В современном мире каждое предприятие обрабатывает огромное количество информации. Многие из сведений являются конфиденциальными. Их разглашение может привести к негативным последствиям для самой компании или для ее работников и клиентов. Поэтому конфиденциальная информация (КИ) подлежит защите по закону. Правила работы с КИ диктуются Решением Коллегии Гостехкомиссии России №7.2 от 2 марта 2001 г. Документ содержит основные понятия и требования по охране КИ.
Что относится к конфиденциальной информации
Первым делом необходимо определиться, с каким видом информации работает организация. Согласно Указу Президента РФ «Об утверждении перечня сведений конфиденциального характера» КИ считаются:
- персональные данные, которые дают возможность установить личность человека;
- тайна следствия или судебного производства, данные о защищаемых гражданах;
- служебная тайна;
- профессиональные сведения: врачебная тайна, адвокатская тайна и т.д.;
- коммерческая тайна;
- данные об изобретении компании до официального объявления о нем.
Даже самая небольшая компания обрабатывает, как минимум, один из видов таких сведений: персональные данные (ПДн). Сюда относятся ПДн сотрудников и клиентов. Так, школы, больницы, детские сады обязаны охранять ПДн своих клиентов.
Аттестация: конфиденциальная информация
Для того, чтобы обезопасить КИ от незаконного доступа или утечки, необходимо аттестовать систему обработки данных и помещение. Аттестация по конфиденциальной информации – совокупность проверочных мероприятий, которые направлены на оценку соответствия объекта нормам по защите КИ. Правила и порядок процедуры описаны в «Положении по аттестации объектов информатизации» от 25.11.1994 г. К объектам информатизации относятся автоматизированные системы (АС), автоматизированные рабочие места (АРМ) и помещения. Поэтому в документе указан общий порядок аттестации, применимый к каждому из объектов. На деле проверочные мероприятия могут отличаться, что зависит от типа предмета аттестации и предъявляемых к нему требований.
В «Положении по аттестации» приведен такой алгоритм процедуры:
- Подача заявки аттестующую организацию. Аттестовать по нормам безопасности информации может исключительно лицензиат ФСТЭК в части технической защиты конфиденциальной информации.
- Когда аттестующий орган получает заявку, он рассматривает ее в течение 30 дней. Если исходные сведения окажутся недостаточными, предпринимается предварительное ознакомление с объектом.
- Орган по аттестации составляет программу аттестационных испытаний, в которой указываются сроки и методы проверок, контрольное оборудование, состав комиссии. Документ отправляется на согласование заявителю.
- Заключается договор на аттестацию.
- Проводятся аттестационные испытания.
- По факту проверки составляются протоколы испытаний и заключение, в котором перечисляются выявленные недочеты и даются указания по их устранению.
- Если объект отвечает установленным нормам, на него выдается аттестат соответствия. При отказе заявитель может подать апелляцию в ФСТЭК. Аттестат действует до 3 лет, это время необходимо сохранять неизменными условия работы с КИ.
Требования по защите конфиденциальной информации
Аттестация объектов обработки конфиденциальной информации проводится для АС, АРМ и помещений. Помещения, где происходит работа с КИ, проходят совещания и переговоры, называются защищаемыми (ЗП).
Для ЗП существуют свои требования, которым важно соответствовать. Они касаются и расположения ЗП и обстановки внутри. Например, имеет значение количество окон, батарей и вентиляций, материал стен и двери. Подготовленное ЗП не должно допускать утечки информации по различным каналам. На это и направлены проводимые в ходе аттестации испытания: проверяются акустический, виброакустический, электроакустический каналы утечки. Для охраны данных используются сертифицированные средства защиты информации. Чтобы подготовиться к аттестации ЗП нужно изучить требования, указанные в документах ограниченного доступа. Получить их можно, отправив заявку в ФСТЭК.
А вот АС аттестуются по другим правилам, которые зависят от вида системы. Всего их существует 7 типов:
- информационные системы персональных данных (ИСПДн),
- государственные информационные системы (ГИС),
- АС обработки конфиденциальной информации,
- АС управления технологическими процессами (АСУ ТП),
- информационные системы общего пользования (ИСОП),
- критические информационные структуры (КИИ),
- автоматизированные банковские системы (АБС).
Важно правильно категорировать АС, потому что для разных систем требования отличаются и диктуются разными нормативными документами. Основными правилами для эксплуатации любой АС являются ограниченный доступ к сведениям, учет носителей информации, антивирусная защита, подсистема выявления фактов незаконного доступа, использование только разрешенного ПО.
Сложность состоит в том, что одна и та же АС может аттестоваться по двум направлениям. Поэтому самостоятельно определить требования к системе не всегда возможно. Другой проблемой при аттестации является разработка внутренней документации. Указания на этот счет могут быть туманны и не точны, а количество требуемых документов – пугающим. Например, для аттестации ИСПДн требуется разработать около 60 документов.
Центр безопасности информационных систем поможет в разработке документации и подготовке по требованиям информационной безопасности с последующей аттестацией и гарантией прохождения других проверок.