Правовая и и организационная защита информации презентация

Ответственность за нарушение законодательства в информационной сфере.
Регулирование процессов защиты информации на предприятиях.
Разработка внутренней организационно-распорядительной документации по ЗИ.
Организационная защита информации.

правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
(ГОСТ Р 50922-2006)

Федерации.
Кодекс Российской Федерации об административных правонарушениях.
Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № Пр-1895.
Федеральный закон № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и защите информации».

банковской деятельности».
ФЗ № 63-ФЗ от 6 апреля 2011 г. «Об электронной подписи».
Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных».
Федеральный закон № 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне».
Федеральный закон № 126-ФЗ от 7 июля 2003 г. «О связи».

деле в Российской Федерации».
Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности».
Закон РФ № 5485-1 от 21 июля 1993 г. «О государственной тайне».
Закон РФ от 11.03.92 г. № 2487-1 «О частной детективной и охранной деятельности».

Стандарт по которому организация может быть сертифицирована (опубликован в 2005);
ISO/IEC 27002 — «ИТ. Методы обеспечения безопасности. Практические правила управления информационной безопасностью.;
ISO/IEC 27003 — «ИТ. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента ИБ"; (Опубликован в январе 2010)
ISO/IEC 27004 — «ИТ. Методы обеспечения безопасности. Измерение эффективности системы управления ИБ." (Опубликован в январе 2010)
ISO/IEC 27005 — «ИТ. Методы обеспечения безопасности. Управление рисками информационной безопасности." (опубликовано в 2008)
ISO/IEC 27006 — "Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью" (опубликовано в 2007);

Дисциплинарная ответственность возникает вследствие совершения дисциплинарных проступков.
Материальная ответственность рабочих и служащих за ущерб, нанесенный предприятию, учреждению, заключается в необходимости возместить ущерб в порядке, установленном законом.

причинение имущественного внедоговорного вреда.
Административно-правовая ответственность наступает за совершение административных проступков, предусмотренных КОАП.
Уголовная ответственность наступает за совершение преступлений и устанавливается только уголовным законом.

сбора, хранения, использования или распространения информации о гражданах (персональных данных)
влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.

защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом :
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц - от сорока до пятидесяти минимальных размеров оплаты труда.

почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года.

или специальных технических средств, предназначенных для негласного получения информации, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от двух до четырех месяцев.
3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

усыновителя, совершенное лицом, обязанным хранить факт усыновле­ния (удочерения) как служебную или профессиональную тайну, либо иным лицом из корыстных или иных низменных побуждений, — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

тайну.
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.

тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, - наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.

заинтересованности, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, - наказываются лишением свободы на срок до десяти лет.

компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование, модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательными рабо­тами на срок от 180 до 240 часов, либо ограничением свободы на срок до 2 лет.
Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок до 4 лет.

тайны предприятия предусматривает наличие:
нормы права, направленные на защиту интересов ее владельцев;
нормы, установленные руководством предприятия, (приказы, распоряжения, инструкции и т.д.);
специальные структурные подразделения, обеспечивающие соблюдение этих норм (подразделения режима, службы безопасности и т.п.).

«Права и обязанности предприятия»: «Предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну», требовать от сотрудников предприятия обеспечения ее сохранности». «Предприятие обязано обеспечить сохранность коммерческой тайны»

«Предмет договора»: «Администрация предприятия обязуется обеспечить разработку и осуществление мероприятий по определению и защите коммерческой тайны. Трудовой коллектив принимает на себя обязательство по соблюдению установленных на предприятии требований по защите коммерческой тайны».
В раздел «Кадры»: «Администрация обязуется привлекать нарушителей требований по защите коммерческой тайны к административной и уголовной ответственности в соответствии с действующим законодательством».

и служащих следующими требованиями: «При поступлении рабочего или служащего на работу, переходе его на другую работу, а также при увольнении, администрация обязана проинструктировать работника по правилам сохранения КТ с оформлением письменного обязательства о ее неразглашении.
Администрация предприятия вправе принимать решение об отстранении от работ, связанных с КТ, которые нарушают установленные требования по ее защите».

публично без согласия администрации;
сохранять коммерческую тайну тех организаций, с которыми имеются деловые связи;
выполнять требования приказов и инструкций по защите коммерческой тайны предприятия;
не использовать конфиденциальные сведения организации, занимаясь другой деятельностью (ущерб от конкурентного действия);

лиц получить закрытую информацию;
незамедлительно извещать об утрате носителей конфиденциальной информации и другие факты нарушения режима ее защиты;
при увольнении все носители сведений, с которыми работал сотрудник, передаются соответствующему должностному лицу;
работник предупрежден о наступлении гражданской, административной или уголовной ответственности в случае нарушения взятых обязательств.

по защите конфиденциальной информации.
Должностные обязанности лиц, ответственных за защиту конфиденциальной информации.
План мероприятий по защите конфиденциальной информации.
План проверок состояния защиты конфиденциальной информации.
Модель угроз информационной безопасности.
Положение о порядке организации и проведения работ по защите конфиденциальной информации

защищаемых помещениях.
Технические паспорта на защищаемые объекты информатизации.
Приказ по границе контролируемой зоны, схема контролируемой зоны.
Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица.

и назначении ответственных лиц.
Приказ (распоряжение) о хранении конфиденциальной информации на жестких дисках или на учтенных гибких магнитных дисках.
Инструкция по защите речевой информации при проведении конфиденциальных совещаний.
Акты классификации АС или отдельных ПЭВМ обрабатывающих конфиденциальную информацию.
Акты проверок защищаемых помещений на утечку по вибро и акустическому каналам, акты проверок вычислительной техники (основной и вспомогательной), заключение (предписание) проверяющих организаций на соответствие требованиям руководящих документов ФСТЭК России.

закреплении ПЭВМ (АРМ) за ответственными лицами.
Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.
Инструкция по информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т.п.), разрешение на подключение к Интернет, журнал учета работы на АП ИВС, список лиц, допущенных к работе на АП ИВС.

к ресурсам, таблицы разграничения доступа.
Приказ о назначение ответственного за эксплуатацию средств защиты информации.
Журнал (карточки) учета средств защиты информации.
Журнал учета ключевых средств в АС.
Журнал учета работы с ключевыми средствами в АС.

Перечне.
Подготовка Перечня осуществляется путем организации работы экспертной комиссии.

и взаимоотношений персонала на нормативно – правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.