Страницы 1 2
ГЛАВА II. АКТУАЛЬНЫЕ ВОПРОСЫ ПРОТИВОДЕЙСТВИЯ СОВЕРШЕНИЮ ПРАВОНАРУШЕНИЙ В СФЕРЕ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
2.1. Общая характеристика и виды правонарушений в сфере защиты конфиденциальной информации
Можно выделить следующие направления возможных правонарушений в отношении конфиденциальной информации, обрабатываемой в автоматизированных системах:
1) уничтожение или искажение информации;
2) несанкционированный доступ (получение, хищение);
3) несанкционированное размножение;
4) несанкционированное использование;
5) несанкционированная модификация;
6) несанкционированное блокирование;
7) другие нарушения.
Эти направления можно использовать как вариант оснований классификации возможных правонарушений в отношении конфиденциальной информации.
В ходе организации защиты компьютерной информации нужно учитывать следующие особенности законодательства об ответственности при работе с информацией:
-необходимость четкого выявления предмета противоправного действия;
-доказательность противоправного действия;
-адресность действия и возможность выявления конкретного правонарушителя.
Конституция РФ выделяет три субъекта права: человек (личность), общество и государство. Соответственно и правонарушения в информационной сфере подразделяются на преступления против личности, общества и государства.
Анализ возможных противоправных действий позволяет выявить ряд их составов:
•шпионаж, разглашение сведений, утрата носителей сведений — нарушение государственной тайны;
•промышленный шпионаж — нарушение коммерческой тайны;
•несанкционированный сбор, использование персональных данных, непредставление данных — нарушение профессиональной или личной тайны.
Правонарушения могут быть:
-имущественными (например, незаконное использование данных);
-«технологическими» (несанкционированное копирование данных; искажение и модификация данных и программ; распространение компьютерных вирусов; нарушение технологии обработки данных; проникновение в автоматизированные информационные системы в «обход» механизмов защиты).
В силу неоднозначности самого понятия и содержания информации, в том числе подлежащей защите, существуют неопределенности понятия и содержания характеристик правонарушений в области информационной безопасности.
Один из вариантов субъективного определения содержания таких характеристик включает признаки, характеризующие состояние системы защиты конфиденциальной информации (оперативная обстановка, структура, динамика правонарушений), а также причины правонарушений, каналы утечки, методы, способы, средства, меры предупреждения правонарушений и др.
Согласно Российскому законодательству за правонарушения в сфере защиты информации определены следующие виды ответственности:
Уголовная,
Административная,
Гражданско-правовая,
Дисциплинарная.
Федеральный закон № 149-ФЗ:
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации:«Нарушение требований настоящего закона влечет за собойдисциплинарную, гражданско-правовую, административную или уголовнуюответственность в соответствии с законодательством Российской Федерации.
КоАП устанавливает ответственность за следующие правонарушения:
-Нарушение условий, предусмотренных лицензией на осуществлениедеятельности в области защиты информации (за исключением информации,составляющей государственную тайну);
-Использование несертифицированных информационных систем, баз ибанков данных, а также несертифицированных средств защиты информации,если они подлежат обязательной сертификации (за исключением средствзащиты информации, составляющей государственную тайну);
-Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключениеминформации, составляющей государственную тайну);
-Нарушение требований о защите информации (за исключением
информации, составляющей государственную тайну),
-Занятие видами деятельности в области защиты информации (заисключением информации, составляющей государственную тайну) безполучения в установленном порядке специального разрешения (лицензии), еслитакое разрешение (такая лицензия) в соответствии с федеральным закономобязательно (обязательна).
Уголовный кодекс РФ(далее – УК РФ) предусматривает следующие виды ответственности за преступления в области защиты информации:
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Предмет преступления включает сведения, составляющие коммерческую, налоговую или банковскую тайну. Понятие и признаки коммерческой тайны предусмотрены ст. 3 и 5 Федерального закона № 98-ФЗ. Определение налоговой тайны дано в ст. 102 Налогового кодекса РФ (далее – НК РФ). Содержание банковской тайны раскрывается в ст. 857 ГК РФ и ст. 26 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности».
2. Объективная сторона в ч. 1 выражается в собирании сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом. Под собиранием следует понимать умышленные действия, направленные на получение составляющих тайну сведений любыми незаконными способами.
3. В ч. 2 сформулировано два альтернативных состава преступления. Под незаконным разглашением следует понимать сообщение или любую иную передачу составляющих тайну сведений лицу, не имеющему к ним доступа на законном основании. Под незаконным использованием следует понимать использование составляющих тайну сведений в целях, не связанных с теми, для реализации которых лицу предоставлен доступ к сведениям.
