки информации (одно или многопользовательский);
- уровень доступа (с разграничением или без разграничения);
-
перечень технологических операций (чтение, поиск, запись, удаление,
сортировка, модификация, передача, голосовой ввод,); -
используемые информационные технологии (беспроводный, удаленный доступ,
виртуализация, мобильные объекты, туннелирование и пр.),
Категория информации, подлежащей защите, и свойства ее безопасности:
- информация ограниченного доступа (конфиденциальность, целостность, доступность);
- общедоступная информация (целостность, доступность),
Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:
- защита информации, составляющей государственную тайну;
- защита государственного информационного ресурса, не отнесенного к государственной тайне;
- обеспечение безопасности персональных данных в иных информационных системах;
- обеспечение безопасности критической информационной инфраструктуры;
- обеспечение безопасности информации в информационных системах общего пользования.
Более подробно правовое сопровождение защиты информации рассмотрено в
разделе
экономических и правовых аспектов защиты информации.
Актуальным на этом этапе видится формулирование целей и задач защиты информации.
Цель защиты информации
— минимизировать (предотвратить) ущерб обладателю информации из-за
возможных нарушений свойств ее безопасности.
Задача защиты информации
— обеспечить необходимый уровень защищенности информации от нарушений ее
целостности, доступности, конфиденциальности.
Решение оформляется локальным нормативным правовым актом,
в котором отражаются цели и задачи защиты информации, этапы и сроки
создания системы защиты информации, функционал и ответственность обладателя
информации, заказчика и оператора.
Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:
| Действие | Документ |
|---|---|
| 1. Принятие решения о необходимости защиты информации | Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации |
| 2. Классификация по требованиям защиты информации (по уровню защищенности информации) | Акт классификации по требованиям безопасности информации |
| 3.Определение актуальных угроз безопасности информации | Частная модель угроз безопасности информации |
| 4. Определение требований к системе защиты информации | ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации |
Разработка системы защиты информации
Этап 2
— разработка системы защиты информации – организуется обладателем информации (заказчиком).
Перечень работ на этапе 2:
- Проектирование системы защиты информации.
- Разработка эксплуатационной документации на систему защиты информации.
Положением о лицензировании деятельности по технической защите
конфиденциальной информации, утвержденном постановлением Правительства
Российской Федерации от 3 февраля 2012 г. №79
«О лицензировании деятельности по технической защите конфиденциальной информации» с учетом
изменений, внесенных постановлением правительства российской федерации от
15 июня 2016 г. №541
«О внесении изменений в некоторые акты Правительства
Российской Федерации по вопросам лицензирования отдельных видов
деятельности» определены виды работ и услуг по технической защите
конфиденциальной информации, подлежащие обязательному лицензированию:
работы и услуги по аттестационным испытаниям и аттестации на соответствие
требованиям по защите информации, а также работы и услуги по проектированию
в защищенном исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений.
Согласно Федеральному закону от 27.12.2002 №184-ФЗ
«О техническом регулировании», оценка соответствия средств (продукции) защиты информации,
предназначенных для обеспечения безопасности государственного
информационного ресурса ограниченного доступа и персональных данных,
проводится в форме обязательной сертификации.
В зависимости от вида защищаемой информации, следует
руководствоваться Постановлением Правительства Российской Федерации от 26
июня 1995 г. №608
«Положение о сертификации средств защиты информации» —
для информации ограниченного доступа, либо Постановлением Правительства
Российской Федерации от 15 мая 2010 г. №330
«Положение об особенностях оценки соответствия продукции…» — для государственных
информационных ресурсов и персональных данных.
Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:
| Действие | Документ |
|---|---|
| 1.Проектирование системы защиты информации | Технический проект (рабочая документация) на создание системы защиты информации |
| 2.Разработка эксплуатационной документации на систему защиты информации |
Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств. Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации. |
Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации
- Технический паспорт с указанием состава и мест установки ее технических и программных средств.
- Описание технологического процесса обработки информации.
- Описание параметров и порядка настройки средств защиты информации.
- Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
- Ведомость и журнал учета применяемых машинных носителей информации.
- Правила эксплуатации системы защиты информации.
Внедрение системы защиты информации
Этап 3
— Внедрение системы защиты информации – организуется обладателем информации
(заказчиком) с привлечением оператора. Перечень работ на этапе 3:
- Установка и настройка средств защиты информации.
-
Внедрение организационных мер защиты информации, в том числе, разработка
документов, определяющих правила и процедуры, реализуемые оператором для
обеспечения защиты информации в ходе эксплуатации объекта. - Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
- Испытания и опытная эксплуатации системы защиты информации.
Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:
| Действие | Документ |
|---|---|
| 1. Установка и настройка средств защиты информации | Акт установки средств защиты информации |
| 2.Внедрение организационных мер, разработка организационно-распорядительных документов | Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации |
| 3.Выявление и анализ уязвимостей | Протокол контроля уязвимостей программного обеспечения и технических средств |
| 4.Испытания и опытная эксплуатации системы защиты информации | Протоколы контроля оценки эффективности средств и оценки защищенности информации |
Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:
- Порядок администрирования системой защиты информации.
- Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
- Порядок управления конфигурацией объекта и его системы защиты информации.
- Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
- Порядок защиты информации при выводе из эксплуатации объекта.
Подтверждение соответствия системы защиты информации
Этап 4
— подтверждение соответствия системы защиты информации – организуется
обладателем информации (заказчиком) или оператором. Перечень работ на этапе
4 определяется в Программе и методиках аттестационных испытаний,
разрабатываемой до их начала. Документ формируется исполнителем работ и
согласовывается с заявителем.
