Главная страница
Навигация по странице:

  • 21. правовые и организационные аспекты лицензирования деятельности в области защиты информации

  • 22. Классификация технических каналов утечки информации.

  • Электрические каналы утечки

  • 23. Материально-вещественные каналы утечки информации Материально-вещественные

  • Лицензирование деятельности по технической защите конфиденциальной информации является государственной функцией, исполняемой ФСТЭК России (1 управлением ФСТЭК России) и представляет собой

  • 25. Правовые и организационные аспекты лицензирования деятельности в области криптографической защиты информации.

  • «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ статья 13 пункты 11-13

  • 28. Правовые и организационные аспекты применения электронно-цифровой подписи

  • 29. Преступления в сфере компьютерной информации.

  • 31. Стратегия развития информационного общества в Российской Федерации на 2017 – 2030 годы.

  • информационная безопасность. 1. Основные понятия и принципы, осуществляемые в лицензионной деятельности в области защиты информации в Российской Федерации


    Скачать 116.21 Kb.
    Название1. Основные понятия и принципы, осуществляемые в лицензионной деятельности в области защиты информации в Российской Федерации
    Анкоринформационная безопасность
    Дата14.06.2022
    Размер116.21 Kb.
    Формат файлаdocx
    Имя файла4-34 copy.docx
    ТипЗакон
    #591428
    страница4 из 5
    1   2   3   4   5

    к органам защиты государственной тайны относятся:

    межведомственная комиссия по защите государственной тайны;

    федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;

    органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

    межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства российской федерации о государственной тайне. функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с положением о межведомственной комиссии по защите государственной тайны, утверждаемым президентом российской федерации. федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством российской федерации. органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. в зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми правительством российской федерации, и с учетом специфики проводимых ими работ.

    защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.


    21. правовые и организационные аспекты лицензирования деятельности в области защиты информации

    Основополагающим федеральным законом в области лицензирования является Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности". Рассмотрим основные понятия в области лицензирования.

    Постановлением Правительства Российской Федерации от 21 ноября 2011 г. N 957 "Об организации лицензирования отдельных видов деятельности";

    Постановлением Правительства Российской Федерации от 11 апреля 2006 г. N 208 "Об утверждении формы документа, подтверждающего наличие лицензии" (Собрание законодательства Российской Федерации, 2006, N 16, ст. 1746);

    Постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации";

    Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

    Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.

    22. Классификация технических каналов утечки информации.

    В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата, технические каналы утечки информации можно разделить на электромагнитные, электрические, параметрические и вибрационные.

    К электромагнитным относятся каналы утечки информации, возникающие за счёт различного вида побочных электромагнитных излучений и наводок

    Электрические каналы утечки информации возникают за счёт:

    – наводок электромагнитных излучений ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы КЗ;

    – просачивания информационных сигналов в линии электропитания и цепи заземления ТСПИ;

    – использования закладных устройств.

    Перехват информации возможен путём «высокочастотного облучения» («электромагнитного навязывания») ТСПИ. При взаимодействии облучающего электромагнитного поля с элементами ТСПИ происходит переизлучение электромагнитного поля. В ряде случаев это вторичное излучение имеет модуляцию, обусловленную воздействием информационного сигнала.

    Вибрационные каналы

    Некоторые ТСПИ имеют в своём составе печатающие устройства, для которых можно найти соответствие между распечатываемым символом и его акустическим образом.

    В зависимости от формы представления информации, а соответственно и среды распространения, общепринято выделять следующие виды каналов утечки информации:



    23. Материально-вещественные каналы утечки информации

    Материально-вещественные каналы утечки – предполагают существование информации на физическом носителе, с которым можно ознакомиться, украсть или скопировать.



    24. Правовые и организационные аспекты лицензирования деятельности в области технической защите информации.

    Основополагающим федеральным законом в области лицензирования является Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности". Рассмотрим основные понятия в области лицензирования.

    Постановлением Правительства Российской Федерации от 21 ноября 2011 г. N 957 "Об организации лицензирования отдельных видов деятельности";

    Постановлением Правительства Российской Федерации от 11 апреля 2006 г. N 208 "Об утверждении формы документа, подтверждающего наличие лицензии" (Собрание законодательства Российской Федерации, 2006, N 16, ст. 1746);

    Постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации";

    Лицензирование деятельности по технической защите конфиденциальной информации является государственной функцией, исполняемой ФСТЭК России (1 управлением ФСТЭК России) и представляет собой:

    - мероприятия, связанные с предоставлением лицензий на осуществление деятельности по технической защите конфиденциальной информации;

    - переоформление документов, подтверждающих наличие лицензий;

    - приостановление действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий;

    - возобновление или прекращение действия лицензий;

    - аннулирование лицензий;

    - контроль за соблюдением лицензиатами соответствующих лицензионных требований и условий;

    - ведение реестров лицензий;

    - предоставление в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании
    25. Правовые и организационные аспекты лицензирования деятельности в области криптографической защиты информации.

