4. Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в ас
В качестве центрального звена, реализующего содержание организационно-правовой основы (см. рис.1), выступает специально создаваемая в составе АС служба защиты (безопасности) информации.
Организация таких служб предусмотрена как Законом "Об информации, информатизации и защите информации", так и Законом Российской Федерации "О безопасности", где в статье 27 записано:
"... для практической реализации требований и правил по защите информации поддержанию информационных систем в защищенном со стоянии, эксплуатации специальных программно-технических и обеспечению организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах могут создаваться службы безопасности информации.... Предприятия, организации и учреждения, обрабатывающие информацию с ограниченным доступом, являющуюся собственностью государства, создают службы безопасности информации в обязательном порядке."
Исходя из приведенных задач службы зашиты информации, могут быть сформулированы ее основные функции:
формирование требований к системе защиты в процессе создания АС;
участие в проектировании системы защиты;
участие в испытаниях и приемке системы защиты и составляющих ее элементов;
планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;
организация генерирования и установки кодов-идентификаторов технических средств;
организация и введение в память АС служебных массивов системы защиты;
наблюдение за функционированием системы защиты и ее элементов;
организация превентивных проверок надежности функционирования системы защиты;
обучение пользователей и персонала АС правилам обработки защищаемой информации;
обучение пользователей и персонала АС правилам обработки защищаемой информации;
контроль за соблюдением пользователями и персоналом АС правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.
Второй по значимости проблемой создания организационно-правовой основы является комплектование системы руководящих и методических документов по защите информации.
Здесь с практической точки зрения можно руководствоваться следующим:
- все существующие в стране документы, регламентирующие правила обращения с информацией, имеющей ограничительный гриф, в полном объеме распространяются также и на информацию, циркулирующую в процессе функционирования АС;
- с целью учета специфических особенностей накопления, хранения и обработки данных в АС разрабатываются и утверждаются специальные руководящие и методические материалы, которые должны иметь юридическую силу;
- с целью интерпретации и детализации положений и требований указанных материалов применительно к конкретным условиям в каждой АС должны быть разработаны и в установленном порядке утверждены
- инструкции пользователям, операторам АС, дежурным сменам администрации банка данных, службе защиты, а также техническая документация системы защиты.
При решении вопроса об ответственности за нарушение правил защиты прежде всего следует установить, привело ли оно к утечке защищаемых данных. В этом случае виновные несут ответственность в соответствии с существующими законами. За нарушение правил защиты, не повлекших за собою утечку данных, устанавливаются административные меры ответственности, предусмотренные трудовым законодательством.
Разрешение спорных и конфликтных ситуаций, связанных с вопросами распределения и использования реквизитов системы защиты {паролей, ключей и т.п.), должно входить в компетенции: службы защиты информации, а ситуаций, связанных с интерпретацией документов по защите, - в компетенцию органов и лиц, утвердивших соответствующие документы.
- Организационно-правовое обеспечение защиты информации План
- 1. Общее содержание организационно-правового обеспечения
- 2. Анализ зарубежного и отечественного опыта организационно-правового обеспечения защиты информации
- 2.1. Информирование о существе проблемы защиты, необходимости и путях ее решения.
- 3. Выработка единообразия в терминологии по проблемам защиты.
- 3.1. Развитие технико-математических основ, необходимых для решения вопросов организационно-правового обеспечения защиты информации.
- 3.2. Разработка и утверждение стандартов в области защиты информации.
- 3.3. Создание законодательной основы, необходимой для обеспечения защиты информации.
- 3.3.1. Защита прав личности на частную жизнь
- 3.3.3. Защита предпринимательской и финансовой деятельности.
- 4. Основные подходы к разработке организационно-правового обеспечения Организационно-правовая основа зашиты информации в ас
- 4.1. Технико-математические аспекты.
- 4.2. Юридические аспекты.
- 5. Стратегия национальной безопасности Российской Федерации
- 6. Доктрина информационной безопасности Российской Федерации
- 7. Закон «о государственной тайне»
- 7.1. Основные понятия
- 7.2. Перечень сведений, составляющих государственную тайну
- I. Сведения в военной области:
- 2. Сведения в области экономики, науки и техники:
- 3. Сведения в сфере внешних отношений:
- 4. Сведения в области государственной безопасности и охраны правопорядка:
- 7.3. Уголовно-правовая зашита информации, составляющей государственную тайну
- 8. Закон «о коммерческой тайне»
- Основные понятия
- 9. Порядок отнесении информации к коммерческой тайне и способы ее получении
- 9.1. Охрана коммерческой тайны
- 9.2. Ответственность за нарушение требований Федерального закона «о коммерческой тайне»
- 10. Закон «о персональных данных»