Организационно-правовое обеспечение информационной безопасности. Организационно-правовое обеспечение защиты информации план

Правовое обеспечение информации и функционирования корпоративных информационных систем в РФ – Корпоративные информационные системы

Организационно-правовое обеспечение информационной безопасности. Организационно-правовое обеспечение защиты информации план
Подробности : 05.09.2019 10:26 Степанова Галина Ананьевна 1063

Аннотация: в статье определяется понятие информации и формы её существования.

 Рассматриваются структура правовой защиты и правовые режимы доступа к информации, а так же законодательный и локальный уровни правового обеспечения информации и функционирования корпоративных информационных систем в РФ.
Скачать: PDF (статья), PDF (выпуск №8).

Ключевые слова: правовое обеспечение информации, правовая защита информации, информационные системы, правовое обеспечение информации, правовая защита информации, информационные системы, законодательный уровень информационных систем, локальный уровень информационных систем, персональные данные, информационная безопасность, стандарты информационной безопасности, ответственность в информационной сфере, законодательный уровень информационных систем, локальный уровень информационных систем, персональные данные, информационная безопасность, стандарты информационной безопасности, ответственность в информационной сфере.

1. Общие положения

Информация определяется как сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления [1]. Объектом правового регулирования могут быть конкретные формы существования информации: 

  • документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать; 
  • информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
  • информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
  • правовая защита информации – законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Интерес к вопросам защиты информации повышается, что связано с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и несанкционированного доступа к хранимой и передаваемой информации.

Правовая защита информации как ресурса признана на международном, государственном уровне и регулируется соответствующими законодательными и правовыми нормами государств и внутренними регламентами организаций разработчиков/пользователей.

Структура правовой защиты показана на рис.1.

Рис. 1. Структура правовой защиты

На стадии накопления и преобразования информации и формирования информационных ресурсов действует соответствующий раздел информационного права (правового обеспечения), включающий следующие направления:

  • общие вопросы информационного законодательства;
  • правовая информация;
  • персональные данные;
  • библиотечное дело;
  • статистическая информация;
  • международный обмен информацией;
  • архивы.

Множество информационных объектов информационного права  подразделяется на две категории – общедоступные и с ограниченным доступом.

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не может быть ограничен в соответствии с действующим законодательством (например, информация о состоянии окружающей среды, деятельности государственных органов и т.п.).

В свою очередь, информация с ограниченным доступом считается конфиденциальной, включая государственную, служебную, профессиональную (банковская, нотариальная и т.п.), коммерческую тайны, персональные данные и другие виды тайн.

https://www.youtube.com/watch?v=24QQXONSClc

Информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке. Законами РФ определены режимы доступа к информационным ресурсам и порядок их использования (рис.2). 

Рис. 2. Правовые режимы доступа к информации

Обладателем информации в Российской Федерации могут выступать как физические и юридические лица, так и субъекты РФ, муниципальные образования и Российская Федерация. Обладатель вправе самостоятельно разрешать или ограничивать доступ к своей информации. Информационные системы (ИС) по масштабу подразделяются на следующие группы:

  • одиночные;
  • групповые;
  • корпоративные.

Одиночные ИС реализуются на автономном персональном компьютере.

Такая система может содержать несколько простых приложений, связанных общим информационным фондом, и рассчитана на работу одного пользователя или группы пользователей, разделяющих по времени одно рабочее место.

Подобные приложения создаются с помощью так называемых настольных или локальных систем управления базами данных (СУБД). Среди локальных СУБД наиболее известными являются Clarion, Clipper, FoxPro, Paradox, dBase и Microsoft Access.

Групповые ИС ориентированы на коллективное использование информации членами рабочей группы и чаще всего строятся на базе локальной вычислительной сети.

При разработке таких приложений используются серверы баз данных (называемые также SQL-серверами) для рабочих групп. Существует довольно большое количество различных SQL-серверов, как коммерческих, так и свободно распространяемых.

