ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4259
Скачиваний: 25
вид информации ограниченного доступа безусловно существует
на каждом предприятии.
Персональные данные как вид информации ограниченного
доступа также присутствуют на любом предприятии, и соответ
ственно требуется принятие мер по их защите.
Служебная информация ограниченного распространения (с
пометкой «Для служебного пользования») может быть получена
предприятием в процессе его взаимодействия с федеральными
органами исполнительной власти. Как правило, такие предприя
тия проводят работы по выполнению заказов на поставки това
ров, выполнение работ, оказание услуг для государственных и
муниципальных нужд.
Рассматривая влияние характера основной деятельности пред
приятий на построение КСЗИ, нельзя обойти стороной их клас
сификацию по типу производственной кооперации:
•
замкнутые
(производят конечный продукт без участия сто
ронних предприятий); КСЗИ таких предприятий не требует за
щищенных каналов связи для взаимодействия с контрагентами,
решения вопросов ЗИ в договорных документах с контрагента
ми;
•
соисполнители
(производят и поставляют предприятиям-ис-
полнителям составную часть конечного продукта); КСЗИ таких
предприятий требует оснащения средствами защиты информации,
передаваемой контрагентам по каналам связи, наличия в дого
ворных документах обязательств по ее охране, других вопросов,
связанных с передачей защищаемой информации;
•
исполнители
(производят конечный продукт в кооперации с
предприятиями-соисполнителями); КСЗИ таких предприятий тре
бует оснащения средствами защиты информации, передаваемой
контрагентам по каналам связи, исполнения договорных обяза
тельств по ее охране, юридической защиты информации с огра
ниченным доступом, содержащейся в реализуемой продукции,
решения других вопросов, связанных с передачей защищаемой
информации.
Одной из особенностей деятельности предприятия, влияющей
на организацию и функционирование КСЗИ, является проведе
ние предприятием работ в областях, имеющих отношение к безопас
ности государства. На таких предприятиях государство устанав
ливает ряд ограничений, связанных в первую очередь с защитой
информации. Примером ограничений может служить постановле
ние Правительства Российской Федерации от 11 октября 2002 г.
№ 755*, которым утвержден Перечень объектов и организаций, в
которые иностранные граждане не имеют права быть принятыми
на работу. В него включены объекты и организации, осуществля
* Собрание законодательства РФ от 14.10.2002 г. № 41. — Ст. 3996.
ющие работы, связанные с использованием информации ограни
ченного доступа:
1) объекты и организации Вооруженных Сил Российской Фе
дерации, других войск и воинских формирований;
2) структурные подразделения по защите государственной тай
ны и подразделения, осуществляющие работы, связанные с ис
пользованием сведений, составляющих государственную тайну,
органов государственной власти и организаций;
3) организации, в состав которых входят радиационно-опас
ные и ядерно-опасные производства и объекты, на которых осу
ществляются разработка, производство, эксплуатация, хранение,
транспортировка и утилизация ядерного оружия, радиационно
опасных материалов и изделий.
3.4. Состав, объекты и степень
конфиденциальности защищаемой
информации
В зависимости от состава защищаемой информации (опреде
ление которого мы рассмотрим в следующей главе) системы ЗИ
предприятия должна решать различные по своей сложности и сте
пени ответственности задачи. Состав используемой предприяти
ем информации определяет особенности деятельности:
1) при осуществлении права на поиск, получение, передачу,
производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Общие права и обязанности предприятия в этих трех широких
областях деятельности определяются Федеральным законом от
27 июля 2006 г. № 149-ФЗ «Об информации, информационных
технологиях и о защите информации» [45], которым определено,
что право на доступ к информации может быть ограничено феде
ральными законами.
Назовем
основные особенности ЗИ
в зависимости от состава
защищаемой информации (по видам).
Государственная тайна
:
• перечень сведений, составляющих государственную тайну,
определяется федеральным законом;
• перечень сведений, отнесенных к государственной тайне, опре
деляется Указом Президента Российской Федерации;
• перечни сведений, подлежащих засекречиванию, определя
ются федеральными органами исполнительной власти;
• меры защиты определяются Правительством Российской Фе
дерации;
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности, обороны, внешней разведки,
технической защиты информации и ПД TCP;
• допуск предприятия к работам — лицензируемый вид дея
тельности;
• допуск персонала — по согласованию с органами безопасности;
• применяемые средства защиты подлежат сертификации;
• передача сведений контрагентам — с разрешения федераль
ного органа, в распоряжении которого они находятся;
• передача сведений другим государствам — по решению Пра
вительства Российской Федерации;
• уголовная ответственность за разглашение сведений (утрату
их носителей).
Служебная тайна
[31]:
• состав подлежащих защите сведений определяется организа
цией;
• общие меры защиты определены Правительством Российской
Федерации, остальные — руководителями федеральных органов
исполнительной власти;
• контроль осуществляется руководителями организаций (для
подведомственных — руководителями федеральных органов ис
полнительной власти);
• передача в другие организации — по решению должностных
лиц, отнесших информацию к служебной тайне;
• ответственность за разглашение дисциплинарная, админист
ративная.
