Практические рекомендации по информационной безопасности


Введение

В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) — коллегиальный орган, отвечающий в том числе и за координацию усилий в области защиты информации. Сейчас, когда эта проблема становится все более актуальной, в Гостехкомиссию России постоянно поступают запросы от организаций различных форм собственности о порядке и правилах защиты информации в Российской Федерации. Не претендуя на полный и детальный анализ положения дел в данной области (это труд, достойный отдельной монографии), авторы попытались осветить основные вопросы, которые возникают перед руководителями и сотрудниками служб безопасности на начальном этапе процесса обеспечения защиты информации.
Информация и ее виды

Деятельность любого учреждения включает в себя получение информации, ее обработку, принятие решений на основе анализа информации и передачу принятых решений по каналам связи. Искажение информации, блокирование ее получения или внедрение ложной информации способствуют принятию ошибочных решений.

Информация — это специфический продукт, поэтому необходимы четкие границы, определяющие информацию как объект права, которые позволят применять к ней законодательные нормы.

Федеральный Закон «Об информации, информатизации и защите информации», направленный на регулирование взаимоотношений в информационной сфере совместно с Гражданским кодексом Российской Федерации, относит информацию к объектам права и дает ее определение:

«Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления».

Основными целями защиты информации, согласно Закону, являются:
предотвращение утечки, хищения, искажения, подделки информации;
обеспечение безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
сохранение государственной тайны, конфиденциальности документированной информации.

По этому Закону защите подлежит информация ограниченного доступа, а степень ее защиты определяет собственник этой информации. Ответственность за выполнение мер защиты лежит не только на собственнике, но и на пользователе информации. Значит, прежде всего необходимо уяснить, используется ли в Вашем учреждении информация, быть может, Вам и не принадлежащая, но подлежащая обязательной защите.

Отметим, что защищается только документированная информация. Федеральный Закон «Об информации, информатизации и защите информации» определяет это понятие следующим образом:

«Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

Документирование информации проводится по строго определенным правилам. Основные из них изложены в ГОСТ 6.38–90 «Система организационно-распорядительной документации. Требования к оформлению документов.», ГОСТ 6.10.4–84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники.».

Надо отметить, что эти ГОСТы предполагают 31 реквизит, который делает информацию документом. Не обязательно, чтобы присутствовали сразу все реквизиты. Главным из них является текст документа, поэтому любая информация, изложенная в виде связного текста, без каких-либо дополнительных реквизитов уже может рассматриваться как документ. В то же время, для придания документу юридической силы одного текста недостаточно. Необходимы также такие важные реквизиты, как дата и подпись.

Для документов, полученных из автоматизированных информационных систем, существует особый порядок придания им юридической силы. При этом, в определенных случаях, применяется процедура заверения информации электронной подписью.

Защита информации — удовольствие дорогое, поэтому одним из принципов построения системы защиты должен стать принцип разумной достаточности, требующий учета степени важности и ценности защищаемой информации.

Закон выделяет три категории такой информации:
информация, составляющая государственную тайну;
персональные данные;
информация, составляющая коммерческую тайну.

Информацией первой категории владеет само государство и, естественно, именно оно выдвигает требования по ее защите и контролирует их выполнение. Соответствующие положения закреплены в Законе Российской Федерации «О государственной тайне», принятом в 1993 году. Следует знать, что нарушение этих требований влечет за собой применение санкций, предусмотренных Уголовным кодексом.

В настоящее время разработан Перечень должностных лиц, имеющих право отнесения сведений к категории государственной тайны. Таких должностных лиц около сорока. Всем ведомствам, возглавляемым этими лицами, Правительством Российской Федерации поручено разработать конкретные перечни сведений, составляющих государственную тайну, которые являются развитием общероссийского Перечня. Такой перечень сформирован Гостехкомиссией России, согласован с заинтересованными министерствами и ведомствами и представлен в Правительство Российской Федерации. До его утверждения, наверное, рано говорить о его широком опубликовании, однако всегда можно получить исчерпывающую консультацию по вопросу отнесения сведений к категории государственной тайны, обратившись непосредственно в Гостехкомиссиию России или соответствующие министерства и ведомства.

Собственниками второй категории информации являемся мы с Вами, так как эта информация затрагивает нашу с Вами личную жизнь. Однако, понимая степень значимости этой информации и ее роль в обеспечении безопасности каждой отдельно взятой личности, государство взяло ее под свой патронаж и рассматривает ее защиту, как одну из своих важных задач.

К сожалению, правовая сторона этого вопроса на современном этапе проработана недостаточно. Только Закон «Об информации, информатизации и защите информации» относит персональную информацию к категории конфиденциальной и требует ее защиты наравне с информацией, составляющей государственную тайну, однако дальнейшего развития эти положения, в том числе и в плане конкретной ответственности за разглашение персональных данных, их утрату или искажение, пока не получили. Будем надеяться, что находящийся в настоящее время в Правительстве Российской Федерации законопроект «О персональных данных», который планируется рассмотреть и представить в Государственную Думу, решит эти вопросы.

Информацией третьей категории владеют сами учреждения, и поэтому они вправе ей распоряжаться, а, следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности возможно, только если предварительно были выполнены особые формальности, оговоренные Гражданским кодексом Российской Федерации.

Суть этих формальностей, изложенных в статье 139 Гражданского кодекса Российской Федерации, заключается в том, что, во-первых, информация должна иметь действительную или потенциальную коммерческую ценность, во-вторых, учреждению необходимо принять определенные меры по охране конфиденциальности и, в-третьих, все сотрудники, знакомые с этими сведениями, должны быть официально предупреждены об их конфиденциальности. Только при соблюдении всех перечисленных условий закон будет на Вашей стороне, и Вы сможете потребовать возмещения убытков, понесенных от разглашения коммерческой тайны.

При отнесении информации к категории «коммерческая тайна» следует руководствоваться положениями Гражданского кодекса Российской Федерации (статья 139), Федерального Закона «Об информации, информатизации и защите информации» (часть 3, статья 10) и Постановления Правительства Российской Федерации от 5 декабря 1991 года за номером 35 «О перечне сведений, которые не могут составлять коммерческую тайну».

Сведения, относимые к категории «коммерческая тайна», можно разделить на две группы:
Научно-техническая и технологическая информация, связанная непосредственно с деятельностью учреждения, то есть конструкторская и технологическая документация, сведения об используемых материалах, описание методов и способов производства разрабатываемых изделий, специфический или уникальный программный продукт, перспективные планы развития или модернизации производства;
Деловая информация о деятельности учреждения, то есть финансовая документация, перспективные планы развития, аналитические материалы об исследованиях конкурентов и эффективности работы на рынке товаров и услуг, различные сведения о партнерах и т.п.

Чтобы отнесение к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального перечня, утвержденного руководителем учреждения. Только в этом случае можно говорить о придании конфиденциальной информации определенных вещных прав.

Более подробно все эти вопросы освещены в законопроекте «О коммерческой тайне», который уже более двух лет рассматривается Правительством и Федеральным собранием.

Нельзя не сказать и о том, что Гражданским кодексом Российской Федерации информация наделена правами товара. Она может представлять определенную ценность (даже не относясь к вышеперечисленным категориям), обмениваться, продаваться, дариться и т.п., поэтому, оценивая информацию с точки зрения важности ее защиты, следует учитывать и этот аспект.

Мы видим, что законодательство в области защиты информации пока далеко от совершенства, однако, при правильном использовании имеющихся законодательных и целого ряда подзаконных актов, можно добиться возмещения убытков, явившихся следствием нарушения режима информационной безопасности, и, в то же время, не попасть под карающий меч государства.

