Журнал "Information Security/ Информационная безопасность" #2, 2022

l контроль доступа к программным и программно-аппаратным средствам значимого объекта; l защиту информации и данных при их передаче по каналам связи при удален- ном доступе к программным и про- граммно-аппаратным средствам значи- мого объекта; l мониторинг и регистрацию действий лиц, которым разрешен удаленный доступ к программным и программно-аппарат- ным средствам значимого объекта, а также инициируемых ими процессов, ана- лиз этих действий в целях выявления фактов неправомерных действий; l обеспечение невозможности отказа лиц от выполненных действий при осу- ществлении удаленного доступа к про- граммным и программно-аппаратным средствам значимого объекта. 3. В значимом объекте могут прини- маться дополнительные организацион- ные и технические меры по обеспечению безопасности удаленного доступа к про- граммным и программно-аппаратным средствам, в том числе средствам защи- ты информации, направленные на бло- кирование (нейтрализацию) угроз без- опасности информации, приведенных в модели угроз безопасности. На практике нередко 31-й пункт тол- куется как безусловный запрет на доступ к значимым объектам критической информационной инфраструктуры. В этой связи стоит прокомментировать, что все данные требования в общем означают: l удаленный доступ к объекту критиче- ской информационной инфраструктуры, не имеющему категории значимости, не регламентируется и ничем не ограничи- вается; l доступ к значимому объекту критиче- ской информационной инфраструктуры работнику (самого субъекта и его дочер- них/зависимых обществ), то есть лицу, состоящему в трудовых отношениях с организацией (это важно отметить, так как лица, работающие в рамках граж- данско-правовых договоров, в таких отно- шениях не состоят), возможен без каких- либо условий и (или) ограничений; l доступ к значимому объекту критиче- ской информационной инфраструктуры лицам, не состоящим в трудовых отно- шениях, возможен при условии принятия определенного набора мер по обеспече- нию безопасности, прямо предусмот- ренных 31-м пунктом либо разработан- ных субъектом для защиты от актуаль- ных угроз. В части удаленного управления каких- либо особых требований на текущий момент нет. Есть только общие для всех названных видов удаленного взаимо- действия требования: l требования по защите информации при передаче вне пределов контролируе- мой зоны (разделы ЗИС приказов ФСТЭК России, устанавливающих требования по безопасности информации к различным видам автоматизированных систем); l контроль со стороны субъекта критиче- ской информационной инфраструктуры в случае передачи информации, в том числе технологической, иным лицам (31-й пункт). При этом важно отметить, что все вышеназванные требования распростра- няются на владельца автоматизирован- ной системы, именно он должен их выполнить. Соответственно, не празд- ным является вопрос: как быть, если с этой системой начинают взаимодейство- вать какие-то иные лица (внешние субъ- екты), как установить для них правила и как разграничить ответственность? Разграничение ответственности при удаленном взаимодействии В соответствии со ст. 6 Федерального закона "Об информации, информацион- ных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г. обладатель информации 3 , если иное не предусмот- рено федеральными законами 4 , вправе: l разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; l передавать информацию другим лицам по договору или на ином уста- новленном законом основании; l защищать установленными законом способами свои права в случае незакон- ного получения информации или ее неза- конного использования иными лицами; l осуществлять иные действия с инфор- мацией или разрешать осуществление таких действий. Таким образом, порядок взаимодей- ствия и правила такого взаимодействия должны быть определены в договорах между взаимодействующими сторонами. При этом каждая из сторон обязана принимать меры по защите информации в рамках имеющейся у нее автоматизи- рованной системы 5 . Следует обратить внимание на два, важных по мнению автора, момента. 1. Ч. 2 ст. 17 149-ФЗ. Лица, права и законные интересы которых были нару- шены в связи с разглашением информа- ции ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в уста- новленном порядке за судебной защитой своих прав, в том числе с исками о возме- щении убытков, компенсации морального вреда, защите чести, достоинства и дело- вой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не при- нимавшим мер по соблюдению конфи- денциальности информации или нару- шившим установленные законодатель- ством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. То есть законодательство закрепляет право обращаться за судебной защитой в случае выявления неправомерных дей- ствий со стороны внешнего пользователя автоматизированной системы. Здесь есть важный момент: в случае, если будет установлено, что владелец авто- матизированной системы не реализовал необходимый набор мер по обеспечению информационной безопасности, в удов- летворении требования о возмещении убытков будет отказано, но при этом отказа в удовлетворении требований, касающихся защиты нематериальной части (например, защиты чести и дело- вой репутации), быть не может. 2. Ч. 3 ст. 274.1 Уголовного кодекса Российской Федерации. Нарушение пра- вил эксплуатации средств хранения, обра- ботки или передачи охраняемой компью- терной информации, содержащейся в кри- тической информационной инфраструк- туре Российской Федерации, или инфор- мационных систем, информационно-теле- коммуникационных сетей, автоматизиро- ванных систем управления, сетей элек- тросвязи, относящихся к критической информационной инфраструктуре Россий- ской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуни- кационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда кри- тической информационной инфраструк- туре Российской Федерации, влечет уго- ловную ответственность в виде: принуди- тельных работ на срок до пяти лет с лише- нием права занимать определенные долж- ности или заниматься определенной дея- тельностью на срок до трех лет или без такового, либо лишение свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Данная норма касается не всех органи- заций, а только тех, которые относятся к субъектам критической информационной инфраструктуры, и закрепляет за ними возможность уголовно-правовой защиты своих интересов в случае нарушения предъявляемых им требований к участнику информационного взаимодействия. l • 13 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (ст. 2 149-ФЗ). 4 Обращаю внимание, что речь идет именно о федеральных законах, а не подзаконных нормативно-правовых актах (приказах регуляторов). 5 Это следует из ч. 4 ст. 6 149-ФЗ.