Progress28.ru

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Нормативные аспекты защиты информации

Организационно-правовые аспекты защиты информации

Цель лекции

  • Познакомиться с законодательными и правовыми основами защиты информации
  • Рассмотреть основные положения «Закона о персональных данных «
  • Изучить принципы разработки политики безопасности
  • Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

Текст лекции

С нормативно-правовой точки зрения использование СОА для защиты от атак должно подкрепляться соответствующими документами, определяющими необходимость и возможность применения данного средства защиты в АС . Данный вопрос особенно актуален для предприятий государственного сектора экономики.

На сегодняшний день существует большое количество различных документов, регламентирующих вопросы информационной безопасности . В общем случае они могут быть сгруппированы в следующие категории (рис. 29.1):

  1. федеральные правовые документы, которые включают в себя кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;
  2. отраслевые нормативные документы, включающие в себя российские и международные стандарты , а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации ;
  3. локальные организационно-распорядительные документы, которые действуют в рамках отдельно взятой организации, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности .

В данной лекции будут рассмотрены базовые отечественные и международные стандарты в области информационной безопасности , а также описаны аспекты их применения в отношении СОА.

Обзор российского законодательства в области информационной безопасности

Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа , изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации . Реализация и контроль этих требований осуществляется при помощи соответствующих государственных систем сертификации средств защиты и аттестации объектов автоматизации .

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс , Федеральные законы «О безопасности» (№ 15-ФЗ от 07.03.2005), «О Государственной тайне » (№ 122-ФЗ от 22.08.2004), «Об информации, информатизации и защите информации» (№ 149-ФЗ от 27.07.2006), «Об участии в международном информационном обмене» (№ 85-ФЗ от 04.07.1996), «О коммерческой тайне » (№98-ФЗ от 29.07.2004), «О персональных данных » (№ 152-ФЗ от 27.07.2006), «О техническом регулировании» (№ 45-ФЗ от 09.05.2005), Доктрина информационной безопасности , Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм , установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак .

Общие правовые основы обеспечения безопасности личности , общества и государства определены в Федеральном законе «О безопасности».Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации.В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности :

  • обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
  • укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности , создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации ;
  • запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;
  • защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;
  • обеспечение защиты сведений, составляющих государственную тайну .
Читать еще:  Очистка компьютера от вирусов и мусора

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну . Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.

Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного обеспечения с целью:

  • сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137);
  • незаконного получения или разглашения сведений, составляющих коммерческую или банковскую тайну (ст. 183);
  • неправомерного доступа к охраняемой законом компьютерной информации (ст. 272);
  • нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ (ст. 274);
  • нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, с использованием специальных технических средств, предназначенных для негласного получения информации (ст. 138).

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273). При этом необходимо отметить, что в качестве вредоносного ПО могут выступать не только вирусы, программы типа » Троянский конь «, но и программы, предназначенные для проведения информационных атак .

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов «О правовой охране программ для электронных вычислительных машин и баз данных» и «Об авторском праве и смежных правах».

Федеральный закон «Об участии в международном информационном обмене» также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Требования данного нормативного документа необходимо учитывать при взаимодействии с зарубежными информационными ресурсами, например, через сеть Интернет . Отношения, возникающие при формировании и использовании информационных ресурсов

на основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом «Об информации, информатизации и защите информации».Данный закон определяет понятие конфиденциальной информации , цели и задачи по ее защите, а также права и обязанности субъектов в области защиты информации . В 2006 г. эти два закона были заменены Федеральным законом «Об информации, информационных технологиях и о защите информации»,в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа ;
  • реализацию права на доступ к информации.
Читать еще:  Актуальность защиты информации

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».В соответствии с данным Указом к подобным сведениям отнесены:

Защита информации

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Читать еще:  Что делать если на компьютере вирус

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1) Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Ссылка на основную публикацию
Adblock
detector