- •Правовое обеспечение информационной безопасности
- •Раздел 1. Содержание и задачи дисциплины. Её особенности и связь с другими дисциплинами. Методические рекомендации по изучению………………………………………...11
- •Раздел 2. Основные понятия в области организационно-правового обеспечения информационной безопасности….15
- •Раздел 3. Основы теории государства и права как фундаментальной дисциплины для изучения организационно-правового обеспечения информационной безопасности….41
- •Раздел 4. Система законодательного регулирования общественных отношений в области обеспечения информационной безопасности…………………………………………….55
- •Раздел 5. Конституционные основы обеспечения информационной безопасности в рф…………………………………..60
- •Раздел 6. Регламентация вопросов обеспечения информационной безопасности в Гражданском кодексе рф……….75
- •Раздел 7. Регламентация вопросов обеспечения информационной безопасности в Уголовном кодексе рф…………..77
- •Раздел 8. Закон рф «о государственной тайне»…………...78
- •Раздел 9. Федеральные законы «Об информации, информатизации и защите информации» и «Об участии в международном информационном обмене»…………………………..93
- •Раздел 10. Законы рф «Об авторском праве и смежных правах», «о правовой охране программ для электронно-вычислительных машин и баз данных»…………………...103
- •Раздел 11. Регламентация вопросов зи в Федеральных законах общего характера
- •Раздел 12. Международное законодательство в области обеспечения информационной безопасности и защиты информации………………………………………………………134
- •Введение
- •Раздел 1. Содержание и задачи дисциплины. Её особенности и связь с другими дисциплинами. Методические рекомендации по изучению
- •Цели и задачи преподавания дисциплины
- •Требования к уровню освоения содержания дисциплины
- •Рекомендуемый перечень тем практических занятий
- •1.3.1. Работа с информационно-справочными системами и базами данных по законодательно-правовым документам в области информационной
- •1.3.2. Разработка рекомендаций по информационной безопасности на конкретных объектах
- •Дополнительный учебно-методический материал
- •Раздел 2. Основные понятия в области организационно-правового обеспечения информационной безопасности
- •2.1. Законодательство рф в области информационной безопасности, защиты государственной тайны и конфиденциальной информации
- •2.2. Защита информации. Процесс зи, обеспечение и обслуживание процесса зи, управление процессом зи, координация деятельности в области зи
- •2.3. Системы защиты информации. Государственная система зи (гсзи). Целевые (объектные) и функциональные подсистемы зи
- •2.3.1. Системы защиты информации
- •2.3.2. Государственная система зи
- •2.3.3. Целевые (объектные) и функциональные подсистемы гсзи
- •2.4. Системы систем подготовки кадров в области зи, систем лицензирования, сертификации, аттестации, проведения ниокр, оказания услуг в области зи. Система документов в области зи
- •2.4.1. Система подготовки кадров в области зи
- •2.4.2. Положение о государственном лицензировании деятельности в области защиты информации
- •2.4.3. Положение о сертификации средств защиты информации
- •2.4.4. Объект аттестации
- •2.4.5. Система проведения ниокр (Научно-Исследовательской Окончательной Конструкторской Работы)
- •2.4.6. Система документов в области зи
- •Раздел 3. Основы теории государства и права как фундаментальной дисциплины для изучения организационно-правового обеспечения информационной безопасности
- •3.1. Место теории государства и права в системе юридических наук
- •3.2. Основные понятия теории государства и права
- •3.3. Правовые отношения. Виды правовых отношений в сфере зи
- •3.4. Правовые нормы
- •3.5. Методы правового регулирования общественных отношений
- •3.6. Право, ограничение права, обязанность, ответственность в сфере информационных отношений
- •3.7. Классификация отраслей права
- •Раздел 4. Система законодательного регулирования общественных отношений в области обеспечения информационной безопасности
- •Концепция построения системы законодательного регулирования общественных отношений в области обеспечения информационной безопасности
- •Роль и место Конституции рф, конституционных законов
- •4.2.2. Роль и место гражданского, уголовного кодексов и кодекса об административной ответственности
- •4.2.3. Другие законы
- •Раздел 5. Конституционные основы обеспечения информационной безопасности в рф
- •5.1. Основы конституционного строя
- •5.2. Права и свободы человека и гражданина как важнейшего субъекта зи
- •5.3. Федеративное устройство России и его влияние на организацию зи
- •Раздел 6. Регламентация вопросов обеспечения информационной безопасности в Гражданском кодексе рф
- •6.1. Информация как объект гражданских прав
- •6.2. Виды информации, подлежащие защите в процессе обычного гражданского оборота
- •6.3. Регламентация вопросов защиты служебной, коммерческой и банковской тайны, интеллектуальной собственности
- •6.4. Использование электронно-цифровой подписи при совершении сделок
- •Раздел 7. Регламентация вопросов обеспечения информационной безопасности в Уголовном кодексе рф
- •7.1. Виды ответственности за преступления в информационной сфере
- •Раздел 8. Закон рф «о государственной тайне»
- •8.1. Система защиты государственной тайны
- •8.2. Перечень сведений составляющих государственную тайну. Отнесение сведений к государственной тайне и их засекречивание
- •8.3. Отнесение сведений к государственной тайне и их засекречивание
- •8.4. Рассекречивание сведений и их носителей
- •8.5. Распоряжение сведениями, составляющими государственную тайну
- •8.6. Правовой режим защиты государственной тайны
- •8.7. Финансирование мероприятий по защите государственной тайны
- •Раздел 9. Федеральные законы «Об информации, информатизации и защите информации» и «Об участии в международном информационном обмене»
- •9.1. Информационные ресурсы как объект защиты
- •9.2. Классификация информационных ресурсов
- •9.3. Государственные и негосударственные информационные ресурсы.