     Постановление от 16 апреля 2012 №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств

    К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

    а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

    б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

    в) средства электронной подписи;

    г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

    д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

    е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

    ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

    з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

    и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части

    26. Ответственность за незаконную деятельность в области защиты информации (далее КоАП РФ)

    «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ статья 13 пункты 11-13

    1. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа

    2. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа:

    3. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа

    4. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, – влечет наложение административного штрафа

    5. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, – влечет наложение административного штрафа

    6. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа

    7. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации

    8. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации

    9. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение административного штрафа

    10. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии – влечет наложение административного штрафа

    11. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей

    Уголовный кодекс Российской Федерации

    1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

    Те же деяния, совершенные лицом с использованием своего служебного положения, – наказываются

    • штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет,

    • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

    • либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового,

    • либо арестом на срок до шести месяцев,

    • либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

    27. Правовые и организационные аспекты сертификации технических средств защиты информации

    Сертификация проводится на соответствие заданным требованиям, а именно техническим регламентам, положениям стандартов, сводов правил, условиям договоров и другим требованиям, определенным в нормативных документах и соответствующей документации

    Порядок проведения сертификации выглядит следующим образом.

    1. Заявитель подает в федеральный орган заявку на проведение сертификационных испытаний. Заявителем может являться организация-разработчик, изготовитель, поставщик СЗИ или потребитель. Он:

    • подаёт во ФСТЭК России заявку на сертификацию;

    • указывает в технической документации сведения о сертифицируемой технике защиты информации, нормативных документах, которым она должна соответствовать, обеспечивает доведение этой информации до потребителя. Заявитель, если он выступает в качестве организации-разработчика или изготовителя СЗИ, должен иметь лицензию ФСТЭК России на соответствующий вид деятельности. Поставщик СЗИ или потребитель, в рамках работ по сертификации, иметь соответствующие лицензии не обязаны.

    2. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации, что фиксируется в решении на сертификацию.

    По отношению к Заявителю ФСТЭК России выполняет следующие практически важные функции:

    • рассматривает заявки на сертификацию, принимает по ним решения, определяет схему проведения сертификации средств 7 защиты информации и испытательный центр (лабораторию) с учётом предложений Заявителя и назначает орган по сертификации;

    • выдаёт сертификаты и, в зависимости от схемы сертификации, знаки соответствия.

    3. Испытательная лаборатория проводит сертификационные испытания. ФСТЭК России ведёт реестр аккредитованных органов по сертификации и испытательных лабораторий. Основные выполняемые функции испытательной лаборатории:

    • осуществляет отбор образцов средств защиты информации для проведения сертификационных испытаний;

    • разрабатывает программы и методики сертификационных испытаний, осуществляет сертификационные испытания средств защиты информации, оформляет протоколы сертификационных испытаний и технические заключения.

    На практике встречается, что организация может являться одновременно и органом по сертификации и испытательной лабораторией. Однако в процессе сертификации конкретного продукта организация может выступать только в одной роли, одновременно совмещать и ту, и другую роль при сертификации запрещено.

    4. Материалы испытаний (программа и методика, протоколы испытаний, техническое заключение) передаются в орган по сертификации, который проводит их независимую экспертизу.

    Орган по сертификации выполняет контрольные функции и проверяет корректность работ, проведённых испытательной лабораторией. Таким образом, реализуется принцип невозможности выполнения критичных функций одним субъектом. Основные функции, выполняемые органом по сертификации:

    • проводит экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний;

    • оформляет экспертное заключение по сертификации средств защиты информации и представляет их в федеральный орган по сертификации — ФСТЭК России.

    5. Федеральный орган по сертификации на основании положительного технического заключения органа по сертификации оформляет сертификат соответствия. В случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов по сертификации.

    В области защиты информации применяются следующие схемы сертификации СЗИ:

    • сертификация единичного образца СЗИ;

    • сертификация партии СЗИ;

    • сертификация серии с предварительной проверкой производства.

