Файл: Занятие 3 организационноправовое и кадровое обеспечение системы информационной безопасности.pdf

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 09.01.2024

Просмотров: 90

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»
ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ
Институт дистанционного и дополнительного образования
Практическое занятие № 3
ОРГАНИЗАЦИОННО-ПРАВОВОЕ И КАДРОВОЕ
ОБЕСПЕЧЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
доцент, кандидат химических наук доцент
Власкин Дмитрий Николаевич
Москва-2022

Актуальность занятия
2
Для защиты интересов субъектов информационных отношений
необходимо сочетать меры следующих уровней:
-
законодательного;
-
административного (приказы и другие действия руководства
организаций, связанных с защищаемыми информационными системами);
-
процедурного (меры безопасности, ориентированные на людей);
-
программно-технического
Законодательный уровень
является важнейшим для обеспечения
информационной безопасности
Группы мер на законодательном уровне
:
-
меры, направленные на создание и поддержание в обществе
негативного (в том числе с применением наказаний) отношения к
нарушениям и нарушителям информационной безопасности;
-
направляющие
и
координирующие
меры,
способствующие
повышению образованности общества в области информационной
безопасности, помогающие в разработке и распространении средств
обеспечения информационной безопасности

Актуальность занятия
3
Задача подготовки специалистов информационной безопасности
является особенно актуальной как для государства, так и для организации
(предприятия)

Актуальность занятия
4
Система обеспечения информационной безопасности (СОИБ)

совокупность правовых, организационных и технических мероприятий,
органов, сил, средств и норм, направленных на предотвращение или
существенное затруднение нанесения ущерба собственнику информации
Организационно
-
правового
обеспечения
Кадрового
обеспечения
Финансово-
экономического
обеспечения
Инженерно-
технического
обеспечения
Программно-
аппаратного
обеспечения
Аудита
П о д с и с т е м ы
Система
обеспечения
информационной
безопасности (СОИБ)

Учебные вопросы
5
1
. Организационно-правовое обеспечение системы информационной
безопасности
2. Правовое обеспечение системы информационной безопасности
3. Организационное обеспечение информационной безопасности
4. Кадровое обеспечение системы информационной безопасности
5. Профессиональная этика


Первый учебный вопрос
6
ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Организационно-правовое обеспечение
системы информационной безопасности
7
Организационно-правовое
обеспечение
информационной
безопасности организации – это совокупность законов, нормативов
и управленческих решений, регламентирующих как общую
организацию
работ
по
обеспечению
информационной
безопасности, так и создание и функционирование систем защиты
информации на конкретных объектах
Цели
организационно-правового
обеспечения
защиты
информации:
1.
Все правила защиты информации являются обязательными для
соблюдения
всеми
лицами,
имеющими
отношение
к
конфиденциальной информации;
2.
Узакониваются меры ответственности за нарушения правил
защиты информации;
3.
Узакониваются (приобретают юридическую силу) технико-
математические решения вопросов организационно-правового
обеспечения защиты информации;
4.
Узакониваются
процессуальные
процедуры
разрешения
ситуаций, складывающихся в процессе функционирования
системы защиты

Организационно-правовое обеспечение
системы информационной безопасности
8
Задачи организационно-правового обеспечения СИБ
:
1.
Формирование и проведение политики информационной
безопасности организации (предприятия)
2.
Разработка нормативно-правовых актов, регламентирующих
отношения в информационной сфере
3.
Организация мероприятий обеспечения СИБ