Совет 1. Проанализируйте информацию, которая циркулирует в Вашем учреждении, выделите информацию ограниченного доступа, определите круг информации, составляющей государственную тайну, оцените коммерческую важность информации. Все это позволит Вам дифференцировать мероприятия по обеспечению безопасности информации и, тем самым, сократить расходы. Не забудьте утвердить Перечень сведений, составляющих коммерческую тайну, и ознакомить с ним исполнителей.
Возможные угрозы информационной безопасности

Есть много способов нелегального получения информации или ее искажения. Можно, например, сфотографировать важный документ, украсть папку с документами или дискету с информацией, перехватить излучения электронных устройств, обрабатывающих информацию, и т.д.

Угрозы делятся на внешние и внутренние, причем последние представляют особую опасность. Поэтому, прежде всего, убедитесь в лояльности персонала Вашего учреждения. Принимая сотрудника на работу, постарайтесь всеми доступными средствами навести о нем справки. Примените специальные психологические тесты, которые помогут оценить его лояльность и психологические качества. Продумайте систему материального и морального поощрения за сохранение лояльности. Регулярно проверяйте по специальным тестам сотрудников, которые соприкасаются с информацией ограниченного доступа.

Если Вы используете информацию, составляющую государственную тайну, то большинство этих вопросов решится само по себе, когда Ваши сотрудники будут оформлять соответствуюший допуск. Но если подобной информации у Вас нет, то решение этих проблем — Ваша забота. Обязательно оговорите в контракте с сотрудником условия сохранения конфиденциальности не только на период совместной работы, но и на определенный срок после завершения ваших взаимоотношений. Только в этом случае Вы сможете предъявлять какие-либо претензии.

Совет 2. Проповедуйте принцип «доверяй, но проверяй». До начала построения системы безопасности Вашего учреждения в целом и безопасности информации в частности, убедитесь в лояльности Ваших сотрудников и, особенно, сотрудников службы безопасности. Примите необходимые меры морального и материального плана для поощрения их лояльности — это вселит в Вас уверенность, что в критический момент система безопасности не подведет.

Старайтесь придерживаться комплексного подхода к решению проблемы защиты информации. Для того, чтобы риск Вашей коммерческой деятельности был минимальным, надо оценить всевозможные угрозы безопасности информации с учетом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от ее осуществления. Объективность оценки угроз достигается детальным анализом функционирования Вашего учреждения и привлечением независимых экспертов.
Концепция безопасности

Анализ мирового и отечественного опыта диктует необходимость создания целостной системы безопасности учреждения, увязывающей оперативные, оперативно-технические и организационные меры защиты, использующей современные методы прогнозирования, анализа и моделирования ситуаций. Эта система должна существовать и выполнять свои функции не один год. Однако постоянно меняющаяся политическая, социальная и экономическая ситуация не позволяет заранее предусмотреть все возможные варианты и ограничиться фиксированным набором мер защиты. Поэтому-то Вам и нужна концепция обеспечения безопасности учреждения, представляющая собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Концепция позволит Вам правильно спланировать деятельность в данной области. При этом следует помнить, что основным принципом создания системы безопасности должно стать обеспечение заданного уровня защищенности от возможных угроз при минимальной стоимости средств и систем защиты.

Совет 3. Первым шагом к решению проблемы защиты информации должно стать создание концепции информационной безопасности и ее увязывание с общей концепцией безопасности Вашего учреждения.

Концепция представляет собой официально принятую систему взглядов на проблему информационной безопасности и пути ее решения. Она является методологической основой практических мер по ее реализации.