4. Момент окончания преступления определяется для собирания как момент начала получения хотя бы части таких сведений; для незаконного разглашения как момент сообщения или иной передачи сведений лицу, не имеющему к ним доступа на законном основании; для незаконного использования как момент начала применения сведений в целях, не связанных с теми, для реализации которых лицу предоставлен к ним доступ.
5. Крупный ущерб состоит в причинении убытков владельцу тайны в виде реального ущерба (например, утраты права на результат интеллектуальной деятельности) и (или) в виде упущенной выгоды (например, неполученных доходов вследствие утраты конкурентного преимущества, основанного на коммерческой тайне).
Тяжкие последствия как оценочный признак выражаются в наступлении иных последствий (например, прекращение деятельности предприятия, массовое увольнение персонала и т.п.).
6. Собирание или незаконное использование сведений, составляющих коммерческую, налоговую или банковскую тайну, в рамках подготовки или совершения кражи, мошенничества или присвоения чужого имущества поглощается соответствующими составами преступлений против собственности и не требует самостоятельной квалификации по ст. 183 УК РФ.
7. С субъективной стороны преступления характеризуются прямым или косвенным умыслом. В отношении крупного ущерба и тяжких последствий также возможна неосторожная форма вины.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
Примечание. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ.
1. Создание, распространение или использование компьютерных программлибо иной компьютерной информации, заведомо предназначенных длянесанкционированного уничтожения, блокирования, модификации,копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Статья 274. Нарушение правил эксплуатации средств хранения, обработкиили передачи компьютерной информации и информационно-телекоммуникационных сетей.
1. Нарушение правил эксплуатации средств хранения, обработки или
передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшееуничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Также, уголовной ответственности подлежит незаконное собирание илираспространение сведений о частной жизни лица, составляющих его личнуюили семейную тайну, без его согласия либо распространение этих сведений впубличном выступлении или в средствах массовой информации. Отягчающим обстоятельством по данномувиду нарушений признается данное правонарушение, совершенное сиспользованием своего служебного положения.
Также к уголовной ответственности могут быть привлечены лица,оказывающие услуги по технической защите информации и не имеющиесоответствующей лицензии, либо осуществляющие деятельность снарушением лицензионных требований и условий, если это деяние причинилокрупный ущерб гражданам, организациям или государству, либо сопряжено сизвлечением дохода в крупном размере. Речь идет обуголовной ответственности по статье 171 УК РФ.
Отягчающим признаком по данной статье признается совершениепреступления организованной группой лиц, либо сопряженное с извлечением дохода в особо крупном размере.
Виновные в нарушении требований нормативно-правовых документов позащите информации также подлежат гражданско-правовой ответственности вслучае нанесения материального ущерба потерпевшей стороне. Так какспецифика гражданско-правовых отношений, характеризующихся равенствомучастников, предопределяет особенности гражданско-правовойответственности, которая выступает одной из разновидностей юридическойответственности. Главной из этих особенностей является имущественныйхарактер принудительных мер воздействия на правонарушителя.
Также в трудовом кодексе РФ предусмотрена дисциплинарнаяответственность за нарушения правил защиты информации в организациикак за любое другое нарушение трудовой дисциплины.
Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее — Федеральный закон № 79- ФЗ) устанавливает обязанность для государственных служащих, которая содержит в себе запрет на разглашение гражданским служащим сведений, составляющих государственную и иную охраняемую федеральным законом тайну, а также сведений, ставших ему известными в связи с исполнением должностных обязанностей, в том числе сведений, касающихся частной жизни и здоровья граждан или затрагивающие их честь и достоинство (79-ФЗ п. 7 ч. 1 ст. 15).
К таким сведениям относятся сведения, составляющие государственную тайну, служебную тайну, налоговую тайну, коммерческую тайну, персональные сведения, сведения конфиденциального характера.
Обсуждение запрета, предусмотренного п. 9 ч. 1 ст. 17 Федеральный закон№ 79-ФЗ, в исследованиях, как правило, начинается с указания на конституционное право граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23 Конституции РФ). Согласно ч. 1 ст. 24 Конституции РФ, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2.2. Механизмы выявления правонарушений в сфере защиты конфиденциальной информации в рамках служебных полномочий
Согласно ч. 4 ст. 6 Федерального закона № 149-ФЗ обладатель информации обязан принимать меры по ее защите.
К числу таких мер относятся правовые, организационные и технические. Их целью является:
— обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
— соблюдение конфиденциальности информации ограниченного доступа;
— реализация права на доступ к информации.
Обладателями подлежащей защите информации являются организации и физические лица, Российская Федерация, субъект РФ, муниципальное образование.