Организационно-правовое обеспечение
системы информационной безопасности
9
Организационное обеспечение СИБ
Правовое обеспечение СИБ
Н А П Р А В Л Е Н И Я
С И Л Ы
1. Руководство организации
2. Юристы
3. Служба безопасности предприятия
4. Весь персонал предприятия
1.
Руководство организации
2.
Юристы
3. Служба безопасности предприятия
4. IT – специалисты
5. Внешние эксперты (аудит)
6. Весь персонал предприятия
Разработка, регламентация и реализация производственной деятельности и взаимоотношений исполнителей на нормативно- правовой основе, исключающая нанесение ущерба:
- Концепции ИБ;
- Политики ИБ;
- Анализ угроз ИБ;
- Организационно-режимных мероприятий
(распорядков, регламентов, руководств, инструкций)
С Р Е Д С Т В А
Определяют правила, процедуры и мероприятия, обеспечивающие функционирование СИБ на правовой основе при использовании:
1. Международного права и стандартов;
2. Внутригосударственного права и стандартов:
- Конституции РФ;
- Федеральных законов;
- Ведомственных нормативных актов;
- Отраслевых нормативных актов;
- Локальных нормативных актов


Второй учебный вопрос
10
ПРАВОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

Правовое обеспечение
системы информационной безопасности
11
Право
– это система социальных норм и отношений, охраняемых
силой государства
Право обусловлено экономическим строем общества, формируется
с учетом влияния исторических традиций, но общеобязательный и
юридический характер правовых норм определяется государственной
властью
Законодательные меры в сфере
информационной безопасности
направлены на создание в стране законодательной базы,
упорядочивающей и регламентирующей поведение субъектов и
объектов информационных отношений, а также определяющей
ответственность за нарушение установленных норм
Цель законодательных мер
– предупреждение и сдерживание
потенциальных нарушителей

Правовое обеспечение
системы информационной безопасности
12
Нарушитель
– лицо, предпринявшее попытку выполнения
запрещенных операций (действий) по ошибке, незнанию или осознанно,
но без злого умысла (ради игры или удовольствия, с целью
самоутверждения и т.п.) и использующий для этого различные
возможности, методы и средства
Злоумышленник
нарушитель, намеренно идущий на нарушение из
корыстных побуждений

Виды нарушителей
информационной безопасности
13
Уровни возможностей нарушителей информационной безопасности
:
-
базовые возможности по реализации угроз безопасности
информации (Н1);
-
базовые повышенные возможности по реализации угроз
безопасности информации (Н2);
-
средние возможности по реализации угроз безопасности
информации (Н3);
-
высокие возможности по реализации угроз безопасности
информации (Н4)
«
Методика оценки угроз безопасности информации
» (утв. Федеральной
службой по техническому и экспортному контролю 5 февраля 2021 г.)

Модель нарушителя
14
1.
В зависимости от имеющихся прав и условий по доступу к
системам и сетям
:
внешние нарушители
– нарушители, не имеющие прав доступа в
контролируемую (охраняемую) зону (территорию) и (или) полномочий по
доступу к информационным ресурсам и компонентам систем и сетей,
требующим авторизации;
внутренние нарушители
– нарушители, имеющие права доступа в
контролируемую (охраняемую) зону (территорию) и (или) полномочия по
автоматизированному
доступу
к
информационным
ресурсам
и
компонентам систем и сетей
2.
Мотивы нарушителя
.
Основными мотивами считаются три:
-
безответственность
(нарушения вызываются некомпетентностью или
небрежностью без наличия злого умысла);
-
самоутверждение
(нарушитель,
преодолевая
защиту
автоматизированную информационную систему (АИС) и получая доступ к
системным данным, само утверждается в собственных глазах или в глазах
коллег (такой нарушитель рассматривает свои действия как игру
«пользователь – против системы»);
-
корыстный интерес
(наибольший тип опасности нарушителя
(злоумышленник), который целенаправленно преодолевает систему
защиты, движимый корыстным интересом)


Модель нарушителя
15
(
продолжение
)
3.
Уровень знаний нарушителя
:
-
на уровне пользователя АИС;
-
на уровне администратора АИС;
-
на уровне программиста;
-
на уровне специалиста в области информационной безопасности
4.
Используемые методы и средства
:
-
применяющий только агентурные методы;
-
применяющий только штатные средства доступа к данным
(возможно, в несанкционированном режиме);
-
применяющий пассивные средства (возможность перехвата данных);
-
применяющий активные средства (возможность перехвата и
модификации данных)
5.
Время
действия
нарушителя
:
во
время
штатного
функционирования АИС, во время простоя АИС, в любое время.
6.
Место действия нарушителя
:
без доступа на контролируемую
территорию организации, с доступом на контролируемую территорию (но
без доступа к техническим средствам), с рабочих мест пользователей, с
доступом к базам данных АИС, с доступом к подсистеме защиты АИС

