Приказ Министерства промышленности и торговли РФ от 08.06.2021 N 2089 "Об утверждении Концепции информационной безопасности Министерства промышленности и торговли Российской Федерации на период до 2025 года"

В целях реализации федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и обеспечения безопасности информации Министерства промышленности и торговли Российской Федерации приказываю:

1. Утвердить прилагаемую Концепцию информационной безопасности Министерства промышленности и торговли Российской Федерации на период до 2025 года (далее - Концепция).

2. Руководителям структурных подразделений Минпромторга России обеспечить следующее:

а) доведение настоящего приказа до сведения подчиненных должностных лиц под подпись;

б) контроль за ознакомлением с настоящей Концепцией вновь принятых на работу должностных лиц;

в) ежегодное планирование и выполнение мероприятий по реализации Концепции в пределах своей компетенции и полномочий.

3. Департаменту цифровых технологий при формировании ведомственной программы цифровой трансформации Министерства промышленности и торговли Российской Федерации на соответствующий год и на плановый период предусматривать средства федерального бюджета на финансирование мероприятий по обеспечению информационной безопасности Минпромторга России.

4. Признать утратившим силу приказ Министерства промышленности и торговли Российской Федерации от 23 января 2015 г. N 86 "Об утверждении Концепции обеспечения информационной безопасности Министерства промышленности и торговли Российской Федерации".

5. Контроль за исполнением настоящего приказа возложить на заместителя Министра В.В. Шпака.

Министр

Д.В. Мантуров

УТВЕРЖДЕНА
приказом Минпромторга России
от 08 июня 2021 г. N 2089

Концепция информационной безопасности Министерства промышленности и торговли Российской Федерации на период до 2025 года

1. Общие положения

1.1. Назначение Концепции

Настоящая Концепция информационной безопасности Министерства промышленности и торговли Российской Федерации на период до 2025 года (далее - Концепция, Министерство) определяет систему взглядов на вопросы обеспечения безопасности информации в Министерстве, в том числе при осуществлении информационного взаимодействия. Концепция представляет собой совокупность целей, задач, принципов построения и основные направления обеспечения безопасности информации.

Под безопасностью информации понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее обработке, передаче и хранении.

Конфиденциальность характеризует защищенность информации от несанкционированного ознакомления с ней.

Целостность характеризует защищенность информации от преднамеренного или случайного уничтожения, изменения (модификации), подделки.

Доступность характеризует возможность авторизованного пользователя получить доступ к информационным ресурсам, а также защищенность этих ресурсов от несанкционированного ограничения доступа к ним.

Концепция формирует системный взгляд на подход к решению задач в сфере безопасности информации. Применение научно-методической основы в решении задач позволит осуществлять детальное исследование проблемы безопасности, осуществлять разработку, модернизацию и внедрение компонентов системы защиты информации и системы обеспечения информационной безопасности (далее - СОИБ) для объекта информатизации с единой позиции, учитывающей все факторы, оказывающие влияние на защиту информации.

Концепция разработана на основе анализа требований действующего законодательства Российской Федерации и нормативных документов, регламентирующих вопросы защиты информации, с учетом современного состояния и стратегии развития информационных технологий, целей, задач и правовых основ создания и эксплуатации информационной системы (далее - ИС), режимов функционирования, а также на основе анализа угроз безопасности информации.

Акты Министерства, затрагивающие вопросы информационной безопасности (далее - ИБ) Министерства, должны разрабатываться с учетом положений настоящей Концепции и не противоречить им.

1.2. Область применения Концепции

Настоящая Концепция распространяется на все структурные подразделения Министерства, все торговые представительства Российской Федерации в иностранных государствах, всех работников Министерства, а также на сотрудников сторонних организаций, имеющих доступ к информационным ресурсам Министерства, при условии наличия государственных контрактов на эксплуатацию или развитие систем, а также соглашений о взаимодействии между сотрудниками сторонних организаций и Министерством.

Областью распространения Концепции являются информационные ресурсы Министерства.

Концепция является методологической основой:

при формировании и проведении политики информационной безопасности (далее - ИБ) в Министерстве;

при разработке комплекса согласованных практических мер нормативно-правового, морально-этического, организационного, физического и технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

при разработке и совершенствовании документов методического и организационного обеспечения безопасности информации Министерства;

при выработке лицами, ответственными за реализацию политики ИБ, взаимосвязанных и согласованных мер защиты организационного и технического характера;

при принятии должностными лицами Министерства управленческих решений по реализации выработанной политики ИБ;

при определении функций и обязанностей сотрудников Министерства в сфере обеспечения безопасности информации;

при координации деятельности структурных подразделений Министерства по созданию, развитию и эксплуатации ИС Министерства;

при разработке технических заданий на создание (модернизацию) ИС и объектов информатизации Министерства;

при разработке Моделей угроз и нарушителей информационной безопасности ИС и их отдельных сегментов и компонент;

при проведении практических мероприятий по созданию и эксплуатации СОИБ в Министерстве.

1.3. Правовые основы обеспечения безопасности информации

Правовую основу Концепции составляют положения Конституции Российской Федерации, федеральных законов, указов Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, нормативных правовых актов и методических документов ФСТЭК России и ФСБ России по вопросам защиты информации, в том числе:

Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи";

Указа Президента Российской Федерации от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации";

постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

2. Основные цели и задачи обеспечения безопасности информации

2.1. Цели обеспечения безопасности информации

Современный этап развития СОИБ государства и общества основан на принципе гарантированной защиты информации для обеспечения следующего:

защиты прав и законных интересов физических и юридических лиц, общества и государства;

необходимого уровня безопасности информации, подлежащей защите;

защищенности систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).