Среди них наиболее известны такие серверы баз данных, как Oracle, DB2, Microsoft SQL Server, InterBase, Sybase, Informix.

Корпоративные ИС (КИС) ориентированы на крупные компании и могут поддерживать территориально разнесенные узлы или сети. В основном они имеют иерархическую структуру из нескольких уровней.

Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При разработке таких систем могут использоваться те же серверы баз данных, что и при разработке групповых информационных систем.

Однако в крупных информационных системах наибольшее распространение получили серверы Oracle, DB2 и Microsoft SQL Server.

Правовое обеспечение функционирования информационных систем – совокупность правовых норм, определяющих создание, юридический статус и функционирование информационных систем, регламентирующих порядок получения, преобразования и использования информации.

Главной целью правового обеспечения функционирования информационных систем, в том числе и корпоративных, является укрепление законности использования информационных ресурсов, обеспечение информационной безопасности отдельных граждан, предприятий, организаций и  в целом национальной безопасности  страны. Регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий; 
  • обеспечении защиты информации.

Правовое обеспечение функционирования информационных систем в Российской Федерации осуществляется путем законодательной поддержки на государственном уровне (законодательный уровень) и на уровне договорных отношений разработчика и заказчика в рамках заключаемых договоров на разработку и создание информационных систем (локальный уровень). Исходя из чего, в  правовом обеспечении функционирования информационных систем в РФ можно выделить:

  • общую часть, регулирующую функционирование любой информационной системы (законодательный уровень);
  • локальную часть, регулирующую функционирование конкретной системы при разработке информационных систем (локальный уровень) – договорной уровень; внутренние нормативные  акты организации (стандарты и регламенты разработчика/пользователя ИС).

В состав правового обеспечения законодательного уровня входят: Конституция РФ, законы, указы, постановления государственных органов власти, приказы, инструкции и другие нормативные документы министерств, ведомств, организаций, местных органов власти [2].

Правовое обеспечение этапов разработки информационной системы (локальный уровень) включает нормативные акты, связанные с договорными отношениями разработчика и заказчика ИС и правовым регулированием отклонений от договора; внутренние стандарты, а также регламенты информационной  безопасности организации. Регулирование вопросов правового обеспечения этапов разработки и функционирования информационной системы (локальный уровень) включает  в том числе:

  • статус информационной системы;
  • права, обязанности и ответственность персонала;
  • правовые положения отдельных видов процесса управления;
  • порядок создания и использования информации и другие. 

На отношения в информационной сфере локального уровня  распространяются нормы административного, гражданского, уголовного, трудового законодательства РФ.

2. Законодательный уровень правового обеспечения информации и функционирования корпоративных информационных систем в РФ

В табл. 1 приведены статьи из Конституции Российской Федерации о нормах, связанных с информацией.

Табл. 1. Нормы, связанные с информацией

Номер статьи Конституции РФстатьи Конституции РФ
 Статья 15Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.
Статья 24Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Статья 29 п.4Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
Статья 44Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом.

Условная классификация национальных правовых актов в информационной сфере приведена в табл. 2. Следует использовать в работе нижеуказанные ФЗ и нормативные акты в последней их редакции.

Табл. 2. Законодательство РФ в информационной сфере

Область правового регулированияОсновные законодательные акты
 Основы информационной безопасности
  • «Доктрина информационной безопасности Российской Федерации». (№Пр.1895 от 09.09.2000 г.).

Источник: https://corpinfosys.ru/archive/issue-8/74-2019-8-erplaw

8. Организационно-правовое обеспечение информационной безопасности. Основы информационной безопасности в телекоммуникациях

Организационно-правовое обеспечение информационной безопасности. Организационно-правовое обеспечение защиты информации план

8.1. Информация как объект юридической защиты. Основные принципы засекречивания информации

8.2. Государственная система правового обеспечения защиты информации в Российской Федерации

8.1. Информация как объект юридической защиты. Основные принципы засекречивания информации

ИБ представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению ИБ, так и создание и функционирование систем защиты информации на конкретных объектах. Основные функции организационно-правовой базы следующие.

