Информационная безопасность предприятия. Москва 2020

© Владимир Алексеевич Челухин, 2020

ISBN 978-5-4498-1598-9

Создано в интеллектуальной издательской системе Ridero

Информационная безопасность предприятия

Челухин Владимир Алексеевич, родился 21.10. 1948 г. в городе Комсомольске-на-Амуре. Доктор технических наук, профессор кафедры информационной безопасности автоматизированных систем государственного технического университета (КнАГУ) г. Комсомольска-на-Амуре.

Введение

Проблема информационной безопасности вызывает в нашей стране и во всем мире все возрастающий интерес. Причиной обострения этой проблемы является широкомасштабное использование автоматизированных средств накопления, хранения, обработки и передачи информации, особенно развитие компьютерных сетей и интернета. Сегодня в сфере виртуального пространства интернета обращаются огромные суммы денег, что в свою очередь привлекает различного типа мошенников и преступников. При этом злоумышленник может находиться за тысячи километров от атакуемого объекта, и нападению может подвергаться не только конкретный компьютер, но и технологический процесс, сетевые устройства организации или предприятия, информация, передающаяся по каналам связи.

На сегодня информационная составляющая бизнеса, экономики и общества все возрастает. Завершается эпоха индустриального развития и мир последовательно переходит от эпохи индустриального развития к информационной эпохе. Это в свою очередь усиливает ценность и значение информации, и требует все большего внимания к её защите.

Именно поэтому в последнее время появились такие категории, как «информационная политика», «информационная безопасность», «информационная война» и целый ряд других новых понятий, в той или иной мере связанных с информацией.

Сегодня современные методы и решения дают возможность обеспечить высокий уровень информационной безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными – в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30% ИТ-бюджета.

Ко всему прочему, сегодня значительно усилился законодательный уровень защиты информации, в большинстве случаев обязывающий предприятия заниматься данной проблемой. Принятые законы предусматривают не только обязанность владельцев предприятий и бюджетных организаций применять меры защиты информации, но и ответственность за их не исполнение как в виде штрафов, так и административной ответственности.

Предприниматель, бизнесмен, владелец предприятия зачастую пока еще слабо знаком со всей серьезностью данных требований и последствий их не выполнения, особенно те, кто только начинает или разворачивает свой бизнес. Поэтому появилась необходимость сжато познакомить их с существующим современным положением дел в области информационной безопасности предприятия, дабы им не иметь неприятностей в виде штрафов от ФСБ, Гостехнадзора и других контрольных организаций в области информационной безопасности..

Основные понятия информационной безопасности

Информационная безопасность предприятия – это состояние её информационной структуры, при которой ей не может быть нанесен существенный ущерб путем воздействия на её информационную сферу. Другими словами такой ущерб, пренебречь которым предприятие уже не может или не должно. Реализуется через регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией.

Понятие «информационная безопасность» порой трактуется по разному. В частности в Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» определяется как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется так же – как состояние защищенности информационной среды.

Более конкретно информационная безопасность определяется, как защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Здесь неприемлемый ущерб – ущерб, которым нельзя пренебречь.

Однако, в последнее время сформировалось более краткое и точное определение безопасности информации – это состояние, при котором обеспечены её конфиденциальность, доступность и целостность.

Конфиденциальность (секретность): свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

Целостность: неизменность информации в процессе её передачи или хранения.

Доступность: свойство информационных ресурсов, в том числе информации определяющее возможность их получения и использования по требованию уполномоченных лиц.

Все меры и способы по реализации и защите информационной безопасности можно разделить на несколько уровней:

– Законодательные меры информационной безопасности.

– Организационные меры информационной безопасности.

– Технические способы информационной безопасности.

– Программные способы информационной безопасности.

К законодательным мерам информационной безопасности относятся все законы, а также и другие нормативно-технически, нормативно-методические документы по защите информации.

Различают:

– Законы РФ;

– Доктрины Российской федерации в области защиты;

– Нормативно-методические документы по защите информации;

– Документы уполномоченных федеральных органов;

– Национальные стандарты в области защиты информации;

– Международные стандарты в области защиты информации.

Основные законы РФ в области информационной безопасности, касающиеся напрямую любое предприятие, будут следующие.

– Конституция Российской Федерации (1993 г.)

– Закон РФ «О безопасности» от 05.03.1992г. №2446—1

– ФЗ РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. №149-ФЗ

– ФЗ РФ «О коммерческой тайне» от 29 июля 2004 г. N 98-ФЗ

– ФЗ РФ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ

– ФЗ РФ «Об электронной цифровой подписи» от 10 января 2002 г. N 1-ФЗ

– ФЗ РФ «О правовой охране программ для ЭВМ и баз данных» 23 сентября 1992 г. N 3523—1

– 187 – ФЗ О безопасности критической информационной инфраструктуры от 26 июля 2017.

Правовые акты Президента РФ

– Указ «Об основах государственной политики в сфере информатизации» N 170 от 20.01.94г.

– УП РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. №188

– Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008г. №687.

Нормативно-методические документы по защите информации

– Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

– Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Документы уполномоченных федеральных органов

Приказ ФСТЭК №58 от 5.02.2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Перечень нормативных документов, определяющих требования по защите персональных данных при их обработке в информационных системах

– Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Инструкция об организации и обеспечении хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Приложение к Приказу ФАПСИ от 13.06.2001г. №152)

Законодательный уровень защиты информации

В информационной сфере основу информационной безопасности составляют нормы Конституции РФ о праве каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ч. 1 ст. 23), а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ч. 2 ст. 23).

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Статья 41

3. Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, влечет за собой ответственность в соответствии с федеральным законом.

В информационной сфере также основу информационной безопасности составляют следующие законы.

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция)

Отдельные его статьи регламентируют следующее.

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом.

Статья 2. Содержит основные понятия, используемые в настоящем Федеральном законе

Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Статья 6. Обладатель информации

1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

4. Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

4. Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

5. Информация в форме открытых данных размещается в сети «Интернет» с учетом требований законодательства Российской Федерации о государственной тайне.

Статья 8. Право на доступ к информации

1. Граждане (физические лица) и организации (юридические лица) (далее – организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

4. Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

4.1) информации, содержащейся в архивных документах архивных фондов (за исключением сведений и документов, доступ к которым ограничен законодательством Российской Федерации);

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.

6. Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.

7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.

8. Предоставляется бесплатно информация:

1) о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;

2) затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;

3) иная установленная законом информация.

9. Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.

Статья 9. Ограничение доступа к информации

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Статья 10. Распространение информации или предоставление информации

1. В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.

4. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.

6. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.

Статья 10.1. Обязанности организатора распространения информации в сети «Интернет»

1. Организатором распространения информации в сети «Интернет» является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет».

2. Организатор распространения информации в сети «Интернет» обязан в установленном Правительством Российской Федерации порядке уведомить федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о начале осуществления деятельности, указанной в части 1 настоящей статьи.

3. Организатор распространения информации в сети «Интернет» обязан хранить на территории Российской Федерации:

1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;

2) текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.