    Сертификационные испытания можно классифицировать по методу тестирования:

    • функциональное тестирование продукта или системы по методу «черного ящика»;

    • структурное тестирование исходного кода ПО.

    • В первом случае при испытаниях используются:

    • традиционные нормативные документы (например, руководящие документы Гостехкомиссии России);

    • документация (например, ТУ);

    • задание по безопасности — документ, разрабатываемый в соответствии с метастандартом ГОСТ ИСО 15408.

    Особенность структурного тестирования состоит в том, что оно проводится в форме статического и динамического анализа исходного кода программ и касается только вопросов внутренней безопасности продукта (контроля отсутствия недекларированных возможностей).

    Как ранее отмечалось, документом, подтверждающим положительные результаты сертификационных испытаний, является сертификат соответствия, в котором указаны самые важные моменты: идентификационные характеристики, на соответствие каким документам проведены испытания, срок действия, документ (обычно ТУ или формуляр), в котором определены ограничения на использование СЗИ и зафиксированы контрольные суммы и др.

    Требования к сертификации определены федеральными законами, постановлениями Правительства, стандартами и кодексами, а требования к проверкам (сертификационным испытаниям, инженерным или тематическим исследованиям) определены в нормативных документах или в соответствующей документации.

    28. Правовые и организационные аспекты применения электронно-цифровой подписи

    Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 02.07.2021) "Об электронной подписи"

    Статья 3. Правовое регулирование отношений в области использования электронных подписей

    1. Отношения в области использования электронных подписей регулируются настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между участниками электронного взаимодействия. Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней.

    2. Виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок (Постановление Правительства РФ от 09.02.2012 N 111 (ред. от 20.11.2018) "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи" ) их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации.

    Статья 4. Принципы использования электронной подписи

    Принципами использования электронной подписи являются:

    1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

    2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;

    3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

    . Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

    3. Неквалифицированной электронной подписью является электронная подпись, которая:

    1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

    2) позволяет определить лицо, подписавшее электронный документ;

    3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

    4) создается с использованием средств электронной подписи.

    4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

    1) ключ проверки электронной подписи указан в квалифицированном сертификате;

    2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

    29. Преступления в сфере компьютерной информации.

    "Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 30.12.2021)

    УК РФ Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

    • Статья 272. Неправомерный доступ к компьютерной информации

    • Статья 273. Создание, использование и распространение вредоносных компьютерных программ

    • Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

    • Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.


    30. Организационное обеспечение информационной безопасности.

    ЭТО ИБ В ОБЩЕМ

    Организационное обеспечение информационной безопасности образуется совокупностью мероприятий по планированию (в том числе стратегическому), использованию и управлению материальными, людскими, финансовыми и другими ресурсами, выделяемыми человеком, организациями или государством для противодействия угрозам. В рамках этой деятельности субъектами обеспечения информационной безопасности принимаются в том числе меры, направленные:

    • — на развитие научных исследований в области повышения устойчивости информационной инфраструктуры к проявлению угроз;

    • — содействие работе общественных организаций, ставящих своей целью противодействие угрозам информационной безопасности, и определение возможных вариантов взаимодействия с ними;

    • — согласование деятельности федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ в области противодействия угрозам;

    • — развитие системы массовой информации, содействующей предоставлению гражданам и другим лицам доступа к достоверной информации об интересующих их событиях общественной жизни как внутри страны, так и за рубежом;

    • — принятие мер по недопущению пропаганды и агитации, возбуждающей социальную, расовую, национальную или религиозную ненависть и вражду, а также пропаганды социального, расового, национального, религиозного или языкового превосходства;

    • — обеспечение безопасности использования и устойчивости функционирования объектов национальной информационной инфраструктуры в интересах экономической, социальной, культурной и политической деятельности, выполнению задач государственного управления, поддержания обороноспособности страны и безопасности государства.



    Силы и средства организационного обеспечения образуют систему организационного обеспечения информационной безопасности Российской Федерации.

    ЭТО В ОГАНИЗАЦИИ

    • К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

    • Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

    • документирование и оптимизацию бизнес-процессов;

    • установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;

    • создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;

    • информирование или переобучение персонала;

    • организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;

    • получение лицензий, например, на работу с государственной тайной;

    • обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;

    • создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;

    • установка пропускной системы для сотрудников, выдача им электронных средств идентификации;

    • выполнение всех требований законодательства по защите персональных данных;

    • разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

    31. Стратегия развития информационного общества в Российской Федерации на 2017 2030 годы.
    1   2   3   4   5


    написать администратору сайта