Правовые меры обеспечения информационной безопасности » История » Версия 1
С. Антошкин, 05.12.2023 07:21
| 1 | 1 | С. Антошкин | h1. Правовые меры обеспечения информационной безопасности |
|---|---|---|---|
| 2 | |||
| 3 | |||
| 4 | {{TOC}} |
||
| 5 | |||
| 6 | !clipboard-202312050947-aqa3v.png! |
||
| 7 | |||
| 8 | |||
| 9 | ---- |
||
| 10 | |||
| 11 | h2. Основные направления обеспечения информационной безопасности |
||
| 12 | |||
| 13 | Высокая степень информатизации современных предприятий, учреждений и организаций обусловливает необходимость всестороннего комплексного подхода к обеспечению защиты информации, как от внутренних, так и от внешних угроз. |
||
| 14 | С учетом практики, что сложилась на настоящее время, выделяют следующие направления защиты информации: |
||
| 15 | * правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, которые обеспечивают защиту информации на правовой основе; |
||
| 16 | * организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, которая исключает или ослабляет нанесение каких-либо убытков предприятию; |
||
| 17 | * инженерно-техническая защита — это использование разнообразных технических средств, которые препятствуют нанесению убытков предприятию. |
||
| 18 | |||
| 19 | Кроме того, меры защиты, ориентированные на обеспечение безопасности информации, могут быть охарактеризованы целым рядом параметров, которые отображают, кроме направлений, ориентацию на объекты защиты, характер угроз, способы действий, их распространение, размах и масштабность. |
||
| 20 | Так, по характеру угроз защитные мероприятия ориентированы на защиту информации от разглашения, утечки и несанкционированного доступа. |
||
| 21 | По способу действия их можно разделить на предупреждение, выявление, прекращение и возмещение убытков или других потерь. |
||
| 22 | По охвату защитные мероприятия могут распространяться на территорию, здание, помещение, аппаратуру или отдельные элементы аппаратуры. |
||
| 23 | Масштабность мероприятий защиты характеризуется как объектовая, |
||
| 24 | групповая или индивидуальная защита. |
||
| 25 | |||
| 26 | --- |
||
| 27 | |||
| 28 | h2. Законодательно-правовая база обеспечения информационной безопасности на предприятии |
||
| 29 | |||
| 30 | Правовая защита информации на межгосударственном и государственном уровне определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами |
||
| 31 | |||
| 32 | !clipboard-202312050952-6knlb.png! |
||
| 33 | |||
| 34 | В нашем государстве такими правилами (актами, нормами) является Конституция, законы, указы, гражданское, административное, криминальное право, изложенное в соответствующих кодексах |
||
| 35 | |||
| 36 | Что же касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, которые издаются ведомствами, организациями и предприятиями, и действуют в пределах определенных структур (например, в пределах министерства или отдельного предприятия). |
||
| 37 | При этом ведомственные документы по информационной безопасности не должны противоречить законам и правовым актам Государства. Требования информационной безопасности должны разрабатываться на основе Конституции общих и специальных законов и кодексов, которые включают нормы по вопросам информационной безопасности, а так же на основе подзаконных актов по защите информации. |
||
| 38 | В их составе особое место занимает Законы Федеральный закон «Об информации, информационных технологиях и о защите информации». |
||
| 39 | Правовая защита информации на предприятии обеспечивается нормативно законодательными актами, совокупность которых представляет собой систему от Конституции до функциональных обязанностей и контракта конкретного исполнителя, которые, с одной стороны, определяют перечень сведений, подлежащих охране, и с другой стороны – ответственность за их разглашение. |
||
| 40 | Опираясь на государственные правовые акты и учитывая ведомственные |
||
| 41 | интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на |
||
| 42 | обеспечение информационной безопасности. |
||
| 43 | |||
| 44 | --- |
||
| 45 | |||
| 46 | h2. Нормативные акты предприятия по информационной безопасности |
||
| 47 | |||
| 48 | Основным документом по информационной безопасности современного коммерческого предприятия является документ под названием "Политика информационной безопасности предприятия (компании, организации и т.д.)". |
||
| 49 | Политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. |
||
| 50 | "Политика безопасности" включает в себя комплекс превентивных мер по защите информации на предприятии и содержит требования в адрес персонала, менеджеров и технических служб. |
||
| 51 | Основные направления разработки политики безопасности: |
||
| 52 | * определение, какие данные и насколько серьезно необходимо защищать |
||
| 53 | * определение кто и какой ущерб может нанести фирме в информационном аспекте |
||
| 54 | * вычисление рисков и определение схемы уменьшения их до приемлемой величины |
||
| 55 | |||
| 56 | Целью политики информационной безопасности является обеспечение развития организации в области ИБ в соответствии с целями бизнеса и требованиями, предъявляемыми различными регулирующими органами. |
||
| 57 | Данный документ регламентирован международными стандартами по информационной безопасности ISO 27001 и ISO 27002. |
||
| 58 | Стандарт ISO 27002 определяет, что политика информационной безопасности должна быть одобрена руководством компании, опубликована и доведена до сведения всех сотрудников и заинтересованных сторонних организаций. |
||
| 59 | |||
| 60 | h3. Политика информационной безопасности |
||
| 61 | |||
| 62 | Политика информационной безопасности должна включать следующее^ |
||
| 63 | * Определение понятия информационная безопасность; |
||
| 64 | * Цели обеспечения информационной безопасности; |
||
| 65 | * Признание важности обеспечения информационной безопасности; |
||
| 66 | * Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса; |
||