Целями обеспечения безопасности информации являются:

выполнение требований законодательства в сфере обеспечения безопасности информации, в том числе нормативных правовых актов ФСТЭК России и ФСБ России;

предотвращение несанкционированного доступа к информации и техническим средствам, используемым для ее обработки;

обеспечение доступности информации и предотвращение последствий нарушения порядка доступа к ней;

предотвращение нарушений прав субъектов информационных отношений при обработке информации;

недопущение деструктивного воздействия на информацию.

Таким образом, основной целью обеспечения безопасности информации в Министерстве является предотвращение или минимизация ущерба (прямого или косвенного, материального, репутационного) субъектам информационных отношений*, наносимого посредством деструктивного воздействия на информацию, обрабатываемую в Министерстве, ее носителям и технологическим процессам обработки информации и возникающего вследствие возможной реализации угроз безопасности информации.

В настоящей Концепции в качестве субъектов информационных отношений рассматриваются Министерство и субъекты персональных данных.

Субъектами персональных данных в Министерстве являются федеральные государственные гражданские служащие центрального аппарата и загранаппарата Министерства и члены их семей, работники, замещающие должности, не являющиеся должностями федеральной государственной гражданской службы, и члены их семей, а также работники (и члены их семей), замещающие отдельные должности и работающие по отдельным профессиям, торговых представительств Российской Федерации в иностранных государствах (далее - работники центрального аппарата и загранаппарата Министерства и члены их семей), федеральные государственные гражданские служащие, замещающие должности гражданской службы руководителя, заместителей руководителя Федерального агентства по техническому регулированию и метрологии, руководителей территориальных органов Росстандарта и члены их семей (далее - гражданские служащие Росстандарта и его территориальных органов и члены их семей), руководитель, первый заместитель руководителя (главный инженер, руководитель филиала (обособленного подразделения), заместитель руководителя (заместитель главного инженера, заместитель руководителя филиала (обособленного подразделения), главный бухгалтер, заместитель главного бухгалтера подведомственных Министерству учреждений и предприятий и члены их семей (далее - работники, замещающие отдельные должности в подведомственных Министерству организациях и члены их семей), граждане, претендующие на замещение вакантных должностей гражданской службы, отдельных должностей в подведомственных Министерству организациях, а также члены их семей.

Для Министерства непосредственный ущерб может быть связан с негативными последствиями в социальной, политической, международной, экономической, финансовой или иных областях деятельности Министерства.

Для субъектов персональных данных непосредственный ущерб может быть связан с причинением физического, материального, финансового или морального вреда и может проявляться в виде:

нанесения вреда здоровью субъекта;

незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием персональных данных;

нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь.

Опосредованный ущерб может быть связан с причинением вреда обществу и/или государству вследствие нарушения нормальной деятельности Министерства за счет неправомерных действий с информацией (персональными данными).

2.2. Задачи обеспечения безопасности информации

Задачами, вытекающими из целей обеспечения безопасности информации в Министерстве, являются:

выявление угроз ИБ и определение вероятности их реализации (актуальности), управление рисками ИБ;

совершенствование политики ИБ Министерства при создании и внедрении ИС Министерства;

информационная поддержка принятия управленческих решений по вопросам ИБ Министерства, создание системы управления информационной безопасностью (далее - СУИБ);

предотвращение, в том числе с использованием организационно-правовых мер и технических средств защиты информации, несанкционированных действий, направленных на активы информационной безопасности Министерства со стороны посторонних лиц и пользователей ИС Министерства, не имеющих соответствующих полномочий;

регистрация событий, влияющих на безопасность информации, оперативный анализ информации о таких событиях и своевременное выявление инцидентов ИБ и реагирование на них, обеспечение полной подконтрольности и подотчетности выполнения всех операций, совершаемых в ИС Министерства;

обеспечение возможности восстановления актуального состояния ИС Министерства при нарушении ИБ.

Таким образом, основной задачей обеспечения безопасности информации является предотвращение утечки защищаемой информации по техническим каналам, несанкционированный доступ (далее - НСД) к ней, предупреждение преднамеренных программно-технических воздействий с целью ее разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения.

3. Объекты защиты

3.1. Информация, как объект права

Министерство обеспечивает в пределах своей компетенции защиту сведений, составляющих охраняемую законом тайну, а также контроль и координацию деятельности по защите таких сведений в Министерстве.

Информационные ресурсы Министерства, а также иные имеющиеся в распоряжении Министерства сведения и документы являются государственными информационными ресурсами. Они формируются в процессе деятельности Министерства.

3.2. Информация, как объект защиты

К основным объектам защиты информации в Министерстве относятся:

1) информация:

речевая;

представленная на бумажном, магнитном, магнитооптическом либо ином типе носителя информации в виде информативных электрических сигналов, физических полей;

2) информационные ресурсы:

открытые и общедоступные, публикуемые в информационной сети общего пользования (открытой сети Интернет);

содержащие сведения, отнесенные к конфиденциальной информации, в том числе персональные данные;

3) средства и системы информатизации:

средства вычислительной техники;

информационно-вычислительные комплексы;

локальные вычислительные сети и системы;

автоматизированные системы управления;

4) программные средства:

операционные системы;

системы управления базами данных;

общесистемное и прикладное программное обеспечение;

5) системы связи и передачи данных (в том числе телефония, устройства звукозаписи, звукоусиления и звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства), осуществляющие прием, обработку, хранение и передачу информации;

6) технические средства и системы, размещенные в помещениях, предназначенных для обработки информации ограниченного доступа (далее - ИОД), а также помещения, предназначенные для обработки ИОД;

7) помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного распространения;

8) информация о методах и средствах обеспечения безопасности информации (например, парольная и аутентифицирующая информация, ключевая информация).

