К организационным мерам компьютерной безопасности можно отнести

Обновлено: 04.07.2024

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации;

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ часть 4 статьи 16 настоящего Федерального закона дополнена пунктом 7, вступающим в силу с 1 сентября 2015 г.

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

Как обеспечить информационную безопасность предприятия

Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

Концепция безопасности

В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

В концепции обеспечения информационной безопасности предприятия определяются:

  • информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
  • основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
  • модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
  • требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
  • методы и средства защиты информации.

Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

Объекты защиты

Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия. Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств. Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

Массивы информации становятся объектами защиты после признания их таковыми и отнесения к конфиденциальной информации.

Классификация осуществляется как по типу информации, так и по местам ее хранения.

Конфиденциальную информацию обычно классифицируют следующим образом:

  • персональные данные, подлежащие защите на основании норм федерального законодательства;
  • программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
  • программные продукты, созданные или доработанные в интересах компании;
  • базы документооборота;
  • архивы электронной почты и внутренней переписки;
  • производственная информация, документы стратегического характера;
  • научная информация, данные НИОКР;
  • финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

Меры по обеспечению информационной безопасности

Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

Организационные меры

К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

  • документирование и оптимизацию бизнес-процессов;
  • установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
  • создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
  • информирование или переобучение персонала;
  • организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
  • получение лицензий, например, на работу с государственной тайной;
  • обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
  • создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
  • установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
  • выполнение всех требований законодательства по защите персональных данных;
  • разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

Технические меры

К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

К принципам построения такой системы относятся:

  • простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
  • внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
  • минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
  • использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
  • использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
  • управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
  • протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
  • эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

  • средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
  • средства антивирусной защиты; и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

15. Целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации.

16. Задачами обеспечения безопасности значимого объекта являются:

а) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

б) недопущение информационного воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта;

в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;

г) обеспечение возможности восстановления функционирования значимого объекта критической информационной инфраструктуры.

17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:

а) в информационных системах:

информация, обрабатываемая в информационной системе;

программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);

программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);

средства защиты информации;

архитектура и конфигурация информационной системы;

б) в информационно-телекоммуникационных сетях:

информация, передаваемая по линиям связи;

телекоммуникационное оборудование (в том числе программное обеспечение, система управления);

средства защиты информации;

архитектура и конфигурация информационно-телекоммуникационной сети;

в) в автоматизированных системах управления:

информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);

программно-аппаратные средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства);

программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);

средства защиты информации;

архитектура и конфигурация автоматизированной системы управления.

18. Обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).

Организационные и технические меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры совместно с лицом, эксплуатирующим значимый объект (при его наличии). При этом между субъектом критической информационной инфраструктуры и лицом, эксплуатирующим значимый объект, должно быть проведено разграничение функций по обеспечению безопасности значимого объекта в ходе его эксплуатации.

19. Меры по обеспечению безопасности выбираются и реализуются в значимом объекте с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.

20. Меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры самостоятельно или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации

21. Принимаемые организационные и технические меры по обеспечению безопасности значимого объекта должны соотноситься с мерами по промышленной, функциональной безопасности, иными мерами по обеспечению безопасности значимого объекта и обеспечивающего (управляемого, контролируемого) объекта или процесса. При этом меры по обеспечению безопасности значимого объекта не должны оказывать отрицательного влияния на функционирование значимого объекта в проектных режимах его работы.

22. В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:

идентификация и аутентификация (ИАФ);

управление доступом (УПД);

ограничение программной среды (ОПС);

защита машинных носителей информации (ЗНИ);

аудит безопасности (АУД);

антивирусная защита (АВЗ);

предотвращение вторжений (компьютерных атак) (СОВ);

обеспечение целостности (ОЦЛ);

обеспечение доступности (ОДТ);

защита технических средств и систем (ЗТС);

защита информационной (автоматизированной) системы и ее компонентов (ЗИС);

планирование мероприятий по обеспечению безопасности (ПЛН);

управление конфигурацией (УКФ);

управление обновлениями программного обеспечения (ОПО);

реагирование на инциденты информационной безопасности (ИНЦ);

обеспечение действий в нештатных ситуациях (ДНС);

информирование и обучение персонала (ИПО).

Состав мер по обеспечению безопасности значимых объектов в зависимости от категории значимости приведен в приложении к настоящим Требованиям.

При реализации мер по обеспечению безопасности значимых объектов применяются методические документы, разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

23. Выбор мер по обеспечению безопасности значимых объектов для их реализации включает:

а) определение базового набора мер по обеспечению безопасности значимого объекта;

б) адаптацию базового набора мер по обеспечению безопасности значимого объекта;

в) дополнение адаптированного набора мер по обеспечению безопасности значимого объекта мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.

Базовый набор мер по обеспечению безопасности значимого объекта определяется на основе установленной категории значимости значимого объекта в соответствии с приложением к настоящим Требованиям.

Базовый набор мер по обеспечению безопасности значимого объекта подлежит адаптации в соответствии с угрозами безопасности информации, применяемыми информационными технологиями и особенностями функционирования значимого объекта. При этом из базового набора могут быть исключены меры, непосредственно связанные с информационными технологиями, не используемыми в значимом объекте, или характеристиками, не свойственными значимому объекту. При адаптации базового набора мер по обеспечению безопасности значимого объекта для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких угроз безопасности или снижающие возможность ее реализации исходя из условий функционирования значимого объекта. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к настоящим Требованиям.

Дополнение адаптированного набора мер по обеспечению безопасности значимого объекта осуществляется с целью выполнения требований, установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры.

24. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.

25. Если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 22 и 23 настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.

26. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование значимого объекта в проектных режимах значимого объекта, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.

26.1. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.

Читайте также: