Информация всегда играла чрезвычайно важную роль в жизни человека. Общеизвестно высказывание о том, что тот, кто владеет информацией, тот владеет и миром. С давних времен сбор и систематизация сведений об окружающем мире помогали человеку выживать в нелегких условиях – из поколения в поколение передавался опыт и навыки изготовления орудий охоты и труда, создания одежды и лекарств. Уже тогда известные мастера, ремесленники и врачи осознавали, что информация, которой они владеют, это залог их успеха и процветания и она не должна быть общедоступной.

В современном мире изменились только две вещи: объем информации и способы её обработки. Коммерческая тайна, производственные секреты, ноу-хау, базы данных клиентов, персональные данные – все это критически важная для бизнеса информация, доступ и использование которой должны быть тщательно регламентированы.

Нарушение конфиденциальности информации может быть связано как с мошеннической деятельностью сотрудников компании, так и вызвано действиями вредоносного программного обеспечения или внешних злоумышленников. Независимо от этого, задача защиты конфиденциальных данных должна решаться комплексно: от разработки документации, процедур реагирования и оценки рисков до внедрения технических средств защиты.

Для решения указанных проблем и существует деятельность по технической защите конфиденциальной информации. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Деятельность по технической защите конфиденциальной информации лицензированию включает в себя:

1. контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
   • средствах и системах информатизации;
   • технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
   • помещениях со средствами (системами), подлежащими защите;
   • помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);
2. контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
3. сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
4. аттестационные испытания и аттестация на соответствие требованиям по защите информации:
   • средств и систем информатизации;
   • помещений со средствами (системами) информатизации, подлежащими защите;
   • защищаемых помещений;
5. проектирование в защищенном исполнении:
   • средств и систем информатизации;
   • помещений со средствами (системами) информатизации, подлежащими защите;
   • защищаемых помещений;
6. установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Аттестация объектов информатизации

Одним из ключевых направлений деятельности по технической защите конфиденциальной информации является проведение аттестаций объектов информатизации. Аттестация представляет собой набор технических и организационных мероприятий, которые необходимо выполнить для обеспечения необходимых условий безопасной циркуляции конфиденциальной информации в объектах информатизации. Аттестация проводится на основании требований и рекомендация ФСТЭК России.

Существует два вида объектов информатизации: защищаемые помещения и автоматизированные системы. Защищаемые помещения предназначены для ведения переговоров и меры безопасности в них прежде всего направлены на обеспечение защиты речевой информации. В свою очередь цель защищённых автоматизированных систем – безопасная обработка важной информации с предотвращением несанкционированного доступа к ней.

Наличие Аттестата соответствия подтверждает эффективность принятого комплекса мер и средств защиты информации, что дает Вам возможность выполнять все требования законодательства при эксплуатации объектов информатизации, а также дает право в течение 3 лет обрабатывать конфиденциальную информацию.

Аттестация по требованиям безопасности информации ОБЯЗАТЕЛЬНА, если:

• В Вашей Организации планируется работа с государственной информационной системой (ГИС), либо используется информационная система, подходящая под определение ГИС;
• Вы хотите получить лицензию на деятельность, связанную с технической защитой конфиденциальной информации или средствами криптографической защиты информации;

РЕКОМЕНДУЕТСЯ, если:

• Вы хотите обеспечить защиту ваших рабочих мест (ПК или ноутбуков) от возможного несанкционированного доступа и утечки информации по техническим каналам;
• Вы хотите защитить вашу переговорную комнату или кабинет от возможного прослушивания (как внешнего, так и внутреннего).

Защита персональных данных

Другим важным видом деятельности по технической защите конфиденциальной информации является защита персональных данных.

Защита персональных данных была и остается одной из наиболее острых проблем в информационных отношениях между гражданами, государством, корпорациями. В Конституции, в законах Российской Федерации можно найти положения, которые признают важность одного из фундаментальных прав человека – права на неприкосновенность частной жизни. И с вступлением в силу 152-ФЗ в 2006 г. начал строиться эффективный механизм защиты этого права в России.

Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п. А обязанность по защите этих данных возлагается на организацию, в которой они обрабатываются. Данное положение закрепляется статьёй 19 Федерального закона «О персональных данных». Оператор вправе поручить обработку, в том числе и защиту персональных данных другому лицу на основании договора при условии получения согласия субъектов ПДн.

Обязанность по контролю исполнения требований, а также по разработке необходимых нормативных документов возложены на уполномоченные органы исполнительной власти. Наличие таких органов подразумевает не только защиту персональных данных в интересах оператора, но и говорит об обязанности делать это правильно, с соблюдением требованием законодательства.

На данный момент времени уполномоченными органами являются:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России);
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности (ФСБ России).

Данные органы действуют строго в рамках своей компетенции. Таким образом, Роскомнадзор отвечает за общий контроль и надзор, представление интересов физических лиц при обработке их ПДн в организациях. ФСТЭК России регламентирует только вопросы технической защиты персональных данных, а ФСБ — вопросы криптографической защиты при передаче ПДн по каналам связи. Причем при осуществлении своих функций знакомиться с ПДн, обрабатываемыми в организации, имеют право только сотрудники Роскомнадзора.

За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность. Так для организаций-нарушителей штраф может исчисляться в размере от 40 000 до 300 000 руб., может быть заблокирован сайт и приостановлена деятельность организации на срок до 90 суток, а по отношению к руководителю организации могут быть применены следующие санкции штраф в размере от 100 000 до 300 000 руб., лишение свободы на срок до 4 лет.

Исходя из выше сказанного АО «Информационный центр» (АО ИЦ) предоставляет услуги по защите конфиденциальной информации в рамках лицензии ФСБ России на осуществление работ по криптографии и ФСТЭК России в области технической защиты конфиденциальной информации:

• Аудит и выполнение работ на объектах Заказчиков с целью построения комплексной системы безопасности:
  • Анализ сведений о структуре и правилах функционирования объектов Заказчиков с целью обеспечения их безопасности.
  • Обследование и анализ фактического состояния фактического состояния мер организационного характера при работе на объектах Заказчиков (организация, разрешительного порядка доступа, систем видеонаблюдения, контроля доступа, биометрической идентификации, охранной сигнализации) и их документальное закрепление.
  • Отчет о состоянии информационной безопасности на объектах Заказчиков.
  • Разработка проектов моделей угроз безопасности объектов Заказчиков.
  • Проектирование, построение и внедрение комплексной системы безопасности объектов Заказчиков.
  • Заключение по результатам обследования фактического состояния объектов Заказчиков на соответствие требованиям безопасности.
• Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений) по требованиям безопасности конфиденциальной информации:
  • Проведение экспертного обследования объекта информатизации. Анализ исходных данных по аттестуемому объекту информатизации.
  • Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (по желанию Заказчика)
  • Проведение комплексных аттестационных испытаний объектов информатизации Заказчиков в реальных условиях эксплуатации
  • Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, подготовка отчетной документации (протоколов, заключений) и выдача Аттестата соответствия (при положительном заключении)
  • Организация работ по периодическому контролю объектов информатизации (периодический контроль необходимо проводить не реже одного раза в год).
• Оказание услуг по организации работы с персональными данным и их защите:
  • Подготовка сайта к выполнению требований Федерального закона № 152-ФЗ. Формирование политики безопасности персональных данных и согласия на обработку персональных данных для сайта.
  • Приведение процессов обработки и защиты персональных данных Заказчика в соответствие требованиям 152-ФЗ.
  • Обследования систем Заказчиков в части обработки персональных данных. Приведение информационных систем к требованиям Приказа ФСТЭК № 21.
  • Хранение персональных данных на специально подготовленных серверах.
  • Проведение работ по защите информации, по оценке эффективности принятых мер защиты и аттестации информационных систем персональных данных.
• Оказание консалтинговых услуг по вопросам технической защиты конфиденциальной информации.