Техническое регулирование предприятия в информационной среде

Под информационной средой промышленного объекта понимается совокупность информации, информационных технологий, интеллектуальной собственности, а также должностных лиц, деятельность которых связана с формированием и обработкой информации, применением ее в информационных технологиях и обеспечением информационной безопасности ПО. Техническое регулирование в информационной среде промышленного объекта (ИСПО) является отражением действующих норм и правил, установленных и охраняемых органами государственной власти. В данной статье рассмотрены практические аспекты технического регулирования ИСПО (в редакции №65-ФЗ от 1 мая 2007 г.).

По определению Федерального закона №149-ФЗ¹, информация – это сведения (сообщения, данные) независимо от формы их представления. Подразумевается, что защите (охране) от информационных угроз подлежит информация, на которую распространяются требования действующих правовых и нормативно-распорядительных документов.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации, циркулирующей на ПО, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

Управление процессами обеспечения информационной безопасности ПО

Информационная безопасность ПО рассматривается в статье как состояние защищенности ИСПО от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие. Защищенность ИСПО определяется как присущая ей способность противостоять несанкционированному доступу к информации, ее искажению или разрушению.

Подразумевается, что состояние защищенности информации является отражением свойства ее безопасности, представляющей собой "сочетание конфиденциальности, достоверности, аутентичности, целостности и доступности"², а уровень защиты информации созвучен ее значимости, выражаемой через установленную категорию доступа к ней. Интерпретация свойств безопасности информации представлена в табл. 1.

Таблица 1. Перечень свойств безопасности информации, циркулирующей на ПО

Управление процессами обеспечения информационной безопасности ПО состоит из функций планирования, организации, мотивации и контроля, объединенных связующими процессами коммуникации и принятия решения². Содержание указанных функций представлено в табл. 2.

Таблица 2. Функции процесса управления

В общем случае, учитывая случайный характер проявления угроз нарушения безопасности информации, а также ограниченные возможности технических средств защиты по реагированию на такого рода угрозы, проблемы управления процессами обеспечения безопасности информации (защиты от информационных угроз) относят к классу задач принятия решений в условиях неопределенности (базируются на принципах нечеткой логики).

Обобщенный перечень методов защиты информации³, находящих применение в известных информационных технологиях (информационно-вычислительных комплексах), приведен на схеме.

По утверждению экспертов⁴, "комплексная защита информации в компьютерных технологиях по проблемам программно-аппаратной реализации должна быть ориентирована на построение систем передачи данных, устойчивых как к воздействию несанкционированного восприятия и распознавания, различного рода модификациям и фальсификациям, так и к разрушающему и искажающему воздействию помех".

Обобщенная структурная схема методов защиты информации

Защита конфиденциальной информации

Конфиденциальная информация (КИ) – это документированная информация ограниченного доступа, отвечающая условиям отнесения ее к служебной тайне (СТ), коммерческой тайне (КТ) и персональным данным (ПДн).

Виды КИ как объекта права

Законодательно установленное определение видов КИ приведено в табл. 3.

Гражданский кодекс Российской Федерации рассматривает КИ как самостоятельный объект правоотношений, не относящийся к собственности. Информации нет и не может быть среди оборудования, материалов, иных вещей, а также среди ценных бумаг, классификация которых содержится в ГК⁵.

Таблица 3. Виды конфиденциальной информации ПО

Сведения, относимые к КИ

Гражданский кодекс Российской Федерации не устанавливает перечень сведений, подлежащих отнесению к КИ, оставляя на усмотрение ПО, какая именно информация отвечает условиям отнесения ее к служебной и/или коммерческой тайне. Ст. 139 ГК определяет эти условия следующим образом: "Информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности".

Статус персональных данных устанавливает оператор ПДн, организующий и/или осуществляющий их обработку.

Необходимо также отметить, что защита информации (в том числе ПДн), составляющей государственную тайну, осуществляется в соответствии с законом РФ от 21.07.1993 г. № 5485-1 "О государственной тайне".

Информация, защищаемая с помощью режима коммерческой тайны, существует в определенной объективной форме на бумажном или магнитном носителе, в виде аудио- или видеозаписи. При этом одна и та же информация, будучи самостоятельно созданной и защищаемой указанным выше способом, может принадлежать различным правообладателям. Идеи и замыслы, высказанные вслух, под режим коммерческой тайны не подпадают.

Вариант перечня сведений, относимых к КИ, составленный с учетом постановления Правительства РФ от 9.12.1991 г. № 35 "О перечне сведений, которые не могут составлять КТ", приведен в табл. 4. Согласно общепринятой практике, объекты КТ, указанные в таблице, могут рассматриваться в качестве предмета различных договоров, а сведения, относимые к СТ, таковыми не являются.

Правовой режим КИ

Правовой режим КИ включает в себя следующие элементы:

• субъекты, на которые этот режим распространяется;
• сама информация как объект права;
• основания возникновения права;
• способы защиты права.

Под субъектами, на которые распространяется правовой режим КИ, понимаются физические и юридические лица, наделенные в соответствии с законодательством РФ соответствующими правами и обязанностями.

Служебная и коммерческая тайна – это правовой режим информации ограниченного доступа, конфиденциальность которой устанавливается в порядке, предусмотренном ст. 139 ГК.

В соответствии со ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ конфиденциальность информации определяется как "обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя".

