Статьи страница 36

В рамках реализации единого проекта «Цифровая экономика», предложенного Президентом РФ, в скором будущем предстоит определить единый госорган, ответственный за обеспечение и стандартизацию требований информационной безопасности в стране.

Кто управляет информационной безопасностью в России

Сейчас мероприятия и технические разработки в сфере обеспечения ИБ подконтрольны двум ведомствам:

ФСТЭК (Федеральная служба технического и экспортного контроля) — занимается вопросами сертификации средств защиты информации, аттестации рабочих мест по требованиям безопасности информации, противодействия иностранным техническим разведкам и т.д. В ведении Службы находится работа с техническими средствами защиты данных, не использующими криптографические алгоритмы шифрования информации.

ФСБ (Федеральная служба безопасности), а точнее Отдел лицензирования и сертификации — отвечает за регулирование работы со средствами негласного получения информации, защиту государственной тайны, разработку и оборот технических средств криптографической защиты данных.

Внутренние враги всегда опаснее внешних. Недочёты и упущения в политике технической безопасности могут принести больше ущерба, чем команда опытных хакеров. Специалисты проанализировали причины инцидентов в области защиты ИС, что около трети происшествий в сфере информационной безопасности было вызвано не внешним воздействием, а недосмотром и халатностью самих сотрудников или руководителей. Этот фактор обязательно нужно учитывать при подготовке к оформлению лицензии ФСТЭК ТЗКИ. Мы выделили наиболее частые ошибки.

Уязвимые принтеры

В первую очередь при проектировании защиты информационной системы все стремятся защитить компьютеры и забывают о принтерах и сканерах – а ведь это

Лицензия ФСБ на гостайну — подтверждение права государственной или коммерческой организации использовать в работе сведения, составляющие гостайну. Популярность лицензии объясняется тем, что она нужна почти во всех случаях, когда нужно участвовать в тендерах, связанных с работами на закрытых территориях и режимных объектах. Как правило, это самые дорогие заказы с низкой конкуренцией, ведь не каждая компания может похвастаться допуском к работе с секретами государства. Примерами таких работ могут быть строительство зданий и капитальный ремонт помещений на территории военных частей, работа с объектами в приграничных зонах, наладка программ и средств технической защиты информации в информационных системах в силовых структурах и т.д.

Риски самостоятельного получения лицензии

Желая сэкономить на лицензировании, часто руководство фирмы поручает эту задачу своему юристу. Однако вместо экономии денежных средств на посредниках соискатель сталкивается с продолжительной и дорогостоящей процедурой, содержащей много тонкостей и специфических вопросов. Ошибки в подготовке из-за отсутствия опыта приводят к тому, что ФСБ отказывает в выдаче лицензии, а соискатель зря тратит бюджет и время на подготовку.

Распространённые причины отказа:

1. Несоответствие биографии руководителя законодательно утвержденным ограничениям:
   • долговременный, более 5 лет, срок проживания за рубежом на постоянной основе;

Выступление представителей ФСБ И ФСТЭК на 8 международной конференции по защите персональных данных касалось в основном проблем определения актуальных угроз для БД и создания моделей для эффективной защиты. Регуляторы обобщили опыт последний проверок и акцентировали внимание слушателей на следующих моментах:

1. В подавляющем большинстве проверенных организаций утверждённые модели угроз не соответствовали требованиям ФСТЭК. Основные нарушения:

• при моделировании не принимались во внимание уязвимости и угрозы из Базы уязвимостей, формируемой ФСТЭК;
• при создании модели угроз не учитывались уязвимости, связанные с конкретной используемой технологией (например, применяя виртуализацию, необходимо учитывать угрозы, связанные именно с данной технологией);

Пройти курсы по защите гостайны необходимо в двух случаях:

• если директор не готов пройти аттестацию в ФСБ;
• если при аттестации принято отрицательное решение, и руководителю рекомендовано пройти еще раз курсы по ЗГТ.

Перечень курсов по ЗГТ можно найти через интернет или уточнить список аккредитованных учебных центров в региональном управлении ФСБ.

Где пройти обучение ЗГТ

В каждом регионе есть ряд учебных учреждений, которые периодически проводят курсы по защите государственной тайны. Как правило, это ВУЗы и центры дополнительного образования на их базе, которые специализируются на защите информации и разрабатывают собственные учебные программы по ЗГТ.

Выбирая учебное заведение для качественного обучения, учтите следующие моменты:

Согласно законодательству о гостайне доступ на объекты, где работают с секретными сведениями, возможен только для лиц, имеющих соответствующий допуск к гостайне. Сюда относятся военные части, закрытые территории, спецзаводы, комплексы оборонных предприятий и т.д.

Требования к особому допуску на такие объекты касается не только работников режимных предприятий или военных частей, но и любых других людей, которые находятся на закрытых территориях, в том числе и с целью оказания услуг.

Режимные объекты, так же, как и любые другие, нуждаются в периодическом обслуживании, ремонте, восстановлении или застройке новыми зданиями по мере необходимости. Поэтому любая строительная фирма должна иметь лицензию ФСБ на гостайну, чтобы получить право выполнять строительные и ремонтные работы в любом помещении закрытого объекта.

Когда стоит получать лицензию ФСБ

Даже если возможность ознакомления с гостайной при строительных работах существует лишь в теории, строительная лицензия ФСБ всё равно потребуется. В одной из статей мы писали, сколько стоит лицензия ФСБ на строительство и из чего складывается цена. Вкратце: в зависимости от готовности фирмы к оформлению лицензии стоимость может составить от 50 000 до 1 500 000 рублей.