Политика ИБ Министерства должна определять категории обрабатываемой информации, подлежащие защите.

Объекты защиты должны быть описаны в федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов.

Защищаемые информационные ресурсы должны быть описаны в Перечне сведений конфиденциального характера Министерства.

Отдельное внимание должно уделяться обеспечению безопасности персональных данных, которые могут иметь различные формы представления (бумажная, файлы, записи и поля записей баз данных, электромагнитные волны и поля, излучения и т.д.), каждая из которых является объектом защиты.

Формы представления персональных данных связаны с различными ресурсами ИС персональных данных, которые в свою очередь могут порождать объекты защиты. Используемые в ИС персональных данных средства защиты информации также являются объектами защиты.

4. Принципы обеспечения безопасности информации

4.1. Принцип законности

Проведение защитных мероприятий должно соответствовать требованиям законодательства Российской Федерации в области информации, информационных технологий и защиты информации и осуществляться с применением всех законных методов обнаружения и пресечения нарушений при работе с информацией. Принятые меры защиты не должны препятствовать законному доступу граждан и организаций к информации о деятельности Министерства.

4.2. Принцип системности

Системный подход к обеспечению информационной безопасности предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации.

Предполагается тщательный анализ угроз как реальных, так и потенциальных, по результатам которого формируются требования к системе информационной безопасности.

4.3. Принцип комплексности

Безопасность информации обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер, реализованных в Министерстве.

Комплексное использование методов и технологий защиты информации должно перекрывать все существенные (значимые) каналы реализации угроз безопасности информации и не содержать слабых мест в согласовании применяемых средств и технологий защиты информации.

Обеспечение информационной безопасности, достижение требуемого уровня защищенности, оперативное реагирование на возникающие угрозы и негативные тенденции реализуются через создание СОИБ. СОИБ представляет собой совокупность аппаратно-программных, технических и организационных мер, направленных на выявление, противодействие и ликвидацию угроз безопасности информации, реализацию предусмотренных законодательством Российской Федерации в области защиты информации мер защиты информации.

СОИБ может создаваться как для одной ИС Министерства, так и для нескольких ИС при условии частичного разделения исполнительного механизма и механизма поддержки в соответствии с требованиями законодательства Российской Федерации. Приоритетным направлением реализации СОИБ для ИС или компонент ИС является масштабирование в соответствии с разработанной моделью угроз безопасности информации.

4.4. Принцип непрерывности защиты

Защита информации - это непрерывный процесс, предполагающий принятие соответствующих мер на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

4.5. Принцип своевременности

Принимаемые меры по обеспечению безопасности информации должны носить упреждающий характер.

Министерство принимает необходимые меры по защите информации до начала обработки информации, которые должны обеспечить надлежащий уровень безопасности информации.

СОИБ разрабатывается одновременно с разработкой и развитием ИС Министерства, что позволяет учитывать требования по безопасности информации при проектировании и модернизации ИС.

Необходимо обеспечивать обязательность и своевременность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

4.6. Принцип преемственности и непрерывности совершенствования

Предполагают постоянное совершенствование мер и средств защиты информации на основе результатов анализа функционирования ИС и СОИБ с учетом выявления новых способов и средств реализации угроз безопасности информации, отечественного и зарубежного положительного опыта в сфере защиты информации.

Министерство должно определять действия, необходимые для устранения причин потенциальных несоответствий требованиям по безопасности информации, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать возможным негативным последствиям.

4.7. Принцип разумной достаточности и адекватности

Необходимо соблюсти соответствие требуемого уровня затрат на обеспечение ИБ, ценности информационных ресурсов и величины возможного ущерба субъектам информационных отношений, интересы которых затрагиваются в результате нарушения конфиденциальности, целостности и доступности информации.

Методы защиты должны быть дифференцированы в зависимости от важности, частоты и вероятности возникновения угроз информационной безопасности и степени конфиденциальности информации.

Анализ рисков нарушения безопасности информации проводится в целях определения влияния системы защиты информации на вероятность реализации угроз безопасности информации с учетом уязвимостей (дефектов) информационно-технологической инфраструктуры Министерства (далее - ИТ-инфраструктуры).

ИТ-инфраструктура - это комплексная структура, объединяющая все информационные технологии и ресурсы, используемые Министерством.

Программно-технические средства защиты информации не должны существенно ухудшать основные функциональные характеристики и производительность ИС Министерства.

Важно правильно выбрать тот достаточный уровень защиты, при котором затраты на защиту и остаточный риск нанесения ущерба были бы приемлемыми.

4.8. Принцип персональной ответственности

Ответственность за обеспечение безопасности информации Министерства возлагается на каждого сотрудника Министерства в пределах его полномочий.

Распределение обязанностей и полномочий сотрудников Министерства должно обеспечивать выявление виновных лиц в случаях нарушения безопасности информации.

