Узнать стоимость
×
Услуги и цены
Способы оплаты
Гарантии
Отзывы
Вакансии
Контакты
+79062884040
+79062884040
Москва
Услуги и цены
меню
Главная » Справочник » Организационно-правовые основы защиты конфиденциальной информации » Нормативно-правовое обеспечение мероприятий технической защиты информации

Нормативно-правовое обеспечение мероприятий технической защиты информации

Под нормативным обеспечением будем понимать совокупность законодательных актов, нормативных правовых документов, положений, инструкций, требования которых являются обязательными в рамках деятельности организации (предприятия) при решении вопросов защиты информации.

Нормативно-методическое обеспечение системы защиты информации представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование системы защиты информации, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование системы защиты информации.

К содержанию нормативно-методических документов по защите информации предъявляются определенные требования.  Информационная система должна быть защищена путем внедрения продуманных правил безопасности. Система защиты информации должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту.

Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации.

Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).

Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:

  • соответствовать структуре, целям и задачам предприятия;
  • описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;
  • перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;
  • определять ответственных за внедрение и эксплуатацию всех средств защиты;
  • определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

В результате нормативное обеспечение организации (предприятия) и их информационных систем и технологий формирует основу применения способов и средств защиты информации, способствующих решению большинства задач защиты информации.

Это объясняется тем, что данный вид обеспечения:

  • связывает воедино комплекс организационных мероприятий с техническими процедурами защиты информации;
  • обеспечивает единый подход ко всем составляющим процесса обеспечения защиты информации;
  • наполняет абстрактную модель защиты информации конкретными организационными, техническими, режимными и иными мероприятиями по защите информации;
  • определяет функциональные обязанности подразделений организации (предприятия) и отдельных сотрудников по защите информации;
  • создает базу для расследования инцидентов, связанных с нарушением режима защиты информации;
  • определяет ответственность сотрудников организации (предприятия) за нарушения в области безопасности информации;
  • определяет категории информации, правила её защиты информации, а также правила использования средств защиты информации.

Целями нормативного обеспечения безопасности информации внутри организации (предприятия) являются:

  • урегулирование отношений в области обеспечения безопасности информации между подразделениями организации (предприятия);
  • устранение отдельных противоречий и пробелов в нормативных актах государства;
  • конкретизация норм, устанавливающих ответственность за правонарушения в области обеспечения безопасности информации;
  • разграничение полномочий в области обеспечения безопасности информации между руководящими структурами организации (предприятия).

Прежде чем приступить к разработке документов, определяющих порядок защиты информации, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле.

Целесообразно обратить внимание на следующие вопросы:

  • принадлежность информации (об информации обязан заботиться тот, кому она принадлежит);
  • определение важности информации (пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней).

Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база.

К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), ГОСТы. Во второй компонент могут входить документы министерств и ведомств (ФСТЭК, ФСБ, ФСО, Роскомнадзор и др.), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных.

Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

  • какие информационные ресурсы защищаются;
  • какие программы можно использовать на служебных компьютерах;
  • что происходит при обнаружении нелегальных программ или данных;
  • дисциплинарные взыскания и общие указания о проведении служебных расследований;
  • на кого распространяются правила;
  • кто разрабатывает общие указания;
  • точное описание полномочий и привилегий должностных лиц;
  • кто может предоставлять полномочия и привилегии;
  • порядок предоставления и лишения привилегий в области безопасности;
  • полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
  • особые обязанности руководства и служащих по обеспечению безопасности;
  • объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
  • дата ввода в действие и даты пересмотра;
  • кто и каким образом ввел в действие эти правила.

Анализ федеральных нормативных документов показывает, что:

  • во-первых, эти документы носят концептуальный и (или) рамочный характер;
  • во-вторых, большое внимание уделяется защите интересов государства в процессе обеспечения безопасности информационной, при взаимодействии с организациями, ведущими деятельность по защите информации и т. д.

Кроме того, эти документы определяют порядок разработки, использования и распространения средств защиты информации, устанавливают уровень ответственности лиц и организаций за нарушение законодательства, определяют права лиц и организаций в отношении государства при проведении работ по обеспечению информационной безопасности.

Предыдущая статья Информация как объект защиты Следующая статья Принципы технической защиты информации
Статьи по теме
Полезные статьи
Узнайте цену услуг:
Консультации:
Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)