Разработка концепции — это кропотливая научная работа, поэтому целесообразно поручить ее людям, профессионально занимающимся данным вопросом. Государство, понимая важность этого направления, на законодательном уровне ввело контроль за деятельностью предприятий в области защиты информации. Этот контроль осуществляется через государственное лицензирование, которое проводит Гостехкомиссия России в части оказания услуг по защите информации, изготовлению и реализации средств защиты информации и защищенных технических средств, и ФАПСИ в части оказания услуг и применения средств криптографии. Перечень видов деятельности, подлежащих лицензированию, довольно широк, а порядок лицензирования определяется «Положением о государственном лицензировании деятельности в области защиты информации» (Совместное решение Гостехкомиссии России и ФАПСИ от 1994 года, за номером 10).

При получении лицензии предприятие или организация проходит специальную экспертизу лицензионного центра, которая позволяет оценить готовность к выполнению работ по защите информации, а сам лицензионный центр, наряду с лицензиатом, несет юридическую ответственность за качество выполняемых работ и конфиденциальность используемой информации. Это служит гарантией качества тех услуг, которые указаны в лицензии.

Совет 4. Поручайте работы в области защиты информации только предприятиям и организациям, имеющим Лицензию Гостехкомиссии России — это гарантирует Вам высокое качество работ и позволит в случае необходимости применить юридические санкции.
План практических мероприятий

Приступая к составлению плана практических мероприятий, необходимо, прежде всего, на основе оценки уже имеющейся технической базы и исследования применяемого программного обеспечения решить вопрос об оснащении или, может быть, переоснащении учреждения специальными средствами безопасности, защищенными техническими средствами, средствами защиты и контроля. Цель этих действий — определить методы и способы включения в уже существующую информационную систему средств защиты информации. Уязвимые точки этой системы определены в концепции, так что осталось «только» подобрать такие средства, которые удовлетворили бы Вас по стоимости и эффективности.

Не вызывает сомнений, что для эффективной защиты информации нужны средства, которые соответствуют определенным требованиям. Законом «Об информации, информатизации и защите информации» вводится обязательная государственная сертификация средств обработки информации и ее защиты. Наличие сертифицированных средств дает Вам преимущества при проведении страхования информации.

На защиту интересов владельцев информации — основных потребителей товаров и услуг в области ее защиты — нацелены «Система сертификации средств защиты информации по требованиям безопасности информации» (РОСС RU 0001. 01БИ00) и «Система сертификации средств криптографической защиты информации (СКЗИ)" (РОСС RU 0001.03001).

Сертифицируются защищенные технические, программно-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Если Вы в своей работе используете информацию с ограниченным доступом, то Ваши средства, в том числе и иностранного производства, должны пройти обязательную сертификацию. В остальных случаях сертификация носит добровольный характер.

Совет 5. Применяйте для обработки информации ограниченного доступа только аппаратные и программные продукты, имеющие сертификат, выданный Гостехкомиссией России, для программных и технических средств защиты информации, не использующих методы криптографии, и сертификат ФАПСИ — для средств защиты с применением криптографии.

Система сертификации средств защиты по требованиям безопасности информации создана недавно. Сейчас идет активный процесс сертификации. Многие производители, понимая рыночные преимущества сертифицированных продуктов, подали заявки на проведение испытаний. Вместе с тем, на сегодня уже имеется много программных и технических средств, прошедших сертификацию. В их числе есть и специальные программы, обеспечивающие защиту от несанкционированного доступа, и защищенные технические средства зарубежных и отечественных производителей, и специальные средства защиты от перехвата побочных электромагнитных излучений и наводок и многое другое.

Перечни средств защиты, прошедших сертификацию, постоянно обновляются и рассылаются Гостехкомиссией России во все администрации регионов и заинтересованные министерства. Есть эта информация и в Госстандарте России, который ведет сводный перечень средств, имеющих различные сертификаты. Кроме того, за консультацией можно обратиться непосредственно в Гостехкомиссию России.