Роли и обязанности сотрудников должны быть определены и документально подтверждены в соответствии с организационной политикой в области защиты информации.

4.9. Принцип минимизация полномочий

Предоставление и использование прав доступа к ИОД должно быть ограничено и управляемо.

Пользователям должны предоставляться минимальные права доступа к ИОД и ИС только в соответствии с производственной необходимостью.

Доступ к ИОД должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Пользователю должны быть запрещены все операции с ИОД, за исключением тех, которые разрешены явно.

4.10. Принцип гибкости управления

В процессе функционирования ИС могут меняться ее характеристики, а также объем и категория обрабатываемых персональных данных (в случае обработки персональных данных).

Для обеспечения возможности варьирования уровня защищенности персональных данных СОИБ Министерства должна обладать гибкостью.

4.11. Принцип открытости алгоритмов и механизмов защиты

Сокрытие структуры, технологий и алгоритмов функционирования СОИБ не должны являться способом защиты информации.

Знание указанных характеристик СОИБ не должно давать возможности преодоления защиты возможными нарушителями безопасности информации, включая разработчиков средств защиты.

4.12. Принцип научной обоснованности и технической реализуемости

Уровень рекомендаций и требований по защите информации должен соответствовать имеющемуся уровню развития информационных технологий и средств защиты информации.

При создании и эксплуатации СОИБ необходимо ориентироваться на лучшие современные отечественные и зарубежные (в случае отсутствия отечественных аналогов) технические решения, и практику защиты информации.

4.13. Принцип разделения функций

Реализация мер по обеспечению безопасности ИОД и эксплуатация СОИБ должна осуществляться профессионально подготовленными специалистами Министерства или сторонними организациями.

Выбор сторонних организаций, сотрудники которых выполняют администрирование СОИБ, должен осуществляться исходя из наличия подтвержденного опыта, положительной репутации и соответствующих лицензий на данный вид деятельности у таких организаций. Обязательным условием выбора сторонней организации является заключение с ней договора, неотъемлемой частью которого является соглашение о конфиденциальности информации, полученной ее сотрудниками в ходе выполнения обязательств по договору.

4.14. Принцип простоты применения защитных мер и средств

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных трудозатрат при обычной работе законных пользователей или малопонятных для пользователя действий (операций).

4.15. Принцип наблюдаемости и оцениваемости обеспечения безопасности информации

Предлагаемые Министерством меры по обеспечению безопасности информации должны быть спланированы так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен федеральными органами исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

4.16. Принцип централизованности

В рамках определенной структуры должен быть организован процесс единого (централизованного) управления по обеспечению защиты информации.

Функции по защите информации и компоненты систем защиты информации должны быть максимально централизованы, то есть в случае необходимости для обеспечения решения конкретных задач должны использоваться минимальные ресурсы (как человеческие, так и инфраструктурные).

4.17. Принцип обязательности контроля и оценки

Неотъемлемой частью работ по защите информации является оценка эффективности системы защиты информации.

С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации Министерством должны быть определены процедуры для постоянного контроля использования систем обработки и защиты информации, а результаты контроля должны регулярно анализироваться.

5. Общие методы обеспечения безопасности информации

5.1. Классификация методов обеспечения безопасности информации

Методы обеспечения безопасности информации разделяются на:

административно-правовые;

организационно-технические;

экономические.

По времени применения методы обеспечения безопасности информации разделяются на:

превентивные;

восстановительные.

5.2. Административно-правовые методы

К административно-правовым методам защиты относятся нормы действующего законодательства и внутренние организационно-распорядительные документы Министерства, регламентирующие правила обращения с информацией ограниченного доступа, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования информации ограниченного доступа, а также устанавливающие ответственность за нарушение этих правил, препятствуя неправомерному использованию информации ограниченного доступа, и являющиеся сдерживающим фактором для реализации угроз безопасности потенциальными нарушителями.

Основными направлениями защиты информации являются:

разработка, внесение изменений и дополнений в политику информационной безопасности в части защиты ИОД и поддерживающие ее документы;

регламентация процессов обработки ИОД;

определение ответственности за нарушения в области обеспечения безопасности ИОД;

назначение и подготовка должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;

закрепление в должностных инструкциях установленного разграничения полномочий в области обеспечения безопасности информации;

разработка и принятие документов, устанавливающих ответственность структурных подразделений и сотрудников, а также взаимодействующих юридических лиц за НСД к информации, противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное ее раскрытие или использование в преступных и корыстных целях;

контроль знания и соблюдения пользователями ИС требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

проведение постоянного анализа эффективности и достаточности принимаемых мер и применяемых средств защиты информации, разработка и реализация предложений по совершенствованию СОИБ.

5.2.1. Формирование политик информационной безопасности

Политики ИБ разрабатываются для Министерства и утверждаются руководством Министерства.

Под политиками ИБ понимается совокупность документированных требований, направленных на защиту информационных активов. В политиках информационной безопасности должны быть отражены следующие положения:

определение понятия ИБ, ее основных составляющих, области действия и значения ИБ как ключевого условия процессов обработки информации;

основные принципы управления ИБ;

ответственность за обеспечение процесса управления ИБ, в том числе за информирование в случае возникновения инцидентов ИБ;

ссылки на другие нормативные документы, более детально описывающие требования ИБ (инструкции, регламенты, руководства);

краткое описание основных требований к ИБ с учетом соответствия законодательству, требований к обучению сотрудников вопросам ИБ.

