Безопасность информации и ее защита
Рост уровня информатизации, постоянные атаки хакеров и совершенствование методов взлома баз данных, а также большой финансовый и репутационный ущерб привели к активному развитию систем информационной безопасности. Органы государственной власти, компании и организации используют в своей деятельности информационные ресурсы и технические средства: компьютерную технику, локальные вычислительные сети, каналы приема-передачи данных и т.д. Обрабатываемая этими ресурсами информация имеет различную градацию важности защиты (категорию объекта информатизации) и определяется ее содержанием. Как правило, для частных компаний значительная часть этой информации является служебной (коммерческой, финансовой) тайной. Государство также озабочено уровнем безопасности компаний, работающих с государственной тайной, обрабатывающих персональные данные (ПДн), владеющих объектами критической информационной инфраструктуры (КИИ).
Для того, чтобы разобраться, в каких случаях, в соответствии с действующим законодательством, требуется проведение обязательных мероприятий по защите информации, а в каких случаях данные работы проводятся добровольно, познакомимся с основными определениями.
Безопасность информации – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Защита информации – это деятельность по предотвращению утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, или объектов (зданий, сооружений, технических средств), в которых эти системы и средства установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
Порядок и правила защиты информации, не составляющей государственную тайну, подготовки объекта информатизации к работе с ней и аттестации информационной системы описаны в Федеральном законе № 149-ФЗ от 27 июля 2006 г. и приказе ФСТЭК России (Федеральной службы по техническому и экспортному контролю) №17 от 11.02.2013. Такая информация обрабатывается в информационных системах обработки персональных данных (ИСПДн), в государственных информационных системах (ГИС), а также на объектах критической информационной инфраструктуры.
К объектам информатизации (ОИ), обрабатывающим конфиденциальную информацию (не составляющую государственную тайну), относятся:
- автоматизированные системы (АС);
- локальные вычислительные сети (ЛВС);
- системы видеоконференцсвязи (ВКС);
- защищаемые помещения (ЗП).
Защита информации, составляющей государственную тайну, также регулируется Федеральными законами и приказами ФСТЭК России (в части технической защиты).
К объектам информатизации, обрабатывающим информацию, составляющую государственную тайну, относятся:
- автоматизированные рабочие места (АРМ);
- локальные вычислительные сети (ЛВС);
- системы защищенной видеоконференцсвязи (ЗВКС);
- средства изготовления и размножения документов (СИРД);
- выделенные помещения (ВП).
Аттестация объектов информатизации
![Рост уровня информатизации](/i/news/63/2.jpg)
Для подтверждения достаточного уровня защищенности хранимой, обрабатываемой и передаваемой информации проводится аттестация объектов информатизации. Процедура регламентирована приказами ФСТЭК России от 29.04.2021 №77, от 11.02.2013 №17, от 18.02.2013 №21, методическими рекомендациями и ГОСТами.
Аттестация объекта информатизации – процесс комплексной проверки выполнения заданных функций объекта информатизации по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнению функций по обработке защищаемой информации на конкретном объекте информатизации.
Организационно-технические мероприятия по проверке соответствия требованиям безопасности информации (аттестационные испытания) касаются всех объектов информатизации, обрабатывающим информацию, составляющую государственную тайну, а также персональные данные (ИСПДн), объектов ГИС и КИИ.
Аттестация объектов информатизации проводится аккредитованной ФСТЭК России организацией, которая имеет право выдавать аттестат соответствия и отвечает перед Федеральной службой за полноту и качество оказываемых услуг. Компания AP Security не просто выполняет комплекс организационно-технических мероприятий по проверке, но и полностью готовит объекты информатизации заказчика для успешного прохождения процедуры аттестации.
Кому понадобится аттестация объектов информатизации
![Кому понадобится аттестация объектов информатизации](/i/news/63/3.jpg)
Согласно действующему законодательству, аттестация объектов информатизации может быть добровольной или обязательной.
Обязательная аттестация требуется для объектов информатизации, обрабатывающим информацию, составляющую государственную тайну, а также персональные данные (ИСПДн), для объектов ГИС и КИИ.
Добровольная аттестация объектов информатизации позволяет компании продемонстрировать свой статус надежного партнера, упростить взаимодействие с государственными и муниципальными структурами, получить дополнительные преимущества при участии в тендерах.
Проведение аттестационных мероприятий может понадобиться в следующих случаях:
- компания работает с конфиденциальной информацией, не относящейся к категории государственной тайны, взаимодействует с муниципальными и государственными информационными системами;
- организация работает с конфиденциальными данными или сведениями с ограниченным доступом и планирует привлекать инвестиции или выходить на партнерство с крупными предприятиями;
- в государственной или муниципальной организации создаются или модернизируются информационные системы (ИС);
- ИС внедряется на предприятии оборонно-промышленного комплекса;
- в здании оборудуются защищаемые помещения для проведения конфиденциальных совещаний и переговоров;
- в компании создается собственная ИС по работе с персональными данными и в других ситуациях.