Elettracompany.com

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Нормативные аспекты защиты информации

Организационно-правовые аспекты защиты информации

Цель лекции

  • Познакомиться с законодательными и правовыми основами защиты информации
  • Рассмотреть основные положения «Закона о персональных данных «
  • Изучить принципы разработки политики безопасности
  • Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

Текст лекции

С нормативно-правовой точки зрения использование СОА для защиты от атак должно подкрепляться соответствующими документами, определяющими необходимость и возможность применения данного средства защиты в АС . Данный вопрос особенно актуален для предприятий государственного сектора экономики.

На сегодняшний день существует большое количество различных документов, регламентирующих вопросы информационной безопасности . В общем случае они могут быть сгруппированы в следующие категории (рис. 29.1):

  1. федеральные правовые документы, которые включают в себя кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;
  2. отраслевые нормативные документы, включающие в себя российские и международные стандарты , а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации ;
  3. локальные организационно-распорядительные документы, которые действуют в рамках отдельно взятой организации, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности .

В данной лекции будут рассмотрены базовые отечественные и международные стандарты в области информационной безопасности , а также описаны аспекты их применения в отношении СОА.

Обзор российского законодательства в области информационной безопасности

Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа , изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации . Реализация и контроль этих требований осуществляется при помощи соответствующих государственных систем сертификации средств защиты и аттестации объектов автоматизации .

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс , Федеральные законы «О безопасности» (№ 15-ФЗ от 07.03.2005), «О Государственной тайне » (№ 122-ФЗ от 22.08.2004), «Об информации, информатизации и защите информации» (№ 149-ФЗ от 27.07.2006), «Об участии в международном информационном обмене» (№ 85-ФЗ от 04.07.1996), «О коммерческой тайне » (№98-ФЗ от 29.07.2004), «О персональных данных » (№ 152-ФЗ от 27.07.2006), «О техническом регулировании» (№ 45-ФЗ от 09.05.2005), Доктрина информационной безопасности , Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм , установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак .

Общие правовые основы обеспечения безопасности личности , общества и государства определены в Федеральном законе «О безопасности».Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации.В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности :

  • обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
  • укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности , создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации ;
  • запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;
  • защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;
  • обеспечение защиты сведений, составляющих государственную тайну .

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну . Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.

Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного обеспечения с целью:

  • сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137);
  • незаконного получения или разглашения сведений, составляющих коммерческую или банковскую тайну (ст. 183);
  • неправомерного доступа к охраняемой законом компьютерной информации (ст. 272);
  • нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ (ст. 274);
  • нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, с использованием специальных технических средств, предназначенных для негласного получения информации (ст. 138).

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273). При этом необходимо отметить, что в качестве вредоносного ПО могут выступать не только вирусы, программы типа » Троянский конь «, но и программы, предназначенные для проведения информационных атак .

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов «О правовой охране программ для электронных вычислительных машин и баз данных» и «Об авторском праве и смежных правах».

Федеральный закон «Об участии в международном информационном обмене» также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Требования данного нормативного документа необходимо учитывать при взаимодействии с зарубежными информационными ресурсами, например, через сеть Интернет . Отношения, возникающие при формировании и использовании информационных ресурсов

на основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом «Об информации, информатизации и защите информации».Данный закон определяет понятие конфиденциальной информации , цели и задачи по ее защите, а также права и обязанности субъектов в области защиты информации . В 2006 г. эти два закона были заменены Федеральным законом «Об информации, информационных технологиях и о защите информации»,в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа ;
  • реализацию права на доступ к информации.

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».В соответствии с данным Указом к подобным сведениям отнесены:

Организационно-правовые аспекты защиты информации и авторское право. Нормативные документы

Исследование правовых аспектов защиты информации и информационной безопасности является актуальным вопросом для современного общества. Для решения данной проблемы важно изучение нормативно-правовых актов Республики Беларусь. Для каждого типа защищаемых данных (общедоступной и сведения особой важности, то есть государственная тайна) устанавливаются определенные меры гражданско-правовой, уголовной, административной и дисциплинарной ответственности за разглашение защищаемой информации и нарушение правил ее защиты, указанные в соответствующих нормативно-правовых актах.