5.3. Организационно-технические методы

Организационно-технические методы защиты основаны на использовании организационных мер, различных программных, аппаратных и программно-аппаратных средств, входящих в состав СОИБ и выполняющих функции защиты информации, направленном на решение следующих задач:

строгий учет всех подлежащих защите ресурсов (ИОД, персональных данных, сервисов, каналов связи, серверов, автоматизированных рабочих мест (далее - АРМ) и т.д.);

предотвращение НСД к ИОД и/или передачи ее лицам, не имеющим права доступа к такой информации;

своевременное обнаружение фактов НСД к ИОД;

недопущение воздействия на технические средства автоматизированной обработки ИОД, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления ИОД, модифицированной или уничтоженной вследствие НСД к ней;

постоянный контроль за обеспечением уровня защищенности персональных данных, обрабатываемых в ИС персональных данных.

5.3.1. Анализ рисков

В основе планирования и осуществления мер обеспечения безопасности информации целесообразно использовать подход, основанный на анализе рисков реализации угроз ИБ. Такой подход предусматривает проведение регулярной оценки рисков ИБ и принятие мер по их снижению до приемлемого уровня.

Для создания методической базы проведения анализа рисков разрабатывается методика анализа рисков ИБ, определяющая:

процедуры идентификации и классификации защищаемых активов Министерства;

критерии категорирования угроз и уязвимостей;

правила вычисления значений рисков;

критерии обработки рисков;

распределение функций и ответственности работников Министерства по проведению анализа и оценки рисков.

При разработке методики может быть проведен предварительный анализ уже существующих методик анализа рисков (в том числе методик, предусматривающих применение средств автоматизации процесса анализа рисков) с точки зрения возможности и целесообразности их применения в Министерстве.

Анализ рисков должен проводиться при возникновении необходимости на основе разработанной методики силами подразделения, ответственного за обеспечение безопасности информации, или с привлечением внешнего исполнителя. Анализ должен также осуществляться при проведении существенных изменений в ИС и информационно-телекоммуникационных сетях Министерства.

Работы по проведению анализа и оценки рисков должны, как правило, предусматривать следующие этапы:

определение активов, рассматриваемых в рамках процесса анализа рисков;

определение ценности активов;

определение угроз, направленных на данные активы;

вычисление рисков на основе полученных оценок угроз и уязвимостей и ценности актива;

выбор защитных мер, направленных на снижение рисков;

вычисление планируемых остаточных рисков после применения защитных мер.

5.3.2. Основные этапы работ по обеспечению безопасности информации

Работы по обеспечению безопасности информации подразделяют на следующие этапы:

определение объектов защиты;

установление целей обеспечения безопасности объектов защиты;

определение угроз безопасности объектам защиты и оценка рисков реализации угроз безопасности;

установление требований к системе защиты информации;

определение порядка контроля и надзора.

Определение объектов защиты осуществляется с целью выявления информационных активов, которые необходимо защищать в соответствии с требованиями законодательства Российской Федерации или в силу специфики деятельности Министерства, на основе обследования и анализа процессов и ИС Министерства.

Установление целей защиты объектов защиты включает установление характеристик безопасности для каждого из определенных объектов защиты.

Определение угроз объектам защиты проводится путем формирования модели угроз и нарушителя безопасности информации (п. 6 настоящей Концепции).

Установление требований к СОИБ основано на формировании моделей угроз и нарушителя безопасности информации.

В первую очередь устанавливаются общие требования к организационным мерам.

Далее на основе моделей угроз и нарушителя безопасности информации, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, определяются требования к средствам защиты информации, входящим в зону ответственности ФСТЭК России, а также требования к поддерживающим эти средства организационным мерам.

Процесс формирования требований к СОИБ заканчивается, если выполнение установленных требований нейтрализует все угрозы, перечисленные в моделях угроз и нарушителя безопасности информации.

Если выполнение установленных требований нейтрализует не все угрозы, перечисленные в моделях угроз и нарушителя безопасности информации, сформированных в соответствии с нормативными и методическими документами ФСТЭК России, на основе моделей угроз и нарушителя безопасности информации, сформированных в соответствии с нормативными документами ФСБ России, определяются требования к средствам защиты информации, входящим в зону ответственности ФСБ России, а также требования к поддерживающим эти средства организационным мерам.

Вопросы контроля и надзора рассмотрены в п. 8 настоящей Концепции.

5.4. Экономические методы

К экономическим методам обеспечения безопасности информации относится следующее:

разработка Министерством программ обеспечения безопасности ИОД и определение порядка их финансирования;

разработка Министерством мер поощрения и наложения штрафных санкций за соблюдение или несоблюдение установленных правил и процедур обработки ИОД.

5.5. Превентивные методы

Превентивные методы противодействия угрозам безопасности информации осуществляются на основе эффективного применения в процессе эксплуатации ИС комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасности работы ИС.

Организационные мероприятия по обеспечению безопасности информации являются мероприятиями общего характера по организации деятельности персонала, эксплуатирующего ИС, порядку применения информационных технологий в зданиях и сооружениях, систематическому применению мер по недопущению вывода ИС из строя.

Технические мероприятия по обеспечению безопасности информации заключаются в обслуживании, поддержании и управлении требуемым составом технических средств, обеспечивающих обработку информации в защищенном режиме.

