Журнал "Системы Безопасности" № 3‘2024

S E C U R I T Y A N D I T M A N A G E M E N T 13 "защита информации" они будут включать в себя следующие: l защита информации от утечки (защита от неконтролированного распространения защищаемой информации в результате ее разглашения и несанкционированного досту- па к ней, а также исключение получения защищаемой информации разведками и дру- гими заинтересованными субъектами); l защита информации от несанкционированно- го действия (предотвращение несанкциони- рованного доступа и воздействия на защи- щаемую информацию с нарушением установ- ленных прав и прав на изменение информа- ции, приводящих к разрушению, уничтоже- нию, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уни- чтожению или сбою функционирования носи- теля информации) регулируется действием ГОСТ Р 50739-95 от 1996 г. "Средства вычис- лительной техники. защита от несанкциони- рованного доступа к информации. Общие технические требования"; l защита информации от непреднамеренного воздействия (предотвращение воздействия на защищаемую информацию, ошибок ее пользователя, сбоя технических программных средств информационных систем, природных явлений или иных целенаправленных на изменение информации событий, приводя- щих к искажению, уничтожению, копирова- нию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации) в том числе регулируется ГОСТ Р 58412–2019 "защита информации. Разработка безопасно- го программного продукта. Угрозы безопас- ности информации при разработке про- граммного продукта"; l защита информации от разглашения (пред- отвращение несанкционированного доведе- ния защищаемой информации до заинтере- сованных субъектов, не имеющих права доступа к этой информации) регулируется действием ГОСТ Р 58833–2020 "защита информации. идентификация и аутентифика- ция"; l защита информации от несанкционированно- го доступа (предотвращение несанкциониро- ванного доведения защищаемой информа- ции заинтересованными субъектами с нару- шением установленных нормативными и пра- вовыми документами или обладателями информации прав или правил разграничения доступа к защищаемой информации) регули- руется действием ГОСТ Р 58833–2020 "защи- та информации. идентификация и аутенти- фикация"; l защита информации от преднамеренного воздействия (предотвращение преднамерен- ного воздействия, в том числе электромагнит- ного и воздействия другой физической при- роды, осуществляемого в террористических или криминальных целях) регулируется дей- ствием ГОСТ Р 56103–2014 "защита инфор- мации. автоматизированные системы в защи- щенном исполнении. Организация и содер- жание работ по защите от преднамеренных силовых электромагнитных воздействий"; l защита информации от иностранной развед- ки (предотвращение получения защищаемой информации иностранной разведкой) (ГОСТ Рв, закрытый). Угрозы, связанные с оборудованием и с персоналом в ходе ввода в эксплуатацию объектов про- мышленности на новых территориях руковод- ству предприятий потребуется решать следую- щие важные вопросы: l ввод в эксплуатацию технических, технологи- ческих, информационных и других устройств, как ранее эксплуатировавшихся на предприя- тии, так и вновь установленных; l набор рабочего персонала на предприятие. Защита от недекларированных возможностей оборудования Учитывая, что ранее установленное оборудова- ние, возможно, имело закладные элементы с функцией недекларированных возможностей, в том числе ведения шпионажа, напрашиваются такие решения, как либо замена установленных технических средств, либо проведение специ- альных проверок на наличие устройств неглас- ного получения информации. недекларированные возможности – функцио- нальные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно наруше- ние конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможно- стей, в частности, являются программные закладки. данные мероприятия требуют значительных материальных и временных затрат, но вред, который могут нанести программные и аппарат- но-программные комплексы, может быть на порядки больше. Особенности подбора персонала вторым по значимости вопросом, относя- щимся к проблематике информационной безопасности, является подбор персонала. Учитывая потенциальную вербовку и обуче- ние агентурной деятельности граждан новых территорий, набор на предприятия требуется осуществлять в тесном взаимодействии не только со службами безопасности предприя- тия, но и со специальными службами Рос- сийской Федерации, имеющими более широкие полномочия и возможности по про- верке персонала. После осуществления вышеуказанных меро- приятий в работу вступают работники подраз- делений по информационной безопасности, по противодействию иностранным техническим разведкам и технической защите информации на предприятиях. на них возлагаются задачи технической защиты информации, содержащей сведения, составляющие служебную, коммер- ческую или государственную тайну. набор специалистов в данные подразделения обычно осуществляется после проверочных мероприятий согласно постановлению Прави- тельства Российской Федерации от 07.03.2024 г. № 132 "Об утверждении Правил допуска должностных лиц и граждан Россий- ской Федерации к государственной тайне". в данном постановлении упрощена процедура допуска лиц, назначаемых в подразделения по защите государственной тайны. в старом постановлении Правительства Россий- ской Федерации от 06.02.2010 г. № 63, ст. 61, п. а) переоформление допуска к государствен- ной тайне (с проведением органами безопас- ности проверочных мероприятий), независимо от срока действия допуска, производится в слу- чае "приема граждан на работу (службу), назначения на должность в структурные подраз- деления по защите государственной тайны, за исключением случая перевода граждан из одного структурного подразделения по защите государственной тайны в другое в рамках одной организации". в новом постановлении правительства эта формулировка отображена в ст. 63, п. а): "…гражданам, в том числе постоянно рабо- тающим в организации, допуск к государст- венной тайне переоформляется независимо от срока действия в следующих случаях: воз- ложение на гражданина функций структурно- го подразделения по защите государственной тайны, прием граждан на работу (службу), назначение на должность в структурные под- разделения по защите государственной www.secuteck.ru июнь – июль 2024 СПЕЦПРОЕКТ БЕзОПаСнОСТь и авТОмаТизаЦия ПРОмышлЕнных ПРОизвОдСТв Пример промышленной системы автоматизации и управления