Добрый день, уважаемые слушатели!
Наша сегодняшняя лекция будет посвящена организационным мерам защиты
информации как одному из больших классов меры защиты информации,
которые мы перечислили на предыдущей лекции.
Содержание нашей сегодняшней лекции будет следующим: мы поговорим о законодательных
мерах защиты информации; подробно рассмотрим административные
меры защиты информации; уделим внимание управлению рисками; политике безопасности
организации; управлению персоналом; и планированию действий в чрезвычайных
ситуациях.
И затем рассмотрим организационно-технические меры защиты
информации, а конкретно остановимся на физической защите объекта информатизации и
на защите поддерживающей инфраструктуры.
Прежде всего, рассмотрим законодательные меры защиты информации,
о которых мы уже начали говорить в прошлый раз.
Основным источником законодательных мер защиты информации
является практически одноименный закон – Федеральный закон об информации,
информационных технологиях и о защите информации, с которым мы уже знакомы,
но в нем явным образом содержится словосочетание «защита информации», это
основной нормативный акт, регламентирующий действия в области защиты информации.
Сегодня нас с вам будет более всего интересовать статья 16 и
последующие статьи, посвященные именно защите информации.
16-я статья данного закона так и называется: «Защита информации»,
и она утверждает, что защита информации представляет собой совокупность правовых,
организационных и технических мер защиты информации.
Часть из них входит в ту терминологию,
которую мы с вами рассмотрели в прошлый раз.
Правовые – это аналог законодательных.
Организационные – включают в себя в широком смысле все организационные меры.
А технические, соответственно, – аналог категории програмно-технических мер,
то есть различных мер, включающих использование различных программных,
програмно-аппаратных или чисто технических устройств специальных средств.
Данная статья утверждает, что перечисленные меры направлены на
достижение следующих задач: 1) обеспечение защиты информации от неправомерных
действий в отношении такой информации, то есть, по сути, обеспечения ее целостности;
2) соблюдение конфиденциальности информации ограниченного доступа, то есть,
явно соблюдение конфиденциальности информации; 3) реализацию права на
доступ к информации, то есть, по сути, обеспечение ее доступности.
Также данная статья утверждает,
что государственное регулирование отношений в сфере защиты информации
осуществляется путем установления требований о защите информации,
а также ответственности за нарушение законодательства Российской Федерации об
информации, информационных технологиях и о защите информации.
По сути, данная статья утверждает то деление законодательных мер на две части,
о которых мы говорили в прошлый раз.
Часть из них – так называемая конструктивная – утверждает что требуется
делать в области защиты информации и это соответствует словосочетанию «установление
требований о защите информации», а вторая часть устанавливает ответственность за
нарушение требований по защите информации, и, по сути, в данной статье
утверждается словосочетанием «установление ответственности за
нарушение законодательства в области защиты информации».
Данная статья устанавливает обязательства обладателя информации
или оператора информационной системы в ряде случаев, установленных
законодательством Российской Федерации, например в случае обработки персональных
данных в информационной системе какого-то объекта, какой-то организации.
Некоторые из таких обязательств перечислены на слайде.
Так, обладатель информации обязан осуществить предотвращение
несанкционированного доступа к информации или передачи ее лицам, не имеющим права на
доступ к информации, то есть, по сути, обеспечить ее конфиденциальность.
Обязан он также своевременно обнаруживать факты несанкционированного доступа
к информации, то есть предпринимать усилия для того,
чтобы нарушение ее конфиденциальности не оставалось незамеченным.
Не допускать воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование,
то есть обеспечить доступность информации путем корректного функционирования
объекта информатизации и его информационной системы.
Обязан он также обеспечить возможность незамедлительного
восстановления информации, модифицированной или уничтоженной
вследствие несанкционированного доступа к ней,
то есть принять меры для восстановления ее целостности и, возможно, доступности.
И наконец, обязан он обеспечить постоянный контроль за обеспечением уровня
защищенности информации, то есть обязан постоянно следить за тем,
насколько обеспечивается защита информации,
предпринимать для этого соответствующие меры, и, так сказать,
держать руку на пульсе, быть в курсе ситуации.
Требования о защите информации,
содержащейся в государственных информационных системах, устанавливаются
специальными уполномоченными федеральными органами государственной власти,
которых в данном законе указано два: федеральная служба по техническому
экспортному контролю и федеральная служба безопасности.
При создании эксплуатации государственных информационных систем,
используемые в целях защиты информации методы и способы ее защиты
должны соответствовать указанным требованиям.
В частности, такие требования содержатся в приказе федеральной службы по техническому
экспортному контролю России, ФСТЭК России.
Статья 17 того же закона устанавливает принципы ответственности за
нарушение требований по защите информации.
Так, она утверждает, что за нарушение требований настоящего
Федерального закона может следовать дисциплинарная, гражданско-правовая,
административная или даже уголовная ответственность в соответствии с
законодательством Российской Федерации.
На этом слайде вы видите ряд примеров деяний,
являющихся уголовнонаказуемыми и относящихся к категории нарушения
различных аспектов информационной безопасности.
Это, например, нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений, то есть, по сути,
реализация несанкционированного доступа к информации при определенных условиях.
Следующее деяние – незаконный оборот специальных технических средств –
предназначено для негласного получения информации, то есть использования средств
технической разведки, по сути.- Нарушение изобретательских и патентных прав.
- Мошенничество в сфере компьютерной информации.- Неправомерный оборот средств
платежей.
Некоторые из данных деяний не напрямую связаны, именно с, например,
информационной безопасностью, с компьютерной безопасностью, но включают
различные неправомерные действия с информацией как составную часть.
Еще ряд примеров это:- разглашение государственной тайны;- неправомерный
доступ к компьютерной информации; - создание, использование,
распространение вредоносных компьютерных программ; а также- нарушение
правил эксплуатации средств хранения, обработки
или передачи компьютерной информации и информационно-телекоммуникационных сетей.
Ну и отдельно еще можно упомянуть, что многие статьи Уголовного кодекса
Российской Федерации включают различные деяния,
включающие нарушение безопасности информации, как составную часть,
например мошенничество, различные виды незаконного обогащения, различные прочие
уголовные преступления, в которых неправомерный доступ к информации,
например, является просто инструментом достижения конечной цели нарушителя.
Законодательные меры защиты информации, как мы увидим в дальнейшем,
являются достаточно мощной опорой для административных мер защиты информации,
то есть тем источником, с одной стороны – требований, с другой стороны – санкций,
на которые можно ссылаться, разрабатывая различные решения
в рамках уже конкретной организации, о которых мы далее и поговорим.
[МУЗЫКА]