Безопасность информации и ее защита
Рост уровня информатизации, постоянные атаки хакеров и совершенствование методов взлома баз данных, а также большой финансовый и репутационный ущерб привели к активному развитию систем информационной безопасности. Органы государственной власти, компании и организации используют в своей деятельности информационные ресурсы и технические средства: компьютерную технику, локальные вычислительные сети, каналы приема-передачи данных и т.д. Обрабатываемая этими ресурсами информация имеет различную градацию важности защиты (категорию объекта информатизации) и определяется ее содержанием. Как правило, для частных компаний значительная часть этой информации является служебной (коммерческой, финансовой) тайной. Государство также озабочено уровнем безопасности компаний, работающих с государственной тайной, обрабатывающих персональные данные (ПДн), владеющих объектами критической информационной инфраструктуры (КИИ).
Для того, чтобы разобраться, в каких случаях, в соответствии с действующим законодательством, требуется проведение обязательных мероприятий по защите информации, а в каких случаях данные работы проводятся добровольно, познакомимся с основными определениями.
Безопасность информации – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Защита информации – это деятельность по предотвращению утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, или объектов (зданий, сооружений, технических средств), в которых эти системы и средства установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
Порядок и правила защиты информации, не составляющей государственную тайну, подготовки объекта информатизации к работе с ней и аттестации информационной системы описаны в Федеральном законе № 149-ФЗ от 27 июля 2006 г. и приказе ФСТЭК России (Федеральной службы по техническому и экспортному контролю) №17 от 11.02.2013. Такая информация обрабатывается в информационных системах обработки персональных данных (ИСПДн), в государственных информационных системах (ГИС), а также на объектах критической информационной инфраструктуры.
К объектам информатизации (ОИ), обрабатывающим конфиденциальную информацию (не составляющую государственную тайну), относятся:
- автоматизированные системы (АС);
- локальные вычислительные сети (ЛВС);
- системы видеоконференцсвязи (ВКС);
- защищаемые помещения (ЗП).
Защита информации, составляющей государственную тайну, также регулируется Федеральными законами и приказами ФСТЭК России (в части технической защиты).
К объектам информатизации, обрабатывающим информацию, составляющую государственную тайну, относятся:
- автоматизированные рабочие места (АРМ);
- локальные вычислительные сети (ЛВС);
- системы защищенной видеоконференцсвязи (ЗВКС);
- средства изготовления и размножения документов (СИРД);
- выделенные помещения (ВП).
Аттестация объектов информатизации
Для подтверждения достаточного уровня защищенности хранимой, обрабатываемой и передаваемой информации проводится аттестация объектов информатизации. Процедура регламентирована приказами ФСТЭК России от 29.04.2021 №77, от 11.02.2013 №17, от 18.02.2013 №21, методическими рекомендациями и ГОСТами.
Аттестация объекта информатизации – процесс комплексной проверки выполнения заданных функций объекта информатизации по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функций по обработке защищаемой информации на конкретном объекте информатизации.
Организационно-технические мероприятия по проверке соответствия требованиям безопасности информации (аттестационные испытания) касаются всех объектов информатизации, обрабатывающим информацию, составляющую государственную тайну, а также персональные данные (ИСПДн), объектов ГИС и КИИ.
Аттестация объектов информатизации проводится аккредитованной ФСТЭК России организацией, которая имеет право выдавать аттестат соответствия и отвечает перед Федеральной службой за полноту и качество оказываемых услуг. Компания AP Security не просто выполняет комплекс организационно-технических мероприятий по проверке, но и полностью готовит объекты информатизации заказчика для успешного прохождения процедуры аттестации.
Кому понадобится аттестация объектов информатизации
Согласно действующему законодательству, аттестация объектов информатизации может быть добровольной или обязательной.
Обязательная аттестация требуется для объектов информатизации, обрабатывающим информацию, составляющую государственную тайну, а также персональные данные (ИСПДн), для объектов ГИС и КИИ.
Добровольная аттестация объектов информатизации позволяет компании продемонстрировать свой статус надежного партнера, упростить взаимодействие с государственными и муниципальными структурами, получить дополнительные преимущества при участии в тендерах.
Проведение аттестационных мероприятий может понадобиться в следующих случаях:
- компания работает с конфиденциальной информацией, не относящейся к категории государственной тайны, взаимодействует с муниципальными и государственными информационными системами;
- организация работает с конфиденциальными данными или сведениями с ограниченным доступом и планирует привлекать инвестиции или выходить на партнерство с крупными предприятиями;
- в государственной или муниципальной организации создаются или модернизируются информационные системы (ИС);
- ИС внедряется на предприятии оборонно-промышленного комплекса;
- в здании оборудуются защищаемые помещения для проведения конфиденциальных совещаний и переговоров;
- в компании создается собственная ИС по работе с персональными данными и в других ситуациях.