Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5305 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Курс_лекций_ИБ_ММ_2015.doc
Скачиваний:
1
Добавлен:
01.07.2025
Размер:
1.08 Mб
Скачать
►Содержание►

3.2 Место подсистемы иб в общей системе безопасности организации

Среди существующих средств обеспечения ИБ можно выделить следующие:

  1. Финансовые средства. Без достаточных финансовых средств невозможно функционирование системы безопасности. Главное, чтобы использовать их целенаправленно и с высокой отдачей.

  2. Правовые средства. Использование не только изданных вышестоящими органами власти законов и подзаконных актов, но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности.

  3. Организационные средства. Создание специализированных подразделений, обеспечивающих безопасность предприятия.

  4. Кадровые средства. Прежде всего, достаточность высококлассных специалистов (иногда целесообразно привлекать их со стороны), занимающихся вопросами обеспечения безопасности. Повышение их профессионального мастерства позволяет внедрять новые системы безопасности.

  5. Информационные средства. Печатная и видеопродукция по вопросам сохранения конфиденциальной информации.

  6. Технические средства. Охранно-пожарные системы, видео-радиоаппаратура, средства обнаружения взрывных устройств, бронежилеты, заграждения и т.д.

Следует заметить, что применение каждого из вышеуказанных средств в отдельности не дает необходимого эффекта, он возможен только на комплексной основе. В то же время, одновременное внедрение всех вышеуказанных средств в принципе невозможно. Обычно проходит ряд этапов:

I этап. Выделение финансовых средств.

II этап. Разработка системы правовых средств.

III этап. Формирование кадровых и организационных средств.

IV этап. Привлечение информационных и технических средств.

Раздел 4. Нормативно-правовое обеспечение информационной безопасности

4.1 Нормативно-правовые акты в области защиты информации.

Базовым принципом построения системы ИБ является принцип законности. Этот принцип является конституционным, т.е. основанным на конституционных нормах. В соответствии с ним, меры по обеспечению безопасности должны разрабатываться на основе и в рамках действующих правовых актов. Локальные правовые акты не должны противоречить федеральным законам и подзаконным актам. Основой для реализации данного принципа является нормативно-правовая и нормативно-техническая база в области защиты информации.

Нормативно-правовую базу регулирующие правовые отношения в области защиты информации (ЗИ) составляют следующие документы федерального уровня:

  • Федеральные законы.

  • Указы президента Российской Федерации.

  • Постановления правительства Российской Федерации.

Нормативно-техническую базу составляют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты:

  • Национальные стандарты Российской Федерации.

  • Требования и рекомендации по защите информации.

  • Нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.

Структура государственных стандартов, используемых в области защиты информации.

  • Стандарты, определяющие терминологию и общие положения по организации защиты информации. Рекомендации по стандартизации.

  • Комплекс стандартов и руководящих документов Госстандарта России на автоматизированные системы.

  • Критерии оценки безопасности информационных технологий («Общие критерии»).

  • Стандарты, определяющие общие требования по защите информации при ее обработке средствами вычислительной техники (СВТ) от утечки по каналам ПЭМИН (побочные электромагнитные излучения и наводки) и методы испытаний.

  • Стандарты по ЭМС10, определяющие предельно допустимые уровни создаваемых техническими средствами (ТС) помех (ПЭМИН) и методы их испытаний.

  • Стандарты, определяющие методы измерения шума на рабочих местах.

  • Стандарты Единой системы конструкторской документации (ЕСКД).

  • Нормы проектирования помещений для хранения секретных документов и работы с ними (строительные нормы и правила - СНиП 2.01.50-83).

Основные положения нормативных правовых актов в области защиты информации.

  • Установление прав и обязанностей субъектов правоотношений в области информатизации и защиты информации.

  • Разделение информации в зависимости от категории доступа к ней на общедоступную и ограниченного доступа.

  • Обязательность соблюдения конфиденциальности информации ограниченного доступа.

  • Условия отнесения информации к различным видам тайн, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

  • Государственное регулирование отношений в сфере ЗИ путем установления требований к защите информации, а также ответственности за нарушения законодательства РФ об информации, информационных технологиях и защите информации.

  • Порядок организации работ по защите информации, структуру и основные функции государственной системы защиты информации от утечки по техническим каналам.

Документом, регулирующем отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, а также при применении информационных технологий и при обеспечении ЗИ является Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации».

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

  • обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

  • формирование и защита государственных информационных ресурсов;

  • создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;

  • создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;

  • обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

  • содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

  • формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития ИТ;

  • поддержка проектов и программ информатизации;

  • создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

  • развитие законодательства в сфере информационных процессов, информатизации и ЗИ.

Ограничение доступа к информации (возможность получения информации и ее использование), устанавливается ФЗ РФ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Требования о ЗИ, содержащейся в государственных ИС, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической ЗИ, в пределах их полномочий. При создании и эксплуатации государственных ИС, используемые в целях ЗИ методы и способы ее защиты должны соответствовать указанным требованиям.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Принятие правовых, организационных и технических мер направленно: на обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; на соблюдение конфиденциальности информации ограниченного доступа; на реализацию права на доступ к информации.

Нарушение требований в сфере информации, информационных технологий и защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности