Слайд 1Лекция 2:
«Правовая и организационная защита информации»
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
Слайд 2Учебные вопросы:
Содержание правовой защиты информации.
Основные законодательные акты в области информационной безопасности.
Ответственность за нарушение законодательства в информационной сфере.
Регулирование процессов защиты информации на предприятиях.
Разработка внутренней организационно-распорядительной документации по ЗИ.
Организационная защита информации.
Слайд 3Вопрос 1: «Содержание правовой защиты информации»
Правовая защита информации - защита информации
правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
(ГОСТ Р 50922-2006)
Слайд 5Вопрос 2: «Основные законодательные акты в области информационной безопасности»
Гражданский кодекс Российской
Федерации.
Кодекс Российской Федерации об административных правонарушениях.
Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № Пр-1895.
Федеральный закон № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и защите информации».
Слайд 6ФЗ № 17-ФЗ от 3 февраля 1996 г. «О банках и
банковской деятельности».
ФЗ № 63-ФЗ от 6 апреля 2011 г. «Об электронной подписи».
Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных».
Федеральный закон № 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне».
Федеральный закон № 126-ФЗ от 7 июля 2003 г. «О связи».
Слайд 7Федеральный закон № 125-ФЗ от 1 октября 2004 г. «Об архивном
деле в Российской Федерации».
Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности».
Закон РФ № 5485-1 от 21 июля 1993 г. «О государственной тайне».
Закон РФ от 11.03.92 г. № 2487-1 «О частной детективной и охранной деятельности».
Слайд 8
ISO/IEC 27001 — «ИТ. Методы обеспечения безопасности. Системы управления ИБ. Требования."
Стандарт по которому организация может быть сертифицирована (опубликован в 2005);
ISO/IEC 27002 — «ИТ. Методы обеспечения безопасности. Практические правила управления информационной безопасностью.;
ISO/IEC 27003 — «ИТ. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента ИБ"; (Опубликован в январе 2010)
ISO/IEC 27004 — «ИТ. Методы обеспечения безопасности. Измерение эффективности системы управления ИБ." (Опубликован в январе 2010)
ISO/IEC 27005 — «ИТ. Методы обеспечения безопасности. Управление рисками информационной безопасности." (опубликовано в 2008)
ISO/IEC 27006 — "Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью" (опубликовано в 2007);
Слайд 9Вопрос 3: «Ответственность за нарушение законодательства в информационной сфере»
Виды ответственности:
Дисциплинарная ответственность возникает вследствие совершения дисциплинарных проступков.
Материальная ответственность рабочих и служащих за ущерб, нанесенный предприятию, учреждению, заключается в необходимости возместить ущерб в порядке, установленном законом.
Слайд 10Гражданско-правовая ответственность наступает за нарушения договорных обязательств имущественного характера или за
причинение имущественного внедоговорного вреда.
Административно-правовая ответственность наступает за совершение административных проступков, предусмотренных КОАП.
Уголовная ответственность наступает за совершение преступлений и устанавливается только уголовным законом.
Слайд 11Кодекс РФ об административных правонарушениях
Статья 13.11. Нарушение установленного законом порядка
сбора, хранения, использования или распространения информации о гражданах (персональных данных)
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
Слайд 12Статья 13.12. Нарушение правил защиты информации
Статья 13.13. Незаконная деятельность в области
защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом :
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц - от сорока до пятидесяти минимальных размеров оплаты труда.
Слайд 13Уголовный Кодекс Российской Федерации
Статья 138. Нарушение тайны переписки, телефонных переговоров,
почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.
Слайд 142. То же деяние, совершенное лицом с использованием своего служебного положения
или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев.
3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Слайд 15Статья 155. Разглашение тайны усыновления (удочерении)
Разглашение тайны усыновления (удочерения) вопреки воле
усыновителя, совершенное лицом, обязанным хранить факт усыновления (удочерения) как служебную или профессиональную тайну, либо иным лицом из корыстных или иных низменных побуждений, — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Слайд 16Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую
тайну.
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.
Слайд 172. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую
тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, - наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.
Слайд 183. Те же деяния, причинившие крупный ущерб или совершенные из корыстной
заинтересованности, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, - наказываются лишением свободы на срок до десяти лет.
Слайд 19Ответственность за преступления в сфере компьютерной информации
Статья 272. Неправомерный доступ к
компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
Слайд 202. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Слайд 21Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
1. Создание
программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Слайд 22Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
1.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование, модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными работами на срок от 180 до 240 часов, либо ограничением свободы на срок до 2 лет.
Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок до 4 лет.
Слайд 23Вопрос 4: «Регулирование процессов защиты информации на предприятиях»
Механизм защиты коммерческой
тайны предприятия предусматривает наличие:
нормы права, направленные на защиту интересов ее владельцев;
нормы, установленные руководством предприятия, (приказы, распоряжения, инструкции и т.д.);
специальные структурные подразделения, обеспечивающие соблюдение этих норм (подразделения режима, службы безопасности и т.п.).