"Системы видеонаблюдения. Итоги десятилетия. Часть 1" читать >>>

Федеральный закон "О коммерческой тайне" закрепляет право на отнесение информации к КТ исключительно за ее обладателем в лице руководителя ПО, установившего своим приказом режим коммерческой тайны. Указанный режим предусматривает правовые, организационные и технические меры по охране конфиденциальности КТ.

Порядок обеспечения конфиденциальности, а также целостности и доступности ПДн при их обработке оператором установлен федеральным законом "О персональных данных" и изданными в его исполнение постановлениями Правительства РФ, приказами ФСБ и ФСТЭК России⁶.

В случае получения (разработки) ПО сведений, совпадающих по своим признакам со сведениями, которые содержатся в действующем в РФ Перечне сведений, отнесенных к государственной тайне, надлежит руководствоваться ст. 10 и 11 закона РФ от 21.07.1993 г. № 5485-1 "О государственной тайне" (с изм.).

Таблица 4. Примерный перечень сведений, которые могут составлять КИ

Ответственность за нарушение КИ

Нарушение порядка работы с информацией, отнесенной к СТ, может рассматриваться как злоупотребление полномочиями.

В случае нарушения работником ПО режима КТ наступает ответственность, предусмотренная ТК и трудовым договором (контрактом).

Незаконное разглашение или использование сведений, составляющих КТ, без согласия ПО (владельца указанных сведений), совершенные на корыстной или иной личной заинтересованности, влекут уголовную ответственность (ст. 183 Уголовного кодекса РФ). Аналогичная ответственность наступает также в случае собирания сведений, составляющих КТ, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений.

Охрана интеллектуальной собственности

Интеллектуальная собственность определяется как исключительное право субъекта на результаты его интеллектуальной деятельности, которым предоставлена правовая охрана.

Виды интеллектуальной собственности

Интеллектуальная собственность признается за субъектами в случаях и порядке, предусмотренных ст. 138 ГК и другими правовыми актами. Исключительное право является монопольным в том смысле, что принадлежит одному лицу.

В рамках данной статьи под интеллектуальной собственностью понимаются объекты авторского и патентного права (см. табл. 5), подпадающие под действие части четвертой ГК (в редакции Федерального закона от 18.12.2006 г. № 230-ФЗ).

Таблица 5. Виды интеллектуальной собственности

Охрана объектов авторского права

Охрана объектов авторского права заключается в предоставлении исключительного права автору программы для ЭВМ и изготовителю базы данных на использование формы указанных объектов.

Автором программы для ЭВМ признается специалист, творческим трудом которого она создана (ст. 1257 ГК), а изготовителем базы данных – лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению составляющих ее материалов (п. 1 ст. 1333 ГК).

Особого внимания заслуживает норма п. 1 ст. 1262 ГК, в которой сказано: "Программы для ЭВМ и базы данных, в которых содержатся сведения, составляющие государственную тайну, государственной регистрации не подлежат. Лицо, подавшее заявку на государственную регистрацию (заявитель), несет ответственность за разглашение сведений о программах для ЭВМ и базах данных, в которых содержатся сведения, составляющие государственную тайну, в соответствии с законодательством РФ".

Нормы авторского права регламентируют также принадлежность исключительных прав на объекты, созданные по заказу (ст. 1296 ГК) и при выполнении работ по договору (ст. 1297 ГК).

Обладатель исключительного права на программу для ЭВМ и базу данных может предоставить право использования их другому лицу на основе лицензионного договора, оформленного в письменной форме с указанием срока его действия (ст. 1235 ГК).

Охрана объектов патентного права

Охрана объектов патентного права – это предоставление исключительных прав авторам изобретения, полезной модели и промышленного образца на использование содержания (сущности) указанных объектов по своему усмотрению.

Право на получение патента и исключительное право на служебное изобретение, полезную модель и промышленный образец принадлежит работодателю, если трудовым или иным договором между работником и работодателем не установлено иное (п. 3 ст. 1370 ГК).

Вклад каждого в достижение результата

Непременным условием достижения уровня информационной безопасности, адекватного современным угрозам и вызовам безопасности ПО, является участие в работах по обеспечению ИБ на нормативно-правовом, административном и программно-техническом уровнях практически всех должностных лиц ПО, использующих информационные технологии в соответствии с предоставленными полномочиями.

---------------------------

¹ Федеральный закон от 27.07.2006 г. № 149-ФЗ (с изменениями) "Об информации, информационных технологиях и о защите информации".

² Шепитько Г.Е. Обеспечение безопасности расчетов в системах электронной коммерции: учебное пособие. – М.: РГСУ, 2012. – С. 171.

³ Шангин В.Ф. Комплексная защита информации в компьютерных системах. М.: ФОРУМ-ИНФРА, 2010.

⁴ Рыжков А.А., Макаров В.Ф. Вопросы комплексной защиты информации в компьютерных технологиях: сб. трудов XXV Всероссийской научн. конф. – М.: Академия управления МВД России, 2016. С. 300–302.

⁵ Отнюкова Г. Коммерческая тайна: комментарии и толкования // Тайна (приложение к газете "Известия"). 1998. № 2. С. 56–57.

⁶ Пышкин Н.Б., Скворцов В. Э., Василец В.И. Информационно-методические аспекты обеспечения безопасности персональных данных при их обработке оператором // Мир и безопасность. 2015. №5 (121). С. 9–13.

Опубликовано в журнале "Системы безопасности" №3/2020