Нормативно-правовое обеспечение мероприятий технической защиты информации
Под нормативным обеспечением будем понимать совокупность законодательных актов, нормативных правовых документов, положений, инструкций, требования которых являются обязательными в рамках деятельности организации (предприятия) при решении вопросов защиты информации.
К содержанию нормативно-методических документов по защите информации предъявляются определенные требования. Информационная система должна быть защищена путем внедрения продуманных правил безопасности. Система защиты информации должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту.
Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).
Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:
- соответствовать структуре, целям и задачам предприятия;
- описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;
- перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;
- определять ответственных за внедрение и эксплуатацию всех средств защиты;
- определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.
В результате нормативное обеспечение организации (предприятия) и их информационных систем и технологий формирует основу применения способов и средств защиты информации, способствующих решению большинства задач защиты информации.
Это объясняется тем, что данный вид обеспечения:
- связывает воедино комплекс организационных мероприятий с техническими процедурами защиты информации;
- обеспечивает единый подход ко всем составляющим процесса обеспечения защиты информации;
- наполняет абстрактную модель защиты информации конкретными организационными, техническими, режимными и иными мероприятиями по защите информации;
- определяет функциональные обязанности подразделений организации (предприятия) и отдельных сотрудников по защите информации;
- создает базу для расследования инцидентов, связанных с нарушением режима защиты информации;
- определяет ответственность сотрудников организации (предприятия) за нарушения в области безопасности информации;
- определяет категории информации, правила её защиты информации, а также правила использования средств защиты информации.
Целями нормативного обеспечения безопасности информации внутри организации (предприятия) являются:
- урегулирование отношений в области обеспечения безопасности информации между подразделениями организации (предприятия);
- устранение отдельных противоречий и пробелов в нормативных актах государства;
- конкретизация норм, устанавливающих ответственность за правонарушения в области обеспечения безопасности информации;
- разграничение полномочий в области обеспечения безопасности информации между руководящими структурами организации (предприятия).
Прежде чем приступить к разработке документов, определяющих порядок защиты информации, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле.
Целесообразно обратить внимание на следующие вопросы:
- принадлежность информации (об информации обязан заботиться тот, кому она принадлежит);
- определение важности информации (пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней).
Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?
К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), ГОСТы. Во второй компонент могут входить документы министерств и ведомств (ФСТЭК, ФСБ, ФСО, Роскомнадзор и др.), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных.
Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
- какие информационные ресурсы защищаются;
- какие программы можно использовать на служебных компьютерах;
- что происходит при обнаружении нелегальных программ или данных;
- дисциплинарные взыскания и общие указания о проведении служебных расследований;
- на кого распространяются правила;
- кто разрабатывает общие указания;
- точное описание полномочий и привилегий должностных лиц;
- кто может предоставлять полномочия и привилегии;
- порядок предоставления и лишения привилегий в области безопасности;
- полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
- особые обязанности руководства и служащих по обеспечению безопасности;
- объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
- дата ввода в действие и даты пересмотра;
- кто и каким образом ввел в действие эти правила.
Анализ федеральных нормативных документов показывает, что:
- во-первых, эти документы носят концептуальный и (или) рамочный характер;
- во-вторых, большое внимание уделяется защите интересов государства в процессе обеспечения безопасности информационной, при взаимодействии с организациями, ведущими деятельность по защите информации и т. д.
Кроме того, эти документы определяют порядок разработки, использования и распространения средств защиты информации, устанавливают уровень ответственности лиц и организаций за нарушение законодательства, определяют права лиц и организаций в отношении государства при проведении работ по обеспечению информационной безопасности.
- Государственный контроль и надзор за соблюдением правил аттестации
- Аттестация объектов информатизации
- Система обеспечения информационной безопасности РФ
- Эволюция места и роли информационной безопасности в системе обеспечения национальной безопасности
- Вопросы информационной безопасности в перечне национальных интересов РФ
- Требования к технической защите информации
- Принципы технической защиты информации
- Цели и задачи технической защиты конфиденциальной информации
- Информация как объект защиты
- Оформление отчета по практике по ГОСТу 2021/2022
- Оформление ВКР по ГОСТу
- Как составить бизнес-план своими силами
- Оформление эссе по ГОСТу
- Оформление презентации по ГОСТу
- Оформление статьи по ГОСТу
- Оформление дипломной работы по ГОСТ 2021/2022
- Оформление курсовой работы по ГОСТу
- Оформление контрольной работы по ГОСТу