  1. Разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации.
  2. Определение системы органов и должностных лиц,, ответственных за обеспечение ИБ в стране и порядка регулирования деятельности предприятия и организации в этой области.
  3. Создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения ИБ как в стране в целом, так и на конкретном объекте.
  4. Определение мер ответственности за нарушения правил защиты.
  5. Определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:

  • все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации;
  • узакониваются все меры ответственности за нарушение правил защиты информации;
  • узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;
  • узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Разработка законодательной базы ИБ любого государства является необходимой мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений развития этого государства.

Особое внимание со стороны западных стран к формированию такой базы вызвано все возрастающими затратами на борьбу с “информационными” преступлениями.

Все это заставляет страны Запада серьезно заниматься вопросами законодательства по защите информации.

Определение основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации. Созданием законодательной базы в области ИБ каждое государство стремится защитить свои информационные ресурсы. Информационные ресурсы государства в самом первом приближении могут быть разделены на три большие группы:

  • информацию открытую – на распространение и использование которой не имеется никаких ограничений;
  • информацию запатентованную – охраняется внутригосударственным законодательством или международными соглашениями как объект интеллектуальной собственности;
  • информацию, “защищаемую” ее собственником, владельцем с помощью отработанных механизмов защиты государственной, коммерческой или другой охраняемой тайны; к этому виду относят обычно информацию, не известную другим лицам, которая или не может быть запатентована, или умышленно не патентуется с целью избежания или уменьшения риска завладения ее соперниками, конкурентами.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи.

Какую информацию относят к защищаемой?

Во-первых, секретную информацию. К секретной информации в настоящее время принято относить сведения, содержащие государственную тайну.

Во-вторых, конфиденциальную информацию. К этому виду защищаемой информации относят обычно сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.

Таким образом, под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником и характеризуемые понятием “тайна”.

Применительно к органам государственной власти и управления под тайной понимается то, что скрывается от других, что известно определенному кругу людей. Иначе говоря, те сведения, которые не подлежат разглашению, и составляют тайну.

Основное направление использования этого понятия – засекречивание государством определенных сведений, сокрытие которых от соперников, потенциального противника дает ему возможность успешно решать жизненно важные вопросы в области обороны страны, политических, научно-технических и иных проблем с меньшими затратами сил и средств.

К подобному же ввиду тайны относится засекречивание предприятием, фирмой сведений, которые помогают ему эффективно решать задачи производства и выгодной реализации продукции.

Сюда же примыкают и тайны личной жизни граждан, обычно гарантируемые государством: тайна переписки, врачебная тайна, тайна денежного вклада в банке и др.

8.2. Государственная система правового обеспечения защиты информации в Российской Федерации

Второй функцией организационно-правового обеспечения информационной безопасности является определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране.

Основой для создания государственной системы организационно-правового обеспечения защиты информации является создаваемая в настоящее время государственная система защиты информации, под которой понимается совокупность федеральных и иных органов управления и взаимоувязанных правовых, организационных и технических мер, осуществляемых на различных уровнях управления и реализации информационных отношений и направленных на обеспечение безопасности информационных ресурсов.

Основные положения правового обеспечения защиты информации приведены в Доктрине информационной безопасности РФ, а также в других законодательных актах.

Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Напомним содержание интересов личности, общества и государства в информационной сфере.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

На основе национальных интересов РФ в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Рассмотрим структуру государственной системы информационной безопасности и основные функции ее составных частей.

Источник: https://siblec.ru/telekommunikatsii/osnovy-informatsionnoj-bezopasnosti-v-telekommunikatsiyakh/8-organizatsionno-pravovoe-obespechenie-informatsionnoj-bezopasnosti

Закон
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: