Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Первый учебный вопрос: Правовые основы функционирования СОИБ хозяйствующего субъекта

Читайте также:
  1. BRANDY NIGHTINGALE, первый раз на сцене
  2. I. Нормативно-правовые акты
  3. Shuttle XPC ST61G4 — первый barebone-комплект с интегрированной графикой от ATI
  4. Status Quo. Первый успех
  5. V 4: Политические и правовые учения Европы в эпоху Возрождения и Реформации
  6. Автоматизированный учебный курс.
  7. Административно-правовые отношения

ЛЕКЦИЯ 3

ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА

 

 

авторы: доцент Невский А.Ю.

доцент Баронов О.Р.

 

Утверждено на методическом заседании кафедры

____ ____________ 2014 года, протокол № ____.

 

Москва 2014 год.

Содержание

Введение

1. Правовые основы функционирования СОИБ хозяйствующего субъекта.

2. Организационные основы функционирования СОИБ хозяйствующего субъекта.

3. Стандартизация в области информационной безопасности.

Заключение.

 

 

Сл. 2.

Литература:

1. Корнюшин Л.Н., Костерин С.С. Информационная безопасность, ДГУ-Владивосток, 2003

2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия – Телеком, 2004.

3. Белов Е. Б., Лось В. П., Мещериков Р. В., Шелупанов А. А. Основы информационной безопасности. М.: – Телеком, 2006

4. ГОСТ Р ИСО/МЭК 15408 -1 – 2002, Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России.

 

 


Введение

Система обеспечения информационной безопасности (СОИБ), как любая другая система должна иметь определенные виды собственного обеспечения, опираясь на которое она способна выполнить свою целевую функцию. Организационно-правовое обеспечение деятельности СОИБ объединяет нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия и организационное обеспечение, которое связано с непосредственной реализацией функций по защите информации определенными структурными единицами предприятия такими, как служба безопасности, а также информационно-аналитической деятельностью.

Сл. 3. Таким образом, можно сказать, что организационно-правовое обеспечение информационной безопасности хозяйствующего субъекта (ХС) представляет собою совокупность законов, нормативов и управленческих решений, регламентирующих как общую организацию работ по обеспечению информационной безопасности ХС, так и создание и функционирование систем защиты информации на его конкретных объектах.

Содержание организационно-правового обеспечения СОИБ ХС рассмотрим с позиций структурной декомпозиции, принятой нами и представленной в первой лекции на рисунке отражающей структуру вертикальной 4-х уровневой декомпозиции СОИБ. Содержание данной структуры представленной на данной схеме позволяет определить общую направленность данного вида обеспечения.

Сл. 4. Таким образом, согласно представленной на рис. 1 схемы, организационно-правовое обеспечение СОИБ предприятия можно представить, как организованную совокупность правового и организационного обеспечений СОИБ ХС.

 

 


Рис.1. Декомпозиция организационно-правового обеспечения СОИБ ХС

Первый учебный вопрос: Правовые основы функционирования СОИБ хозяйствующего субъекта

Вопросы информационной безопасности ХС регулируются законодательно. Для государственных предприятий требования по обеспечению информационной безопасности являются обязательными для выполнения, а для коммерческих организаций носят рекомендательный характер. При этом ф ункции службы защиты информации на предприятии любой формы собственности определяются комплексом выполняемых им бизнес-задач, с обязательным учетом всего имеющегося комплекса юридических аспектов, которые обязывают предприятие выполнять требования федерального законодательства по защите информации. Наличие четко сформулированных правовых норм обеспечивающих информационную безопасность хозяйствующего субъекта является одной из составляющей СОИБ хозяйствующего субъекта.

Сл. 5. Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:

- все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации;

- узакониваются меры ответственности за нарушения правил защиты информации;

- узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

- узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Правовое обеспечение СОИБ ХС, как это было показано выше (рис. 1.) должно основываясь на международные и внутригосударственные правовые акты, способствовать выработке концепции и политики информационной безопасности конкретных хозяйствующих субъектов при этом их реализация должна учитывать государственную политику информационной безопасности.

В нашей стране СОИБ ХС реализует свою политику в области информационной безопасности на основе правил закрепленных в Конституции, законах РФ, соответствующих кодексах гражданского, административного и уголовного права, а также на основе ведомственных, отраслевых и локальных нормативных актов закрепленных в приказах, руководствах, положениях и инструкциях, соответственно издаваемых ведомством, отраслью и хозяйствующим субъектом.

Современные условия, в которых функционирует СОИБ ХС определяют необходимость комплексного подхода к формированию законодательной нормативно-правовой базы, ее состава и содержания. При этом возникает насущная необходимость обязательного соотношения этой нормативно-правовой базы со всей системой законов и правовых актов Российской Федерации, так как требования к информационной безопасности органически включаются во все уровни законодательства, в том числе в конституционной законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и др. В источнике [1] приводится такая структура правовых актов, которая дает представление об ориентации, используемого СОИБ ХС правового обеспечения. На сегодняшний день данная структура может иметь вид и содержание, которое представлено на рис. 2. Cл. 6.

 
 

 

 


2. Законы Российской Федерации в области информационной безопасности
«Об информации, информационных технологиях и о защите информации» «О государственной тайне» «О коммерческой тайне»
«О персональных данных» «О правовой охране программ для ЭВМ и баз данных» «О федеральных органах государственной безопасности»
«О связи» «Об информационном обеспечении экономического и социального развития» «Об органах федеральной»
«Об авторском праве и смежных правах» «О безопасности» «Патентный закон РФ»

 

 

Рис. 2. Структура правовых актов, ориентированных на правовое обеспечение СОИБ ХС

 

Таким образом, становится очевидным, что требования информационной безопасности органически включены во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и др. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации (рис. 3). Сл. 7.

