Полезные cтатьи

Информация всегда играла чрезвычайно важную роль в жизни человека. Общеизвестно высказывание о том, что тот, кто владеет информацией, тот владеет и миром. С давних времен сбор и систематизация сведений об окружающем мире помогали человеку выживать в нелегких условиях – из поколения в поколение передавался опыт и навыки изготовления орудий охоты и труда, создания одежды и лекарств. Уже тогда известные мастера, ремесленники и врачи осознавали, что информация, которой они владеют, это залог их успеха и процветания и она не должна быть общедоступной.
В современном мире изменились только две вещи: объем информации и способы её обработки. Коммерческая тайна, производственные секреты, ноу-хау, базы данных клиентов, персональные данные – все это критически важная для бизнеса информация, доступ и использование которой должны быть тщательно регламентированы.
Нарушение конфиденциальности информации может быть связано как с мошеннической деятельностью сотрудников компании, так и вызвано действиями вредоносного программного обеспечения или внешних злоумышленников. Независимо от этого, задача защиты конфиденциальных данных должна решаться комплексно: от разработки документации, процедур реагирования и оценки рисков до внедрения технических средств защиты.
Для решения указанных проблем и существует деятельность по технической защите конфиденциальной информации. Под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Деятельность по технической защите конфиденциальной информации лицензированию включает в себя:
- контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
- средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);
- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
- аттестационные испытания и аттестация на соответствие требованиям по защите информации:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений;
- проектирование в защищенном исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений;
- установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Аттестация объектов информатизации
Одним из ключевых направлений деятельности по технической защите конфиденциальной информации является проведение аттестаций объектов информатизации. Аттестация представляет собой набор технических и организационных мероприятий, которые необходимо выполнить для обеспечения необходимых условий безопасной циркуляции конфиденциальной информации в объектах информатизации. Аттестация проводится на основании требований и рекомендация ФСТЭК России.
Существует два вида объектов информатизации: защищаемые помещения и автоматизированные системы. Защищаемые помещения предназначены для ведения переговоров и меры безопасности в них прежде всего направлены на обеспечение защиты речевой информации. В свою очередь цель защищённых автоматизированных систем – безопасная обработка важной информации с предотвращением несанкционированного доступа к ней.
Наличие Аттестата соответствия подтверждает эффективность принятого комплекса мер и средств защиты информации, что дает Вам возможность выполнять все требования законодательства при эксплуатации объектов информатизации, а также дает право в течение 3 лет обрабатывать конфиденциальную информацию.
Аттестация по требованиям безопасности информации ОБЯЗАТЕЛЬНА, если:
- В Вашей Организации планируется работа с государственной информационной системой (ГИС), либо используется информационная система, подходящая под определение ГИС;
- Вы хотите получить лицензию на деятельность, связанную с технической защитой конфиденциальной информации или средствами криптографической защиты информации;
РЕКОМЕНДУЕТСЯ, если:
- Вы хотите обеспечить защиту ваших рабочих мест (ПК или ноутбуков) от возможного несанкционированного доступа и утечки информации по техническим каналам;
- Вы хотите защитить вашу переговорную комнату или кабинет от возможного прослушивания (как внешнего, так и внутреннего).
Защита персональных данных
Другим важным видом деятельности по технической защите конфиденциальной информации является защита персональных данных.
Защита персональных данных была и остается одной из наиболее острых проблем в информационных отношениях между гражданами, государством, корпорациями. В Конституции, в законах Российской Федерации можно найти положения, которые признают важность одного из фундаментальных прав человека – права на неприкосновенность частной жизни. И с вступлением в силу 152-ФЗ в 2006 г. начал строиться эффективный механизм защиты этого права в России.
Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п. А обязанность по защите этих данных возлагается на организацию, в которой они обрабатываются. Данное положение закрепляется статьёй 19 Федерального закона «О персональных данных». Оператор вправе поручить обработку, в том числе и защиту персональных данных другому лицу на основании договора при условии получения согласия субъектов ПДн.
Обязанность по контролю исполнения требований, а также по разработке необходимых нормативных документов возложены на уполномоченные органы исполнительной власти. Наличие таких органов подразумевает не только защиту персональных данных в интересах оператора, но и говорит об обязанности делать это правильно, с соблюдением требованием законодательства.
На данный момент времени уполномоченными органами являются:
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России);
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
- Федеральная служба безопасности (ФСБ России).
Данные органы действуют строго в рамках своей компетенции. Таким образом, Роскомнадзор отвечает за общий контроль и надзор, представление интересов физических лиц при обработке их ПДн в организациях. ФСТЭК России регламентирует только вопросы технической защиты персональных данных, а ФСБ — вопросы криптографической защиты при передаче ПДн по каналам связи. Причем при осуществлении своих функций знакомиться с ПДн, обрабатываемыми в организации, имеют право только сотрудники Роскомнадзора.
За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность. Так для организаций-нарушителей штраф может исчисляться в размере от 40 000 до 300 000 руб., может быть заблокирован сайт и приостановлена деятельность организации на срок до 90 суток, а по отношению к руководителю организации могут быть применены следующие санкции штраф в размере от 100 000 до 300 000 руб., лишение свободы на срок до 4 лет.
Исходя из выше сказанного АО «Информационный центр» (АО ИЦ) предоставляет услуги по защите конфиденциальной информации в рамках лицензии ФСБ России на осуществление работ по криптографии и ФСТЭК России в области технической защиты конфиденциальной информации:
- Аудит и выполнение работ на объектах Заказчиков с целью построения комплексной системы безопасности:
- Анализ сведений о структуре и правилах функционирования объектов Заказчиков с целью обеспечения их безопасности.
- Обследование и анализ фактического состояния фактического состояния мер организационного характера при работе на объектах Заказчиков (организация, разрешительного порядка доступа, систем видеонаблюдения, контроля доступа, биометрической идентификации, охранной сигнализации) и их документальное закрепление.
- Отчет о состоянии информационной безопасности на объектах Заказчиков.
- Разработка проектов моделей угроз безопасности объектов Заказчиков.
- Проектирование, построение и внедрение комплексной системы безопасности объектов Заказчиков.
- Заключение по результатам обследования фактического состояния объектов Заказчиков на соответствие требованиям безопасности.
- Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений) по требованиям безопасности конфиденциальной информации:
- Проведение экспертного обследования объекта информатизации. Анализ исходных данных по аттестуемому объекту информатизации.
- Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств (по желанию Заказчика)
- Проведение комплексных аттестационных испытаний объектов информатизации Заказчиков в реальных условиях эксплуатации
- Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, подготовка отчетной документации (протоколов, заключений) и выдача Аттестата соответствия (при положительном заключении)
- Организация работ по периодическому контролю объектов информатизации (периодический контроль необходимо проводить не реже одного раза в год).
-
Оказание услуг по организации работы с персональными данным и их защите:
- Подготовка сайта к выполнению требований Федерального закона № 152-ФЗ. Формирование политики безопасности персональных данных и согласия на обработку персональных данных для сайта.
- Приведение процессов обработки и защиты персональных данных Заказчика в соответствие требованиям 152-ФЗ.
- Обследования систем Заказчиков в части обработки персональных данных. Приведение информационных систем к требованиям Приказа ФСТЭК № 21.
- Хранение персональных данных на специально подготовленных серверах.
- Проведение работ по защите информации, по оценке эффективности принятых мер защиты и аттестации информационных систем персональных данных.
- Оказание консалтинговых услуг по вопросам технической защиты конфиденциальной информации.