презентация_ПЗ-3_орг-прав_кадр_ОСИБ (3). Занятие 3 организационноправовое и кадровое обеспечение системы информационной безопасности

Законодательство в области информационной
безопасности
22
СТРАТЕГИЯ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА В РОССИЙСКОЙ
ФЕДЕРАЦИИ НА 2017 - 2030 годы
(Указ Президента РФ от 09.05.2017 № 203)
Статья 4.
В настоящей Стратегии используются следующие основные
понятия:
а)
безопасные программное обеспечение и сервис
– программное
обеспечение и сервис, сертифицированные на соответствие требованиям
к информационной безопасности, устанавливаемым федеральным
органом исполнительной власти, уполномоченным в области обеспечения
безопасности, или федеральным органом исполнительной власти,
уполномоченным в области противодействия техническим разведкам и
технической защиты информации;
о)
технологически независимые программное обеспечение и сервис
–
программное обеспечение и сервис, которые могут быть использованы на
всей территории Российской Федерации, обеспечены гарантийной и
технической
поддержкой
российских
организаций,
не
имеют
принудительного обновления и управления из-за рубежа, модернизация
которых осуществляется российскими организациями на территории
Российской Федерации и которые не осуществляют несанкционированную
передачу информации, в том числе технологической

Кодекс об административных правонарушениях,
гражданский и уголовный кодексы РФ
23
1.
Гражданский Кодекс РФ, статья 139 «Служебная и
коммерческая тайна …»
2.
Налоговый Кодекс РФ, статьи 102 п. 1, 102 п. 2 «Налоговая
тайна …»
3.
Уголовный Кодекс РФ, статьи 138, 138 п.1, 159 п. 6, 183, 272,
273, 274, 274
п. 1, 283. 283 п. 1, 284 «Нарушения в области
защиты информации …»
4.
Семейный Кодекс РФ, статья 139 «Усыновление ребенка…»
5.
Уголовно-процессуальный Кодекс РФ, статьи 161 п.1, 298 п.1,
341
п.4
6.
Кодекс об административных правонарушениях РФ статьи
13.12, 13.13, 14.30, 23.45
«Нарушения в области защиты
информации …»

Законодательство в области информационной
безопасности
24
ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
№ 244 от 02.03.2017 г.
«О совершенствовании требований к обеспечению надежности и безопасности
электроэнергетических систем и объектов электроэнергетики и внесении изменений в
некоторые акты Правительства Российской Федерации»
Статья 1.
Министерство энергетики Российской Федерации утверждает
нормативные правовые акты в области электроэнергетики:
а) требования к функционированию электроэнергетических систем, в
том
числе
к
обеспечению
устойчивости
и
надежности
электроэнергетических систем …, режимам и параметрам работы объектов
электроэнергетики и энергопринимающих установок, релейной защите и
автоматике (включая противоаварийную и режимную автоматику,
информационно-технологическую инфраструктуру релейной защиты и
автоматики
в электроэнергетической системе, оперативно-диспетчерского
управления
в
электроэнергетике
и
оперативно-технологического
управления);
б) требования в отношении базовых (обязательных) функций и
информационной безопасности объектов электроэнергетики
при создании
и последующей эксплуатации на территории Российской Федерации
систем
удаленного
мониторинга
и
диагностики
энергетического
оборудования

Законодательство в области информационной
безопасности
25
ПРИКАЗ МИНЭНЕРГО РОССИЙСКОЙ ФЕДЕРАЦИИ
№ 1015 от 06.11.2018 г.
«Об утверждении требований в отношении базовых (обязательных) функций и
информационной безопасности объектов электроэнергетики при создании и
последующей эксплуатации на территории Российской Федерации систем удаленного
мониторинга и диагностики энергетического оборудования»
I
. Общие положения
Статья
1.
Настоящие
требования
устанавливают
организационные и функциональные требования к базовым
(обязательным) функциям и
информационной безопасности
объектов электроэнергетики при создании и последующей
эксплуатации на территории Российской Федерации систем
удаленного мониторинга и диагностики (СУМиД) основного
технологического оборудования, нарушение или прекращение
функционирования которого приводит к потере управления
объектом
электроэнергетики,
необратимому
негативному
изменению параметров его функционирования (разрушению) или
существенному снижению безопасности эксплуатации объекта
электроэнергетики