Закон «Об информации, информатизации и защите информации» является комплексным нормативным правовым актом, направленным на регулирование общественных отношений, возникающие при: 1.поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией; 2.создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов; 3.организации и обеспечении защиты информации.

Закон определяет следующих участников информационных отношений:- обладатели информации;- пользователи информации, информационных систем и (или) информационных сетей;- собственники и владельцы программно-технических средств, информационных ресурсов, информационных систем и информационных сетей;- информационные посредники;- операторы информационных систем.

Авторское право — институт гражданского права, регулирующий отношения, связанные с созданием и использованием (изданием, исполнением, показом и т. д.) произведений науки, литературы или искусства, то есть объективных результатов творческой деятельности людей в этих областях. Программы для ЭВМ и базы данных также охраняются авторским правом. Они приравнены к литературным произведениям и сборникам, соответственно.

Первоначальным субъектом авторского права всегда является «физическое лицо, а также другая интеллектуальная собственность — автор. Субъектами авторского права также являются лица, обладающие исключительным правом на произведение, которое перешло к ним от автора по различным основаниям (в силу закона или в силу договора). Такие субъекты называются правообладателями. Ещё одним, специфическим субъектом авторского права, являются организации, управляющие имущественными правами авторов на коллективной основе.

Читать еще:  Требования к защите информации от нсд

Объекты авторского права. Согласно статье 1259 Гражданского кодекса РБ — это произведения науки, литературы и искусства независимо от достоинств и назначения произведения, а также от способа его выражения. Часть произведения (в том числе название произведения или его персонаж), если по своему характеру она может быть признана самостоятельным результатом творческого труда автора и выражена в объективной форме, также является объектом авторского права. Авторское право распространяется как на обнародованные, так и на необнародованные произведения, существующие в какой-либо объективной форме: -письменной; -устной; -изображения; -звуко- или видеозаписи; объёмно-пространственной.

Под нарушением авторских прав обычно понимаются следующие действия:-создание копии и её продажа;-создание копии и передача её кому-либо ещё;-в некоторых случаях перепродажа легально приобретённой копии.

Нормативные документы. В настоящее время наибольшее распространение получили следующие международные стандарты: стандарт ISO / IEC 17799 «Информационная технология. Система менеджмента информационной безопасности. Требования»; стандарт ISO / IEC 27001 «Информационная технология. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью». стандарт CobiT ( Control Objectives for Information and related Technology, «Контрольные Объекты для Информационной и смежных Технологий»); стандарт ITIL( Information Technologies Infrastructure Library, «Библиотека инфраструктуры информационных технологий»); методика проведения аудита информационной безопасности OCTAVE (Operationally Critical Threat, Asset, andVulnerability Evaluation, «Методика оценки критических угроз, информационных активов и уязвимостей»). Международный стандарт ISO / IEC 17799 представляет собой набор рекомендаций по применению организационно-технических мер безопасности для эффективной защиты автоматизированных систем.

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ — конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой.

Нормативно-правовая база инженерно-технической защиты информации

По назначению документы делятся на:

Руководящие документыопределяют структуру, права и обя­занности органов и людей, обеспечивающих инженерно-техничес­кую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уров­нях государственной системы защиты информации, причем доку­менты на более низком уровне конкретизируют документы более

Любая деятельность по выполнению руководящих докумен­тов сопровождается принятием решений по тому или иному воп­росу. Основу принятия решений составляет идентификация теку­щих факторов или признаков с эталонными. Совокупность эталон­ных факторов или признаков представляют собой сущность по­нятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. Например, в обществе существуют нормы поведения, часть кото­рых законодательно закреплена в Гражданском кодексе. Грубые отклонения от норм поведения — преступления и шкала наказа­ний в зависимости от уровня отклонения от нормы рассмотрены в ^Уголовном кодексе. Нормы в человеческом обществе могут изме­няться эволюционно в процессе его развития и трансформировать­ся отдельными группами людей, обладающих силами и средства­ми психологического воздействия на население.

Нормативыв области инженерно-технической защиты ин­формации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безо­пасности защищаемой информации.

Так как текущие показатели эффективности защиты информа­ции зависят от большого числа факторов, то методикиих опреде­ления разными органами и специалистами и, следовательно, полу­ченные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использо­ванных мер защиты. Поэтому, как правило, одновременно разра­батываются нормативы и методикиих определения, которые объ­единяются в нормативно-методические документы.

Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты ин­формации указаны в табл. 25.1.

Основу межведомственных документов составляют решения, руководящие и нормативно-методические документы ФСТЭК (Гос-техкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об ор­ганах по защите информации, требования и методические реко­мендации по защите информации от утечки по техническим каналам, руководящие документы по различным аспектам защиты ин­формации в автоматизированных системах, нормативно-методи­ческие документы по противодействию различным видам техни­ческой разведки.

В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно-методические документы и создаются органы, обеспечивающие за­щиту информации как в самом ведомстве, так и подчиненных под­разделениях (организациях, предприятиях).

К руководящим документам, разрабатываемым в организации (на предприятии), относятся:

•руководство (инструкция) по защите информации в организа­ции (на предприятии);

•цоложение о подразделении организации, на которое возлага­ются задачи по обеспечению безопасности информации;

•инструкции по защите отдельных источников информации, пре­жде всего информации о разрабатываемых изделиях и продук­ции.

В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих до­кументов остается неизменной, так как необходимость в них объ­ективна.

Порядок защиты информации в организации определяется со­ответствующим руководством (инструкцией). Оно может содер­жать следующие разделы:

•перечень охраняемых сведений;

•демаскирующие признаки объектов организации;

•оценки возможностей органов и средств добывания информа­ции;

•организационные и технические мероприятия по защите ин­формации;

•порядок планирования работ службы безопасности;

•порядок взаимодействия с государственными органами, реша­ющими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

Но в данном руководстве нельзя учесть всех особенностей за­щиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфи­денциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая рабо­та, включающая различные этапы и стадии: проведение исследова­ний, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, под­готовка производства (документации и дополнительного оборудо­вания), изготовление опытной серии для выявления спроса на то­вар, массовый выпуск продукции.

На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с ин­формативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носите­лей, угроз и каналов утечки информации, проявляющихся в раз­личные моменты времени.

Для защиты информации об изделии на каждом этапе его созда­ния разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безо­пасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, по­тенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения кон­тролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц,’ответственных за безопасность ин­формации.

Нормативно-методическую базу составляют [3]:

•государственные стандарты (ГОСТы);

•общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие докумен­ты (РД) и другие документы;

•нормы, методики и инструкции;

•учебно-методическая и научная литература.

Перечень основных государственных стандартов на техничес­кие средства охраны указан в табл. 25.2.

Основные аспекты информационной безопасности

Защита корпоративных данных
с помощью DLP-системы

К орпоративная безопасность – явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

Современные реалии корпоративной безопасности компании

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайны;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов – быть беде. Не так давно в Великобритании разразился скандал – жесткие диски с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay.

Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности – уничтожить носители – выставлял диски с данными на продажу.

В этом случае «слабыми звеньями» можно назвать два пункта – внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам – техническое упущение сотрудников.

Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Читать еще:  Можно ли 2 антивируса на компьютере

Как вычислить вора в компании с помощью «КИБ СёрчИнформ»? Реальный кейс клиента.

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать:

1. Выявление критически важной информации.

2. Выявление слабых мест в корпоративной безопасности.

3. Оценка возможностей защиты этой информации.

Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа – более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний – результат будет надежнее. Это поможет избежать наиболее распространенных ошибок в обеспечении информационной безопасности.

«Самые частые ошибки это недооценка и переоценка угроз предпринимательской деятельности, – считает Александр Доронин, эксперт в области экономической безопасности и автор книги «Бизнес-разведка». – В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется».

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка – несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов – лучшее доказательство необходимости защиты такой информации.

Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент – наличие разграничения прав доступа сотрудников к той или иной информации, соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе – всё это входит в обязанности отдела по работе с персоналом.

Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию – кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности.

Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер.

Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в DLP-системе возникает, если в организации используется 50 и более компьютеров.

Установку DLP-системы всегда предваряет технический аудит. После заказа 30-дневного бесплатного триала заказчика консультируют инженеры «СёрчИнформ», которые оценивают ИТ-инфраструктуру компании и определяют, сколько мощностей потребуется для установки программы.

Двусторонняя защита

Информационная безопасность – лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер – технических и организационных.

К техническим решениям по защите корпоративных секретов относится установка DLP-системы (от англ. Data Leak Prevention – предотвращение утечек данных). Этот комплекс программных средств отслеживает все информационные потоки в организации – от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки.