- •9.4. Персональные данные
- •9.5. Пользование информационными ресурсами
- •9.6. Информатизация, информационные системы и средства их обеспечения
- •9.7. Защита информации и прав субъектов информационных отношений. Системы защиты информационных ресурсов
- •Раздел 10. Законы рф «Об авторском праве и смежных правах», «о правовой охране программ для электронно-вычислительных машин и баз данных»
- •10.1. Предмет регулирования авторского права.
- •10.2. Сфера действия авторского права
- •10.3. Объект авторского права
- •10.4. Смежные права. Сфера действия смежных прав. Субъекты смежных прав
- •Субъекты действия смежных прав
- •10.5. Нарушение авторских и смежных прав. Защита авторских и смежных прав
- •Технические средства защиты авторского права и смежных прав
- •Гражданско-правовые способы защиты авторского права и смежных прав
- •Конфискация контрафактных экземпляров произведений или фонограмм
- •10.6. Исключительные авторские права программы для эвм и базы данных
- •10.6.1. Объект правовой охраны
- •Раздел 11. Регламентация вопросов защиты информации в Федеральных законах общего характера
- •11.1. Основные нормы и требования по зи, содержащиеся в законах
- •11.1.1. Основные нормы и требования по зи, содержащиеся в законе "о безопасности"
- •11.1.2. Основные нормы и требования по зи, содержащиеся в законе "Об обороне"
- •11.1.3. Основные нормы и требования по зи, содержащиеся в законе "о Федеральной службе безопасности в Российской Федерации"
- •11.1.4. Основные нормы и требования по зи, содержащиеся в законе "о внешней разведке"
- •11.1.5. Основные нормы и требования по зи, содержащиеся в законе "о милиции"
- •11.1.6. Основные нормы и требования по зи, содержащиеся в законе "о конверсии оборонной промышленности в Российской Федерации"
- •11.1.7. Основные нормы и требования по зи, содержащиеся в законе "о закрытом административно-территориальном образовании"
- •11.1.8. Основные нормы и требования по зи, содержащиеся в законе “о связи”
- •11.1.9. Основные нормы и требования по зи, содержащиеся в законе "о рекламе"
- •11.1.10. Основные нормы и требования по зи, содержащиеся в законе "о недрах"
- •Раздел 12. Международное законодательство в области обеспечения информационной безопасности и защиты информации
- •12.1. Принципы правового регулирования вопросов обеспечения информационной безопасности и зи в сша, Франции, Великобритании, фрг и других государствах Правовой режим персональных данных в сша
- •Правовое регулирование Франции
- •Правовое регулирование Великобритании
- •Правовое регулирование в фрг
- •Правовое регулирование других стран
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
2.3. Системы защиты информации. Государственная система зи (гсзи). Целевые (объектные) и функциональные подсистемы зи
2.3.1. Системы защиты информации
Процесс ЗИ не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле состояния защиты, выявлении ее узких и слабых мест и противоправных действий;
Защита информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.
Никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
- активной. Защищать информацию необходимо достаточной степенью настойчивости;
- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообуславливающих друг друга сторон, свойств, тенденций.
Для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
- охватывать весь технологический комплекс информационной деятельности;
- быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
- быть открытой для изменения и дополнения мер обеспечения безопасности информации;
- быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
- быть простой для технического обслуживания и удобной для эксплуатации пользователями;
- быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
- быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
К системе безопасности информации предъявляются также определенные требования:
- четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
- предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
- сведение к минимуму числа общих для нескольких пользователей средств защиты;
- учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
- обеспечение оценки степени конфиденциальной информации;
- обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого ЗИ может иметь:
- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования (как государственные, так и данного региона или города), которые являются обязательными в рамках сферы их действий;
- организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными региональными (муниципальными) структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СИБ;
- информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и региональные (муниципальные) системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности региональных (муниципальных) органов и служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Таким образом, под системой защиты информации будем понимать совокупность органов и (или) исполнителей, используемой ими техника защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области ЗИ.
Система защиты информации имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий, организовываются и эффективно функционируют на всех этапах ее существования и во всех фрагментах системы, в которых циркулирует, обрабатывается и хранится информация, подлежащая защите.
Рис.2.Виды систем ЗИ
Наиболее важные из них государственные, так как они находятся на самом верхнем уровне и являются основными.