Общие сведения

Для того, чтобы понять, что включает в себя "деятельность по защите информации", необходимо ответить на ряд следующих вопросов.

       Что защищаем?




 - это сведения (сообщения, данные) независимо от формы их представления (п. 1 ст. 2 Федерального закона №149-ФЗ), являющиеся предметом собственности и подлежащие защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации* ("ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения")


Защите подлежит не только Информация, а также:



 - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. (ГОСТ Р 50922-2006).

Например: бумажные и электронные носители информации (флэшки, CD-диски, карты памяти), прочее.
       


 - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006).
- предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности (ГОСТ Р 50922-2006).

Например: аппаратные средства (серверы, рабочие станции), программное обеспечение (операционные системы, специальное программное обеспечение), помещения, прочее.
        

 - информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности (ГОСТ Р 50922-2006).

Понятие «информационной системы» представлено отдельном в разделе сайта «Информационные системы»

Особое внимание следует уделить такому объекту защиты информации, как ОБЪЕКТ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ* – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, которые:

  • принадлежат на праве собственности, аренды или на ином законном основании государственным органам, государственным учреждениям, российским юридическим лицам и (или) индивидуальным предпринимателям;

  • функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Подробнее можно почитать в этом разделе сайта.

*статья 2 Федерального закона от 26.07.2017 №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Кто защищает? 

-1-

Защиту информации обеспечивает обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (п. 5 ст. 2 Федерального закона №149-ФЗ).

Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

!!! От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами (ст. 6 Федерального закона №149-ФЗ).

*В ГОСТ Р 50922-2006 обладатель информации определен как ее собственник.

-2-

Кроме обладателя информации существенная роль в действующем законодательстве выделяется оператору информационной системы – это гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (п. 12 ст. 2 Федерального закона №149-ФЗ).

Изначально оператором информационной системы является собственник технических средств, используемых для обработки, содержащейся в базах данных информации. Иное лицо может быть назначено оператором на основании нормативного правового акта либо на основании договора с собственником.

-3-

Так же на основании заключенного договора (контракта, соглашения) защиту могут обеспечивать:

  • индивидуальные предприниматели или юридические лица, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом №99-ФЗ "О лицензировании отдельных видов деятельности";

  • лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации или оператора;

  • лицо, предоставляющее обладателю информации или оператору вычислительные ресурсы (мощности) для обработки информации.

С какой целью и от чего (кого) защищаем?

Защита информации направлена* на:

  1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
  2. Соблюдение конфиденциальности информации ограниченного доступа.
  3. Реализацию права на доступ к информации.

Источником угрозы безопасности информации выступает субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации (ГОСТ Р 50922-2006).

*(ч. 1 ст. 16 Федерального закона №149-ФЗ).

Как защищаем?

Деятельность по защите информации представляет собой совокупность принимаемых правовых, организационных и технических мер (ч. 1 ст. 16 Федерального закона №149-ФЗ).

Правовая защита информации: разработка нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Организационная защита информации: выполнение предусмотренных нормативными актами организационных мероприятий и применение совокупности средств, создающих препятствия для проникновения или доступа не уполномоченных физических лиц к объекту защиты.

Техническая защита информации: обеспечение безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Порядок принятия мер по защите информации регламентируется нормативными правовыми актами Российской Федерации в области защиты информации, а также нормативными локальными актами обладателя информации (оператора информационной системы).