Экономического объекта

 

Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.

Методы и средства обеспечения безопасности экономического объекта представлены на рисунке 2.

 

 

Рисунок 2. Методы и средства информационной безопасности экономического объекта

 

Особо следует сказать о законодательных и организационных средствах обеспечения информационной безопасности.

Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято.

В рамках обеспечения информационной безопасности на законодательном уровне рассматриваются две группы мер:

· меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;

· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы РФ.

В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.

В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.

В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».

В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.

Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.

С принятием в 1992 г. Закона РФ «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».

В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.

В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.

В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.

Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, ИТ, защите информации и др.

Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».

Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).

Доктрина информационной безопасности Российской Федерации утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188.

С учетом существующего законодательства для создания и поддержания необходимого уровня информационной безопасности в организациях (на предприятиях и фирмах) разрабатывается система соответствующих правовых норм, представленная в следующих документах:

· Уставе и/или учредительном договоре;

· коллективном договоре;

· правилах внутреннего трудового распорядка;

· должностных обязанностях сотрудников;

· специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);

· договорах со сторонними организациями;

· трудовых договорах с сотрудниками;

· иных индивидуальных актах.

Организационное обеспечение информационной безопасности – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

Организационное обеспечение компьютерной безопасности включает в себя ряд:

· организационно-административных;

· организационно-экономических;

· организационно-технических мероприятий;

В таблице 1 изложены организационно-административные и организационно-экономические мероприятия, обеспечивающие защиту документальной информации.

 

Таблица 1. Обеспечение информационной безопасности организации

Составные части делопроизводства	Функции обеспечения ИБ при работе с документами	Способы выполнения
Документирование	Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки	Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов
Учет документов	Предупреждение утраты (хищения) документов	Контроль за местонахождением документа
Организация документооборота	Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов	Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками
Хранение документов	Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность	Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения
Уничтожение документов	Исключение доступа к бумажной «стружке»	Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов
Контроль наличия, своевременности и правильности исполнения документов	Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи	Установление порядка проведения наличия документов и порядка их обработки

 

Комплекс организационно-технических мероприятий состоит:

· в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;

· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;

· в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;

· в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;

· в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;

· в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.