- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
3.4 Состав, объекты и степень конфиденциальности защищаемой информации
В зависимости от состава защищаемой информации (определение которого мы рассмотрим в следующей главе) системы ЗИ предприятия должна решать различные по своей сложности и степени ответственности задачи. Состав используемой предприятием информации определяет особенности деятельности при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Общие права и обязанности предприятия в этих трех широких областях деятельности определяются Федеральным законом от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», которым определено, что право на доступ к информации может быть ограничено федеральными законами.
Основные особенности ЗИ в зависимости от состава защищаемой информации (по видам):
государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Перечень сведений, составляющих государственную тайну – определяется законом;
перечень сведений, отнесенных к государственной тайне – указом Президента Российской Федерации;
перечни сведений, подлежащих засекречиванию – федеральными органами исполнительной власти;
меры защиты - определяются Правительством Российской Федерации;
контроль – осуществляется федеральными органами в области безопасности, обороны, внешней разведки, технической защиты информации и ПД ТСР;
допуск предприятия к работам – лицензируемый вид деятельности;
допуск персонала – по согласованию с органами безопасности;
применяемые средства защиты – подлежат сертификации;
передача сведений контрагентам – с разрешения федерального органа, в распоряжении которого они находятся;
передача сведений другим государствам – по решению Правительства;
ответственность за разглашение (утрату) – уголовная.
служебная тайна - несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью*.
состав подлежащих защите сведений – определяется организацией;
меры защиты - общие определены Правительством Российской Федерации, остальные – руководителями федеральных органов исполнительной власти;
контроль – руководителями организаций (для подведомственных - руководителями федеральных органов исполнительной власти);
передача в другие организации – по решению лиц, отнесших информацию к служебной тайне;
ответственность за разглашение – дисциплинарная, административная.
коммерческая тайна* - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
перечень сведений, составляющих коммерческую тайну – определяется обладателем;
меры защиты - определяются обладателем;
контроль – осуществляется обладателем в рамках гражданско-правовых отношений;
передача другим организациям – в рамках гражданско-правовых отношений;
ответственность – в основном гражданско-правовая, хотя предусмотрена и уголовная.
персональные данные:
перечень – определяется законом**;
меры защиты – определяются правительством;
контроль – осуществляется федеральными органами, уполномоченными в области безопасности и в области технической защиты информации и ПД ТСР;
ответственность – административная.
Степень конфиденциальности информации, как понятие, характеризующее величину ущерба, который может наступить в результате разглашения информации, в законодательном порядке применяется к сведениям, составляющим государственную тайну. Так, в соответствии со статьей 8 Закона «О государственной тайне» устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".
Применимо понятие степени конфиденциальности и к информации, отнесенной к коммерческой тайне. Федеральный закон «О коммерческой тайне» определяет, что меры защиты сведений, составляющих коммерческую тайну, определяет ее собственник. Одной из таких мер можно рекомендовать при разработке перечней сведений, составляющих коммерческую тайну предприятия, структурировать такую информацию исходя из величины возможного ущерба при ее разглашении. Такой подход позволит дифференцировать меры защиты коммерческой тайны, и, соответственно, повысить эффективность защиты наиболее важной информации.