Некоторые аспекты организации защиты конфиденциальной информации

В современных условиях государство и общество уделяют большое внимание надежной защите конфиденциальной информации (КИ), в том числе персональных данных (ПДн) и защите от их утечки (хищения, несанкционированного размещения в Интернете, преднамеренной или случайной передачи третьим лицам).

Вместе с тем в этой важной сфере пока что нет устоявшейся и четкой системы (как, например, в области защиты государственной тайны). Положения действующих нормативных документов в этой области в ряде случаев противоречат друг другу.

Заказчик часто не может определиться с классификацией своей информационной системы (ИС), предназначенной для обработки КИ, включая ПДн. А это, в свою очередь, вносит неопределенность в совокупность мер, необходимых для защиты этой информации.

В связи с этим специалистами ЗАО "ИНФОПРО" систематизированы существующие требования по классификации объектов, предназначенных для обработки КИ, и определено соотношение классов и соответствующих им мер по защите.

Для удобства данная информация представлена в виде таблиц.

Первая табл. взята из руководящих документов по защите КИ. Она помогает правильно определить класс ИСПДн.

Вторая - разработана на основании ряда руководящих документов по защите КИ. Она позволяет определить основные мероприятия по защите, соответствующие тому или иному классу ИС.

Мы не претендуем на истину в последней инстанции. Данные, приведенные в табл. 2, конечно, недостаточно детализированы, есть некоторые упрощения. Однако, на наш взгляд, таблица позволяет в первом приближении определить соответствующие установленному классу мероприятия по защите и более четко сформулировать задание специализированной организации на создание системы защиты информации.

Данные таблицы были "обкатаны" ЗАО "ИНФОПРО" с несколькими заказчиками работ по созданию и защите ИСПДн, у которых нет штатных специалистов по защите информации. По их отзывам, эти таблицы в значительной мере ускорили их понимание проблемы, позволили более конкретно сформулировать задачу для ЗАО "ИНФОПРО" по защите информации, избежать избыточных требований и оптимизировать затраты на выполнение.

А когда заказчиком четко поставлены задачи, определены требования к объекту информатизации, ЗАО "ИНФОПРО" как исполнитель, обладая всеми необходимыми лицензиями, людскими и техническими ресурсами, может в установленные сроки выполнить весь цикл работ по созданию и аттестации объекта информатизации любой категории - от предназначенной для обработки КИ до информации, составляющей государственную тайну любой степени секретности.