Помните, что выставить продукцию на сертификацию может не только производитель, но и потребитель. Для этого необходимо подготовить заявку в федеральный орган по сертификации, каковым для программных и технических средств защиты информации, не использующих методы криптографии, является Гостехкомиссия России. Эта заявка будет рассмотрена и передана в одну из испытательных лабораторий, аккредитованную в Системе сертификации. Дальше все ясно — испытания, отчет, рассмотрение результатов экспертной комиссией и, при положительном заключении, получение сертификата от федерального органа. Правда, в этом случае сертификат выдается на единичный образец продукции. Но иногда, особенно если Вы в своей работе используете уникальный программный или технический продукт, расходы на сертификацию будут оправданы.

После того, как выбраны и закуплены все необходимые технические и программные средства защиты, завершены работы по их монтажу и наладке, необходимо провести комплексную проверку эффективности принятых мер. Такая проверка проводится по известным методикам и предусматривает моделирование различных реальных ситуаций и оценку возможности несанкционированного получения информации. Для проведения проверки лучще всего воспользоваться услугами организации, располагающей соответствующей лицензией.

Совет 6. Убедитесь в достаточности принятых мер, проведя проверку эффективности средств защиты.

Информационная безопасность организации зависит не только от технических средств, но и от людей, их использующих. Если дать самый лучший инструмент в руки неопытного человека, можно только навредить делу. Следует, во-первых, научить сотрудников пользоваться защитными средствами. На каждом рабочем месте должны быть инструкции и памятки, в доступной форме информирующие персонал об обязательных мерах по поддержанию информационной безопасности.

Во-вторых, Вам необходимы специалисты, способные грамотно обслуживать систему защиты. Чтобы подготовить таких специалистов, отберите нескольких наиболее подготовленных сотрудников и направьте их на дополнительное обучение в один из учебных центров Гостехкомиссии России. Такое обучение может длиться от 2 недель до 3 месяцев.

Если Вы только набираете сотрудников, обратите внимание на выпускников МИФИ, МГТУ им. Н.Э. Баумана. Эти ВУЗы готовят специалистов нужного Вам профиля. Не надо забывать и о старых кадрах. Вопросами защиты информации профессионально занимались и занимаются специалисты спецподразделений предприятий оборонного комплекса, военных и некоторых других организаций.

Совет 7. Организуйте подготовку персонала по вопросам защиты информации. Разработайте и доведите до каждого правила информационной безопасности.
Заключение

В результате выполнения предложенных мероприятий следует ожидать качественно более высокого уровня безопасности, снижения страховых платежей за счет повышения защищенности бизнеса от различных видов угроз, предотвращения ущерба от противоправных действий злоумышленников и конкурентов. Затратив сегодня определенные средства на обеспечение безопасности информации, Вы уже завтра получите выгоду.
I. Какие законы следует знать и применять

1. Гражданский кодекс Российской Федерации.
2. Федеральный Закон «Об информации, информатизации и защите информации».
3. Федеральный Закон «О связи».
4. Закон Российской Федерации «О государственной тайне».
5. Закон Российской Федерации «О защите прав потребителей».
6. Закон Российской Федерации «О сертификации продукции и услуг».
7. Закон Российской Федерации «О федеральных органах правительственной связи и информации».
8. Указ Президента Российской Федерации от 1992 года за номером 9 «О создании Государственной технической комиссии при Президенте Российской Федерации».
9. Указ Президента Российской Федерации от 1995 года за номером 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
10. Постановление Правительства Российской Федерации от 1994 года за номером 1418 «О лицензировании отдельных видов деятельности».
11. Постановление Правительства Российской Федерации от 1995 года за номером 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».
12. Совместное решение Гостехкомиссии России и ФАПСИ от 1994 года за номером 10 «Положение о государственном лицензировании деятельности в области защиты информации».
13. «Система сертификации средств защиты информации по требованиям безопасности информации». — РОСС RU 0001.01БИ00.
14. «Система сертификации средств криптографической защиты информации (СКЗИ)". — РОСС RU 0001.03001.

Обновлено: 11.03.2015