Законодательный уровень защиты информации реферат

Обновлено: 05.07.2024

Информация была и есть частью жизни общества, как и информационная безопасность. Вопрос защиты информации всегда был актуален, будь то шифрование писем в прошлых столетиях или криптографические средства защиты сейчас – цель всегда будет преследоваться одна. В условиях информационного общества этот вопрос стоит особенно остро, так как современные реалии развития информационных отношений подразумевают широкое использование и высокую ценность информации, а значит огромный поток передаваемой информации всегда будет подвергаться недобросовестной деятельности. В современной России уже сформированы частично методы защиты информации на государственном уровне, а также продолжается гонка за далеко убегающими технологиями и новыми способами защиты права. В сфере права ситуация так же не стоит на месте. Для детального рассмотрения того, как менялась информационная безопасность на законодательном уровне стоит определиться, что затрагивает данное понятие именно в праве и именно в России.

1) Так, если мы откроем Указ Президента РФ от 5 декабря 2016 г. № 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" то увидим, что информационная безопасность – это состояние защищенности общества и государства, отдельного гражданина от информационно-технического воздействия на информационную инфраструктуру. То есть это состояние защищенности общества от недобросовестной информации либо от ее разглашения.

2) Согласно ч. 4 ст. 6 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – Закон № 149-ФЗ) владелец информации обязан принимать меры по ее защите, из чего следует, что защита информации (как информационная безопасность) – совокупность обязательных действий владельца информации не только по ее защите (защита от уничтожения, распространения, копирования и т.д. (ч. 1 ст. 16 Закон № 149-ФЗ)), но и реализации права на доступ к ней.

3) Также под защитой информации понимается защита интеллектуальной собственности, ограничение доступа к ней и ее законное распространении (касается, например, ноу-хау).
Для рассмотрения основных изменений в российском законодательстве за последнее время стоит понимать, что "информационная безопасность" имеет, скажем так, различную направленность, что мы и видим согласно представленным выше определениям. Соответственно, мы разделим на 3 этапа основные изменения в сфере информационной безопасности.

Этап 1. Основные права и обязанности

1) Данный этап можно назвать формированием правовой защиты информации. А значит, стоит начать с Конституции РФ, которая является основным источником права в области обеспечения информационной безопасности в России:

2) К этому же этапу можно отнести первые редакции Федерального закона от 20 февраля 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации", который, как острог и каркас имел лишь основные понятия: устанавливал обязанности государства в сфере защиты информации, создал пока еще только понятие об информационных ресурсах государства, отнес информационные ресурсы к общероссийскому национальному достоянию (2003 год).

3) Правовой режим государственной тайны установлен первым в истории российского государства Законом "О государственной тайне", который вступил в действие 21 сентября 1993 года (новая редакция Закона Российской Федерации "О государственной тайне" была принята в 1997 году).

4) Указом от 6 марта 1997 года № 188 был закреплен перечень сведений конфиденциального характера, таких как персональные данные, тайна судопроизводства, коммерческая тайна и т.д.
Данный этап подразумевал под собой формирование основных сводов и правил для дальнейшего формирования защищенности интересов в информационной сфере. Основной уровень прав – гарант правового общества, соответственно эти меры были просто необходимы и отражали основные принципы государства. Практическая ценность данных прав – нормальное функционирование судебной системы в России.

Этап 2. Формирование основных направлений и их реализация

Данный этап и перечень всех изменений проще всего будет рассмотреть на примере двух Доктрин информационной безопасности Российской Федерации 2000 и 2015 года. Хоть они и не отражают всех изменений, внесенных за этот период с 2000 по 2016 год, но вполне отражают общую тенденцию выходящих тогда паровых актах и изменениях в праве. Данный анализ основан на статье: Информационная политика России в обеспечении информационной безопасности личности: история и современность (Чеботарева А.А.) ("История государства и права", 2015, № 24)

1) Доктрина информационной безопасности личности Российской Федерации 2000 года (утверждена Президентом РФ 9 сентября 2000 г. № Пр-1895) ставит перед собой основную задачу – это защита личности в информационной сфере. При этом интересы личности в информационной сфере заключаются как в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, так и в защите информации, обеспечивающей личную безопасность.