 

 

 


Рис.3. Структура правовых актов, ориентированных на правовую защиту информации

 

Проведем анализ структуры правовых актов, ориентированных на правовую защиту информации.

Конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности и др.), которые включают нормы по вопросам информатизации и информационной безопасности.

Законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.

Специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам.

В их число, в частности, входит и Закон РФ "Об информации, информационных технологиях и о защите информации". Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности хозяйствующего субъекта.

Законодательство субъектов Российской Федерации, касающееся защиты информации.

Подзаконные нормативные акты по защите информации.

Правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону "Об информации, информационных технологиях и о защите информации", который закладывает основы правового определения всех важнейших компонентов информационной деятельности на любом предприятии:

- информации и информационных систем;

- субъектов – участников информационных процессов;

- правоотношений производителей – потребителей информационной продукции;

- обладателей (источников) информации – обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 "Служебная и коммерческая тайна".

1. Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба: "Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору".

Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации.

Таким образом, правовая защита информации на предприятии обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.

Кроме рассмотренных выше, основными действующими законодательными и нормативными документами, а также международными стандартами на основе которых разрабатываются нормативно-правовые основы информационной безопасности хозяйствующего субъекта являются:

- федеральный закон РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 г.;

- федеральный закон РФ № 98-ФЗ «О коммерческой тайне» от 29 июля 2004 г., и др;

- ГОСТ Р 51275-99;

- ГОСТ Р 51624-2000;

- ГОСТ Р 51583-2000;

- ГОСТ Р ИСО/МЭК 15408-2002 и др;

- ISO/IEC 27001:2005 и др.

Отсюда следует, что первым и самым главным направлением функционирования СОИБ ХС является формирование ее нормативно-правовой базы, которое является отправной точкой непосредственной разработки концепции и политик информационной безопасности хозяйствующего субъекта, а также корпоративного стандарта управления информационной безопасностью, положений, руководств, регламентов, методик, профилей защиты, заданий по информационной безопасности, регламентирующих доступ персонала к его информационным ресурсам и техническим средствам, и организации контроля за соблюдением, установленных положений.

Сл. 8. На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации на предприятии независимо от его формы собственности и категории защищаемых сведений. Кроме законов и других государственных нормативных документов, правовое обеспечение системы обеспечения информационной безопасности хозяйствующего субъекта по защите конфиденциальной информации должно включать в себя комплекс внутренней нормативно-организационной документации, в которую могут входить такие документы предприятия, как:

- устав;

- коллективный трудовой договор;

- трудовые договоры с сотрудниками предприятия;

- правила внутреннего распорядка служащих предприятия;

- должностные обязанности руководителей, специалистов и служащих предприятия;

- инструкции пользователей информационно-вычислительных сетей и баз данных;

- инструкции администраторов ИВС и БД;

- положение о подразделении по защите информации;

- концепция системы защиты информации на предприятии;

- перечень сведений, составляющих коммерческую тайну предприятия;

- инструкции о порядке обращения с информацией, составляющей коммерческую тайну;

- инструкции сотрудников, допущенных к защищаемым сведениям;

- инструкции сотрудников, ответственных за защиту информации;

- распоряжение об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера;

- памятка сотрудника о сохранении коммерческой или иной тайны;

- договорные обязательства.

Не углубляясь в содержание перечисленных документов, можно сказать, что во всех из них, в зависимости от их основного нормативного или юридического назначения, указываются требования, нормы или правила по обеспечению необходимого уровня информационной защищенности на предприятии или в его структурных подразделениях, обращенные, прежде всего, к персоналу и руководству предприятия.

Правовое обеспечение дает возможность урегулировать многие спорные вопросы, неизбежно возникающие в процессе информационного обмена на самых разных уровнях - от речевого общения до передачи данных в компьютерных сетях. Кроме того, образуется юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности предприятия, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых или формируемых при сотрудничестве между субъектами экономики, выполнении ими договорных обязательств, осуществлении совместной деятельности и т. п. При этом стороны, не выполняющие эти условия, несут ответственность в рамках, предусмотренных как соответствующими пунктами межсторонних документов (договоров, соглашений, контрактов и пр.), так и российским законодательством.

Понятно, что для достижения полноты и комплексности защиты информации только разработкой и внедрением на предприятии даже самого совершенного и безупречного правового обеспечения ограничиваться не стоит. Любые законы или правила теряют свою работоспособность и перестают быть эффективными нормативными средствами регулирования различного рода взаимоотношений при отсутствии этих взаимоотношений, как таковых, без наличия субъектов взаимоотношений или вообще среды, на которую распространяется действие данных норм.

Сл. 9. При этом используемая СОИБ ХС нормативно-правовая база должна обеспечивать выполнение следующих основных функций:

- разработку основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;

- определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области;

- создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как на предприятии в целом, так и на конкретном объекте;

- определение мер ответственности за нарушение правил защиты;

- определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Короче говоря, для того, чтобы создать надежную нормативно-правовую базу для СОИБ ХС, нужно организовать эту систему, создать предпосылки для ее функционирования, разработать комплекс последовательно и согласованно проводимых мероприятий, определить входящие в не компоненты и подсистемы. Для этих целей и предназначено организационное обеспечение СОИБ ХС, к общему описанию которого мы сейчас приступим.

Дата добавления: 2015-11-16; просмотров: 107 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
L’énergie| Второй учебный вопрос: Организационные основы функционирования СОИБ хозяйствующего субъекта
mybiblioteka.su - 2015-2024 год. (0.016 сек.)