Исполнение и/или
контроль
7. Администратор баз данных.
8. Администратор информационной безопасности.
9. Разработчик (проектировщик) информационной системы.
10. Разработчик (проектировщик) системы безопасности.
11. Руководитель подразделения.
12. Пользователь: работа в АРМ.
13. Пользователь: ввод данных.
21
Правовые методы защиты
Нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Законодательства:
·об интеллектуальной собственности;
·о средствах массовой информации;
·о формировании информационных ресурсов и предоставлении информации из них;
·о реализации права на поиск, получение и использование информации;
·о создании и применении информационных технологий и средств их обеспечения22 .
Правовые основы защиты информации
Четыре уровня правового обеспечения:
1.Международные договоры о защите информации и государственной тайны, к которым присоединилась и Российская Федерация.
2.Подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.
3.ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.
Юридические документы
Международные договоры
•Устав ООН;
•Договор об образовании Европейского экономического сообщества;
•Всемирная Организация Интеллектуальной Собственности (ВОИС): соблюдение Бернской Конвенции об охране литературных и
художественных произведений и Парижской Конвенции об охране промышленной собственности;
•160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (2005 г.).
Взаимосвязь правовых |
|||
средств защиты в РФ |
|||
Конституция |
ФЗ «О |
ФЗ «О |
|
государ- |
|||
РФ |
ственной |
средствах |
|
|
ФЗ «Об |
тайне» |
массовой |
|
информации, |
информации» |
|
|
ИТ и ЗИ» |
|
ФЗ «Об |
|
|
информацииГ |
|
|
|
К РФ, ИТ и ЗИ» |
|
УПК РФ |
Адм. кодекс |
ГК РФ |
РФ |
|
Труд. Кдекс |
|
РФ |
средства защиты
•К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека
•К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей: технические
(физические, аппаратные),27
Участие человека в защите
Формальными |
Нефоpмальным |
называются такие |
и называются |
средства защиты, |
такие средства |
которые выполняют |
защиты, которые |
свои функции по |
реализуются в |
заранее |
результате |
установленным |
деятельности |
процеду-рам без |
людей, либо |
вмешательства |
регламен-тируют |
человека |
эту деятельность |
Организационные средства
защиты
Безопасное использование данных !
•учет требований защиты при подборе и подготовке кадров
•организацию плановых и внезапных проверок функционирования механизмов защиты в СОБД;
•планирование всех мероприятий по обеспечению безопасности данных: разработку документов по обеспечению
безопасности данных т.д.
•организация надёжного пропускного режима;
•организация технологического цикла обработки и передачи данных (регламентация использования данных);
•организация и контроль работы обслуживающего персонала;
•организация интерфейса пользователей с сетью;
•организация ведения протоколов обмена;
•распределение реквизитов разграничения доступа между пользователями (паролей, профилей полномочий, списков доступа и т.п.).
ОТРАЖЕНИЕ В ПОЛИТИКЕ БЕЗОПАСНОСТИ И В ДОЛЖНОСТНЫХ ИНСТРУКЦИЯХ
Политика безопасности (ПБ)
Политика безопасности
(информации в организации) (англ. Organizational security policy)— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.