Раздел 6. Вопрос 2. (58) Определение и нормативное закрепление состава защищаемой информации.
Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) "Об информации, информационных технологиях и о защите информации"
Ст. 2 информация - сведения (сообщения, данные) независимо от формы их представления
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя
Свойства информации:
доступность - свойство системы, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;
целостность - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности;
конфиденциальность - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
ст. 5 Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. ст. 9 1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Основным, определяющим критерием отнесения информации к конфиденциальной и защиты ее от утечки является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам, включающий в себя: неизвестность информации третьим лицам получение преимуществ в силу этой неизвестности (получении выгоды или предотвращении ущерба). Виды тайн: 1. Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации Система (Закон РФ от 21 июля 1993 г. № 5485-I «О государственной тайне») Указ Президента РФ от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» I. Сведения в военной области II. Сведения в области экономики, науки и техники III. Сведения в области внешней политики и экономики IV. Сведения в области разведывательной, контрразведывательной и оперативно-разыскной деятельности, в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты 2. Сведения конфиденциального характера Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Этапы работы по выявлению состава защищаемой информации: 1. Приказ о назначении экспертной комиссии (председатель и члены комиссии) – наиболее квалифицированные и компетентные специалисты структурных подразделений предприятия и представителей службы защиты информации, знающие технологический процесс. 2. Определение нормативной базы, регламентирующей обработку информации. 3. Определение видов информации ограниченного доступа.
Определение состава защищаемой информации требует решения задач:
Задача 1. Определение состава информации, ограничение доступа к которой запрещено законодательством, и соответственно вычленение ее из состава защищаемой информации. ст. 8 ФЗ «Об информации» Не может быть ограничен доступ к: 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. Ст. 7 Закона «О государственной тайне» Не подлежат отнесению к государственной тайне и засекречиванию сведения: 1) о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; 2) о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; 3) о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; 4) о фактах нарушения прав и свобод человека и гражданина; 5) о размерах золотого запаса и государственных валютных резервах Российской Федерации; 6) о состоянии здоровья высших должностных лиц Российской Федерации; 7) о фактах нарушения законности органами государственной власти и их должностными лицами. Статья 5. ФЗ «О коммерческой тайне» Сведения, которые не могут составлять коммерческую тайну: 1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; 2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности; 3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; 4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах,
оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; 5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест; 6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; 7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; 8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; 9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации; 10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; 11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Задача 2. Определение состава используемой (полученной) информации, необходимость защиты которой обусловлена причинами, не зависящими от предприятия. Такая информация включает: ГТ, КТ, СТ, ПДн, ПТ
Задача 3. Определение состава информации, необходимость защиты которой обусловлена интересами предприятия. Такая информация включает:
— коммерческую тайну предприятия;
— служебную информацию ограниченного распространения, обладателем которой является предприятие.
4. Формирование развернутого Перечня информации ограниченного доступа.
a. составление предварительного Перечня, подлежащего рассмотрению экспертной комиссией;
b. определение возможного ущерба, наступающего в результате распространения сведений,
c. определение преимуществ открытого использования рассматриваемых сведений;
d. определение затрат на защиту рассматриваемых сведений;
e. принятие решения о включении сведений в Перечень;
f. оформление результатов работы. 5. Утверждение (внедрение) Перечня сведений. 6. Доведение до сотрудников, работающих со сведениями (под роспись в листе ознакомления). 7. Периодический контроль, внесение изменений и дополнений.
Определение объектов защиты.
Информация является предметом защиты, но защищать ее как таковую невозможно, поскольку она не существует сама по себе, а фиксируется (отображается) в определенных материальных объектах или памяти людей, которые выступают в роли ее носителей и составляют основной, базовый объект защиты.
Определение объектов защиты необходимо для реализации правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа.
Меры защиты информации выбираются и реализуются в информационной системе в рамках ее системы защиты информации с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях.
Объект защиты информации - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
К объектам защиты информации относят:
1. Информация, содержащаяся в базах данных.
2. Носители информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов». Носители защищаемой информации можно классифицировать как люди; документы; изделия (предметы); вещества и материалы; электромагнитные, тепловые, радиационные и другие излучения; акустические и другие поля и т. п. Виды носителей информации: a. Люди. b. Бумажные носители: i. фиксируется: рукописным, машинописным, электронным, типографским и другими способами ii. в форме: текста, чертежа, схемы, формулы и т. п., iii. отображается в виде: символов и образов. c. Магнитные носители: i. аудиокассеты (аудиопленки) для магнитофонов и диктофонов; ii. видеокассеты (видеопленки); iii. жесткие (твердые) диски; iv. дискеты; v. магнитные ленты для ЭВМ. d. Магнитооптические и оптические носители (лазерные диски, компакт-диски). e. Выпускаемая продукция (изделия). f. Технологические процессы изготовления продукций (оборудование, приборы, материалы, вещества, сырье, топливо и др.) g. Физические поля (электромагнитные поля). 3. Объекты рубежей защиты (подступы к носителям): a. первый рубеж - прилегающая к предприятию территорию (например, установка пропускного пункта); b. второй рубеж - здания предприятия; c. третий рубеж - помещения, в которых расположены хранилища носителей, производится обработка носителей и осуществляется управленческо-производственная деятельность с использованием носителей: i. помещения подразделений защиты информации, в которых расположены хранилища носителей и осуществляется обработка носителей, хранятся СЗИ; ii. помещения, в которых производится работа с носителями информации: комнаты, в которых работает с носителями персонал; комнаты, в которых проводятся закрытые мероприятия (совещания, заседания, семинары и др.); производственные участки по изготовлению продукции d. четвертый рубеж - хранилища носителей. 4. Технические средства: a. Средства отображения, обработки, воспроизведения и передачи информации - аппаратные средства АС (серверы, рабочие станции, периферийное оборудование и другие технические средства). b. Средства транспортировки носителей информации. c. Средства радио- и кабельной связи, радиовещания и телевидения, используемые для передачи информации.
d. Системы обеспечения функционирования предприятия (электро-, водоснабжение, кондиционирование и др.). e. Технические средства защиты информации и контроля за ними. 5. Информационные технологии (процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов): a. Программные средства (операционные системы, специальное программное обеспечение, СУБД, интерфейсное и сетевое программное обеспечение).
b. Информационное обеспечение (базы данных, файлы пользователей, справочная информация).
Безопасность любого объекта складывается из обеспечения трех его характеристик: (конфиденциальности, целостности и доступности):
1. Конфиденциальность - объект доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
2. Целостность – объект может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
3. Доступность - имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому объекту.
Конечная цель защиты информации - предотвращение или минимизация наносимого субъектам информационных отношений ущерба (прямого или косвенного, материального, морального или иного) посредством нежелательного воздействия на объекты, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.