Основные объекты информационной безопасности хозяйствующего субъекта

Объектом информационной безопасности называется то, на что направлены действия субъектов информационной безопасности негативного характера, приносящие ущерб‚ разрушение, и позитивного характера, предотвращающие ущерб и разрушение.

Основными объектами, на которые направлены как негативные действия в информационной сфере, так и, соответственно, защита, являются:

1) все виды информационных ресурсов – информация, зафиксированная на материальном носителе, с реквизитами, позволяющими ее идентифицировать. При этом имеется в виду традиционная документированная форма информации и  электронное сообщение – форма информации при обработке и хранении ее в информационной системе, передаче или получении ее пользователями информационно-телекоммуникационной сети.

2) система формирования, распространения и использования информации, то есть информационные системы и технологии, технические средства передачи, обработки, хранения и отображения информации, программы для ЭВМ, информационно-телекоммуникационные сети, библиотеки, архивы и т.д. (все это вместе можно назвать информационной, или информационно-технологической, инфраструктурой), а также персонал.

Рассмотрим теперь приоритетные объекты в каждой из названных групп объектов информационной безопасности.

В Федеральном законе «Об информации, информационных технологиях и о защите информации» выделяется понятие информации ограниченного доступа. Именно эта информация является приоритетным объектом защиты в части защищаемых информационных ресурсов.

Во-первых, предусматривается защита информации, составляющей государственную тайну. Основным законодательным регулятором здесь является закон РФ от 21.07.1993 г. № 5485–1 «О государственной тайне». В качестве наиболее важного (но не единственного) подзаконного акта можно назвать «Перечень сведений, отнесенных к государственной тайне», утв. указом Президента Российской Федерации от 30.11.1995 г. № 1203, в который регулярно вносятся изменения. Существуют также ведомственные перечни сведений, составляющих государственную тайну.

Во-вторых, устанавливается обязательность соблюдения конфиденциальности информации, относимой к сведениям, составляющим коммерческую тайну, служебную тайну, профессиональную тайну и иную тайну, а также ответственность за ее разглашение. Основными «ограничивающим» законодательным актом в данной области является Федеральный закон от 29.07.2004 г. № 98–ФЗ «О коммерческой тайне».

Интересно отметить отсутствие в РФ законодательного регулирования в области ограничения доступа к служебной информации. Здесь лишь можно назвать «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утв. постановлением Правительства РФ от 3.11.1994 г. № 1233. Законопроект «О служебной тайне» был внесен в Государственную Думу в 2004 г. и отклонен в 2011 г. в связи с отрицательными результатами его государственной экспертизы. Тем не менее, в соответствии с постановлением Правительства РФ от 3.11.1994 г. № 1233, практически вся информация, обрабатываемая в государственных ИС федерального уровня, относится к информации для служебного пользования, то есть к информации ограниченного доступа, если иное не определено законами.

Что касается профессиональной тайны и «иной» тайны, то регулирование ее соблюдения рассредоточено по многим законодательным актам в зависимости от ведомственной принадлежности этой тайны. В качестве примера можно назвать налоговую тайну (см. статью 102 «Налогового кодекса Российской Федерации (часть первая)» от 31.07.1998 г. № 146–ФЗ), банковскую тайну (см. статью 26 закона РФ «О банках и банковской деятельности» от 02.12.1990 г. № 395–1), аудиторскую тайну (см. статью 9 Федеральный закон от 30.12.2008 г. № 307–ФЗ «Об аудиторской деятельности») и т.д. и т.п.). Следует также обратить внимание на федеральный закон от 27.07.2010 г. № 224–ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».

В-третьих, предусматривается ограничение доступа к персональным данным граждан (физических лиц) в соответствии с Федеральным законом от 27.07.2006 № 152–ФЗ «О персональных данных». В частности, запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. При обработке персональных данных требуется разрешение граждан, кроме случаев, предусмотренных законами.

На рис. 1.2 представлена классификация информационных ресурсов по признаку собственности, а также по ограниченности доступа к информации и ее использования, проведенная с учетом требований и в соответствии с Законом РФ «О государственной тайне». Обобщенный перечень сведений, относимых к категории ограниченного доступа, с указанием правового основания ограничений представлен в Приложении 1 к РКЛ по данному разделу.

Информационные ресурсы • государственные • частные

Открытая информация (без ограничения доступа) • общенаучная • массовая

Открытая (с ограничением использования - защищена нормами авторского или патентного права)

Информация с ограниченным доступом и регламентированным использованием

Засекреченная (государственная тайна)

Конфиденциальная

Закрытая

Личного характера

Производственного характера • персональная тайна • профессиональная (служебная) тайна • коммерческая тайна

 

 

 

Рис. 1.2. Классификация информационных ресурсов в соответствии

с Законом РФ «О государственной тайне»

В Федеральном законе «О безопасности критической информационной инфраструктуры Российской Федерации» выделяется понятие критической информационной инфраструктуры, которая как раз и является приоритетным защищаемым объектом во второй группе объектов информационной безопасности.

Упомянутый закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак. При этом под объектами критической информационной инфраструктуры подразумеваются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. В качестве субъектов критической информационной инфраструктуры рассматриваются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Законом предусмотрены категорирование объектов критической информационной инфраструктуры; ведение реестра значимых объектов; оценка состояния защищенности; госконтроль состояния защищенности; создание специальных систем безопасности объектов. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. Под значимым объектом критической информационной инфраструктуры понимается объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.

Категорирование объектов осуществляется исходя из:

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Устанавливаются три категории значимости объектов критической информационной инфраструктуры ‒ первая, вторая и третья. Правила и прядок отнесения объектов критической инфраструктуры к той или иной категории уже утверждены и соответствующая работа уже проводится при координации со стороны Федеральной службы по техническому и экспортному контролю (ФСТЭК).