- •План лекции
- •1. Правовые аспекты защиты информации
- •1.1. Национальная и государственная безопасность (государственный уровень)
- •1.2. Безопасность коммерческих структур (коммерческий уровень).
- •2. Международная практика правового обеспечения информационной безопасности
- •2.1.Защита прав личности в информационной сфере.
- •2.1.1. Защита прав личности на доступ к информации, ее получение и распространение.
- •2.1.2.. Защита права на неприкосновенность частной жизни.
- •2.1.3. Защита права на личную информацию ограниченного доступа.
- •2.1.4. Защита права личности на интеллектуальную собственность.
- •2.2. Защита государственных интересов
- •2.3. Защита предпринимательской и финансовой деятельности.
- •2.4. Защита информации от компьютерных преступлений.
- •2. Современные направления развития правовое базы обеспечения
- •3. Организационные структуры государственной системы обеспечения информационной безопасности на уровне федеральных органов исполнительной власти.
- •3.1. Службы контроля и надзора органа исплнительной власти
- •3.2. Специализированные предприятия — разработчики комплексов и средств обеспечения,
- •3.3. Сертификационно-испытательные центры и лаборатории
- •3.4. Аттестационные центры
- •3.5. Службы безопасности и защиты информации предприятий и организаций
3.3. Сертификационно-испытательные центры и лаборатории
Сертификанионно-испытательные центры и лаборатории занимают особое место среди предприятий и организаций — лицензиатов в области обеспечения безопасности и защиты информации.
Эти организационные структуры обеспечивают необходимую поддержку такой функции государственно-общественного регулирования в области информационной безопасности, как сертификацию средств и оценки качества оказания услуг по защите информации.
Наряду с лицензированием своей деятельности в области защиты информации указанные центры и лаборатории должны пройти дополнительно обязательную организационно-правовую процедуру — аккредитацию в
качестве сертификационно-испытательных структур, которая в настоящее время осуществляется исключительно уполномоченными органами исполнительной власти.
Реформа законодательства о техническом регулировании пока не дает четкой правовой основы использования обязательной сертификации как механизма независимого подтверждения качества продукции и услуг в области информационной безопасности, но и не отменяет возможность применения такого механизма, по крайней мере в системе сертификации продукции, работ и услуг, средств и комплексов защиты сведений, составляющих государственную тайну. Наработанные практикой за более чем десятилетний период организационно- технологические процедуры в целом могут также с успехом применяться в системах добровольной сертификации. Поэтому существующие сертификационно- испытательные центры (лаборатории) по-прежнему будут играть ключевую роль в процессах подтверждения соответствия средств, комплексов и систем защиты установленным Требованиям по безопасности информации.
3.4. Аттестационные центры
Аттестационные центры наряду с сертификацией средств, работ и услуг в области обеспечения информационной безопасности осуществляют относительно похожие процедуры подтверждения соответствия, называемые аттестацией объектов информатизации.
Как правило, по объему и характеру работ традиционные аттестационные центры (лаборатории) не имеют существенных отличительных особенностей по сравнению с сертификационно-испытательными центрами, а наиболее известные отечественные компании — поставщики услуг в области защиты информации — имеют аккредитацию по обоим видам деятельности и, соответственно, примерно одинаковую номенклатуру основных должностей.
Активно развивается также рынок образовательных услуг в области информационной безопасности по повышению квалификации специалистов, руководителей служб безопасности, руководителей 1Т-подразделений, пользователей средств защиты, так как необходимым условием для получения лицензии на деятельность в области защиты информации является наличие персонала необходимого уровня квалификации и подготовки.
3.5. Службы безопасности и защиты информации предприятий и организаций
Службы безопасности и защиты информации предприятий и организаций
независимо от вида деятельности и форм собственности являются самой распространенной организационной структурой в рассматриваемой области общественной деятельности и по существу составляют основу всей системы обеспечения информационной безопасности предприятий, организаций и страны в целом.
Непосредственная деятельность по организации функционирования и эксплуатации комплексов обеспечения информационной безопасности осуществляется штатными специалистами соответствующих структурных подразделений. Они должны иметь определенную квалификацию в соответствии с требованиями, установленными номенклатурой должностей и служащих.