Файл: Правовое обеспечение информационной безопасности Структура информационной сферы и характеристика ее элементов.docx

• 
  неотказуемость или апеллируемость (англ. non-repudiation)[9] — невозможность отказа от авторства;
  

• 
  
  

• 
  подотчётность (англ. accountability)[10] — обеспечение идентификации субъекта доступа и регистрации его действий;
  

• 
  
  

• 
  достоверность (англ. reliability)[5] — свойство соответствия предусмотренному поведению или результату;
  

• 
  
  

• 
  аутентичность или подлинность (англ. authenticity)[5] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
  

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый уровень правовой основы защиты информации

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;

Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне); Защита информации курсовая работа.

---

Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.

Второй уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень правового обеспечения системы защиты экономической информации

К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

Организационно-технические и режимные меры и методы:

---

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy)— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

• 
  -Защита объектов информационной системы;
  

• 
  -Защита процессов, процедур и программ обработки информации;
  

• 
  -Защита каналов связи;
  

• 
  -Подавление побочных электромагнитных излучений;
  

• 
  -Управление системой защиты.
  

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

• 
  -Определение информационных и технических ресурсов, подлежащих защите;
  

• 
  -Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  

• 
  -Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  

• 
  -Определение требований к системе защиты;
  

• 
  -Осуществление выбора средств защиты информации и их характеристик;
  

• 
  -Внедрение и организация использования выбранных мер, способов и средств защиты;
  

• 
  -Осуществление контроля целостности и управление системой защиты.
  

• 
  
  

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации:

---

• 
  Средства защиты от несанкционированного доступа (НСД):
  

• 
  Средства авторизации;
  

• 
  Мандатное управление доступом;
  

• 
  Избирательное управление доступом;
  

• 
  Управление доступом на основе ролей;
  

• 
  Журналирование (так же называется Аудит).
  

• 
  Системы анализа и моделирования информационных потоков (CASE-системы).
  

• 
  Системы мониторинга сетей:
  

• 
  Системы обнаружения и предотвращения вторжений (IDS/IPS).
  

• 
  Системы предотвращения утечек конфиденциальной информации (DLP-системы).
  

• 
  Анализаторы протоколов.
  

• 
  Антивирусные средства.
  

• 
  Межсетевые экраны.
  

• 
  Криптографические средства:
  

• 
  Шифрование;
  

• 
  Цифровая подпись.
  

• 
  Системы резервного копирования.
  

• 
  Системы бесперебойного питания:
  

• 
  Источники бесперебойного питания;
  

• 
  Резервирование нагрузки;
  

• 
  Генераторы напряжения.
  

• 
  Системы аутентификации:
  

• 
  Пароль;
  

• 
  Сертификат;
  

• 
  Биометрия.
  

• 
  Средства предотвращения взлома корпусов и краж оборудования.
  

• 
  Средства контроля доступа в помещения.
  

• 
  Инструментальные средства анализа систем защиты:
  

• 
  Мониторинговый программный продукт.
  

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет Государственной думы по безопасности;

Совет безопасности России;

Федеральная служба по техническому и экспортному контролю (ФСТЭК);

Федеральная служба безопасности Российской Федерации (ФСБ России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия:

---

Служба экономической безопасности;

Служба безопасности персонала (Режимный отдел);

Отдел кадров;

Служба информационной безопасности.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Конституция РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести:

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

Международные стандарты;

Государственные (национальные) стандарты РФ;

Рекомендации по стандартизации;

Методические указания.

33.Законодательство РФ об интеллектуальная собственности.

Под интеллектуальной собственностью по действующему законодательству понимается исключительное право гражданина или юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации юридического лица, продукции и выполняемых работ или услуг (фирменное наименование, товарный знак, знак обслуживания и т.п.). Использование третьими лицами таких результатов интеллектуальной деятельности и средств индивидуализации, которые являются объектами исключительных прав, возможно только с согласия правообладателя (ст. 138 [10]).

Таким образом, права на объекты интеллектуальной собственности являются исключительными правами в отношении третьих лиц, что означает, что только Университет или иной правообладатель, являющийся собственником прав на конкретный объект интеллектуальной собственности, вправе его использовать по своему усмотрению, запрещая такие действия всем третьим лицам без разрешения правообладателя. Такое разрешение может быть дано в форме лицензионного договора.

---