В соответствии с п. 7 ст. 2Федерального закона № 149-ФЗ под конфиденциальностью информации понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Следовательно, конфиденциальной информацией является та, в отношении которой установлены соответствующие требования о неразглашении.
Согласно п. 1 ст. 3 Федерального закона № 98-ФЗ в отношении организаций под конфиденциальной принято понимать информацию, составляющую коммерческую тайну.
Частью 1 ст. 10Федерального закона № 98-ФЗ предусмотрены следующие меры по защите конфиденциальной информации:
— определение перечня информации, составляющей коммерческую тайну;
— ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
— учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и/или лиц, которым такая информация была предоставлена или передана;
— регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
— нанесение на материальные носители содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для организаций — полное наименование и место нахождения, для индивидуальных предпринимателей — их фамилия, имя, отчество и место жительства).
Порядок работы с конфиденциальной информацией в рамках гражданско-правовых отношений стороны согласовывают в подписываемых ими договорах, соглашениях и иной документации, подписание и обмен которой осуществляются в процессе их сотрудничества.
Для обеспечения конфиденциальности информации сотрудниками организации, доступ которых к конфиденциальной информации необходим для исполнения ими своих трудовых обязанностей, применяются следующие правила:
— соответствующий работник должен быть под расписку ознакомлен с перечнем информации, составляющей коммерческую тайну, режимом коммерческой тайны и с мерами ответственности за его нарушение;
— работникам должны быть созданы необходимые условия для соблюдения ими режима коммерческой тайны.
Дополнительные условия о неразглашении такой информации могут быть предусмотрены в трудовом договоре (ст. 57 Трудового кодекса РФ).
Защита персональных данных оператором персональных данных субъекта.
В соответствии со ст. 3 Федерального закона № 152-ФЗ субъектом персональных данных является физическое лицо, а персональными данными — любая информация, прямо или косвенно его индивидуализирующая.
Оператором согласно указанной норме является государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
На оператора персональных данных субъекта возлагается обязанность по их защите.
В качестве мер защиты ч. 2 ст. 19Федерального закона № 152-ФЗ предусмотрено:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
-восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Помимо этого, оператор должен:
— назначить ответственного за организацию обработки персональных данных;
— издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
— осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Законом;
— знакомить своих работников, непосредственно осуществляющих обработку персональных данных, с положениями российского законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Специальные требования к защите персональных данных установлены также:
— главой 14 Трудового кодекса РФ;
— Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому.
Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации.
Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в Федерального закона № 149-ФЗ. В соответствии с законодательством, под защитой информации понимается:
-обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
-соблюдение режима ограниченного доступа к ограниченным данным;
-принятие мер по реализации права на доступ к ограниченной информации.
Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:
-предотвращение утечки информации;
-своевременное обнаружение попытки незаконно получить доступ к информации;
-предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
-постоянный мониторинг уровня защиты информации;
-возможность восстановить данные, которые были уничтожены;
-размещение информации ограниченного доступа в базах данных на территории РФ.
Для защиты критичных данных существуют следующие виды защиты:
Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц. Обеспечение внутриобъектового режима объекта информатизации.
Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.
Вопросы сохранности конфиденциальных данных не сходят с повестки дня уже несколько лет. Главный вопрос в условиях глобализации и цифровизации— как защитить конфиденциальную информацию от посторонних?
Я считаю, что технические средства не могут в полной мере решить проблему утечки и сохранности конфиденциальной информации. Только определенная дисциплина и культура среди сотрудников может предотвратить утечку и разглашение конфиденциальной информации.
Согласно последним исследованиям, три из пяти главных причин утечек информации связаны с действиями людей: это и случайные утечки, спровоцированные сотрудниками (8% случаев), и утечки с мобильных устройств работников (7%), и так называемый корпоративный шпионаж (7%).
Утечки информации из организации бывают как преднамеренные, так и непреднамеренные, при этом вне зависимости от типа большинство из них остаются незамеченными. Одни из самых частых — случайные, происходящие по вине внутренних сотрудников организаций. Чаще всего работники невнимательны при отнесении той или иной информации к конфиденциальной, в связи с чем возникает угроза конфиденциальности информации, обсуждают внутренние служебные вопросы за пределами места работы или службы, теряют внутренние документы.
Преднамеренные утечки информации по вине сотрудников также распространены. Часто это плохо спланированные или эмоциональные действия: например, месть руководству или коллегам, обида за понижение в должности и другие. Как правило, такие преступления легко раскрываются — найти виновного сотрудника довольно просто: его выдают либо оставленные в спешке улики, либо явный мотив.
