CC BY
64
УДК 004.056
ОТСУТСТВИЕ ФОРМ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ КАК ПРОБЛЕМА АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
А. П. Голушко Научный руководитель - В. К. Лягашин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: anna-6991@mail.ru
Аттестация объектов информатизации на соответствие требованиям безопасности информации является одним из основных мероприятий на территории Российской Федерации по контролю за выполнением соответствующих требований законодательства в области информационной безопасности. Рассмотрена одна из существующих проблем аттестации объектов информатизации, обрабатывающих сведения конфиденциального характера.
Ключевые слова: аттестация объектов информатизации, система защиты информации, организационно-технические мероприятия, типовая форма документа, требования законодательства по защите информации, орган по аттестации, заявитель, системы автоматизации производства документов.
ABSENCE OF ORGANIZATIONAL-ADMINISTRATIVE DOCUMENTS FORMS AS A PROBLEM OF INFORMATIONAL OBJECTS CERTIFICATION FOR COMPLIANCE WITH INFORMATION SECURITY REQUIREMENTS
A. P. Golushko Scientific Supervisor - V. K. Lyagashin
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: anna-6991@mail.ru
Informational objects certification for compliance with information security requirements is one of main control measures in Russian Federation over implementation of relevant information security requirements. Article describes certification problem related to informational objects which process confidential information.
Keywords: informational objects certification, information security system, organizational and technical measures, model form of document, information security requirements, certification authority, the applicant, automated system of documents" production.
Реализация мер по обеспечению безопасности информации предусматривает осуществление контроля за выполнением требований законодательства в области информационной безопасности. Оценка соответствия требованиям безопасности проводится в одной из установленных на территории Российской Федерации форм - аттестации объектов информатизации на соответствие требованиям безопасности информации [3].
Право оказывать услуги по аттестации объектов информатизации имеет организация, обладающая лицензией на осуществление деятельности по технической защите конфиденциальной информации (далее - орган по аттестации [4]).
В рамках принятия мер по обеспечению безопасности разрабатывается пакет документации, который регламентирует политику информационной безопасности организации, положения
Секция «Методы и средства зашиты информации»
и регламенты, а также инструкции для всех участников процесса обработки защищаемой информации.
Несмотря на наличие в государственной системе защиты информации обширной нормативно-правовой базы, на практике органы по аттестации часто сталкиваются с проблемами реализации тех или иных требований по обеспечению безопасности конфиденциальной информации.
Разработка организационно-распорядительных, проектных и эксплуатационных документов представляет собой неотъемлемую часть создания системы защиты объекта информатизации или информационной системы и последующей их аттестации.
Согласно п. 2.6 [3] владельцы аттестуемых объектов информатизации проводят подготовку объекта информатизации путем внедрения организационно-технических мероприятий по защите информации и предоставляют органам по аттестации документы и условия для проведения аттестации.
Из этого следует, что заявителям необходимо, во-первых, выполнить требования законодательства РФ по обеспечению безопасности информации, которая будет обрабатываться на данном объекте и, во-вторых, подготовить документацию на объект, регламентирующую организационные и технические меры, принятые во исполнение требований законодательства РФ.
Однако перед заявителями встает вопрос о том, какие документы необходимо оформить и какова типовая форма этих документов.
Некоторые требования законодательства РФ в области защиты информации прямо регламентируют документы, которые необходимо создать для выполнения соответствующих требований и также примерное их содержание.
Например, ч. 4 ст. 9 [2] устанавливает требование наличия письменного согласия субъекта на обработку его персональных данных, а также перечень сведений, которые необходимо указать в документе. Однако типовая форма «Согласия субъекта персональных данных на обработку его персональных данных» отсутствует, что объясняется неоднородностью оснований для осуществления обработки персональных данных в разных организациях.
Пример не является единственным. Частью 3 ст. 18 установлено требование разработки «Уведомления субъекта персональных данных об обработке его персональных данных» и его содержанию. Однако большая часть требований по защите конфиденциальной информации указывает только примерное название необходимого для разработки документа.