2) В Стратегии развития информационного общества в Российской Федерации (утв. Президентом РФ 7 февраля 2008 г. № Пр-212) один из принципов, на которых базируется развитие информационного общества в России, – это обеспечение национальной безопасности в информационной сфере. В качестве одного из направлений реализации Стратегией названо обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований к обеспечению безопасности информации ограниченного доступа, что и подтвердила Доктрина 2016 года. Разработка новой Доктрины продиктована изменившимися реалиями, связанными с угрозами информационной безопасности, изменением в стратегическом планировании в сфере обеспечения национальной безопасности.

Из чего можно сделать вывод, что данный этап формирует две основные направленности: внутреннюю (2000 год) и внешнюю (2016 год). Право в сфере информационной безопасности формируется именно по этим двум направления, составляя тандем из состояния защищенности каждой отдельной личности, общества и государства. На деле – направление развития права в сфере информационной безопасности дало точек к конкретизации различных паровых случаев и возможность следовать тенденциям глобальной информатизации. Вопрос же в реализации данных направлений отразился в Этапе 3.

Этап 3. Гонка с технологиями

С формированием информационного общества поток информации в мире непрерывно растет. Это в первую очередь обеспечено технологиями, которые постоянно совершенствуются и дорабатываются, а также внедрением новых возможностей в систему взаимодействия общества. Право во всем мире постоянно старается залатать дыры, образованные новыми возможностями. Защита прав личности, корпоративной тайны, государственной тайны сейчас скорее вопрос не только права, но и физики, математики. А значит, недостаточно выпустить НПА и тем самым закрыть брешь, но и необходимо создать технологическую почву для его реализации. Этим и обусловлены все новые НПА, выходящие приблизительно с 2016 года. Будь то еще не уступивший в силу Федеральный закон от 31 июля 2020 г. № 259-ФЗ "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации", который направлен на регулирование криптовалют, а значит защиту пользователей криптовалют. Или новая редакция Закона. № 149-ФЗ, о нововведениях которой хотелось бы упомянуть, что бы картинка развития права в сфере информационной безопасности в России была целостной. Итак, на что направлены новые изменения в Закон № 149-ФЗ? На борьбу с "пиратством". Предыдущий опыт показал неэффективность борьбы с пиратством в России. Поэтому, это закономерное изменение. Так, правообладатель теперь сможет блокировать через Роскомнадзор не только ресурс, на котором опубликован материал, но и ограничить доступ также к программам, которые обеспечивают работу "пиратских" сайтов в Интернете. А у провайдеров появятся новые обязательства. В соответствии с новой ч. 3.1 ст. 15.2 Закона № 149-ФЗ владелец информационного ресурса, на котором находится программное приложение, обеспечивающее использование "пиратского" сайта, обязан проинформировать об этом владельца программного приложения и уведомить его о необходимости незамедлительно ограничить доступ к произведениям или иной интеллектуальной собственности, которые распространяются без разрешения правообладателя. То же самое касается и разработчиков программ, на которых публикуются незаконно произведения интеллектуальной собственности.

Рассмотрев поэтапно историю развития информационной безопасности в России, напрашивается ряд вопросов, которые могут задать себе предприниматели. Однако, данная хронография законодательных актов – не более чем направление деятельности государства в сфере защиты информации. Ее непосредственное применение в судах или досудебном порядке неприменимо. Но! Знания и понимание процессов – сила, которая не даст растеряться на практике. Так, понимая, что деятельность законодателей направлена сейчас на ужесточение мер по защите авторских прав, а так же появление новых возможностей кредитования – можно взять кредит под залог интеллектуальной собственности, как это было сделано впервые в России в октябре 2020 года. Так же, например, понимая, что хоть и основные меры по защите предпринимательства и бизнеса идут с 2016 года – многие моменты, связанные с техническим обеспечением являются незащищенными. Поэтому стоит трижды рассмотреть новые капиталовложения, связанные с передачей данных по интернету, но и бояться нового – стагнация для бизнеса. Описать каждый новый элемент технологических достижений невозможно как в нормативно-правовых актах, так и в этой статье. Тем не менее, можно дать простое понимание общей картины. Поэтому ниже будут приведены вопросы. Которые задает каждый предприниматель века информационных технологий.

1) Как предприниматель может защитить свои данные на просторах Интернета?