Задание на самостоятельную подготовку
26
Изучить
(
т.е. приобрести глубокие знания):

Приказ Минэнерго России от 06.11.2018 от № 1015 в полном
объеме
Быть готовым им руководствоваться в ходе учебного процесса

Нормативно-правовые акты и организационно-
распорядительные документы
27
1.
ГОСТ
34.003
Информационная технология.
Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения
2.
ГОСТ 19781
Обеспечение систем обработки информации программное. Термины и определения
3.
ГОСТ Р ИСО/МЭК 13335-1
Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
4.
ГОСТ Р ИСО/МЭК 27001
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
5.
ГОСТ Р 50922
Защита информации. Основные термины и определения
6.
ГОСТ Р 51275
Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
7.
ГОСТ Р 51897
Менеджмент риска. Термины и определения
8.
ГОСТ Р 51898
Аспекты безопасности. Правила включения в стандарты
9.
ГОСТ Р 50922-2006
Защита информации. Основные термины и определения
10.
ГОСТ Р 52069.0-2013
Защита информации. Система стандартов. Основные положения
11.
ГОСТ Р 52447-2005
Защита информации. Техника защиты информации. Номенклатура показателей качества
12.
ГОСТ Р 52633-2006
Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации
13.
ГОСТ Р 56938-2016
Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
14.
ГОСТ Р 52069.0-2013
Защита информации. Система стандартов. Основные положения

Комплекс внутренней нормативно-
организационной документации предприятия
28
-
Устав организации
;
-
Концепция информационной безопасности организации;
-
Политика информационной безопасности организации
-
Положение о подразделении по защите информации
;
-
Инструкции сотрудников, ответственных за защиту информации
;
-
Инструкции администраторов ИВС и БД
;
-
Перечень сведений, составляющих коммерческую тайну предприятия
;
-
Памятка сотрудника о сохранении коммерческой или иной тайны
;
- коллективный трудовой договор;
- трудовые договоры с сотрудниками предприятия;
- правила внутреннего распорядка служащих предприятия;
- должностные обязанности руководителей и служащих предприятия;
- инструкции пользователей информационно-вычислительных сетей и баз данных;
- инструкции о порядке обращения с информацией, составляющей коммерческую тайну;
- инструкции сотрудников, допущенных к защищаемым сведениям;
- распоряжение об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера;
- договорные обязательства

Третий учебный вопрос
29
ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Организационное обеспечение
системы информационной безопасности
30
Организационное обеспечение СИБ
– это регламентация
производственной
деятельности
и
взаимоотношений
исполнителей на нормативно-правовой основе, исключающей
или существенно затрудняющей неправомерное овладение
конфиденциальной информацией и проявление внутренних и
внешних угроз
Цель организационного обеспечения СИБ
– исключение
утечки информации, уменьшение или полное исключение
возможности нанесения предприятию ущерба, к которому эта
утечка может привести

Мероприятия организационного обеспечения
системы информационной безопасности
31
Мероприятия
организационного
обеспечения СИБ
1.
Организация режима и охраны объекта
(организации)
2. Организация работы с сотрудниками, допущенных к конфиденциальной информации
3.
Организация работы с конфиденциальной информацией
4.
Организация использования технических средств приема, обработки, передачи и защиты конфиденциальной информации
5.
Организация аналитической работы по оценке состояния информационной безопасности
6.
Организация работы по проведению систематического контроля состояния информационной безопасности

Организация режима и охраны
объекта (организации)
32
1. Организация режима и охраны объекта (организации)
Создание:
внутри объектового и пропускного режимов
Внутри объектовый режим
– совокупность комплекса мероприятий,
направленных
на
обеспечение
установленного
режима
секретности
непосредственно в структурных подразделениях, на объектах и в служебных
помещениях предприятия
Пропускной режим
– это совокупность норм и правил, регламентирующих
порядок входа (выхода) лиц, въезда (выезда) транспортных средств на территорию
предприятия,
вноса
(выноса),
ввоза
(вывоза)
носителей
сведений
конфиденциального характера, а также мероприятий по реализации этих норм и
правил с использованием имеющихся сил и средств
Охраняемая территория
– это территория предприятия (включающая его
объекты и служебные помещения), на которой установлен и реализуется комплекс
мероприятий пропускного и внутри объектового режимов
Система охраны предприятия
– совокупность используемых в интересах
охраны предприятия сил и средств, а также способов и методов охраны
предприятия и его объектов

Организация работы с сотрудниками
33
2.
Организация работы с сотрудниками, допущенных
к конфиденциальной информации
Цель
организации работы с сотрудниками:
-
ознакомления с сотрудниками и их изучением;
-
обучения сотрудников правилам работы с конфиденциальной
информацией;
-
ознакомления с мерами ответственности за нарушения правил
информационной безопасности
Система организационных мероприятий, направленных на максимальное
предотвращение утечки информации через персонал включает
:
• оценку претендентов на вакантные должности при подборе кадров таких
личностных качеств, как порядочность, надежность, честность и т. д.;
• ограничение круга лиц, допускаемых к конфиденциальной информации;
• проверка надежности сотрудников, допускаемых к конфиденциальной
информации, письменное оформление допуска;
• развитие и поддержание у работников компании корпоративного духа,
создание внутренней среды, способствующей проявлению у сотрудников
чувства принадлежности к своей организации, позитивного отношения
человека к организации в целом (лояльность);
• проведение инструктажа работников, участвующих в мероприятиях,
непосредственно относящихся к одному из возможных каналов утечки
информации

Организация работы с документами
34
3. Организация работы с конфиденциальной информацией
Организация
работы
с
документами
включает
организацию
разработки и использования документов и носителей конфиденциальной
информации, их учет, исполнение, возврат, хранение и уничтожение
Доступ
граждан к сведениям (информации), в установленном порядке,
отнесенным
к коммерческой тайне
,
осуществляется в соответствии со
статьями 7 и 10 Федерального закона РФ «О коммерческой тайне»
Организационные мероприятия, обеспечивающие защиту
документальной информации
:
-
документирование информации;
-
учет документов и организация документооборота;
-
обеспечение надежного хранения документов;
-
проверка наличия, своевременности и правильности их исполнения;
-
своевременное уничтожение документов

Организация использования
технических средств
35
4. Организация использования технических средств приема,
обработки, передачи и защиты конфиденциальной информации
Организация использования технических средств включает
:
-
организацию сбора, обработки, накопления, хранения и передачи
конфиденциальной информации;
-
использование в работе сертифицированных технических и
программных средств, установленных в аттестованных помещениях;
-
организацию регламентированного доступа пользователей к работе
со средствами компьютерной техники, связи и в хранилище (архив)
носителей конфиденциальной информации
Принципы обеспечения информационной безопасности на основе
использования технических средств
:
-
ликвидация (ослабление) канала утечки информации;
-
исключение возможности перехватывать информацию

Организация аналитической работы по оценке
состояния информационной безопасности
36
5. Организация аналитической работы по оценке состояния
информационной безопасности
Анализ состояния защиты информации
– это комплексное, органически
взаимосвязанное изучение фактов, событий, процессов, явлений, связанных с
проблемами защиты охраняемой информации; исследование данных проблем
путем обработки информации о состоянии работы по выявлению возможных
каналов утечки информации, о причинах и обстоятельствах, способствующих
утечке и нарушениям режима секретности (конфиденциальности) в ходе
повседневной деятельности предприятия
Назначение аналитической работы
– выработка эффективных мер,
предложений и рекомендаций руководству предприятия, направленных на
недопущение утечки сведений с ограниченным доступом о деятельности
предприятия и проводимых работах
Направления аналитической работы на предприятии
:
-
анализ объекта защиты;
-
анализ внутренних и внешних угроз;
-
анализ
возможных
каналов
несанкционированного
доступа
к
информации;
-
анализ системы комплексной безопасности объектов;
-
анализ имеющих место нарушений режима конфиденциальности
информации;
-
анализ предпосылок к разглашению информации, а также к утрате
носителей конфиденциальной информации и т.д.

Организация работы по проведению систематического
контроля состояния информационной безопасности
37
6. Организация работы по проведению систематического контроля
состояния информационной безопасности
Контроль
– целенаправленная деятельность руководства и
должностных лиц предприятия по проверке состояния защиты
конфиденциальной информации в ходе его повседневной деятельности
при выполнении предприятием всех видов работ
Контроль состояния информационной безопасности на предприятии
организуется и проводится с целью
определения истинного состояния
дел по вопросам защиты информации, оценки эффективности