Правовые и организационные методы защиты информации в КС Правовое регулирование в области безопасности

Сентябрь 3, 2022

Главная
Алгебра
Правовые и организационные методы защиты информации в КС Правовое регулирование в области безопасности

Содержание

2. Комплексная система защиты информации создается на объектах для блокирования (парирования) всех возможных или, по крайней мере,
3. Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне
4. В Российской Федерации вопросы информационной безопасности нашли отражение в Стратегии национальной безопасности Российской Федерации до 2020
5. • разработка соответствующей нормативной правовой базы и координация деятельности органов государственной власти и других органов, решающих
6. Высокие темпы информатизации, а также социально-экономические изменения в обществе, происшедшие в последние годы, требовали законодательного регулирования
7. Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является закон РФ ≪О государственной тайне≫.от
8. Очень важным правовым вопросом является установление юридического статуса КС и особенно статуса информации, получаемой с применением
9. Важной составляющей правового регулирования в области информационных технологий является установление ответственности граждан за противоправные действия при
10. Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ. По этой
11. Выработку политики информационной безопасности, подготовку законодательных актов и нормативных документов, контроль над выполнением установленных норм обеспечения
13. Органом исполнительной власти, непосредственно занимающимся вопросами государственной безопасности, является Совет Безопасности при Президенте РФ. В состав
14. На Межведомственную комиссию по защите государственной тайны возложена задача руководства лицензированием предприятий, учреждений и организаций, связанных
15. Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе
16. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС: • организация работ по разработке
18. Скачать презентацию

Слайд 2

Комплексная система защиты информации создается на объектах для блокирования (парирования) всех

возможных или, по крайней мере, наиболее вероятных угроз безопасности информации.
Для парирования той или иной угрозы используется определенная совокупность методов и средств защиты. Некоторые из них защищают информацию от нескольких угроз одновременно.
Среди методов защиты имеются и универсальные методы, которые являются базовыми при построении любой системы защиты.
Это - правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения.
Организационные методы защиты информации, как правило, используются для парирования
нескольких угроз. Кроме того, организационные методы используются в любой системе защиты без исключений.

Слайд 3

Государство должно обеспечить в стране защиту информации как в масштабах всего

государства, так и на уровне организаций и отдельных граждан.
Для решения этой проблемы государство обязано:
1) выработать государственную политику безопасности в области информационных технологий;
2) законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т. д.;
3) создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;
4) создать систему стандартизации, лицензирования и сертификации в области защиты информации;
5) обеспечить приоритетное развитие отечественных защищенных информационных технологий;
6) повышать уровень образования граждан в области информационных технологий, воспитывать у них патриотизм и бдительность;
7) установить ответственность граждан за нарушения законодательства в области информационных технологий.

Слайд 4

В Российской Федерации вопросы информационной безопасности нашли отражение в Стратегии национальной

безопасности Российской Федерации до 2020 года, утвержденной Указом Президента РФ 12 мая 2009 года N 537 и Доктрине информационной безопасности Российской Федерации, утвержденой Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895.
В этих документах определены важнейшие задачи государства в области информационной безопасности:
• установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
• совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое внедрение, унификация средств поиска, сбора, хранения и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

Слайд 5

• разработка соответствующей нормативной правовой базы и координация деятельности органов государственной

власти и других органов, решающих задачи обеспечения информационной безопасности;
• развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
• защита государственного информационного ресурса и, прежде всего, в федеральных органах государственной власти и на предприятиях оборонного комплекса.
Важной задачей государства является также повышение уровня образования граждан в области информационных технологий. Большая роль в этой работе принадлежит образовательной системе государства, государственным органам управления, средствам массовой информации. Это важное направление реализации политики информационной безопасности.

Слайд 6

Высокие темпы информатизации, а также социально-экономические изменения в обществе, происшедшие в

последние годы, требовали законодательного регулирования отношений, складывающихся в области информационных технологий.
Эта проблема во многом была решена принятием Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
В законе даны определения основных терминов: информация; информатизация; информационные системы; информационные ресурсы; конфиденциальная информация; собственник и владелец информационных ресурсов; пользователь информации.
Государство гарантирует права владельца информации, независимо от форм собственности, распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресурсы, устанавливать режим доступа к ним.
В законе определены права и обязанности граждан и государства по доступу к информации.
В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности в сфере информационных технологий. В этом законе определены цели и режимы защиты информации, а также порядок защиты прав субъектов в сфере информационных процессов и информатизации.

Слайд 7

Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является

закон РФ ≪О государственной тайне≫.от 21 июля 1993 года N5485-1 в редакции Федерального закона от 06.10.1997 № 131-ФЗ.
Закон определяет уровни секретности государственной информации (грифы секретности) и соответствующую степень важности информации. Руководствуясь данным законом и ≪Перечнем сведений, отнесенных к государственной тайне≫, введенным в действие Указом Президента РФ от 30 ноября 1995 года N 1203, соответствующие государственные служащие устанавливают гриф секретности информации.
Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации от 23.09.1992 г. ≪О правовой охране программ для электронных вычислительных машин и баз данных≫ и Законом Российской Федерации 8 декабря 2006 года N 230-ФЗ (четвертая часть Гражданского кодекса Российской Федерации).

