Организационно-правовое обеспечение системы обеспечения информационной безопасности. Цель, задачи, структура, содержание, средства.
Подсистема организационно-правового обеспечения должна обеспечить
- Формирование правового поля для выполнения мероприятий обеспечения информационной безопасности
- Обеспечение выполнения концептуальных разработок, а также практических ограничительных и режимных мероприятий по обеспечению информационной безопасности в интересах организации
К методам и средствам организационной защиты информации относятся ==Организационно-технические== и ==Организационно-правовые== мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при:
- Строительстве или ремонте помещений, в которых будет размещаться КС
- Проектировании системы, монтаже и наладке ее технических и программных средств
- Испытаниях и проверке работоспособности КС
- Обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации)
- Объединение всех используемых в КС средств в целостный механизм защиты информации.
- Ограничение физического доступа к объектам КС и реализация режимных мер
- Ограничение возможности перехвата ПЭМИН
- Разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок)
- Резервное копирование наиболее важных с точки зрения утраты массивов документов
- Профилактику заражения компьютерными вирусами.
Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС:
-
==На этапе создания КС==:
- При разработке ее общего проекта и проектов отдельных структурных элементов — Анализ возможных угроз и методов их нейтрализации
- При строительстве и переоборудовании помещений — Приобретение сертифицированного оборудования, выбор лицензированных организаций
- При разработке математического, программного, информационного и лингвистического обеспечения — Использование сертифицированных программных и инструментальных средств
- При монтаже и наладке оборудования — Контроль за работой технического персонала
- При испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов
-
==В процессе эксплуатации КС== — организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.
-
==Мероприятия общего характера== — подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.
Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты (хотя далеко не все)
Можно выделить четыре уровня правового обеспечения информационной безопасности
Образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:
- ==Международные (всемирные) конвенции== об охране промышленной собственности, охране интеллектуальной собственности, авторском праве
- ==Конституция РФ== (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений)
- ==Гражданский кодекс РФ== (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне)
- ==Уголовный кодекс РФ== (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей)
- ==Федеральный закон «Об информации, информатизации и защите информации»== от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации)
- ==Федеральный закон «О государственной тайне»== от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно» ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне)
- ==Федеральные законы «О лицензировании отдельных видов деятельности»== от 08.08.2001 № 128-ФЗ, ==«О связи»== от 16.02.95 № 15-ФЗ, ==«Об электронной цифровой подписи»== от 10.01.02 № 1-ФЗ, ==«Об авторском праве и смежных правах»== от 09.07.93 № 5351-1, ==«О правовой охране программ для электронных вычислительных машин и баз данных»== от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы)
Правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 или Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 № 35.
Правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы:
- ГОСТ Р 50922—96 «Защита информации. Основные термины и определения», ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.
- Руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.
Правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:
- Приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия
- Трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.