Общие требования к структуре и содержанию программ и
методик аттестационных испытаний на соответствие требованиям безопасности
информации, выполнение которых позволяет защитить информацию от утечки по
техническим каналам, от несанкционированного доступа и от специальных
воздействий определяются национальным стандартом ГОСТ РО
0043-004-2013
«Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
Аттестация
– комплекс организационных и технических мероприятий, в результате которых
подтверждается соответствие системы защиты информации объекта
информатизации (информационной системы) требованиям безопасности
информации.
Аттестация объектов информатизации делится на обязательную и добровольную.
Обязательная аттестация
проводится в принятых законодательством случаях для
определения соответствия системы защиты информации объекта исключительно
требованиям, установленным федеральными нормативными правовыми актами.
Добровольная аттестация
проводится по инициативе заявителя для определения соответствия системы
защиты информации объекта требованиям, установленным национальными
стандартами, владельцем информации или владельцем объекта.
Обязательной аттестации подлежат государственные (муниципальные)
информационные системы и их сегменты, содержащие информацию ограниченного
доступа, добровольной – все иные информационные системы.
Порядок проведения аттестации информационных систем по требованиям безопасности информации:
- Подача и рассмотрение заявки на аттестацию.
- Предварительное ознакомление с аттестуемым объектом (при необходимости).
- Разработка программы и методики аттестационных испытаний.
- Проведение аттестационных испытаний объекта.
- Оформление, регистрация и выдача аттестата соответствия.
Подача и рассмотрение заявки на аттестацию объекта информатизации:
-
Заявителем выбирается исполнитель работ по аттестации объекта
информатизации (организация-лицензиат по технической защите
конфиденциальной информации). - Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
-
Исполнителем рассматривается заявка, принимается решение о порядке
аттестации, готовятся договорные документы на оказание услуг по аттестации
объекта информатизации.
При недостаточности исходных данных в порядок аттестации включаются
работы исполнителя по предварительному ознакомлению с аттестуемым
объектом.
Структура и содержание программы и методики аттестационных испытаний
определяется Национальным стандартом ограниченного распространения ГОСТ РО
0043-004-2013
«Защита информации. Аттестация объектов информатизации.
Программа и методики аттестационных испытаний»
Аттестуемая распределенная информационно-телекоммуникационная система
Основные документы, формируемые по результатам исполнения работ на
этапе подтверждения соответствия системы защиты информации:
| Действие | Документ |
|---|---|
| 1.Аттестационные испытания системы защиты информации | Протоколы и заключение по результатам аттестационных испытаний |
| 2.Оформление результатов аттестационных испытаний | Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия |
После подтверждения соответствия системы защиты информации осуществляется
переход на другую стадию жизненного цикла – стадию эксплуатации.
Этапы стадии эксплуатации системы защиты информации
- Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
- Этап 6. Промышленная эксплуатация системы защиты информации.
- Этап 7. Вывод из эксплуатации системы защиты информации.
Этап 5 — ввод системы защиты информации
в постоянную эксплуатацию – осуществляется оператором.
Решение о вводе оформляется локальным нормативным правовым актом, в котором
определяются должностные лица, ответственные за эксплуатацию и
сопровождение системы защиты информации: начальник объекта, системные
администраторы, администраторы информационной безопасности.
Этап 6 —
промышленная эксплуатация системы защиты информации – осуществляется оператором.
Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и
реагирование на них, управление конфигурацией объекта и его системой защиты
информации, контроль за обеспечение необходимого уровня защищенности информации.
Заявители:
-
осуществляют эксплуатацию объекта информатизации в соответствии с
требованиями безопасности информации, а также условиями и ограничениями,
установленными эксплуатационной документацией на систему защиты информации,
и аттестатом соответствия; -
извещают орган по аттестации (организацию), выдавший аттестат
соответствия, о всех изменениях в информационных технологиях, составе и
размещении средств и систем, условиях их эксплуатации, которые могут
повлиять на эффективность системы защиты информации; -
предоставляют необходимые документы и условия для осуществления контроля
и надзора за соблюдением порядка аттестации и за эксплуатацией
аттестованного объекта информатизации.
Органы по аттестации:
- отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
-
проводят на договорной основе оценку эффективности средств защиты
информации и оценку защищенности информации от несанкционированного
доступа.
Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия
или повышения класса защищенности информационной системы.
При увеличении состава угроз безопасности информации или изменении
проектных решений, реализованных при создании системы защиты информации
ГИС, проводятся дополнительные аттестационные испытания в рамках
действующего аттестата соответствия.
Продление срока действия сертификата организацией, эксплуатирующей СЗИ:
Организация, эксплуатирующая средство защиты информации,
заблаговременно, но не позднее чем за
три месяца до окончания срока действия сертификата соответствия, связывается с организацией –
первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия
сертификата соответствия и о порядке получения копии продленного сертификата.
В случае получения информации об отсутствии намерений первичного заявителя
продлевать сроки действия сертификата соответствия эксплуатирующая
организация
самостоятельно направляет в Федеральный орган по сертификации
(ФСТЭК России) соответствующую заявку установленного образца (не позднее,
чем за один месяц до окончания срока действия сертификата).
Этап 7
— вывод системы защиты информации из эксплуатации — осуществляется оператором.
На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной
информации с машинных носителей информации, уничтожение машинных носителей информации.