Слайд 24Требования к оформлению внутренних документов организации
Ввести в Устав предприятия в раздел
«Права и обязанности предприятия»: «Предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну», требовать от сотрудников предприятия обеспечения ее сохранности». «Предприятие обязано обеспечить сохранность коммерческой тайны»
Слайд 25Требования к оформлению внутренних документов организации
Дополнить «Коллективный договор» требованиями в раздел
«Предмет договора»: «Администрация предприятия обязуется обеспечить разработку и осуществление мероприятий по определению и защите коммерческой тайны. Трудовой коллектив принимает на себя обязательство по соблюдению установленных на предприятии требований по защите коммерческой тайны».
В раздел «Кадры»: «Администрация обязуется привлекать нарушителей требований по защите коммерческой тайны к административной и уголовной ответственности в соответствии с действующим законодательством».
Слайд 26Требования к оформлению внутренних документов организации
Дополнить Правила внутреннего распорядка для рабочих
и служащих следующими требованиями: «При поступлении рабочего или служащего на работу, переходе его на другую работу, а также при увольнении, администрация обязана проинструктировать работника по правилам сохранения КТ с оформлением письменного обязательства о ее неразглашении.
Администрация предприятия вправе принимать решение об отстранении от работ, связанных с КТ, которые нарушают установленные требования по ее защите».
Слайд 27Обязательства рабочих и служащих:
не разглашать коммерческую тайну организации третьим лицам или
публично без согласия администрации;
сохранять коммерческую тайну тех организаций, с которыми имеются деловые связи;
выполнять требования приказов и инструкций по защите коммерческой тайны предприятия;
не использовать конфиденциальные сведения организации, занимаясь другой деятельностью (ущерб от конкурентного действия);
Слайд 28Обязательства рабочих и служащих:
незамедлительно извещать службу безопасности предприятия о попытках посторонних
лиц получить закрытую информацию;
незамедлительно извещать об утрате носителей конфиденциальной информации и другие факты нарушения режима ее защиты;
при увольнении все носители сведений, с которыми работал сотрудник, передаются соответствующему должностному лицу;
работник предупрежден о наступлении гражданской, административной или уголовной ответственности в случае нарушения взятых обязательств.
Слайд 29Вопрос № 5: «Разработка внутренней организационно-распорядительной документации по ЗИ»
Положение о подразделении
по защите конфиденциальной информации.
Должностные обязанности лиц, ответственных за защиту конфиденциальной информации.
План мероприятий по защите конфиденциальной информации.
План проверок состояния защиты конфиденциальной информации.
Модель угроз информационной безопасности.
Положение о порядке организации и проведения работ по защите конфиденциальной информации
Слайд 30Перечень защищаемых объектов информатизации.
Акты категорирования защищаемых объектов информатизации.
Акты категорирования ОТСС в
защищаемых помещениях.
Технические паспорта на защищаемые объекты информатизации.
Приказ по границе контролируемой зоны, схема контролируемой зоны.
Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица.
Слайд 31Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих конфиденциальную информацию
и назначении ответственных лиц.
Приказ (распоряжение) о хранении конфиденциальной информации на жестких дисках или на учтенных гибких магнитных дисках.
Инструкция по защите речевой информации при проведении конфиденциальных совещаний.
Акты классификации АС или отдельных ПЭВМ обрабатывающих конфиденциальную информацию.
Акты проверок защищаемых помещений на утечку по вибро и акустическому каналам, акты проверок вычислительной техники (основной и вспомогательной), заключение (предписание) проверяющих организаций на соответствие требованиям руководящих документов ФСТЭК России.
Слайд 32Аттестаты соответствия требованиям безопасности информации на объекты информатизации.
Приказ (распоряжение) о
закреплении ПЭВМ (АРМ) за ответственными лицами.
Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.
Инструкция по информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т.п.), разрешение на подключение к Интернет, журнал учета работы на АП ИВС, список лиц, допущенных к работе на АП ИВС.
Слайд 33Инструкция по антивирусной защите.
Перечень защищаемых ресурсов в ЛВС, заявки на доступ
к ресурсам, таблицы разграничения доступа.
Приказ о назначение ответственного за эксплуатацию средств защиты информации.
Журнал (карточки) учета средств защиты информации.
Журнал учета ключевых средств в АС.
Журнал учета работы с ключевыми средствами в АС.
Слайд 34Нормативное закрепление состава защищаемой информации
Сведения, составляющие конфиденциальную информацию предприятия, отражаются в
Перечне.
Подготовка Перечня осуществляется путем организации работы экспертной комиссии.
Слайд 35Вопрос 6: «Организационная защита информации»
Организационная защита информации - регламентация деятельности предприятия
и взаимоотношений персонала на нормативно – правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Слайд 37Модель
управления информационной безопасностью (Шухарта – Деминга)
Слайд 38Организация службы безопасности предприятия