Гораздо сложнее вычислить нечистого на руку сотрудника — того, кто целенаправленно и последовательно «крадет» или «сливает» конфиденциальную информацию.
Например, он собирается сменить место работы, поэтому «уводит» из организации информацию необходимую для успешного продвижения на новом месте работы. В случае с сотрудниками налоговых органов, такой сотрудник может вступать в сговор с проверяемыми налогоплательщиками и может «сливать» им информацию необходимую для ухода от ответственности за налоговые правонарушения и соответственно получать за это определенное вознаграждение.
В случаи реальной утечки и разглашении конфиденциальной информации, для установления правонарушителя необходимо сузить круг лиц по имеющим доступ к информации которая подверглась разглашению, при установлении правонарушителя необходимо обратить внимание на его поведение: потенциального правонарушителя выдает нервозность. Необходимо установить наличие конфликтов сотрудника с руководством, планы по увольнению из организации и потенциальнуюаффилированность с лицами которые позже использовали данную информацию.
Считаю хорошим метод предотвращение утечек конфиденциальной информации — проведение сотрудником по информационной безопасности постоянной разъяснительной и ознакомительной работы с сотрудниками на предмет запрета неправомерного разглашения конфиденциальной информации, по порядку работы с информацией ограниченного доступа и по вопросу установленной ответственности за разглашение конфиденциальной информации.
Каждый работник должен понимать, какие данные конфиденциальные и как с ними обращаться.
Так жекрайне эффективный метод по предупреждению правонарушений в области защиты конфиденциальной информации — показательные наказания.
Ощущение неизбежности наказания и страх перед ним — это отличный мотиватор для того, чтобы не нарушать правила работы с информацией.
Проблему обеспечения безопасности конфиденциальной информации только надзорными методами решить невозможно.
Предусмотренные в настоящий момент штрафы не стимулируют соблюдать законодательство, а незаконное вознаграждение за предоставление такой информации может значительно превышать предусмотренный штраф.
Я полагаю, что крайне жестко нужно подходить к ответственности за правонарушения в области защиты конфиденциальной информации, нужна жесточайшая административная и уголовная ответственность, иначе исключить или хотя бы минимизировать правонарушения в области защиты конфиденциальной информации не получится.
2.3. Особенности защиты конфиденциальной информации ФНС России. Проблемы и пути совершенствования системы защиты конфиденциальной информации
Главной целью обеспечения безопасности информации в ФНС России является предотвращение или минимизация ущерба (прямого или косвенного, материального, репутационного или иного) субъектам правоотношений посредством деструктивного воздействия на информацию, обрабатываемую в ФНС России, ее носителям и технологическим процессам обработки информации.
Основными целями обеспечения безопасности информации являются:
— выполнение требований законодательства в сфере обеспечения безопасности информации, в том числе нормативных правовых актов ФСТЭК России и ФСБ России;
— предотвращение несанкционированного доступа к информации и техническим средствам, используемым для ее обработки;
— обеспечение доступности информации и предотвращение последствий нарушения порядка доступа к ней;
— предотвращение нарушений прав субъектов при обработке информации;
— недопущение деструктивного воздействия на информацию.
Основными задачами, вытекающими из целей обеспечения безопасности информации в ФНС России, являются:
— выявление угроз ИБ и определение вероятности их реализации (актуальности), управление рисками ИБ;
— совершенствование политики ИБ ФНС России при создании и внедрении ИС ФНС России;
— обеспечение соответствия мер и средств защиты информации в налоговых органах и подведомственных организациях ФНС России положениям нормативных документов по безопасности информации;
— совершенствование нормативных правовых актов и организационно-распорядительных документов ФНС России в области обеспечения ИБ, координация деятельности налоговых органов по защите информации;
— информационная поддержка принятия управленческих решений по вопросам информационной безопасности ЦА ФНС России, создание системы управления информационной безопасностью;
— защита от вмешательства в процесс функционирования информационных систем ФНС России посторонних лиц, совершенствование СОБИ, ее организации, форм и методов предотвращения и нейтрализации угроз ИБ, ликвидации последствий их реализации;
— предотвращение, в том числе с использованием организационно-правовых мер и технических средств защиты информации, несанкционированных действий и незаконных посягательств на активы информационной безопасности налоговых органов и подведомственных организаций ФНС России со стороны посторонних лиц и пользователей ИС ФНС России, не имеющих соответствующих полномочий;
— регистрация событий, влияющих на безопасность информации, оперативный анализ информации о таких событиях и своевременное выявление инцидентов ИБ и реагирование на них, обеспечение полной подконтрольности и подотчетности выполнения всех операций, совершаемых в ИС налоговых органов;
— обеспечение возможности восстановления актуального состояния ИС ФНС России при нарушении ИБ.