Для решения рассматриваемой проблемы в конце 2012 года Техническим комитетом Российской Федерации № ТК-362 был разработан проект национального стандарта ГОСТ Р «Защита информации. Документация по технической защите информации на объекте информатизации. Общие положения». Стандарт должен установить общие требования к типовым комплектам документов по технической защите информации на объекте информатизации, к составу указанных комплектов документов, а также требования к содержанию и порядку разработки, согласования, утверждения, введения в действие и оформлению этих документов. К настоящему времени стандарт, разработанный техническим комитетом, не утвержден и не является действующим на территории РФ.
Для организации-заявителя существует несколько способов решения проблемы.
Первый способ предусматривает применение систем автоматизации процессов по защите информации. Онлайн-сервисы позволяют выбрать подходящий пакет услуг в соответствии с тем, является ли организация государственной или коммерческой, а также в зависимости от вида обрабатываемой информации и предъявляемых требований по ее защите. Развитие подобных сервисов уже сейчас позволяет автоматизировать процесс создания документации по защите информации и при этом быть уверенными в соответствии данных документов требованиям законодательства. В то же время, нельзя считать создаваемые документы полными и исчерпывающими, так как в них отражены минимальные требования по защите информации, и не учитываются все особенности структуры объекта информатизации и сферы деятельности организации, к которым относится обрабатываемая информация.
Другим способом является обращение к органу по аттестации. Если объект информатизации представляет собой большую нетиповую информационную систему, то для него необходимо разработать индивидуальную документацию, которая будет отражать все существующие связи
компонентов объекта. Орган по аттестации помимо аттестации объекта информатизации предварительно может оказать помощь в создании внутренней документации организации-заявителю, а также в реализации технических мер по защите информации.
Для органа по аттестации объектов информатизации важно знать структуру и содержание необходимых организационных и распорядительных документов для защиты персональных данных разных уровней защищенности и другой конфиденциальной информации, обрабатываемой в информационной системе. Органы по аттестации формируют собственную базу документации. В условиях конкуренции на рынке информационной безопасности типовые формы и шаблоны документов составляют коммерческую тайну этих организаций.
Таким образом, единственного возможного решения проблемы не существует. Для разработки организационно-распорядительной документации организации-заявители могут привлекать специалистов информационной безопасности. В качестве критерия для отбора может служить наличие аттестованных объектов информатизации, для которых этим специалистом были разработаны документы, а также объектов, прошедших проверку контролирующими органами. Организация может обратиться в орган по аттестации объектов информатизации или воспользоваться онлайн-сервисами, позволяющими автоматизировать процесс разработки. В каждом случае этот вопрос решается индивидуально на основании предварительно проведенного анализа экономической целесообразности выбора решения, временных затрат, а также сложности и размеров защищаемого объекта информатизации.
Библиографические ссылки
1. Об информации, информационных технологиях и о защите информации : федер. закон от 27.07.2006 № 149-ФЗ. Доступ из справ.-правовой системы «КонсультантПлюс».
2. О персональных данных : федер. закон № 152-ФЗ от 27 июля 2006 г. Доступ из справ.-правовой системы «КонсультантПлюс».
3. Положение по аттестации объектов информатизации по требованиям безопасности информации : утв. председателем Гос. техн. комиссии при Президенте РФ 25 ноября 1994 г. Доступ из справ.-правовой системы «КонсультантПлюс».
4. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации : утв. приказом председателя Гос. техн. комиссии при Президенте РФ 05.01.1996 г. Доступ из справ.-правовой системы «КонсультантПлюс».
5. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Доступ из справ.-правовой системы «Консультант-Плюс».
6. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах : утв. приказом ФСТЭК России от 11.02.2013 г. № 17. Доступ из справ.-правовой системы «КонсультантПлюс».
© Голушко А. П., 2017