Технологические мероприятия по обеспечению безопасности информации направлены на правильную реализацию функций и заданных алгоритмов работы ИС, технологий обработки информации и защиту программ и информации от преднамеренных и непреднамеренных нарушений.

5.6. Восстановительные методы

Планирование восстановительных методов определяется системой документов, устанавливающих требования к обязательным мероприятиям, проводимым заблаговременно и после возникновения нарушений, угрожающих штатному функционированию ИС.

6. Модель угроз и нарушителя безопасности информации

6.1. Модель угроз безопасности информации

В ИС Министерства рассматриваются угрозы, связанные со следующим:

перехватом (съемом) информации по техническим каналам с целью ее копирования или неправомерного распространения;

несанкционированным, в том числе случайным, доступом в ИС с целью изменения, копирования, неправомерного распространения ИОД или деструктивных воздействий на элементы ИС и обрабатываемой в них ИОД с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ИОД.

Конечный перечень угроз безопасности информации определяется частными моделями угроз, разрабатываемыми применительно к конкретным ИС на этапах их создания и/или эксплуатации, и зависит от характеристик ИС, обусловливающих возникновение угроз безопасности информации. К таким характеристикам относятся категория и объем обрабатываемых в ИС персональных данных (в случае обработки персональных данных), структура ИС, наличие подключений ИС к сетям связи общего пользования и/или сетям международного информационного обмена, характеристики подсистемы безопасности информации, обрабатываемой в ИС, режимы обработки информации, режимы разграничения прав доступа пользователей ИС, местонахождение и условия размещения технических средств ИС.

6.2. Модель нарушителя безопасности информации

Основным источником угроз безопасности информации является нарушитель.

В качестве нарушителя безопасности информации могут выступать физические лица или организации, которые преднамеренно или случайно совершают действия, в результате которых нарушаются заданные характеристики безопасности информации (конфиденциальность, целостность, доступность и т.д.).

Нарушитель может быть как сотрудником Министерства, так и посторонним лицом, пытающимся непосредственно или с помощью имеющихся у него технических и программных средств получить доступ к информационным ресурсам и ИТ-инфраструктуре Министерства.

В зависимости от прав доступа к ИС нарушители подразделяются на два типа: внешние и внутренние.

Внешними нарушителями могут являться следующие субъекты:

спецслужбы иностранных государств;

высококвалифицированные специалисты;

разработчики программных и программно-аппаратных средств;

организованные преступные группы, сообщества;

взломщики программных продуктов информационных технологий, использующихся в ИС;

бывшие сотрудники Министерства;

недобросовестные работники Министерства и сотрудники сторонних организаций.

Внутренние (потенциальные) нарушители определяются в зависимости от организационно-штатной структуры Министерства и полномочий доступа к ресурсам ИС.

Основными мотивами нарушения безопасности информации могут быть:

месть;

достижение денежной выгоды, в том числе за счет продажи полученной информации;

хулиганство и любопытство;

профессиональное самоутверждение.

7. Основные мероприятия по обеспечению безопасности информации

Для разработки и осуществления мероприятий по организации и обеспечению безопасности информации при их обработке руководством Министерства или уполномоченным им лицом назначается структурное подразделение или должностное лицо (сотрудник), ответственное за обеспечение безопасности информации.

Основными мероприятиями по организации и техническому обеспечению безопасности информации являются следующие:

мероприятия по организации обеспечения безопасности информации, включая классификацию ИС;

мероприятия по техническому обеспечению безопасности информации, включающие мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ИОД;

мероприятия по защите информации от НСД и определению порядка выбора средств защиты информации.

Обеспечение безопасности информации осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой СОИБ. Структура, состав и основные функции СОИБ определяются с учетом класса ИС (уровня защищенности персональных данных) Министерства.

Перечень реализуемых мероприятий по защите информации определяется на основании анализа актуальности угроз, рисков безопасности информации, в соответствии с нормативными и методическим документами ФСБ России и ФСТЭК России.

Методы и способы защиты информации в ИС устанавливаются ФСБ России и ФСТЭК России в пределах их полномочий.

В соответствии с нормативными документами ФСТЭК России:

осуществляется обеспечение защиты (некриптографическими методами) информации;

проводятся мероприятия по предотвращению утечки информации по техническим каналам;

проводятся мероприятия по предотвращению НСД к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.

В соответствии с нормативными документами ФСБ России осуществляется следующее:

устанавливаются особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в ИС;

проводятся мероприятия по обнаружению компьютерных атак.

Мероприятия по обеспечению безопасности информации включают в себя следующее:

1) идентификацию и аутентификацию:

физическая защита;

регистрация и учет;

2) управление доступом;

3) обеспечение целостности;

4) антивирусную защиту;

5) анализ защищенности;

6) обнаружение вторжений;

7) защиту среды виртуализации;

8) защиту технических средств;

9) защиту ИС, ее средств, систем связи и передачи данных:

обеспечение безопасности удаленного доступа;

обеспечение безопасного доступа к сетям международного информационного обмена;

обеспечение безопасности мобильных рабочих мест;

10) управление инцидентами;

11) управление конфигурацией;

12) криптографическую защиту;

13) обеспечения безопасности АРМ пользователя.

7.1. Идентификация и аутентификация

Каждый пользователь для получения соответствующих прав доступа при подключении к ИС должен пройти процедуру идентификации, при этом должны использоваться уникальные признаки и имена. При этом подлинность личности пользователя должна быть проверена. Стандартное средство проверки подлинности (аутентификации) - пароль. Для обеспечения более высокой надежности аутентификации возможно использование таких средств, как токены, смарт-карты и другие носители аутентифицирующей информации.

