КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА НА ПРЕДПРИЯТИЯХ МАЛОГО И СРЕДНЕГО БИЗНЕСА

COMPREHENSIVE PROTECTION OF LIMITED ACCESS INFORMATION IN SMALL AND MEDIUM-SIZED BUSINESSES

Vorobev Artyom Andreevich

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

Oshkina Polina Yurievna

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

Patsyuk Alexander Dmitrievich

PhD in Technical Sciences, Associate Professor, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены вопросы обеспечения комплексной защиты информации ограниченного доступа в организациях малого и среднего бизнеса.

Представлены основные нормативно-правовые документы, регулирующие вопросы обеспечения защиты информации.

Рассмотрен комплекс организационно-технических мероприятий, обеспечивающих необходимый уровень защиты информации, соответствующий требованиям нормативных документов регуляторов.

Рассмотрены технические средства для обеспечения защиты информации ограниченного доступа.

ABSTRACT

The article discusses the issues of ensuring comprehensive protection of restricted information in an organization.

It presents the main regulatory documents governing the protection of information in an organization.

The article examines a set of organizational and technical measures that ensure the necessary level of information protection in accordance with the requirements of regulatory documents.

The article also discusses technical solutions for protecting restricted information.

Ключевые слова: информационная безопасность, информация ограниченного доступа, защита информации.

Keywords: information security, restricted access information, information protection.

Введение

Деятельность практически любой организации, от крупной государственной корпорации до небольшого частного бизнеса, неразрывно связана с созданием и обработкой различных данных, которые не предназначены для публичного распространения. Это могут быть коммерческие тайны, персональные данные сотрудников и клиентов и т.п. Всю эту информацию объединяет то, что она относится к категории информации ограниченного доступа, несанкционированное распространение которой может нанести ущерб организации или нарушить законодательство.

Для информации не обладающей свойством конфиденциальности, должна быть обеспечена защита целостности и доступности.

Обеспечение защиты информации является не просто рекомендацией, а строгим требованием законодательства [6].

Эффективная защита информации представляет собой комплекс правовых, организационных и технических мероприятий (рис. 1).

Рисунок 1. Основные направления комплексной защиты информации

Основы комплексной защиты

Создание комплексной системы защиты информации требует системного подхода, при котором средства защиты разных типов применяются совместно под централизованным управлением. Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации [4].

Системный подход для создания системы защиты информации реализуется через четкую иерархию функциональных уровней, каждый из которых выполняет свои уникальные задачи на разных этапах жизненного цикла системы обеспечения информационной безопасности (СОИБ).

Соответственно, при построении СОИБ выделяют правовой, организационный и технический уровни.

Правовой уровень является фундаментом для всей СОИБ. К мерам, осуществляемым на этом уровне, относятся правовое регулирование, стандартизация, лицензирование, а также сертификация.

Существует следующая иерархическая структура нормативных документов в области защиты информации (рис. 2).

Рисунок 2. Иерархия нормативно-правовых документов в области информационной безопасности

Нормы Конституции Российской Федерации (РФ) находятся на верхнем уровне структуры нормативных документов. Согласно статье 79 Конституции РФ: «Решения межгосударственных органов, принятые на основании положений международных договоров РФ в их истолковании, противоречащем Конституции РФ, не подлежат исполнению в РФ» [3].

Главным концептуальным документом в области защиты информации является Доктрина ИБ. В ней изложены основные цели, стратегии защиты информации, а также дается определение ИБ РФ: «Информационная безопасность Российской Федерации – состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства» [5].

Ключевыми Федеральными законами в области защиты информации являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [6], Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [7] и Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» [8].

К нормативным документам регуляторов в области защиты информации относятся приказы, методические рекомендации, требования и указания, которые издаются уполномоченными государственными органами для детализации и практической реализации положений федеральных законов. Наиболее активную роль здесь играют Федеральная служба по техническому и экспортному контролю (ФСТЭК России), отвечающая за техническую защиту информации, и Федеральная служба безопасности (ФСБ РФ), контролирующая область применения криптографических средств.

Нормативными документами субъектов Российской Федерации являются акты, которые принимаются органами государственной власти на региональном уровне.

Нормативные документы предприятий завершают всю иерархическую структуру нормативных документов. Они должны соблюдать требования всех вышестоящих документов.

Все вышеперечисленные нормативные документы являются обязательными к исполнению, но, помимо них, существуют и такие документы, как Национальные стандарты – ГОСТы. Они носят рекомендательный характер и не являются обязательными к исполнению, если на них не ссылаются никакие нормативные документы регуляторов. В области организации информационной безопасности главными Национальными стандартами являются ГОСТы серии 27000 [2].