Защита информации ограниченного доступа (распространения), представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации;
3) реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.
Информация не может быть рассмотрена в отрыве от элементов инфраструктуры ИС ФНС России (объекта информатизации), на которых она обрабатывается (хранится, обсуждается), поэтому точкой приложения усилий по защите ИР является инфраструктура ИС налоговых органов (объекты информатизации), в том числе:
помещения, здания, объекты, сооружения, передвижные объекты ФНС России, предназначенные для работы с информацией;
оборудование ИС (серверные комплексы, рабочие станции пользователей, технические средства ввода/вывода информации, комплексы сканирования документов, принтеры, средства хранения и архивирования данных, программно-аппаратные средства удостоверяющего центра, источники бесперебойного питания);
телекоммуникационные сети и системы (активное и пассивное коммуникационное оборудование, система управления, мониторинга и обслуживания инфраструктурой);
средства и системы связи и передачи данных (ведомственной, междугородней, городской, внутренней);
программные средства (операционные системы, системы управления базами данных, другое общесистемное, специальное и прикладное программное обеспечение);
средства защиты информации (далее – СЗИ);
технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);
средства обеспечения жизнедеятельности объектов (гарантированные и бесперебойные системы электропитания и заземления объектов, системы пожарной и охранной сигнализации, электронные системы контроля и управления доступом на территорию и в помещения, системы громкоговорящей связи и оповещения, системы кондиционирования, отопления, вентиляции и пожаротушения).
При обработке информации ограниченного доступа в ФНС России необходимо обеспечивать специальные условия хранения, обработки и обращения документов, содержащих информацию ограниченного доступа, гарантирующие надежную защиту как самих документов (материальных носителей), так и содержащейся в них конфиденциальной информации. Это обеспечивается следующими мероприятиями:
— введена персональная ответственность сотрудников налоговых органов и подведомственных ФНС России организаций за учет, сохранность конфиденциальных документов и порядок обращения с ними;
— разработана в ФНС России регламентированной технологии издания и обработки конфиденциальных документов, в том числе на стадии подготовки черновиков и проектов документов, определением состава издаваемых документов и содержащейся в них конфиденциальной информации, включающей (но не ограничиваясь):
— определен порядок работы с документами ограниченного доступа в специально выделенных помещениях ФНС России, налоговых органов и подведомственных ФНС России организаций;
— определен порядок передачи документов ограниченного доступа в случае ухода сотрудника ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России в отпуск, командировку, при увольнении и т.д.;
— определен порядок пересылки документов ограниченного доступа, создание реестровой системы передачи конфиденциальных документов;
— созданы архивы документов ограниченного доступа, проводится регулярная экспертиза ценности документов и оценки возможности снятия отметки грифа конфиденциальности;
— определен порядок уничтожения документов ограниченного доступа;
— в ФНС России введены требования к условиям хранения документов ограниченного доступа и обращения с ними:
— обязательный поэкземплярный и полистной учет всех документов, содержащих сведения ограниченного доступа, а также проектов и черновиков таких документов;
— определение полного состава регистрационных данных о каждом документе, содержащем сведения ограниченного доступа (дата создания, получения, исполнения; регистрационный номер; фамилия, имя, отчество (при наличии) исполнителя, адресата; права доступа; степень конфиденциальности; количество листов и т.д.);
— организация системы фиксации движения и местонахождения документов ограниченного доступа в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России;
— организация хранения конфиденциальных документов на рабочих местах сотрудников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
— организация хранения документов ограниченного доступа в архивах ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
— созданием в ФНС России разрешительной системы доступа к документам ограниченного доступа и делам, обеспечивающей правомерное и санкционированное ознакомление с ними:
— разделение документов по степени конфиденциальности;
— присвоение каждому документу грифа конфиденциальности;
— разграничение права работы с документами ограниченного доступа;
— запрет несанкционированного выноса документов ограниченного доступа;
— принятие организационных мер, исключающих необоснованное ознакомление с документами сотрудников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, не имеющих полномочий;
— проведение руководителями подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России систематических проверок наличия конфиденциальных документов у исполнителей.
Виды угроз безопасности конфиденциальной информации:
1) угрозы нарушения конфиденциальности:
хищение (утечка, перехват, съем) информации и средств ее обработки;
утрата (неумышленная потеря) информации, средств ее обработки;
разглашение информации;
2) угрозы нарушения целостности информации:
модификация (искажение) информации;
отрицание подлинности информации;
навязывание ложной информации;
3) угрозы нарушения доступности информации:
блокирование информации;
уничтожение информации и средств её обработки и хранения.