7.1.1. Физическая защита

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

7.1.2. Регистрация и учет

В ИС должны вестись контрольные журналы, регистрирующие действия пользователей с ИОД. Должны быть установлены процедуры применения мониторинга действий с ИОД, а результаты действий пользователей должны регулярно просматриваться.

В целях повышения эффективности контроля действий возможных нарушителей настоящая Концепция предлагает использование средств и методов активного мониторинга и аудита, направленных на выявление и регистрацию подозрительных действий в режиме реального времени.

7.2. Управление доступом

Управление доступом к ИОД должно осуществляться на основе принципа минимизации полномочий. Стандартным методом доступа является ролевой доступ, для чего определяются совокупности типов доступа - групповых прав и полномочий доступа пользователей (ролей), предоставляемых пользователям. Количество таких ролей должно быть ограниченным и подразумевать возможность эффективного управления. Назначение прав и полномочий конкретным пользователям осуществляется путем назначения им соответствующих ролей.

7.3. Обеспечение целостности

Должна обеспечиваться целостность программных средств защиты в составе СОИБ, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов СОИБ, целостность программной среды обеспечивается отсутствием в ИС средств разработки и отладки программ.

Обеспечение целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи непринятого пакета.

7.4. Антивирусная защита

Для обеспечения безопасности информации и программно-аппаратной среды ИС, осуществляющей обработку этой информации, необходимо применять специальные средства антивирусной защиты, выполняющие:

обнаружение и/или блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку информации, а также на саму информацию;

обнаружение и удаление неизвестных вирусов;

обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

7.5. Обеспечение безопасного межсетевого взаимодействия

Для осуществления разграничения доступа к ресурсам ИС при межсетевом взаимодействии должно применяться межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами. Межсетевой экран устанавливается между защищаемой сетью, называемой внутренней, и внешней сетью. Межсетевой экран входит в состав защищаемой сети. Для него путем настроек отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

Межсетевое экранирование должно обеспечивать:

скрытие внутренней сетевой структуры ИС;

разрешение только такого входящего и исходящего трафика, который является необходимым для работы ИС;

блокирование любого входящего и исходящего трафика, не разрешенного явно.

7.6. Анализ защищенности

Анализ защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности информации.

Для гарантии того, что средства защиты информации успешно выполняют свои функции, должны быть разработаны процедуры контроля изменений конфигураций средств защиты информации и сетевых устройств. Для выполнения этих процедур в ИКС должна применяться система анализа защищенности, выполняющая следующие функции:

контроль настроек сетевых устройств, средств защиты информации и программно-технического обеспечения ИС;

анализ уязвимостей настроек средств защиты информации, сетевых устройств или уязвимостей операционных систем или прикладного программного обеспечения.

7.7. Обнаружение вторжений

Обнаружение вторжений реализуется с использованием в составе СОИБ программных и/или программно-аппаратных средств (систем) обнаружения вторжений, использующих комбинированные методы обнаружения атак, включающие в себя сигнатурные методы и методы выявления аномалий.

7.8. Защита среды виртуализации

Виртуальная инфраструктура включает среду виртуализации (программное обеспечение, служебные данные компонентов виртуальной инфраструктуры) и аппаратное обеспечение (аппаратные средства, необходимые для функционирования среды виртуализации, в том числе средства резервного копирования и защиты информации).

Меры по защите среды виртуализации должны исключать НСД к ИОД, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и/или воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

7.9. Защита технических средств

Меры по защите технических средств должны исключать НСД к стационарным техническим средствам, обрабатывающим ИОД, средствам, обеспечивающим функционирование ИС (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту ИОД, представленной в виде информативных электрических сигналов и физических полей.

7.10. Защита ИС, ее средств, систем связи и передачи данных

Меры по защите ИС, ее средств, систем связи и передачи данных должны обеспечивать защиту ИОД при взаимодействии ИС или ее отдельных сегментов с иными ИС и информационно-телекоммуникационными сетями посредством применения архитектуры ИС и проектных решений, направленных на обеспечение безопасности информации.

7.10.1. Обеспечение безопасного удаленного подключения к ИС

Удаленное подключение пользователей к ИС допускается при условии выполнения следующих требований:

должен быть разработан порядок предоставления и использования удаленного подключения. Порядок удаленного подключения должен быть документирован;

должны использоваться автоматизированные механизмы мониторинга и контроля удаленного доступа;

должна использоваться криптография для защиты конфиденциальности и целостности передаваемой информации;

удаленный доступ должен осуществляться через минимальное необходимое количество управляемых точек доступа;

удаленный доступ к критичным компонентам ИС с привилегированными правами должен быть максимально ограничен;

должно обеспечиваться межсетевое экранирование и фильтрация сетевого трафика.

7.10.2. Обеспечение безопасного доступа к сетям международного информационного обмена

Доступ к сетям связи общего пользования и/или сетям международного информационного обмена, в том числе к международной компьютерной сети Интернет допускается только с использованием специально предназначенных для этого средств защиты информации.

При принятии решений об использовании сети Интернет необходимо учитывать следующие положения:

сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение);

провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;

существует вероятность НСД, потери и искажения информации, передаваемой посредством сети Интернет;

существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;

гарантии по обеспечению безопасности информации при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.

