Журнал "Системы Безопасности" № 5‘2022

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , A I , I o T 107 1. в значимом объекте не допускается наличие удаленного доступа к программным и программ- но-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информа- ционной инфраструктуры, а также работниками его дочерних и зависимых обществ. 2. в случае технической невозможности исклю- чения удаленного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значи- мом объекте принимаются организационные и технические меры по обеспечению безопасно- сти такого доступа, предусматривающие: l определение лиц и устройств, которым раз- решен удаленный доступ к программным и программно-аппаратным средствам значимо- го объекта, предоставление им минимальных полномочий при доступе к этим средствам; l контроль доступа к программным и про- граммно-аппаратным средствам значимого объекта; l защиту информации и данных при их пере- даче по каналам связи при удаленном досту- пе к программным и программно-аппарат- ным средствам значимого объекта; l мониторинг и регистрацию действий лиц, кото- рым разрешен удаленный доступ к программ- ным и программно-аппаратным средствам значимого объекта, а также инициируемых ими процессов, анализ этих действий в целях выявления фактов неправомерных действий; l обеспечение невозможности отказа лиц от выполненных действий при осуществлении уда- ленного доступа к программным и программ- но-аппаратным средствам значимого объекта. 3. в значимом объекте могут приниматься дополнительные организационные и техниче- ские меры по обеспечению безопасности уда- ленного доступа к программным и программ- но-аппаратным средствам, в том числе сред- ствам защиты информации, направленные на блокирование (нейтрализацию) угроз безопас- ности информации, приведенных в модели угроз безопасности. нередко описанный 31-й пункт толкуется как безусловный запрет на доступ к значимым объ- ектам критической информационной инфра- структуры. в этой связи хотелось бы проком- ментировать, что все эти требования в общем означают следующее: 1. удаленный доступ к объекту критической информационной инфраструктуры, не имею- щему категории значимости, не регламентиру- ется и ничем не ограничивается. 2. доступ к значимому объекту критической информационной инфраструктуры работнику (самого субъекта и его дочерних/зависимых обществ), то есть лицу, состоящему в трудовых отношениях с организацией (это важно отме- тить, так как лица, работающие в рамках граж- данско-правовых договоров, в таких отноше- ниях не состоят) возможен без каких-либо условий и (или) ограничений. 3. доступ к значимому объекту критической информационной инфраструктуры лицам, не состоящим в трудовых отношениях, возможен при условии принятия определенного набора мер по обеспечению безопасности, прямо пред- усмотренных 31-м пунктом либо разработан- ных субъектом для защиты от актуальных угроз. Кроме того, ГОСТ Р 57580.1–2017 "националь- ный стандарт Российской Федерации. Безопас- ность финансовых (банковских) операций. защита информации финансовых организаций. Базовый состав организационных и технических мер" также содержит требования по обеспече- нию безопасности удаленного доступа – про- цесс 8 "защита информации при осуществле- нии удаленного логического доступа с исполь- зованием мобильных (переносных) устройств". Применяемые финансовой организацией меры по защите информации при осуществлении уда- ленного логического доступа работников финан- совой организации с использованием мобильных (переносных) включают в себя три группы мер: 1) защиту информации от раскрытия и модифи- кации при осуществлении удаленного доступа; 2) защиту внутренних вычислительных сетей при осуществлении удаленного доступа; 3) защиту информации от раскрытия и моди- фикации при ее обработке и хранении на мобильных (переносных) устройствах. Базовый состав мер для каждой группы содер- жится в том же ГОСТе, все их мы рассматривать не будем, обратим внимание лишь на меру зуд.1 "Определение правил удаленного досту- па и перечня ресурсов доступа, к которым пре- доставляется удаленный доступ". Почему стоит заострить внимание именно на этой мере? дело в том, что все требования в части безопас- ного удаленного доступа распространяются на владельца автоматизированной системы, имен- но он должен выполнить эти требования. Соот- ветственно, не праздным является вопрос: как быть, если с этой системой начинают взаимо- действовать какие-то иные лица (внешние субъекты), как установить для них правила и как разграничить ответственность? Разграничение ответственности при удаленном доступе в соответствии со ст. 6 Федерального закона "Об информации, информационных техноло- гиях и о защите информации" от 27.07.2006 г. № 149-Фз (далее – 149-Фз). обладатель информации3, если иное не предусмотрено федеральными законами4, вправе: l разрешать или ограничивать доступ к инфор- мации, определять порядок и условия такого доступа; l передавать информацию другим лицам по договору или на ином установленном зако- ном основании; l защищать установленными законом способа- ми свои права в случае незаконного получе- ния информации или ее незаконного исполь- зования иными лицами; l осуществлять иные действия с информацией или разрешать осуществление таких действий. Таким образом, порядок взаимодействия и пра- вила такого взаимодействия должны быть опре- делены в договорах между взаимодействующи- ми сторонами. При этом каждая из сторон обя- зана принимать меры по защите информации в рамках имеющейся у нее автоматизированной системы (это следует из ч. 4 ст. 6 149-Фз). Стоит обратить внимание на два важных момента: 1. Ч. 2 ст. 17 149-Фз. "лица, права и законные интересы которых были нарушены в связи с раз- глашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установ- ленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убыт- ков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требо- вание о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиден- циальности информации или нарушившим уста- новленные законодательством Российской Феде- рации требования о защите информации, если принятие этих мер и соблюдение таких требова- ний являлись обязанностями данного лица". То есть законодательство закрепляет право обра- щаться за судебной защитой в случае выявления неправомерных действий со стороны внешнего пользователя автоматизированной системы. При этом важный момент в том, что в случае, если будет установлено, что владелец автоматизиро- ванной системы не принял необходимый набор мер по обеспечению информационной безопас- ности, то в удовлетворении требования о возме- щении убытков будет отказано, но при этом отка- за в удовлетворении требований, касающихся защиты нематериальных благ, быть не может. 2. Ч. 3 ст. 274.1 уголовного кодекса Российской Федерации. "нарушение правил эксплуатации средств хранения, обработки или передачи охра- няемой компьютерной информации, содержа- щейся в критической информационной инфра- структуре Российской Федерации, или информа- ционных систем, информационно-телекоммуни- кационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникацион- ным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической инфор- мационной инфраструктуре Российской Федера- ции, влечет уголовную ответственность в виде: принудительных работ на срок до пяти лет с лишением права занимать определенные долж- ности или заниматься определенной деятель- ностью на срок до трех лет или без такового, либо лишение свободы на срок до шести лет с лише- нием права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового". данная норма закрепляет за организацией воз- можность уголовно-правовой защиты своих интересов в случае нарушения предъявляемых ей требований к участнику информационного взаимодействия. n www.secuteck.ru октябрь – ноябрь 2022 СПЕЦПРОЕКТ БЕзОПаСный удалЕнный дОСТуП. СРЕдСТва авТОмаТизаЦии и защиТа данных Ваше мнение и вопросы по статье направляйте на ss @groteck.ru 3 Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (ст. 2 149-ФЗ). 4 Речь идет именно о федеральных законах, а не подзаконных нормативно-правовых актах (приказах регуляторов).