Структура правовых актов, ориентированных на
правовое обеспечение и защиту СИБ
16
1.
Конституционное законодательство
3. Кодексы Российской Федерации
4. Нормативно-правовые акты и организационно-распорядительные
документы
5. Положения, инструкции, нормативно-технические и методические
документы
2. Законы Российской Федерации в области информационной безопасности

Конституция Российской Федерации
17
Глава 2 «Права и свободы человека и гражданина»
Статья 23. П.1
.
Каждый имеет право на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и доброго имени.
П.2.
Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений. Ограничение
этого права допускается только на основании судебного решения.
Статья 24. П.1.
Сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия не допускаются.
Статья 29. П.4.
Каждый имеет право свободно искать, получать,
передавать, производить и распространять информацию любым
законным
способом.
Перечень
сведений,
составляющих
государственную тайну, определяется федеральным законом.
Статья 55. П.3.
Права и свободы человека и гражданина могут быть
ограничены федеральным законом только в той мере, в какой это
необходимо
в
целях
защиты
основ
конституционного
строя,
нравственности, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства


Законы Российской Федерации в области
информационной безопасности
18
1.
Указ Президента РФ № 188 от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера»
2.
Федеральный закон РФ № 5485-1 от 29 июля 2004 г. «О государственной тайне»
3.
Федеральный закон РФ № 98 от 29 июля 2004 г. «О коммерческой тайне»
4.
Указ Президента РФ от 30 ноября 1995 г. N 1203 «Перечень сведений, отнесенных к государственной тайне»
5.
Федеральный закон РФ от 24 декабря 2004 г. (Проект № 124871-4) «О служебной тайне»
6.
Указ Президента РФ от 6 апреля 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера»
7.
Федеральный закон РФ № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»
8.
Федеральный закон РФ № 187 от 12 июля 2017 г. «О безопасности критической информации инфраструктуры Российской Федерации»
9.
Федеральный закон РФ № 390 от 28 декабря 2010 г. «О безопасности»
10.
Указ Президента РФ от 22 мая 2015 г. N 260 «Перечень сведений, отнесенных к государственной тайне»
11.
Федеральный закон РФ № 126 от 7 июля 2003 г. «О связи»
12.
Постановление Правительства РФ от 26 июня 1995 г. «О сертификации средств защиты информации»
13.
Постановление Правительства РФ от 16 апреля 2012 г. «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»

Законодательство в области информационной
безопасности
19
СТРАТЕГИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
(Указ Президента Российской Федерации от 31 декабря 2015 г. № 683)
Статья
47.
В
целях
обеспечения
государственной
и
общественной безопасности:
совершенствуется система выявления и анализа угроз в
информационной сфере, противодействия им;
….
Статья 104.
В целях сохранения стратегической стабильности
Российская Федерация:
содействует
формированию
системы
международной
информационной безопасности;


Законодательство в области информационной
безопасности
20
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
(Указ Президента РФ от 05.12.2016 № 646)
Статья 2.
В настоящей Доктрине используются следующие
основные понятия:
в)
информационная безопасность Российской Федерации

состояние защищенности личности, общества и государства от
внутренних и внешних информационных угроз, при котором
обеспечиваются реализация конституционных прав и свобод
человека и гражданина, достойные качество и уровень жизни
граждан,
суверенитет,
территориальная
целостность
и
устойчивое социально-экономическое развитие Российской
Федерации, оборона и безопасность государства;
д)
силы обеспечения информационной безопасности

государственные органы, а также подразделения и должностные
лица
государственных
органов,
органов
местного
самоуправления и организаций, уполномоченные на решение в
соответствии с законодательством Российской Федерации задач
по обеспечению информационной безопасности;