| 67 | * Подход к управлению рисками и выбора контрмер для минимизации рисков информационной безопасности; |
||
| 68 | * Краткое объяснение принципов информационной безопасности, требования информационной безопасности (выполнение требований регуляторов, обучение в области информационной безопасности, обеспечение непрерывности бизнеса, последствия нарушения положений политики информационной безопасности); |
||
| 69 | * Определение общих и специфических обязанностей по обеспечению информационной безопасности; |
||
| 70 | * Ссылки на более детальные политики и процедуры поддерживающие политику информационной безопасности. |
||
| 71 | |||
| 72 | Политика информационной безопасности должна пересматриваться через определенные интервалы времени и в случае значительных изменений (изменения структуры компании, стратегических целей бизнеса) для того, чтобы оставаться актуальной и эффективной. |
||
| 73 | Помимо того, что политика информационной безопасности должна быть утверждена руководством и должна определять принципы информационной безопасности, подход к выбору мер по снижению рисков информационной безопасности, учитывать требования законодательства и закрепленные в контрактах, не противоречить подходу к управлению рисками, принятом в компании, она должна также определять критерии для оценки рисков. |
||
| 74 | Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты определена, составляется программа обеспечения информационной безопасности, которая должна реализовать принятую политику безопасности. |
||
| 75 | |||
| 76 | > Пример высокоуровневой политики информационной безопасности: |
||
| 77 | > |
||
| 78 | > Политика информационной безопасности. |
||
| 79 | > Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании. |
||
| 80 | > Политика распространяется на главный офис Компании и все филиалы. |
||
| 81 | > Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов. |
||
| 82 | > Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время. |
||
| 83 | > Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании |
||
| 84 | > Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника. |
||
| 85 | > Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме |
||
| 86 | > Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации. |
||
| 87 | > Сотрудники Компании проходят регулярное обучение в области информационной безопасности. |
||
| 88 | > В Компании ежегодно проводится независимый аудит информационной безопасности. |
||
| 89 | > Генеральный директор Компании утверждает политики информационной безопасности. |
||
| 90 | > Отдел информационной безопасности отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в Компании |
||
| 91 | > Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO 27001 и ISO 27002. |
||
| 92 | > Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности. |
||
| 93 | > Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнеспроцессах. |
||
| 94 | > При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке. |
||
| 95 | > Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз. |
||
| 96 | > Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности: |
||
| 97 | > * Политика использования паролей; |
||
| 98 | > * Политика использования сети Интернет; |
||
| 99 | > * Политика использования электронной почты; |
||
| 100 | > … |
||
| 101 | > Несоблюдение политик информационной безопасности сотрудниками Компании может повлечь дисциплинарные меры взыскания вплоть до увольнения. |
||
| 102 | |||
| 103 | Кроме политики и программы информационной безопасности на предприятии разрабатываются следующие документы: |
||
| 104 | * положение о сохранении конфиденциальной информации; |
||
| 105 | * перечень сведений, которые составляют конфиденциальную информацию; |
||
| 106 | * инструкция о порядке допуска сотрудников к сведениям, которые составляют конфиденциальную информацию; |
||
| 107 | * положение о специальном делопроизводстве и документообороте; |
||
| 108 | * перечень сведений, которые разрешены к опубликованию в открытой печати; |
||
| 109 | * положение о работе с иностранными фирмами и их представителями; |
||
| 110 | * обязательство сотрудника о сохранении конфиденциальной информации; |
||
| 111 | * памятка сотруднику о сохранении коммерческой тайны. |
||
| 112 | |||
| 113 | Приведенные выше нормативные акты направлены на предупреждение случаев неправомерного разглашения секретов. В случае их нарушения должны приниматься соответствующие меры воздействия. |
||
| 114 | |||
| 115 | --- |
||
| 116 | |||
| 117 | h2. Формы правовой защиты информации на предприятии |
||
| 118 | |||
| 119 | В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мероприятий, могут быть избраны следующие формы защиты информации: |
||
| 120 | * патентование; |
||
| 121 | * признание сведений коммерческой тайной ("ноу-хау"); |
||
| 122 | * авторское право; |
||
| 123 | * товарные знаки; |
||
| 124 | * применения норм обязательного права. |
||
| 125 | |||
| 126 | Существует определенная разница между авторским правом и коммерческой тайной. |
||
| 127 | |||
| 128 | К *авторскому праву* прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом коммерческая тайна и производственная тайне являются наиболее удобными, надежными и гибкими формами защиты информации. |
||
| 129 | *Коммерческая тайна* — это сведения, которые не являются государственными секретами и связанны с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может привести к убыткам их владельцев (упущенная выгода). |
||
| 130 | |||
| 131 | К коммерческой тайне не относятся: |
||
| 132 | * сведения, которые охраняются государством; |
||
| 133 | * сведения, которые являются общеизвестными на законном основании; |
||
| 134 | * сведения о негативных сторонах деятельности; |
||
| 135 | * учредительные документы и сведения о хозяйственной деятельности. |
||
| 136 | |||
| 137 | Кроме вышеизложенных форм правовой защиты информации находит широкое распространение официальная передача права на пользование информацией в виде лицензии |
