Требования и рекомендации по защите информации

Основные требования и рекомендации по защите служебной тайны и персональных данных

Для каждой из категорий информации ограниченного доступа, рассмотренных нами ранее, предусмотрены отдельные федеральные законы и нормативные документы, СТР-К же дает обобщенные требования и рекомендации при их обработке в АС.

При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования:

• Перечень сведений, составляющих служебную тайну или персональные данные, должен быть документально оформлен. Он может иметь как обобщающий характер в области деятельности организации, так и относится к какому-либо отдельному направлению работ. Каждый исполнитель, имеющий отношение к информации ограниченного доступа, должен быть ознакомлен с перечнем в касающейся его части.
• В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:
  • АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
  • АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.
• Для обработки информации следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96). Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
• Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
• Носители информации должны учитываться, храниться и уничтожаться в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".
• Доступ к информации осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.

При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен.

Основные рекомендации по защите информации, составляющей коммерческую тайну

При разработке и эксплуатации АС, предполагающих использование сведений, составляющих коммерческую тайну, рекомендуется выполнение следующих основных организационно-технических мероприятий:

• Документальное оформление перечня сведений, составляющих коммерческую тайну. Все исполнители должны быть ознакомлены с этим перечнем.
• Оформить порядок разработки и эксплуатации таких АС документально.
• Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования).
• Рекомендуется для обработки информации, составляющей коммерческую тайну, использовать средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96). Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
• Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации.
• Следует установить на предприятии порядок учета, хранения и уничтожения носителей информации, а также разработать и ввести в действие разрешительную систему допуска исполнителей к документам и сведениям, составляющим коммерческую тайну.

Указанный минимальный набор рекомендуемых организационно-технических мероприятий по решению руководителя предприятия может быть расширен.

Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем предприятия по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации.

Мы рассмотрели основные требования и рекомендации Руководящего документа Гостехкомиссии России "Специальные требования и рекомендации по защите конфиденциальной информации" (СТР-К). Данный документ распространяется на защиту конфиденциальной информации и не рассматривает вопросы защиты государственной тайны. СТР-К содержит достаточно полный набор требований преимущественно организационного характера и может использоваться для оценки достаточности этих мер в системе защиты АС. Если говорить о правовом статусе СТР-К, то тут мнения расходятся, так как документ не зарегистрирован в Минюсте, то есть для доказывания определенного мнения о его правовом статусе, следует обращаться в суд. Тем не менее на практике при проведении аттестации АС регуляторы (в частности, ФСТЭК) активно используют СТР-К, следовательно для обеспечения защиты конфиденциальной информации знать его обязательно.