Важная особенность DLP-систем – их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов.

Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита.

DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем – это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование.

Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», –делится опытом Александр Доронин.

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы – еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом.

Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи – не больше, но и не меньше.

Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах – тоже немаловажная часть корпоративной безопасности.

Только добившись такой двусторонней – технической и организационной – защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.

Нормативно-правовые аспекты защиты информации

Автор работы: Пользователь скрыл имя, 14 Мая 2014 в 23:59, реферат

Краткое описание

Повреждения могут быть вызваны поломкой оборудования или канала связи, подделкой или разглашением секретной информации. Внешние воздействия возникают как в результате стихийных бедствий, так и в результате сбоев оборудования или кражи.
Цель данной работы — раскрыть суть правового обеспечения информационной безопасности, представляющего собой совокупность законодательных актов нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе информационной безопасности.

Вложенные файлы: 1 файл

Teoreticheskaya_chast_chernovik.docx

Введение

В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность.

Важно не только произвести большое количество продукции, но произвести нужную продукцию в определённое время. С определёнными затратами и так далее. Поэтому в информационном обществе повышается не только качество потребления, но и качество производства; человек, использующий информационные технологии, имеет лучшие условия труда, труд становится творческим, интеллектуальным и так далее.

В настоящее время развитые страны мира (США, Япония, страны Западной Европы) фактически уже вступили в информационное общество. Другие же, в том числе и Россия, находятся на ближних подступах к нему.

В качестве критериев развитости информационного общества можно выбрать три: наличие компьютеров, уровень развития компьютерных сетей и количество населения, занятого в информационной сфере, а также использующего информационные и коммуникационные технологии в своей повседневной деятельности.

Информация сегодня стоит дорого и её необходимо охранять. Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

Читать еще:  Признаки страховой защиты

Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т.д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди.

Для предотвращения потери информации разрабатываются различные механизмы её защиты, которые используются на всех этапах работы с ней. Защищать от повреждений и внешних воздействий надо и устройства, на которых хранится секретная и важная информация, и каналы связи.

Повреждения могут быть вызваны поломкой оборудования или канала связи, подделкой или разглашением секретной информации. Внешние воздействия возникают как в результате стихийных бедствий, так и в результате сбоев оборудования или кражи.

Цель данной работы — раскрыть суть правового обеспечения информационной безопасности, представляющего собой совокупность законодательных актов нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе информационной безопасности.

Теоретическая часть

Правовые аспекты информационной безопасности

Нормативные документы в области информационной безопасности

Именно эти документы определяют основы информационной деятельности российских правительственных структур и средств массовой и сетевой информации. К ним, в частности, относятся:

Концепция государственной информационной политики РФ, которая была разработана в 1998 г, одобрена Комитетом по информационной политике и связи Государственной Думы Федерального Собрания 15 октября 1998 г. и Постоянной палатой по государственной политике Политического консультативного совета при Президенте Российской Федерации 21 декабря 1998 г., опубликована в 1999 г. и разослана во все органы государственной власти на федеральном уровне и уровне субъектов Федерации.

В этом документе были провозглашены следующие принципы государственной политики в сфере информации:

  • принцип открытости – все основные мероприятия информационной политики открыто обсуждаются обществом, и государство учитывает общественное мнение;
  • принцип равенства интересов – политика в равной степени учитывает интересы всех участников информационной деятельности, вне зависимости от их положения в обществе, формы собственности и гражданства;
  • принцип системности – при реализации тех или иных решений должны учитываться их последствия при состоянии всех объектов и субъектов, затрагиваемых этими решениями;
  • принцип приоритетности производителя – при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг;
  • принцип социальной ориентации – основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов общества;
  • принцип государственной поддержки – мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством;
  • принцип приоритетности права – развитие и применение правовых методов имеет приоритет перед экономическими и административными решениями проблем.

Анализируя основные принципы государственной информационной политики Российской Федерации, следует отметить, что нынешнее российское руководство активно стремится централизовать государственную политику в информационной сфере, что позволяет решить сразу две задачи, которые относятся к области внешней политики.

Во-первых, это контроль над распространением информации внутри российского информационного пространства и противодействие попыткам других стран и негосударственных субъектов массовой коммуникации взять его под собственный контроль.