Все нарушители делятся на две основные группы: внутренние и внешние.
Под внутренними потенциальными нарушителями подразумеваются работники ФНС России, имеющие санкционированный доступ конфиденциальной информации.
Под внешними потенциальными нарушителями подразумеваются все остальные лица.
Возможный ущерб от нарушения безопасности конфиденциальной информации:
материальный (экономический) ущерб любому субъекту от разглашения информации, являющейся объектом защиты;
моральный вред, материальный ущерб любому субъекту персональных данных, от их разглашения или нарушения конституционных прав и свобод граждан;
материальный ущерб от необходимости восстановления любым субъектом нарушенных прав и объектов защиты;
моральный вред, материальный ущерб от дезорганизации деятельности ФНС России;
материальный ущерб ФНС России от уничтожения (утраты) объектов защиты;
материальный ущерб, моральный вред от несвоевременного поступления информации потребителям государственных информационных услуг или от нарушения целостности предоставленной информации;
материальный ущерб от невозможности выполнения ФНС России обязательств перед третьей стороной.
Среди методов противодействия и предотвращения правонарушений в области защиты конфиденциальной информации выделим следующие основные группы:
правовые методы;
экономические методы;
организационные методы;
инженерно-технические методы;
технические методы;
программно-аппаратные методы.
Для развития ИС ФНС России могут привлекаться внешние специализированные организации — поставщики услуг. Деятельность по обслуживанию ИС ФНС России, передаваемая для выполнения другой организации должна учитывать требования настоящей по защите информации.
В случае аутсорсинга регламентация вопросов ИБ носит обязательный характер, поскольку зоны полномочий и ответственности должны быть определены заранее, и в случае инцидента нужно четко идентифицировать ответственных и определить виновных.
Требования безопасности, в случае, когда ФНС России передает для управления и контроля все или некоторые из элементов ИТ-инфраструктуры ФНС России, должны быть указаны в контракте (или ином документе), согласованном между сторонами и учитывающем:
— наличие соглашения о неразглашении поставщиком услуг информации ограниченного доступа/распространения, ставшей известной ему в ходе исполнения договорных обязательств;
— выполнение требований по защите информации, установленные законодательством Российской Федерации;
— достижение зафиксированных договоренностей, обеспечивающих уверенность в том, что все стороны, включая субподрядчиков, осведомлены о своих обязанностях, касающихся безопасности;
— возможность обеспечения и тестирования параметров целостности, доступности и конфиденциальности ИР ФНС России;
— уровни физической безопасности, которые должны быть обеспечены в отношении оборудования, используемого в рамках аутсорсинга;
— соблюдение поставщиком услуг требований законодательства Российской Федерации о лицензировании, сертификации, а также требований трудового законодательства;
— право на проведение аудита деятельности поставщика услуг со стороны ФНС России;
— возможность расторжения договора с внешней организацией в одностороннем порядке;
— необходимость разработки регламента доступа ФНС России к арендуемым мощностям и каналам связи;
— необходимость разработки регламента информирования ФНС России о попытках НСД при использовании арендуемого оборудования и каналов связи;
— необходимость выполнения технических требований по защите информации, действующих в ФНС России;
— обеспечения отдельных правил информационной безопасности в случае приобретения, разработки и эксплуатации информационных систем.
Пресечение угроз при обработке информации ограниченного доступа (распространения) на файловых северах и серверах, содержащих отдельные базы данных, обеспечивается:
— использованием защищенных версий протоколов для передачи информации;
— мониторингом информационных потоков в элементах сетевой инфраструктуры АИС ФНС России;
— осуществлением разграничения доступа работников ФНС России и подведомственных организаций к информации на файловых серверах в соответствии с установленными полномочиями, как за счет использования комплекса организационно-технических, так и программно-аппаратных средств защиты.
Нарушение установленного порядка разграничения доступа может произойти как неумышленно — за счет воздействия вирусов или спама, так и за счет умышленных действий пользователей.
Защита от вирусов и спама осуществляется в рамках общей антивирусной системы защиты информации при её обработке с использованием СВТ в ФНС России.
Защита от злонамеренных действий пользователей, осуществляется введением запрета на:
— использование иных, не входящих в утвержденное ПО программ, позволяющих изменять установленные права доступа;
— подключение к техническим устройствам, осуществляющим обработку информации, средств и устройств, не входящих в утвержденную к применению конфигурацию технических средств и устройств.
Для осуществления необходимого уровня ИБ и контроля за состоянием ИБ при защите конфиденциальной информации на файловых серверах, необходимо дополнительно использовать комплекс организационно-технических мер, осуществляющий мониторинг:
действий пользователей и процессов автоматической обработки информации;
целостности ПО;
целостности конфигурации ПО и технических средств, предназначенных для обработки информации.
