Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Лекции Беликова. Лекции БЕЛИКОВОЙ Н.В.. Конспект лекций по дисциплине Информационная безопасность для специальности 080505 Управление персоналом


Скачать 1.25 Mb.
НазваниеКонспект лекций по дисциплине Информационная безопасность для специальности 080505 Управление персоналом
АнкорЛекции Беликова
Дата17.11.2020
Размер1.25 Mb.
Формат файлаdoc
Имя файлаЛекции БЕЛИКОВОЙ Н.В..doc
ТипКонспект лекций
#151366
страница5 из 14
1   2   3   4   5   6   7   8   9   ...   14

3 Организационно-правовое обеспечение информационной безопасности




3.1 Основные методы и средства организации защиты информации от несанкционированного доступа




3.1.1 Организационно-правовая защита информации



К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойства методов и средств организационной защиты:

• обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации);

• объединение всех используемых в КС средств в целостный механизм защиты информации.

Методы и средства организационной защиты информации включают в себя:

• ограничение физического доступа к объектам КС и реализа­ция режимных мер;

• ограничение возможности перехвата ПЭМИН;

• разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрова­ние информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок);

• резервное копирование наиболее важных с точки зрения утраты массивов документов;

• профилактику заражения компьютерными вирусами.

3.1.2 Основные виды мероприятий по защите информации



Перечислим основные виды мероприятий, которые должны проводиться на различных этапах жизненного цикла КС:

  1. на этапе создания КС: при разработке ее общего проекта и проектов отдельных структурных элементов — анализ возможных угроз и методов их нейтрализации; при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств; при монтаже и наладке оборудования — контроль за работой технического персонала; при испытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;

  2. в процессе эксплуатации КС — организация пропускного режима, определение технологии автоматизированной обработки документов, организация работы обслуживающего персонала, распределение реквизитов разграничения доступа пользователей к элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требований служебных инструкций и т.п.;

  3. мероприятия общего характера — подбор и подготовка кадров, организация плановых и предупреждающих проверок средств защиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.



3.1.3 Уровни правового обеспечения информационной безопасности



Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты (хотя далеко не все).

Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

• международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

• Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

• Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

• Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

• Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциаль­ная информация, ст. 21 определяет порядок защиты информации);

• Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне);

• Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 или Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 № 35.

Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы:

• ГОСТ Р 50922—96 «Защита информации. Основные термины и определения», ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

• руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:

• приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

• трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

3.1.4 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы




3.1.5 Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства



1   2   3   4   5   6   7   8   9   ...   14

написать администратору сайта