||
| 138 | |||
| 139 | *Лицензия* — это разрешение, выданное государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставления права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров. |
||
| 140 | Создавая систему информационной безопасности, необходимо четко понимать, что *без правового обеспечения* защиты информации какие-либо претензии к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу будут просто безосновательными |
||
| 141 | Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (естественно, если от допущен к выполнению должностных обязанностей) в письменном виде, то сотрудник, который похитил важную информацию при нарушении установленного порядка работы с нею скорее всего не будет наказан. |
||
| 142 | |||
| 143 | --- |
||
| 144 | |||
| 145 | h2. Другие документы предприятия, в которых отражаются вопросы обеспечения информационной безопасности |
||
| 146 | |||
| 147 | Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отображаются в совокупности *учредительных, организационных и функциональных документов* |
||
| 148 | Требования обеспечения безопасности и защиты информации отображаются в Уставе предприятия (учредительном договоре) в виде следующих положений: |
||
| 149 | * предприятие имеет право определять состав, объемы и порядок защиты конфиденциальных сведений, требовать от своих сотрудников обеспечения их сохранения и защиты от внутренних и внешних угроз; |
||
| 150 | * предприятие обязано обеспечивать сохранность конфиденциальной информации. |
||
| 151 | |||
| 152 | Такие требования дают администрации предприятия следующие права: |
||
| 153 | * cоздавать организационные структуры по защите конфиденциальной информации ("Служба защиты информации"); |
||
| 154 | * издавать нормативные и предписывающие документы, которые определяют порядок выделения сведений конфиденциального характера и механизмы их защиты; |
||
| 155 | * включать требования по защите информации в соглашения по всем видам хозяйственной деятельности; |
||
| 156 | * требовать защиты интересов предприятия со стороны государственных и судебных инстанций; |
||
| 157 | * распоряжаться информацией, которая является собственностью предприятия, с целью получения выгоды и недопущения экономических убытков коллективу предприятия и его владельцу; |
||
| 158 | * разрабатывать "Перечень сведений конфиденциальной информации" |
||
| 159 | |||
| 160 | Требования правового обеспечения защиты информации предусматриваются *в коллективном договоре*. Коллективный договор должен содержать следующие требования. |
||
| 161 | * Раздел *"Предмет договора"*. Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязывается обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации. Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации. Администрация обязана учитывать требования защиты конфиденциальной информации в правилах внутреннего распорядка. |
||
| 162 | * Раздел *"Кадры. Обеспечение дисциплины труда"*. Администрация обязывается привлекать нарушителей требований по защите коммерческой тайны к административной и криминальной ответственности в соответствии с действующим законодательством |
||
| 163 | |||
| 164 | Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями. |
||
| 165 | * Раздел *"Порядок приема и увольнения рабочих и служащих"*. |
||
| 166 | При приеме рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении его с работы администрация обязана проинструктировать рабочего или служащего относительно правил сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении. Администрация предприятия вправе принимать решения об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации. |
||
| 167 | * Раздел *"Основные обязанности рабочих и служащих"*. Рабочие и служащие обязаны придерживаться требований нормативных документов по защите конфиденциальной информации на предприятии. |
||
| 168 | * Раздел *"Основные обязанности администрации"*. Администрация предприятия, руководители подразделений обязаны: |
||
| 169 | ** обеспечивать сохранность конфиденциальной информации, постоянно осуществлять организационную и воспитательно-профилактическую работу, направленную на защиту секретов предприятия; |
||
| 170 | ** включать в должностные инструкции и положения обязанности по сохранению конфиденциальной информации; |
||
| 171 | ** неуклонно выполнять требования Устава, коллективного договора, трудовых договоров, правил внутреннего распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности |
||
| 172 | |||
| 173 | Обязанности конкретного сотрудника, рабочего или служащего относительно защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с ТК при заключении трудового договора работник обязывается выполнять определенные требования, которые действуют на данном предприятии. Независимо от формы заключения договора (устного, письменного ли) подпись работника на приказе о приеме на работу подтверждает его согласие с условиями договора. |
||
| 174 | Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, которые вытекают из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент привлечения данного лица в механизм обеспечения информационной безопасности. |
||
| 175 | Не следует считать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и правовая основа для того, чтобы прекратить его неверные или противоправные действия. Следующая задача — не допустить потери коммерческих секретов. |
||
| 176 | Вопросы соблюдения конфиденциальности отражаются отдельным пунктом в договорах, соглашениях и других документах, которые заключаются между различными предприятиями. |
||
| 177 | Правовая регуляция на предприятии необходима для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления заданий и правомочия отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организации. |
||
| 178 | Правовые мероприятия обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меру их ответственности за нарушение установленных норм. |