Слайд 8

Очень важным правовым вопросом является установление юридического статуса КС и особенно

статуса информации, получаемой с применением КС.
Статус информации или ее правомочность служит основанием для выполнения (невыполнения) определенных действий.
Например, в одних КС соответствующее должностное лицо имеет юридическое право принимать решения только на основании информации, полученной из КС. В других КС для принятия решения необходимо получить подтверждающую информацию по другим каналам.
Примером может служить организация перевода денег с помощью КС.
До определенной суммы перевод осуществляется автоматически при поступлении соответствующей заявки. Для перевода крупной суммы выполняются дополнительные процедуры проверки правомочности такой операции. Для этого может быть затребована дополнительная информация, в том числе и по дублирующей системе, а окончательное решение о переводе денег может принимать должностное лицо.
Правовой статус информации устанавливается с учетом ее стоимости (важности) и степени достоверности, которую способна обеспечить компьютерная система.

Слайд 9

Важной составляющей правового регулирования в области информационных технологий является установление ответственности

граждан за противоправные действия при работе с КС.
Преступления, совершенные с использованием КС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений.
В нашей стране 1 января 1997 года введен в действие новый Уголовный кодекс РФ. В него впервые включена глава № 28, в которой определена уголовная ответственность за преступления в области компьютерных технологий.
В статье 272 предусмотрены наказания за неправомерный доступ к компьютерной информации. За данное деяние предусмотрены наказания, лежащие в диапазоне от денежного штрафа в размере 200 минимальных зарплат до лишения свободы на срок до 5 лет. Отягощающими вину обстоятельствами являются совершение преступления группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

Слайд 10

Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских)

программ для ЭВМ. По этой статье предусмотрено наказание от штрафа в размере заработной платы или иного дохода осужденного за два месяца до лишения свободы на срок до семи лет (в зависимости от последствий).
В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо
обязательными работами на срок от ста восьмидесяти до двухсот часов. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до 4 лет.

Слайд 11

Выработку политики информационной безопасности, подготовку законодательных актов и нормативных документов, контроль

над выполнением установленных норм обеспечения безопасности информации осуществляют государственные органы (рисунок).
Возглавляет государственные органы обеспечения информационной безопасности Президент РФ. Он руководит Советом Безопасности и утверждает указы, касающиеся обеспечения безопасности информации в государстве.
Общее руководство системой информационной безопасности, наряду с другими вопросами государственной безопасности страны, осуществляют Президент и Правительство Российской Федерации.

Слайд 12

Слайд 13

Органом исполнительной власти, непосредственно занимающимся вопросами государственной безопасности, является Совет Безопасности

при Президенте РФ. В состав Совета Безопасности
входит Межведомственная комиссия по информационной безопасности. Комиссия готовит указы Президента, выступает с законодательной инициативой, координирует деятельность руководителей министерств и ведомств в области информационной безопасности государства.
Рабочим органом Межведомственной комиссии по информационной безопасности является Государственная техническая комиссия при Президенте РФ. Эта комиссия осуществляет подготовку проектов законов, разрабатывает нормативные документы (Решения Государственной технической комиссии), организует сертификацию средств защиты информации (за исключением криптографических средств), лицензирование деятельности в области производства средств защиты и обучения специалистов по защите информации. Гостехкомиссия руководит аттестацией КС, предназначенных для обработки информации, представляющей государственную тайну, или управляющих экологически опасными объектами. Она координирует и направляет деятельность государственных научно-исследовательских учреждений, работающих в области защиты информации, обеспечивает аккредитацию органов лицензирования и испытательных центров (лабораторий) по сертификации. Эта комиссия обеспечивает также работу Межведомственной комиссии по защите государственной тайны.

Слайд 14

На Межведомственную комиссию по защите государственной тайны возложена задача руководства лицензированием

предприятий, учреждений и организаций, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации, а также оказанием услуг по защите гостайны. Кроме того, эта комиссия осуществляет координацию работы по организации сертификации средств защиты информации.
Федеральная служба охраны при Президенте Российской Федерации (ФСО) обеспечивает правительственную связь и информационные технологии государственного управления. Служба осуществляет сертификацию всех средств, используемых для организации правительственной связи и информатизации государственного управления, а также лицензирует все предприятия, учреждения и организации, занимающиеся производством таких средств. Кроме того, в исключительном ведении ФСО находятся вопросы сертификации и лицензирования в области криптографической защиты ин-
формации.
В министерствах и ведомствах создаются иерархические структуры обеспечения безопасности информации, которые, как правило, совпадают с организационной структурой министерства (ведомства). Называться они могут по-разному, но функции выполняют сходные.

Слайд 15

Организационные методы защиты информации включают меры, мероприятия и действия, которые должны

осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности информации.
Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации.
В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации.

Слайд 16

На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:
•

организация работ по разработке системы защиты информации;
• ограничение доступа на объект и к ресурсам КС;
• разграничение доступа к ресурсам КС;
• планирование мероприятий;
• разработка документации;
• воспитание и обучение обслуживающего персонала и пользователей;