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

1. Недокументированные возможности (НДВ) в системном ПО.
2. НДВ в прикладном ПО.
3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей

Что понимают под ведением секретного делопроизводства? В общем виде это сфера особой управленческой деятельности госорганов и иных юридических лиц, связанная с созданием, оборотом, учётом, хранением и уничтожением документов и иных носителей государственной тайны.

Особенности ведения секретного документооборота связаны как с характером информации, так и со спецификой предоставления доступа к ней сотрудников, в частности:

• работать с секретными документами и носителями гостайны имеет право ограниченное количество лиц;
• сотрудники, имеющие доступ к документам и носителям, обязаны получить допуск к гостайне и соблюдать правила работы с секретной документацией;
• засекречивание, пересмотр, рассекречивание сведений осуществляется только с привлечением экспертов, а в случае с документами с грифом «Совершенно секретно» и «Сведения особой важности» — с привлечением Межведомственной комиссией по защите гостайны.
• секретный документооборот регламентирован внутренней документацией компании, назначены сотрудники, несущие ответственность за соблюдение правил и требований работы с гостайной на предприятии.

Недавно в Государственную Думу РФ было внесено предложение: пересмотреть определение государственной тайны и исключить из него ту информацию, которая не является критически важной для государства. Защиту же действительно важных данных планируется усилить.

В чем суть изменений

В настоящее время к государственной тайне в России относятся данные трех категорий: секретные, совершенно секретные и данные особой важности. Однако информация первой категории по большей части предназначена для служебного пользования, и авторы нового закона считают нецелесообразным охранять ее так же строго, как действительно важные для функционирования государства материалы.

Разумеется, это не значит, что служебные данные перейдут в открытый доступ: они будут под защитой ряда других законов и актов, а часть их, возможно, будет переведена в категорию «Совершенно секретно».

Ожидаемые последствия реформы закона «О гостайне»

Вывод из-под действия закона «О государственной тайне» служебной информации имеет положительный финансовый эффект — экономия госбюджета. Служащие, имеющие допуск третьей степени секретности, получают соответствующую надбавку к зарплате (в размере от 5 до 50% оклада), проходят обучение по защите гостайны за счет работодателя, однако при этом на них не распространяются ограничения, действующие для людей, допущенных к гостайне двух высших категорий: например, они могут свободно выезжать за границу. Авторы закона считают, что средства, освободившиеся после отмены этой надбавки, можно будет пустить на информбезопасность там, где это действительно нужно.

Остался месяц до вступления в силу нового закона о безопасности критической информационной инфраструктуры РФ, но вокруг него по-прежнему много неясностей, касающихся его исполнения. Какие именно информационные системы будут подпадать под регулирование, кто станет субъектом КИИ, и как провести категорирование объектов при столь размытых формулировках закона.

Какие объекты отнесут к КИИ?

Прежние результаты правотворческой работы ФСТЭК отличались большей конкретикой. Так, приказ 31 ясно очертил границы применения: это АСУ и информационные системы, обслуживающие критически важные и потенциально опасные объекты. При этом есть точные критерии отнесения объектов к данным типам, ведется их реестр, есть указание на то, что приказ не регулирует ИС, где обрабатывается гостайна. Приказ № 17 также не вызывает особых вопросов: чётко определена сфера применения требований, есть перечень государственных информационных систем, нет обработки гостайны.

Покупая готовую фирму для своего бизнеса, вы надеетесь купить компанию как минимум без долгов и сомнительной репутации. Для фирмы с лицензией ФСБ на гостайну, лицензией ФСТЭК или Росатома требования еще строже: все лицензии и разрешения должны быть с достаточным сроком действия, а компания на момент продажи должна соответствовать всем лицензионным требованиям. Поэтому при покупке готового ООО будущего владельца интересует вопрос, как проверить надежность и реальное финансовое состояние фирмы.

Как проверить фирму на надежность

Под надежностью здесь понимается как юридическая чистота фирмы, так и отсутствие финансовых и репутационных рисков компании. Есть несколько способов проверки фирмы по данным параметрам.

Предпродажный аудит компании

Проводится либо по заказу покупателя, либо по инициативе продавца. Можно заказать либо оценочную экспертизу, либо полный аудит фирмы. В ходе профессиональной оценки вы сможете не только выяснить действительную балансовую стоимость фирмы, но и выявить финансовые риски и возможные убытки (долги и непогашенные обязательства перед контрагентами, реальная прибыль, стоимость и ценность нематериальных активов).

Основная проблема в получении лицензий ФСБ — слишком долгие процедуры подготовки и согласования документов. Если лицензия нужна срочно, обычный порядок лицензирования не подходит. Мы не советуем всерьез воспринимать предложения о покупке готовых лицензий — это незаконно и бесполезно, т.к. документ выдается на имя конкретной фирмы и не может быть использован другим лицом в своей работе.

Однако есть несколько законных способов получить готовые лицензии ФСБ, с которыми вы сможете работать сразу, в том числе подавать заявки на закрытые тендеры и прилагать к заявлениям о получении других лицензий ФСБ и ФСТЭК.

Способ первый: покупка готового ООО с лицензией ФСБ

О преимуществах готовой фирмы с лицензией ФСБ мы писали ранее. Напомним, что процедура переоформления ООО с лицензией ФСБ занимает до 5 дней, для дальнейшей работы нужно, чтобы вновь назначенный директор с вашей стороны имел допуск к гостайне. Выбирая готовую компанию с лицензией, во избежание претензий при проверке ФСБ, обращайте внимание на надежность продавца, прозрачность бухгалтерии и истории сделок, срок действия договора с РСП и его лицензии на услуги, а также на результаты прошлых лицензионных проверок. Для проверки своей будущей фирмы советуем привлечь к делу опытного корпоративного юриста, имеющего опыт в лицензировании ФСБ.