На сегодняшний день возникает угроза утечки информации из-за введенных в результате пандемии COVID-19 ограничительных мер.
Так, многие организации в том числе и налоговые органы, переводят сотрудников на дистанционную работу, не обеспечив должным образом сохранность конфиденциальной информации.
Основным сценарием дистанционной работы является удаленное подключение пользователя из дома к непосредственно своей служебной рабочей станции, для исполнения возложенных на него служебных обязанностей.
Мероприятия которые проводятся при переводе сотрудника на дистанционную работу:
-издается приказ о переводе сотрудника на удаленную работу;
-проводится внеочередной инструктаж по информационной безопасности, в том числе с разъяснением порядка работы в дистанционном режиме;
-сотрудником который подлежит переводу на дистанционную работу предоставляется обязательство о неразглашении информации полученной в рамках исполнения должностных обязанностей;
-производится настройка защищенного подключения междуслужебной рабочей станций и ПК для удаленной работы.
Вышеперечисленные технические и организационно-распорядительные меры не обеспечивают должным образом информационную безопасность, в том числе достаточную защиту конфиденциальной информации налоговых органов.
В таких условиях могут возникать угрозы информационной безопасности и факты правонарушений связанных с защитой конфиденциальной информации. Они возможны, так как имеют место быть следующие обстоятельства:
-недостаточная защита конечных устройств пользователей, в том числе возможны случаи их утраты, хищения;
-недостаточно строгие политики информационной безопасности;
-недостаточно строгая аутентификация пользователей;
-отсутствие контроля доступа, нет возможности определить кто именно работает, к устройству так же имеет доступ окружение пользователя;
-возможна утечка информации с конечных устройств, даже при контроле копирования на внешние носители, например путем фотографирования информации с экрана.
Для минимизации возникновения предпосылок утечки конфиденциальной информации налоговых органов в режиме дистанционной работы сотрудников предлагаю следующие пути решения:
-рассматривать вопрос целесообразности перевода, возможно делегировать обязанности на другого сотрудника находящегося на службе;
-путем предоставления усеченных прав к информационным ресурсам на период дистанционной работы;
-ведение фото фиксации пользователя в рабочее время посредством веб-камеры установленной на конечном устройстве;
-установка специализированного ПО на конечном устройстве для контроля действий пользователя.
Таким образом, при дистанционной работе пользователь находится в ненадежной и неконтролируемой среде, в связи с чем, возникают предпосылки для утечки конфиденциальной информации налоговых органов.
ЗАКЛЮЧЕНИЕ
Теоретический анализ литературы по исследуемой в квалификационной работе проблеме позволил сделать следующие выводы:
Конфиденциальная информация — это информация, доступ к которой имеет ограниченный круг лиц, не подлежащая как предоставлению — передаче определенному кругу лиц, так и распространению — передаче неопределенному кругу лиц. Любая несанкционированная передача конфиденциальной информации нарушает установленный режим конфиденциальности и снижает ценность такой информации (значимой в силу неизвестности ее третьим лицам). Распространенная конфиденциальная информация полностью теряет свою ценность как объект права для ее обладателя. Предоставленная третьим лицам информация теряет часть такой ценности. Общество как обладатель информации не заинтересовано ни в первом, ни во втором.
Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.
Правовой основой для допуска является:
— обязательство должностного лица (работника) о неразглашении сведений конфиденциального характера, закрепленное в трудовом договоре (контракте) согласно ТК РФ;
— нормативный правовой акт (документ) изданный или утвержденный руководителем организации определяющий порядок допуска и доступа к сведениям конфиденциального характера.
Для обеспечения правовой защищенности в полной мере служебной и коммерческой тайны «обязательство» (контракт) может составляться помимо трудового договора и содержать следующие обязательства работника:
— не разглашать сведения, составляющие служебную или коммерческую тайну организации, которые ему будут доверены или станут известны по работе;
— не передавать третьим лицам и не раскрывать публично сведения, составляющие служебную или коммерческую тайну организации без согласия администрации;
— выполнять требования приказов, инструкций и положений по обеспечению сохранности служебной и коммерческой тайны организации;
— в случае попытки посторонних лиц получить от него сведения о служебной или коммерческой тайне организации немедленно сообщить об этом руководителю структурного подразделения и начальнику службы безопасности организации;
— сохранять служебную и коммерческую тайну тех предприятий, с которыми организация имеет деловые отношения;
— не использовать знания служебной или коммерческой организации для занятий любой деятельностью, которая в качестве конкурентного действия может нанести ущерб организации;
— в случае его увольнения все носители служебной или коммерческой тайны организации, которые находились в его распоряжении, передать организации;
— об утрате или недостаче носителей служебной и коммерческой тайны, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению служебной или коммерческой тайны организации, а также о причинах и условиях возможной утечки сведений, немедленно сообщить начальнику службы безопасности.