Следующий уровень СОИБ – организационный, который базируется на локальных нормативных документах, которые направленные на обеспечение ИБ. Документы организации в области ИБ имеет следующую структуру (рис. 3):

Рисунок. 3 Иерархия документов уровня предприятий

Документом верхнего уровня в организации является «Политика ИБ». Этот локальный нормативный документ определяет критически важные ресурсы, цели и стратегические направления обеспечения ИБ. В каждой организации «Политика ИБ» индивидуальная, потому что она зависит от целей и процессов организации. Важная особенность Политики ИБ – она должна быть простой для понимания любым сотрудником, то есть в ней не должны использоваться специальные термины и определения. Рекомендуемая структура данного документа определена в ГОСТ Р ИСО/МЭК 27003-2021 и состоит из следующих разделов (рис. 4) [1]:

Рисунок. 4 Структура документа «Политика ИБ»

Документ «Политика ИБ» содержит следующие разделы:

• Административный уровень – название политики, версия, дата публикации/срок действия, история изменений, владелец и утверждающий, классификация, предполагаемая аудитория и т.д.;
•  Краткое изложение политики – обзор из одного или двух предложений;
•  Введение – краткое объяснение темы политики;
•  Область действия – описывает те части или виды деятельности организации, на которые влияет политика;
• Цели – описывает цель политики;
•  Принципы – описывает правила, касающиеся действий и решений для достижения целей;
•  Ответственность – описывает, кто несет ответственность за действия, отвечающие требованиям политики;
•  Ключевые результаты – описывает результаты бизнеса, если цели будут достигнуты;
•  Связанные политики – описывает другие политики, относящиеся к достижению целей, обычно путем предоставления дополнительной информации по конкретным темам;
•  Требования политики – описывает подробные требования политики.

Документами второго уровня являются документы, которые ориентированы на конкретные группы сотрудников. Они могут содержать некоторые технические подробности, характерные для регулируемых предметных областей. Например, «Политика обработки персональных данных», «Положение о корпоративной электронной почте», «Положение об электронном документообороте».

Документы третьего уровня регламентируют конкретные процессы, связанные с использованием информационных технологий и средств защиты информации. К данному уровню можно отнести инструкции по резервному копированию, парольной защите, должностные инструкции специалистов по информационным технологиям и информационной безопасности.

Также именно на административном уровне происходит оценка активов и угроз, выделение финансовых средств, кадровое обеспечение и распределение зон ответственности. На основе принятой стратегии разрабатываются конкретные планы обеспечения информационной безопасности, планируется соответствующий бюджет и формируется кадровый состав служб безопасности.

На техническом уровне обеспечивается практическая реализация защитных мер, которые определены на вышеперечисленных функциональных уровнях. Технические средства защиты информации представляют собой комплекс решений, направленных на непосредственное противодействие кибератакам и утечке данных. Все технические средства делятся на три группы: аппаратные, программные и аппаратно-программные.

Аппаратные средства – это физические устройства. Например, системы контроля и управления доступом, системы видеонаблюдения, межсетевые экраны, которые фильтруют интернет-трафик и устройства для шифрования данных, чтобы их не могли получить посторонние.

К программным средствам относятся непосредственно программы, которые устанавливаются на компьютеры. Например, различные антивирусные программы. К ним же относятся встроенные средства защиты в операционных системах, которые следят за правами пользователей, и программы, которые шифруют информацию на жестком диске.

Аппаратно-программными средствами являются комбинированные решения, где устройство и его программа работают вместе как единое целое для выполнения сложных задач, примером данного типа средств являются средства аутентификации и идентификации. Например, USB-токены и смарт-карты.

Выводы

1. Создание комплексной системы защиты информации требует системного подхода, который реализуется через правовой, организационный и технический уровни.

2. Правовой уровень устанавливает обязательные к исполнению правовые нормы, которые имеют строгую иерархию: от Конституции РФ до локальных документов организаций. Правовой уровень является фундаментом всей СОИБ.

3. Организационный уровень преобразует правовые требования в конкретную деятельность организации. Ключевыми элементами являются «Политика ИБ», которая определяет стратегию, цели и зоны ответственности, и специалисты, которые выполняют конкретные действия, направленные на обеспечение ИБ.

4. Технический уровень обеспечивает практическую реализацию защитных мер с помощью комплекса аппаратных, программных и аппаратно-программных средств.

Список литературы:

1. ГОСТ Р ИСО/МЭК 27003-2021 [Электронный ресурс]. – Режим доступа: https://meganorm.ru/mega_doc/norm/gost-r_gosudarstvennyj-standart/10/gost_r_iso_ mek_27003-2021_natsionalnyy_standart_rossiyskoy.html (дата обращения: 11.11.25)
2. Еременко В.Т., Рытов М.Ю., Рязанцев П.Н., Орешина М.Н. Управление информационной безопасностью [Электронный ресурс]. – Режим доступа: https://elib.oreluniver.ru/media/attach/note/2015/Eremenko_upr_inf_bezopasn.pdf (дата обращения: 11.11.25)
3. Конституция Российской Федерации, статья 79 [Электронный ресурс]. – Режим доступа: http://www.kremlin.ru/acts/constitution/item (дата обращения: 11.11.25)
4. Родичев, Ю. А. Компьютерные сети. Нормативно-правовые аспекты информационной безопасности. Часть 1. Учеб. пособие для вузов. – Самара: изд-во «Универс-групп», 2007. – 368 с.
5. Указ Президента Российской Федерации от 05.12.2016 г. № 646 [Электронный ресурс]. – Режим доступа: http://www.kremlin.ru/acts/bank/41460 (дата обращения: 11.11.25)
6. Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" [Электронный ресурс]. – Режим доступа: http://www.kremlin.ru/acts/bank/24157 (дата обращения: 11.11.25)
7. Федеральный закон от 27 июля 2006 года № 152-ФЗ " О персональных данных" [Электронный ресурс]. – Режим доступа: http://www.kremlin.ru/ acts/bank/24154 (дата обращения: 11.11.25)
8. Федеральный закон от 29 июля 2004 года № 98-ФЗ " О коммерческой тайне" [Электронный ресурс]. – Режим доступа: http://www.kremlin.ru/acts/bank/21227 (дата обращения: 11.11.25)