Коммерческая тайна
[46]:
• перечень сведений, составляющих коммерческую тайну, опре
деляется обладателем;
• меры защиты определяются обладателем;
• контроль за использованием осуществляется обладателем в
рамках гражданско-правовых отношений;
• передача другим организациям — в рамках гражданско-пра
вовых отношений;
• ответственность — в основном гражданско-правовая, хотя
предусмотрена и уголовная.
Персональные данные
:
• перечень определяется федеральным законом [47];
• меры защиты определяются Правительством Российской Фе
дерации;
• контроль осуществляется федеральными органами, уполно
моченными в области безопасности и в области технической за
щиты информации и ПД TCP;
• ответственность административная.
Степень конфиденциальности информации как понятие, ха
рактеризующее величину ущерба, который может наступить в ре
зультате разглашения информации, в законодательном порядке
применяется к сведениям, составляющим государственную тайну.
Так, в соответствии со ст. 8 Закона Российской Федерации
«О государственной тайне» [20] устанавливаются три степени сек
ретности сведений, составляющих государственную тайну, и со
ответствующие этим степеням грифы секретности для носителей
указанных сведений: «особой важности», «совершенно секретно»
и «секретно».
Применимо понятие степени конфиденциальности и к ин
формации, отнесенной к коммерческой тайне. Федеральный за
кон «О коммерческой тайне» определяет, что меры защиты све
дений, составляющих коммерческую тайну, определяет ее соб
ственник. Как одну из мер можно рекомендовать при разработке
перечней сведений, составляющих коммерческую тайну предпри
ятия, структурировать такую информацию исходя из величины
возможного ущерба при ее разглашении. Предлагаемый подход
позволит дифференцировать меры зашиты коммерческой тайны
и соответственно повысить эффективность зашиты наиболее важ
ной информации.
3.5 . Структура и территориальное
расположение предприятия
Структура предприятия является важным фактором, влияющим
на построение КСЗИ. Очевидно, что КСЗИ должна охватывать
все структурные подразделения и объекты предприятия, осуще
ствляющие работы с информацией ограниченного доступа.
Приведем несколько примеров классификации предприятий
исходя из их структуры, которые могут быть использованы при
определении параметров КСЗИ.
По внутренней структуре:
•
однородные
(подразделения предприятия изготавливают оди
наковую продукцию, применяют однотипные технологии, инфор
мационные потоки не имеют значительных различий); КСЗИ на
таких предприятиях может состоять из типовых блоков, что зна
чительно упрощает процесс управления, подготовку и взаимоза
меняемость специалистов ЗИ, уменьшает затраты на проектиро
вание, обеспечение техническими средствами защиты информа
ции;
•
неоднородные
(различных типов, например: первый — ко
нечная продукция производится последовательно, перемещаясь
от одного подразделения предприятия к другому, до появления
конечного продукта; второй — подразделения производят различ
ные, не связанные между собой технологически и конструктивно
самостоятельные виды продукции; третий — подразделения про
изводят различные составляющие одной продукции, сборка осу
ществляется специальным подразделением и др.); организация
КСЗИ на таких предприятиях характеризуется более сложной си
стемой управления ЗИ, требует учета особенностей информации,
циркулирующей в каждом из подразделений, увеличивает затра
ты на проектирование, приобретение и эксплуатацию техниче
ских средств защиты информации.
В плане защиты информации территориальное расположение
предприятий можно классифицировать по условиям функциони
рования КСЗИ, оценивая их как
благоприятные, обычные
и
осо
бые.
Существенные факторы, влияющие на оценку:
1) расположение в населенном пункте или вне его, размеры
населенного пункта, степень плотности и высотность окружаю
щей застройки;
2) наличие вблизи предприятия учреждений, определяющих
особые условия защиты государственной тайны (иностранные
посольства, консульства, миссии, предприятия и т.п.);
3) протяженность периметра, размеры и условия наблюдения
за контролируемой зоной, ее охраны;
4) рельеф земельного участка и окружающих территорий;
5) наличие на территории, вблизи и под ней посторонних ком
муникаций, линий связи, электропитания и т.п.;
6) наличие и полнота комплекта конструкторской и техноло
гической документации на здания и коммуникации предприятия;
7) населенность региона, степень урбанизации, качество тру
довых ресурсов;
8) расположение в зонах (на территориях) с ограниченным
посещением (ЗАТО);
9) удаленность от оживленных транспортных (в т.ч. воздуш
ных) магистралей;
10) наличие подъездных путей, погрузочно-разгрузочных тер
миналов, возможность просмотра ведущихся на них работ.
Благоприятными можно считать условия, при которых пере
численные и другие возможные факторы способствуют выполне
нию задач КСЗИ. Обычными можно считать условия, при кото
рых нейтрализация неблагоприятных факторов не требует значи
тельных материальных и финансовых затрат. Особыми можно счи
тать условия, при которых нейтрализация неблагоприятных фак
торов требует значительных материальных и финансовых ресур
сов, а также наличие обстоятельств, изложенных в п. 2.
Законодательством Российской Федерации также установлен
ряд правил и ограничений, связанных с созданием и функциони
рованием предприятий, размещенных в закрытых административ
но-территориальных образованиях (ЗАТО):