С развитием технологий способы утечки корпоративной, личной информации, имеющие материальную ценность, являются важным ресурсом для любого бизнеса по всему миру. Минимизация возможности утечки таких данных путем ужесточения мер идентификации и аутентификации – единственный надежный вариант на сегодняшнее время. Если Ваши персональные данные уже находятся в Интернете – изъять их будет куда сложнее, чем постоянно проводить профилактику и соблюдать меры предосторожности. Для этого есть два основных направления: ужесточение мер безопасности на внутреннем уровне или передача на аутсорсинг. Внутреннее ужесточение имеет потолок в виде вашего IT-отдела. Аутсорсинг же пестрит выбором и необходимо тщательно выбирать партнера для передачи ценной информации. Если же ситуация уже вышла из-под контроля, стоит учитывать, что судебная практика имеет смешанные решения по вопросам утечки персональных данных, но шансы получить компенсацию и пресечь утечку данных куда проще при передаче оператору персональных данных на аутсорсинг. Так, после внесения изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" появились компании на аутсорсинге, которые предлагают услугу облачного хранилища, то есть хранение всего объема данных от первичных документов до счетов в защищенном облаке данных на серверах компании, предоставившей услугу. Но все равно по итогу никто не застрахован от утечки данных, вопрос лишь в процентном шансе заиметь проблемы с данными, так как находятся все новые и новые способы украсть персональные данные. Из чего следует вывод, что каждый предприниматель должен быть готов столкнуться с чем-то новым. Как в положительном, так и в отрицательном ключе.

2) И вытекающий вопрос из предыдущего – а что делается для предотвращения таких случаев на законодательном уровне? Как в России решают проблему технологического отставная в защите персональных данных?

Хоть и отставание от технологий чрезмерно велико, процесс все же есть. Помимо упомянутой выше новой редакции Закона № 149-ФЗ, направленной на защиту в Госдуму было внесено порядка 10 проектов, касающихся непосредственно мер по защите персональных данных. Ввели уточнения обязанностей организатора распространения информации в сети, уточнения порядка обработки персональных данных по поручению оператора, а также уточнения требований по обеспечению безопасности обрабатываемых персональных данных, уточнения сведений, передаваемых оператором связи и других данных. В техническом плане постоянно совершенствуются способы шифрования криптографии (например, разрабатываются новые системы токенов для обеспечения информационной безопасности пользователя). Тем не менее, конкретизация в праве и новые методы шифрования в техническом плане рождают новые методы обхода всех средств защиты и эта гонка будет продолжаться бесконечно.

Аннотация: Эта лекция посвящена российскому и зарубежному законодательству в области ИБ и проблемам, которые существуют в настоящее время в российском законодательстве.

Что такое законодательный уровень информационной безопасности и почему он важен

В деле обеспечения информационной безопасности успех может принести только комплексный подход . Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

законодательного;
административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
процедурного (меры безопасности, ориентированные на людей);
программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности );
направляющие и координирующие меры , способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений , поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

Нельзя собирать и распространять информацию о жизни человека без его согласия.
Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

Ключевые моменты закона:

Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы VK Cloud Solutions (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

точное место жительства;

адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

если им получено согласие на обработку (необязательно письменное);

планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

обрабатываются персональные данные своих сотрудников;

в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

Политика в отношении персональных данных задокументирована и находится в публичном доступе.

Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).

Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.

Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;

некоторые процессы системы (в частности, защитные) функционируют не в полную силу;

усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

неисправность технических средств,

слабые антивирусы, отсутствие шлюзов безопасности,

невозможность зрительного контроля за серверами и доступом к ним.

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).

Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.

Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

угроза, вызванная небрежностью сотрудников, работающих с информационной системой;

угроза, инициируемая субъектами извне с целью получения личной выгоды.

искусственная угроза, созданная при участии человека;

природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

человек, разглашающий строго конфиденциальные сведения;

природный фактор (вне зависимости от масштаба);

специализированное вредоносное программное обеспечение, нарушающее работу системы;

удаление данных случайным путем из-за отказа техники.

Момент воздействия угрозы на информационные ресурсы:

в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);

при получении системой новой информации;

независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

Построение системы защиты персональных данных

Классификация уровней защиты

Информационная безопасность подразумевает четыре уровня защиты от угроз:

Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).

Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).

Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.

Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.

Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.

Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Средства защиты информации

Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

Криптографические средства защиты информации

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.