Организационно-правовая защита информации

К технологиям организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации компьютерной системы для обеспечения защиты информации.

Основные свойства технологии организационной защиты:

· обеспечение полного или частичного перекрытия значительной части каналов утечки информации;

· объединение всех используемых в компьютерной системе средств в целостный механизм защиты информации.

Технологии организационной защиты информации включают в себя:

· ограничение физического доступа к объектам компьютерной системы и реализация режимных мер;

· ограничение возможности перехвата ПЭМИН;

· разграничение доступа к информационным ресурсам и процессам компьютерной системы;

· резервное копирование наиболее важных с точки зрения утраты массивов документов;

· профилактику заражения компьютерными вирусами.

Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла компьютерной системы:

· на этапе создания компьютерной системы: при разработке ее общего проекта и проектов отдельных структурных элементов ‑ анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений ‑ приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения ‑ использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования ‑ контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию ‑ включение в состав аттестационных комиссий сертифицированных специалистов;

· в процессе эксплуатации компьютерной системы ‑ организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам компьютерной системы, организация ведения протоколов работы компьютерной системы, контроль выполнения требований служебных инструкций и т.п.;

· мероприятия общего характера ‑ подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей.

Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

· международные конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

· Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

· Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

· Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 ‑ за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 ‑ за нарушение правил эксплуатации ЭВМ, систем и сетей);

· Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

· Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 ‑ степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 ‑ органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 ‑ порядок сертификации средств защиты информации, относящейся к государственной тайне);

· Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права; ст. 18 ‑ защиту прав на программы для ЭВМ и базы данных).

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. Например:

· ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

· руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в компьютерной системе конкретной организации. К таким нормативным документам относятся:

· приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

· трудовые и гражданско-правовые договоры, в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

Инженерно-техническая защита информации

Под инженерно-технической защитой информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

· защиту территории и помещений компьютерной системы от проникновения нарушителей;

· защиту аппаратных средств компьютерной системы и носителей информации от хищения;

· предотвращение возможности удаленного видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств компьютерной системы;

· предотвращение возможности перехвата ПЭМИН, вызванных работающими техническими средствами компьютерной системы и линиями передачи данных;

· организацию доступа в помещения компьютерной системы сотрудников;

· контроль над режимом работы персонала компьютерной системы;

· контроль над перемещением сотрудников компьютерной системы в различных производственных зонах;

· противопожарную защиту помещений компьютерной системы;

· минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

Не нашли, что искали? Воспользуйтесь поиском по сайту: