Организационно-правовое обеспечение информационной безопасности

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Эти методы включают в себя:

- ограничение физического доступа к объектам КС и реализация режимных мер;

- ограничение перехвата ПЭМИН;

- резервное копирование наиболее важных с точки зрения утраты массивов документов;

- профилактику заражения компьютерными вирусами.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты.

Можно выделить четыре уровня правового обеспечения информационной безопасности. Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:

международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;

Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст.19-39 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 – за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 – за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 №24-ФЗ (ст.10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст.21 определяет порядок защиты информации);

Федеральный закон «О государственной тайне» от 21.07.93 №5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст8 – степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст.20 – органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 – порядок сертификации средств защиты информации, относящейся к государственной тайне);

Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 №1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 №5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 №3523-1 (ст.4 определяет условие признания авторского права – знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 – защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 или Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 №35.

Третий уровень правого обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. В качестве примеров можно привести следующие документы:

ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147-89 «системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

Руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:

приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

Дата добавления: 2014-01-15; Просмотров: 4268; Нарушение авторских прав?; Мы поможем в написании вашей работы!