Кроме того, такое обязательство должно содержать последствия за нарушения указанных пунктов и применяемые меры со стороны администрации и со стороны органов судебной власти в соответствии с уголовным гражданским и административным законодательством.
Сотрудники организации должны руководствоваться порядком работы с документами, содержащими конфиденциальную информацию.
За правонарушения при работе с документированной информацией органы государственной власти, организации и их должностные лица несут ответственность в соответствии с законодательством Российской Федерации и субъектов Российской Федерации.
По общему правилу степень защиты конфиденциальной информации должна соответствовать уровню ее ценности для обладателя. Перечень обязательных мер по охране конфиденциальности информации, принимаемых ее обладателем, в частности, включает: ограничение доступа к информации, составляющей тайну, путем установления порядка обращения с этой информацией и контроля за его соблюдением. Подчеркну, что обладатель информации должен принимать не только организационные и юридические меры к охране конфиденциальности информации, но и специальные технические, затрудняющие доступ третьих лиц к ней в компьютерной системе.
Таким образом, подводя итог вышеизложенному материалу можно сделать вывод, что главная задача защиты конфиденциальной информации — это защита доступа (физического или программного) к информации, содержащей сведения ограниченного доступа, так, чтобы максимально обезопасить ее от несанкционированного доступа.
При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.
БИБЛИОГРАФИЯ
1. «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020).
2. «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ (ред. от 28.06.2021, с изм. от 08.07.2021).
3. «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 N 14-ФЗ (ред. от 09.03.2021, с изм. от 08.07.2021) (с изм. и доп., вступ. в силу с 29.06.2021).
4. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 01.07.2021).
5. «Налоговый кодекс Российской Федерации (часть первая)» от 31.07.1998 N 146-ФЗ (ред. от 02.07.2021).
6. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 11.06.2021) «Об электронной подписи».
7. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных».
8. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 02.07.2021) «Об информации, информационных технологиях и о защите информации».
9. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных».
10. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 09.03.2021) «О коммерческой тайне».
11. Федеральный закон от 27.07.2004 N 79-ФЗ (ред. от 02.07.2021) «О государственной гражданской службе Российской Федерации».
12. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 02.07.2021) «О техническом регулировании».
13. Закон РФ от 21.07.1993 N 5485-1 (ред. от 11.06.2021) «О государственной тайне».
14. Указ Президента РФ от 05.12.2016 N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
15. Указ Президента РФ от 02.07.2021 N 400 «О Стратегии национальной безопасности Российской Федерации».
16. Указ Президента РФ от 30.11.1995 N 1203 (ред. от 25.03.2021) «Об утверждении Перечня сведений, отнесенных к государственной тайне».
17. Приказ Федеральной налоговой службы от 06апреля 2021 г. № ЕД-7-24/298@ “О внесении изменений в Концепцию информационной безопасности Федеральной налоговой службы”.
18. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
19. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
20. Алексенцев А.И. Конфиденциальное делопроизводство. — М., 2018. 363 с.
21. Алексенцев А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. 2019. № 4. 255 с.
22. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие.Казань: КГТУ 2018.320 с.
23. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2019. 121 с.
24. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2017. № 4. 115 с.
25. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. — М., 2014.323 с.
26. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО «Юстицинформ» 2019. 344 с.
27. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2019. № 1.201 с.
28. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции «Новые информационные технологии и системы». 2015.354 с.
29. Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2016. № 10. 98 с.
30. Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2019. № 2.107 с.
31. Гришачев В.В., Халяпин Д.Б., Шевченко Н.А. Опасности возникновения каналов утечки конфиденциальной информации по волоконно-оптическим структурированным кабельным системам // Материалы X Международной научно-практической конференции «Информационная безопасность». 2018.214 с.
32. Данилов А.Д. Ценность информации // Технологии информационного общества. 2018. № 10. 198 с.
33. Дутов В. Предотвращение утечек информации // Управление рисками организации. 2018. № 3.154 с.
34. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА. Закон и право 2017. 335 с.
35. Кучеров И.И. Налоговая тайна в системе мер защиты конфиденциальной информации / Налоговое право России: учебник / отв.ред. Ю.А. Крохина. — 6-е изд., испр. — М.: Норма, 2021. 403 с.
Страницы 1 2