ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 361
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
современной организации можно представить в следующем виде (рисунок 31).
Рисунок 31 - Структура нормативной базы в области защиты
информации
Стоит отметить, что в зависимости от типа защищаемого объекта, может быть ведомственный, региональный и другие уровни защиты.
Основополагающим документом нашей страны является Конституция РФ, принятая 12 декабря 1993 года [11]. Конституция - это основной закон (или совокупность наиболее важных законов) государства, обладающей большой юридической силой, утверждающий его экономическую и политическую систему, задающий принципы деятельности и организации органов государственной власти, суда, управления, основные права, свободы и обязанности граждан. Конституционные нормы включают в себя нормы, регулирующие отношения в информационной сфере. Согласно статье 23 Конституции РФ является одной из самых важных статей, регламентирующий личные права человека и которая затрагивает его права на неприкосновенность частной жизни, личной и семейной тайны, а также защиту своей чести и доброго имени. Помимо этого, каждый человек, который проживает на территории РФ, имеет право на тайную переписку, разговоров по телефону, почтовых, телеграфных и иных сообщений.
Допускается ограничение этого права только на основании решения суда.
Также, статья 24 Конституции РФ предусматривает такой момент, которые запрещает деятельность, направленную на сбор, хранение, использование и распространение информации о частной жизни лица без его
согласия. При этом органы законодательной власти должны предоставить каждому возможность ознакомления с материалами и документами, непосредственно затрагивающими его права и свободы.
В соответствии со статьей 29 Конституции РФ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. При этом перечень сведений, составляющих государственную тайну, определяется федеральным законом.
Еще одним документом является «Доктрина информационной безопасности» далее (Доктрина) [8]. Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности РФ в информационной сфере. Здесь описываются национальные интересы в информационной сфере, обеспечение и защита конституционных прав и свобод человека и гражданина в части, касающейся получения и использования информации, неприкосновенности частной жизни при использовании информационных технологий, обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры.
Согласно анализу ФЗ от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [23], организация должна обеспечить организационные и технические меры, направленные на обеспечение защиты информации от несанкционированного доступа, модифицирования, уничтожения, копирования, блокирования, распространения, представления и других неправомерных действий. Так же организация должна обеспечить конфиденциальность информации.
Организация должна предотвратить
несанкционированный доступ к информации конфиденциального характера, а так же ее передачу лицам, не имеющим права на доступ к информации. Предотвращение
несанкционированного доступа к информации необходимо для того, чтобы не нарушалось функционирование организации; и в случае изменения информации или ее уничтожения у организации должна быть возможность восстановления утерянной информации. Организация должна осуществить постоянный контроль уровня защищенности информации.
В соответствие с ФЗ от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» [24], в котором определены меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
На основе анализа нормативно-правовой документации можно сделать вывод о том, что все аспекты по обеспечению ИБ в организации имеются в нормативно-правовых документах и рекомендациях на всех уровнях структуры нормативно-правовой базы. К сожалению, требования и рекомендации, не всегда
выполняются, что, зачастую, приводит к утечке информации.
В главе была осуществлена реализация комплексной системы защиты ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» с использованием системы Dallas Lock.
В комплексе средств, использованных для совершенствования защиты ИС УЗ ЯНАО «Новоуренгойский психоневрологический диспансер», входили:
Экономическая эффективность определяется затратами на построение системы защиты и ущербом, который наносится от нарушения режима ИБ. Одна из методик определения уровня затрат на систему защиты использует эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:
Ri 10( SiVi4)
(1)
где Si- коэффициент, характеризующий возможность возникновения соответствующей угрозы;
Vi- коэффициент, характеризующий значение возможного ущерба при ее возникновении. Siи Vi,приведены в таблицах 4 и 5.
Таблица 4 – Значения коэффициентов Si[27]
Рисунок 31 - Структура нормативной базы в области защиты
информации
Стоит отметить, что в зависимости от типа защищаемого объекта, может быть ведомственный, региональный и другие уровни защиты.
Основополагающим документом нашей страны является Конституция РФ, принятая 12 декабря 1993 года [11]. Конституция - это основной закон (или совокупность наиболее важных законов) государства, обладающей большой юридической силой, утверждающий его экономическую и политическую систему, задающий принципы деятельности и организации органов государственной власти, суда, управления, основные права, свободы и обязанности граждан. Конституционные нормы включают в себя нормы, регулирующие отношения в информационной сфере. Согласно статье 23 Конституции РФ является одной из самых важных статей, регламентирующий личные права человека и которая затрагивает его права на неприкосновенность частной жизни, личной и семейной тайны, а также защиту своей чести и доброго имени. Помимо этого, каждый человек, который проживает на территории РФ, имеет право на тайную переписку, разговоров по телефону, почтовых, телеграфных и иных сообщений.
Допускается ограничение этого права только на основании решения суда.
Также, статья 24 Конституции РФ предусматривает такой момент, которые запрещает деятельность, направленную на сбор, хранение, использование и распространение информации о частной жизни лица без его
согласия. При этом органы законодательной власти должны предоставить каждому возможность ознакомления с материалами и документами, непосредственно затрагивающими его права и свободы.
В соответствии со статьей 29 Конституции РФ каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. При этом перечень сведений, составляющих государственную тайну, определяется федеральным законом.
Еще одним документом является «Доктрина информационной безопасности» далее (Доктрина) [8]. Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности РФ в информационной сфере. Здесь описываются национальные интересы в информационной сфере, обеспечение и защита конституционных прав и свобод человека и гражданина в части, касающейся получения и использования информации, неприкосновенности частной жизни при использовании информационных технологий, обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры.
Согласно анализу ФЗ от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [23], организация должна обеспечить организационные и технические меры, направленные на обеспечение защиты информации от несанкционированного доступа, модифицирования, уничтожения, копирования, блокирования, распространения, представления и других неправомерных действий. Так же организация должна обеспечить конфиденциальность информации.
Организация должна предотвратить
несанкционированный доступ к информации конфиденциального характера, а так же ее передачу лицам, не имеющим права на доступ к информации. Предотвращение
несанкционированного доступа к информации необходимо для того, чтобы не нарушалось функционирование организации; и в случае изменения информации или ее уничтожения у организации должна быть возможность восстановления утерянной информации. Организация должна осуществить постоянный контроль уровня защищенности информации.
В соответствие с ФЗ от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» [24], в котором определены меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
-
определение перечня информации, составляющей коммерческую тайну; -
ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля соблюдения такого порядка; -
учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; -
регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско- правовых договоров.
На основе анализа нормативно-правовой документации можно сделать вывод о том, что все аспекты по обеспечению ИБ в организации имеются в нормативно-правовых документах и рекомендациях на всех уровнях структуры нормативно-правовой базы. К сожалению, требования и рекомендации, не всегда
выполняются, что, зачастую, приводит к утечке информации.
Выводы по второй главе
В главе была осуществлена реализация комплексной системы защиты ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» с использованием системы Dallas Lock.
В комплексе средств, использованных для совершенствования защиты ИС УЗ ЯНАО «Новоуренгойский психоневрологический диспансер», входили:
-
антивирусное средство Kaspersky Endpoint Security 10; -
межсетевой экран Сisco ASA 5512; -
DLP-система Dallas Lock 8.0-C.
-
Обоснование экономической эффективности проекта
-
Выбор и обоснование методики расчета экономической эффективности проекта
-
Определение экономической эффективности
Экономическая эффективность определяется затратами на построение системы защиты и ущербом, который наносится от нарушения режима ИБ. Одна из методик определения уровня затрат на систему защиты использует эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:
Ri 10( SiVi4)
(1)
где Si- коэффициент, характеризующий возможность возникновения соответствующей угрозы;
Vi- коэффициент, характеризующий значение возможного ущерба при ее возникновении. Siи Vi,приведены в таблицах 4 и 5.
Таблица 4 – Значения коэффициентов Si[27]