Журнал "Information Security/ Информационная безопасность" #6, 2019

В настоящий момент DevSecOps стала трендом, набирающим все большую популярность – проводятся семинары, конференции. Но полноценная реализация данной концепции невоз- можна при противоречиях с действующим законода- тельством. С практической точки зрения наиболее удобной "точкой входа" в массив документации, посвященной проблематике защиты информации в автоматизи- рованных системах, являет- ся ГОСТ Р 57628–2017 "Информационная техноло- гия (ИТ). мер – создание языка ADA, в основе дизайна которого лежит недопущение подобного рода ошибок). Законодательство, помимо основной своей функции, заклю- чающейся в регулировании общественных отношений, пред- ставляет собой репрезентатив- ный показатель зрелости того или иного явления в обществе. В Российской Федерации зако- нодательство в сфере защиты информации стало интенсивно развиваться с середины 2000-х гг., когда многим явлениям в данной сфере были даны определения, на основе которых стало воз- можным вести регуляторную деятельность. Перечень основных статей На данный момент актуаль- ными и наиболее ярко обсуж- даемыми стали дополнения о безопасности критической информационной инфраструк- туры Российской Федерации, фактически определяющие направление по обеспечению безопасности государства в сфере, связанной с созданием, хранением, передачей и пре- образованием информации: l Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфра- структуры Российской Феде- рации"; l приказ ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении требований по обеспечению безопасно- сти значимых объектов кри- тической информационной инфраструктуры Российской Федерации" (в ред. приказа ФСТЭК России от 26 марта 2019 г. № 60). Стоит отметить, что деятель- ность регулятора в данном кон- тексте не ограничивается – в Кодексе об административных правонарушениях (КоАП РФ) предусмотрен перечень обще- ственно опасных деяний, свя- занных с разглашением либо сокрытием информации: l ст. 5.39. "Отказ в предостав- лении информации"; l ст.13.11. "Нарушение законо- дательства Российской Феде- рации в области персональ- ных данных"; l ст. 13.11.1. "Распространение информации о свободных рабочих местах или вакант- ных должностях, содержащей ограничения дискримина- ционного характера"; l ст. 13.12. "Нарушение правил защиты информации"; l ст.13.13. "Незаконная дея- тельность в области защиты информации"; l ст. 13.14. "Разглашение информации с ограниченным доступом". Виды нарушений, касающие- ся самой информации и средств ее обработки, представлены в следующих статьях УК РФ: l ст. 272. "Неправомерный доступ к компьютерной информации"; l ст. 273. "Создание, исполь- зование и распространение вредоносных компьютерных программ"; l ст. 274. "Нарушение правил эксплуатации средств хране- ния, обработки или передачи компьютерной информации и информационно-телекомму- никационных сетей"; l ст. 274.1. "Неправомерное воз- действие на критическую информационную инфраструк- туру Российской Федерации". Основные выводы С содержанием указанных ста- тей (в актуальном состоянии) читателю предлагается ознако- миться самостоятельно. Для краткости перечислим основные выводы: 1. Информационная система и содержащаяся в ней инфор- мация – различные сущности. 2. Перечень нарушений, свя- занных с информацией, не зави- сит от вида ее материального носителя, защите подлежит именно семантическая состав- ляющая. 3. Государственная и коммер- ческая тайна как объект защиты ассоциируются в первую оче- редь с организацией (государст- вом или частной компанией), при этом нарушителем может стать как организация, так и частное лицо. 4. Частное лицо получило воз- можность отстаивать свои права на доступ к информации, а также на защиту персональ- ных данных, т.е. фактически гражданин получил возмож- ность быть не только защи- щающейся стороной в случае конфликтов. 5. Помимо транспортной, энер- гетической и др., государство признает существование инфор- мационной инфраструктуры, т.е. защищаются не только физиче- ские каналы хранения и переда- чи данных, но и семантическое их наполнение, даже в случаях, когда оно не является объектом государственной тайны. Приведенные ранее законные акты представляют собой доста- точно общие по семантическому наполнению документы, из кото- рых, однако, становится очевид- ной их ориентация на "водопад- ную" модель разработки про- граммного обеспечения. При этом можно условно выделить три группы сред, в которых суще- ствует программное изделие: 1) среда разработки (созда- ние, компиляция); 2) среда тестирования (тести- рование и QA); 3) среда функционирования (в которой продукт выполняет непосредственные функции). • 39 РАЗРАБОТКА www.itsec.ru Реклама