7.10.3. Обеспечение безопасности при использовании мобильных устройств

В случае необходимости допускается организовывать доступ к ИОД с мобильных устройств, в том числе расположенных за пределами контролируемой зоны.

При использовании мобильных устройств должен быть реализован ряд дополнительных организационно-технических мер обеспечения безопасности информации:

обеспечение доверенной загрузки операционной среды мобильных устройств;

обеспечение доверенной среды эксплуатации мобильных устройств;

обеспечение доверенного (защищенного) канала взаимодействия с ИС;

очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти мобильных устройств и накопителей информации.

Обеспечение доверенной загрузки основывается на загрузке операционных систем только с заранее определенных постоянных носителей в комплексе с использованием специальных средств контроля над составом аппаратных средств мобильного устройства, целостности программных модулей операционных систем и средств усиленной аутентификации.

Доверенная среда эксплуатации и доверенный (защищенный) канал взаимодействия обеспечивается путем использования специальных средств защиты информации и средств криптографической защиты информации.

По окончании информационного взаимодействия на мобильном устройстве должно производиться удаление ИОД и другой информации, которая может быть использована для осуществления НСД к ИОД.

7.11. Управление инцидентами

Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в ИС, а также принятие мер по устранению и предупреждению инцидентов.

7.12. Управление конфигурацией

Меры по управлению конфигурацией ИС и системы защиты ИОД должны обеспечивать управление изменениями конфигурации ИС и системы защиты информации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности информации, а также документирование этих изменений.

7.13. Криптографическая защита

Для защиты ИОД, передаваемых между ИС по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи.

При использовании открытых и неконтролируемых каналов связи для защиты ИОД необходимо применять средства криптографической защиты информации. Как раздельно, так и комплексно используются следующие криптографические методы:

шифрование как средство обеспечения конфиденциальности информации;

электронная цифровая подпись как средство обеспечения подлинности и юридической значимости электронного документа;

криптографическая аутентификация как средство подтверждения санкционированности доступа субъекта к объекту;

управление ключами как необходимая составная часть систем со средствами криптографической защиты информации, которая применяется в целях изготовления, учета, распределения, хранения и уничтожения ключевых элементов.

7.14. Обеспечение безопасности АРМ пользователя

Эксплуатация АРМ пользователя допускается при условии выполнения следующих требований:

идентификация и аутентификация пользователя. В АРМ должна быть обеспечена однозначная идентификация "Пользователь - рабочее место";

невозможность изменения системных параметров АРМ, инсталляции программного обеспечения, несанкционированного копирования данных на съемные носители информации;

защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;

отсутствие программ-вирусов и программ-закладок;

невозможность физического доступа к аппаратным ресурсам АРМ;

запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих специальное разрешение;

ведение системного журнала по основным событиям.

8. Принципы оценки и контроля эффективности системы защиты информации

В соответствии с принципом обязательности контроля выполняются следующие виды контроля эффективности системы защиты информации:

внутренний контроль;

государственный контроль.

8.1. Внутренний контроль

Внутренний контроль эффективности системы защиты информации осуществляется Министерством с целью поддержания заданного уровня эффективности системы защиты информации, в соответствии с документированными методиками. Внутренний контроль включает:

мониторинг состояния технических и программных средств, входящих в состав КСЗИ;

контроль соблюдения требований по обеспечению безопасности информации (требований законодательства в области защиты персональных данных, требований внутренних нормативно-методических и организационно-распорядительных документов Министерства, сформулированных на основе анализа рисков нарушения безопасности информации, договорных требований).

Оценка эффективности КСЗИ реализуется в виде мероприятий по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации или декларирования соответствия требованиям по безопасности информации.

Основанием для ввода ИС в эксплуатацию является приказ Министерства о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.

Не допускается ввод ИС в эксплуатацию в случае невыполнения установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации.

Срок начала эксплуатации ИС не может быть ранее срока окончания последнего мероприятия, предусмотренного приказом Министерства о вводе системы в эксплуатацию.

При возникновении необходимости Министерством проводится внутренний контроль.

8.2. Государственный контроль

Обеспечение государственного контроля и надзора за соответствием обработки информации (персональных данных) требованиям законодательства Российской Федерации в области защиты информации осуществляется федеральными органами исполнительной власти.

В соответствии с действующим законодательством распределение полномочий между федеральными органами исполнительной власти, Роскомнадзором, ФСБ России и ФСТЭК России при осуществлении государственного контроля и надзора за соблюдением требований законодательства Российской Федерации в области защиты информации (персональных данных) осуществляется в пределах их компетенции.

В ходе государственного контроля и надзора оценивается достаточность принятых Министерством мер обеспечения безопасности информации.

9. Порядок пересмотра концепции

Положения настоящей Концепции пересматриваются в установленном порядке в случае существенных изменений международного или национального законодательства в сфере защиты информации (персональных данных).

При внесении изменений в положения Концепции учитывается следующее:

уровень развития и внедрения информационных технологий в Министерстве;

рекомендации российских и международных профильных организаций по информационной безопасности и защите персональных данных;

рекомендации Консультационного совета при уполномоченном органе по защите прав субъектов персональных данных, Положение о котором утверждено приказом Роскомнадзора от 29 января 2016 г. N 82 "О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных".

______________________________

* Субъекты информационных отношений - обладатель информации; собственник информации; собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения; потребитель информации.