- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
2.4 Правові акти
2.4.1 Структура правових актів
Вимоги інформаційної безпеки повинні органічно включатися в ус рівні законодавства, у тому числі й у конституційне законодавство, основ неоподатковуваних мінімумів доходів громадян (17 грн. з 1996 року; тобто штраф у розмірі від 153 до 306 грн.).
Вчинення «господарюючими суб’єктами - юридичними особами та їх об’єднаннями» дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, тягне за собою накладання на них Антимонопольним комітетом України, його територіальними відділен-нями штрафів у розмірі до 3% виручки від реалізації товарів, виконання ро¬біт, надання послуг господарюючого суб’єкта за останній звітний рік, що передував року, в якому накладається штраф. У разі, якщо обчислення виру-чки господарюючого суб’єкта неможливе або виручка відсутня, штрафи, за-значені у частині першій цієї статті, накладаються у розмірі до п’яти тисяч неоподатковуваних мінімумів доходів громадян (тобто до 85 тис. грн.).
Вчинення дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, «юридичними особами, їх об’єднаннями та об’єднаннями громадян, що не є господарюючими суб ’єктами», тягне за собою накладан¬ня на них Антимонопольним комітетом України, його територіальними відділеннями штрафів у розмірі до двох тисяч неоподатковуваних мінімумів доходів громадян (тобто до 34 тис. грн.).
Правові норми забезпечення безпеки і захисту інформації на підприємстві
Правові норми забезпечення безпеки і захисту інформації на конкретному підприємстві (фірмі, організації) формулюються у сукупності установчих, організаційних і функціональних документів.
Вимоги забезпечення безпеки і захисту інформації формулюються в Статуті (установчому договорі) у вигляді таких положень:
• підприємство має право визначати склад, обсяг і порядок захисту відомостей конфіденційного характеру, вимагати від своїх співробітників забезпечення їх збереження і захисту від внутрішніх і зовнішніх загроз;
підприємство зобов’язане забезпечити збереження конфіденційної інформації.
Такі вимоги надають право адміністрації підприємства:
створювати організаційні структури із захисту конфіденційної інформації;
видавати нормативні і розпорядчі документи, що визначають порядок виділення відомостей конфіденційного характеру і механізми їхнього захисту;
включати вимоги щодо захисту інформації в договори з усіх видів господарської діяльності;
вимагати захисту інтересів підприємства з боку державних і судових інстанцій;
розпоряджатися інформацією, що є власністю підприємства, з метою отримання вигоди і недопущення економічного збитку колективу підприємства і власнику засобів виробництва;
розробити “Перелік відомостей, які становлять конфіденційну таємницю’'.
Вимоги правової забезпеченості захисту інформації передбачаються в колективному договорі. Колективний договір повинний містити такі вимоги.
Розділ “Предмет договору”
Адміністрація підприємства (у тому числі й адміністрація самостійних підрозділів) ЗОБОВ'ЯЗУЄТЬСЯ забезпечити розробку і здійснення заходів щодо визначення і захисту конфіденційної інформації.
Трудовий колектив бере на себе зобов’язання дотримуватися встановлених на підприємстві вимог щодо захисту конфіденційної інформації.
Адміністрація зобов’язана врахувати вимоги щодо захисту конфіденційної інформації в правилах внутрішнього розпорядку.
Розділ “Кадри. Забезпечення дисципліни праці”
Адміністрація зобов’язується притягувати до адміністративної і кримінальної відповідальності, згідно з чинним законодавством, порушників вимог щодо захисту комерційної таємниці.
Правила внутрішнього трудового розпорядку для робітників та службовців підприємства доцільно доповнити такими вимогами.
Розділ Порядок прийому і звільнення робітників та службовців'’’’
При вступі робітника чи службовця на роботу чи переведенні його у встановленому порядку на іншу роботу, зв’язану з конфіденційною інформацією підприємства, а також при звільненні адміністрація зобов’язана проінструктувати працівника чи службовця з правилами збереження комерційної таємниці з оформленням письмового зобов’язання про її нерозголо- шення.
Адміністрація підприємства має право приймати рішення про усунення від робіт осіб, що порушують установлені вимоги щодо захисту конфіденційної інформації.
Розділ “Основні обов ’язки робітників та службовців”
Робітники та службовці зобов’язані дотримуватися вимог нормативних документів щодо захисту конфіденційної інформації підприємства.
Розділ “Основні обов ’язки адміністрації”
Адміністрація підприємства, керівники підрозділів зобов’язані:
забезпечити строге збереження конфіденційної інформації, постійно здійснювати організаційну і виховну профілактичну роботу, спрямовану на захист секретів підприємства;
включити в посадові інструкції і положення обов’язки щодо збереження конфіденційної інформації;
неухильно виконувати вимоги Статуту, колективного договору, трудових договорів, правил внутрішнього трудового розпорядку й інших організаційних і господарських документів у частині забезпечення економічної й інформаційної безпеки.
Зобов’язання конкретного співробітника, робітника чи службовця в частині захисту інформації обов’язково повинні бути застережені в трудовому договорі (контракті). Незалежно від форми (усної чи письмової) укладання договору підпис робітника на наказі про прийом на роботу підтверджує його згоду з умовами договору. Вимоги щодо захисту конфіденційної інформації можуть бути застережені в тексті договору, якщо договір укладається в письмовій формі. Якщо ж договір укладається в усній формі, то діють вимоги щодо захисту інформації, які випливають з нормативно- правових документів підприємства. При укладанні трудового договору й оформленні наказу про прийом на роботу нового співробітника визначається поінформованість його про порядок захисту інформації підприємства. Це створює необхідний елемент включення даної Особи в механізм забезпечення інформаційної безпеки.
Використання договорів про нерозголошення таємниці - зовсім не самостійний захід для її захисту. Не слід думати, що після підписання такої угоди з новим співробітником таємниця буде збережена. Це тільки попередження співробітнику, що в справу вступає система заходів щодо захисту інформації і правова основа. Далі задача - не допустити втрати комерційних секретів.