Во-вторых, речь идет о последовательной и целенаправленной стратегии по усилению российского информационного присутствия за рубежом. Это достижимо только при условии государственной координации и поддержки информационной политики, а также в случае соответствия ее целей внутри и за пределами страны.

2. Концепция формирования информационного общества в России была одобрена 28 мая 1999 г. Государственной комиссией по информатизации при Государственном комитете Российской Федерации по связям и информатизации.

В этом документе изложены основные предпосылки перехода России к информационному обществу, а также характерные особенности этого процесса для Российской Федерации и основные направления деятельности российских правительственных структур по реализации этой концепции.

С точки зрения внешней политики РФ, по мнению автора, особый интерес представляют положения, которые касаются места и роли российского государства в переходном процессе. В качестве одной из важнейших составляющих этого перехода указывается участие Российской Федерации в процессе международного информационного обмена, в соответствии с одноименным федеральным законом.

Вместе с тем, обе вышеуказанные концепции касаются, в первую очередь, такого аспекта российской информационной политики, как участие России в формировании глобального информационного общества, которое включает в себя следующие элементы: взаимодействие с другими государствами, обмен информационными технологиями и продукцией, участие в деятельности международных и региональных структур, которые содействуют этому процессу.

Необходимо отметить, что активное участие России в таком международном сотрудничестве, несомненно, является частью внешней политики российского государства. При этом речь идет именно об одном из направлений внешнеполитического курса, так как оба рассмотренных документа являются обязательными для исполнения.

К началу 2000-х годов в России была создана международно-правовая база для сотрудничества с другими странами в области информационных технологий, их защиты, безопасного распространения и использования. Однако более важной задачей для Российской Федерации явилось обеспечение собственной информационной безопасности, что позволило этой стране претендовать на роль не только потребителя, а производителя информации, а также эффективно противостоять экспансии со стороны других государств и потенциальным рискам и угрозам.

Исходя из этого, по мнению автора, важнейшим документом в сфере информационной политики, который был принят в России и реализуется в настоящее время, является Доктрина информационной безопасности 2000 г.

Доктрина информационной безопасности Российской Федерации является базовым концептуальным документом, который определяет основные направления обеспечения одного из ключевых направлений безопасности российского государства. Она была одобрена Советом Безопасности РФ 23 июня и утверждена президентом России В. Путиным 9 сентября 2000 г. В доктрине отмечается, что современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности любого государства. Национальная безопасность Российской Федерации также существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать, учитывая, в частности, усиливающиеся угрозы со стороны криминальных группировок, террористов, приверженцев любой экстремальной идеи и других деструктивных общественных сил.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности. Решение этой проблемы является первостепенным для дальнейшей разработки доктринальных основ обеспечения информационной безопасности.

В этом документе закреплены четыре составляющие национальных интересов Российской Федерации в информационной сфере. Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина области получения информации и ее использования, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Второй составляющей является информационное обеспечение государственной политики Российской Федерации, которое заключается в доведении до сведения российской и мировой общественности достоверной и позитивной информации о государственной политике России, ее официальной позиции по социально значимым вопросам российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Именно эта составляющая информационной безопасности российского государства имеет самое непосредственное отношение к области внешней политики и отражает важнейшие внешнеполитические задачи Российской Федерации на международной арене.

Для достижения этих целей создатели доктрины предлагают следующие меры:

  • Укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан;
  • Интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся

Акты федерального законодательства:

  • Международные договоры РФ;
  • Конституция РФ;
  • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  • Указы Президента РФ;
  • Постановления Правительства РФ;
  • Нормативные правовые акты федеральных министерств и ведомств;
  • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  • Методические документы государственных органов России:
    • Доктрина информационной безопасности РФ;
    • Руководящие документы ФСТЭК (Гостехкомиссии России);
    • Приказы ФСБ;
  • Стандарты информационной безопасности, из которых выделяют:
    • Международные стандарты;
    • Государственные (национальные) стандарты РФ;
    • Рекомендации по стандартизации;
    • Методические указания.

Законодательные основы обеспечения информационной безопасности

В Концепции национальной безопасности Российской Федерации определены важнейшие задачи в информационной сфере, в том числе и в правовой области:

Ссылка на основную публикацию
Adblock
detector