Механизмы обеспечения информационной безопасности в РФ

Государственные меры, направленные на защиту конфиденциальной информации, представляют собой рекомендации по обязательным организационным, техническим и программным способам защиты данных, которые обязаны выполнять организации, работающие с персональными данными или государственной тайной. Рекомендации разрабатываются ФСТЭК РФ и ФСБ РФ в части криптографических механизмов защиты. Для мер, направленных на обеспечение охраны банковской тайны и на исключение неправомерного доступа к средствам граждан и компаний, размещенных на их карточных и расчетных счетах, рекомендации разрабатывает Центральный банк РФ.

С государственной тайной обычно сталкиваются предприятия, являющиеся исполнителями по государственным контрактам, в ходе реализации которых они получают доступ к сведениям этой категории:

в военной области;

в области экономики, науки и техники, но отнесенным к гостайне;

в области внешней политики и внешнеэкономической деятельности;

в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

В отношении персональных данных действует иной принцип защиты. Под этим термином понимается любая значимая информация о гражданах, как о персонале компании, так и о ее клиентах. Гражданин, передавая организации адрес, телефон, паспортные данные, номер банковской карты, вправе рассчитывать на то, что эти сведения не окажутся в распоряжении злоумышленников, способных использовать их во вред здоровью или имуществу.


Государство в целях защиты предписывает:

собирать сведения только при наличии письменного или оформленного в электронном виде согласия гражданина;

информировать гражданина о цели сбора и обработки ПД;

не передавать данные третьим лицам без договора, предусматривающего соблюдение мер защиты конфиденциальности информации;

предпринимать комплекс организационных и программных мер, направленных на избегание утечки персональных данных и предотвращение несанкционированного доступа к ним.

Среди рекомендованных организационных мер:

принятие Положения о порядке обработки персональных данных и размещение его на сайте компании в открытом доступе;

разработка формата согласия на обработку ПД, его физическое подписание каждым клиентом или размещение на сайте с фиксацией одобрения;

назначение лица или подразделения, ответственного за обработку ПД;

создание системы дифференцированного доступа к данным;

отказ от размещения ПД в облачных хранилищах.

Эта информация защищается комплексом мер – от организации системы охраны, обеспечивающей отсутствие физического допуска на объект, до применения программно-аппаратных средств шифрования (СКЗИ). Работа с государственными контрактами с повышенным уровнем конфиденциальности без соответствия этим требованиям невозможна.

Контроль за соблюдением этих требований осуществляется при проверках, которые ФСТЭК РФ проводит в отношении каждого оператора персональных данных.


После разработки и внедрения комплекса организационных мер возникает необходимость внедрить рекомендуемые ведомством программные продукты:

файрволы;

средства антивирусной защиты;

средства доверенной загрузки;

средства обнаружения вторжений;

средства криптографической защиты.

Каждый программный продукт и его обновления должны пройти процедуру сертификации ФСТЭК РФ, после этого они будут разрешены к использованию для защиты персональных данных. Если эти механизмы обеспечения безопасности информационных систем по финансовым причинам недоступны компании, она может договориться с регулятором о поэтапном внедрении программного обеспечения.