Файл: Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание).docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.05.2024

Просмотров: 25

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


3. Усиленная квалифицированная электронно-цифровая подпись:

Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи: ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства. Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты. Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью. Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота. Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил, а также установить, изменялся ли документ уже после того, как был подписан.

Электронно-цифровая подпись — это программно-криптографическое средство, которое обеспечивает:

  • проверку целостности документов;

  • конфиденциальность документов;

  • установление лица, отправившего документ.

Использование электронно-цифровой подписи позволяет:

  • значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

  • усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

  • гарантировать достоверность документации;

  • минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

  • построить корпоративную систему обмена документами.

  1. Защита электронной цифровой интеллектуальной собственности, законодательство в сфере защиты электронной цифровой интеллектуальной собственности

Нормы о защите интеллектуальных прав содержатся в части 4 ГК РФ. Если право нарушено, по выбору правообладателя могут быть использованы как общие способы защиты из ст. 12 ГК РФ (например, применение последствий недействительности лицензионного договора, заключенного с нарушением формы), так и специфические, в том числе закрепленные в ст. 1251, 1252 ГК РФ.


Использование инструментов защиты должно быть основано на существе права, ставшего объектом посягательства, а также последствиях, являющихся его результатом.

Специфика механизма, целью которого выступает защита прав интеллектуальной собственности, заключается в том, что даже безвиновное нарушение, помимо обязанности прекратить действия, может повлечь для субъекта, его совершившего, негативные последствия в виде публикации судебного решения, в котором отражен факт нарушения, изъятия или уничтожения контрафактных носителей, пресечения поведения.
Закон предусматривает следующие способы защиты интеллектуальных прав, относящихся к группе личных неимущественных:

  • признание права;

  • восстановление положения;

  • пресечение действий, посягающих на право;

  • возмещение морального вреда;

  • публикация судебного решения о нарушении (мера, направленная на восстановление репутации и имени автора) 

  1. Организационная защита информации. Политики (частные политики) в информационной безопасности в организации. Основные положения и назначения.

Организационная защита конфиденциальной информации — это меры процедурного и административного характера, которые регламентируют процессы работы с важными данными: их хранение, передачу, обработку и т. д. 

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала: 

- определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации 

- изложение целей и принципов информационной безопасности, сформулированных руководством 

- краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований.



- определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью

- ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи. 

Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме. 

Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была: 

- непротиворечивой – разные документы не должны по-разному описывать подходы к одному и тому же процессу обработки информации 

- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей 

- не налагала невыполнимых обязанностей и требований. 

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр. 

  1. Методика построения систем защиты информации. Этапы. Алгоритм. Описание каждого этапа

Анализ предметной области

  • Определить предметную область

  • Определить организацию (предприятие) в предметной области

  • Классифицировать предприятие по годовой выручке и количеству персонала ( Постановление Правительства РФ - ежегодное)

  • Определить Цель,задачи и функции предприятия

  • На основе перечня функций отобразить оргштатную или оргструктуру предприятия (выбрать из стандартных моделей оргструктур и применить к конкретному предприятию)

  • Отобразить схемы (схему) информационных потоков предприятия.

  • Построить схемы бизнес-процессов выбранного предприятия. (SADT-блоки). На схеме с помощью модели информационных потоков отметить информацию, участвующую в каждом из бизнес-процессов.

На 1 этапе необходимо выявить всю информацию на предприятии или учреждении нуждающуюся в защите и провести ее категорирование по степени важности для организации.

На 2 этапе
выстраивается модель злоумышленника – лица, которое старается причинить вред организации, путем действий против защищаемой информации. Согласно Уголовному кодексу России ( ст. 272,273,274) это «..уничтожение, модификация, копирование, блокирование..». Отметим, что злоумышленником может являться и программный вредоносный комплекс .

На 3 этапе необходимо определить и попытаться систематизировать возможные угрозы информации и информационным ресурсам в результате действий злоумышленника. Необходимо обратить внимание на то, что такие угрозы определяются по каждой информации и их может быть несколько для одного вида информации.

На 4 этапе определяются вероятности возможной атаки ( атака – реализация угрозы) по каждому информационному ресурсу ( информации) и каждому виду угрозы. На практике чаще используются качественные показатели, в силу сложности доказательства точности расчетов.

5 этап. Один из самых сложных этапов – расчет стоимости информации или расчет ущерба организации от возможных атак. Его надо также сделать для каждого информационного ресурса по степени важности информации. Как правило, к этому этапу обязательно подключаются помимо специалистов по защите информации – руководство учреждений. Именно они должны качественно, а лучше всего количественно определить стоимость той или иной информации. Если это не сделано, то можно применить так называемый страховой расчет стоимости информации ( то есть определить тот взнос – процент, который берут страховые компании при страховании некоторого имущества и события). Как правило, в международной практике это 1-2 процента в год от стоимости имущества.

Если это не удается, то вводиться произвольная шкала (числовая) определяющая относительную стоимость – большая, средняя, малая и ей присваивается произвольный числовой эквивалент. Это важно для последующего определения рисков.

При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

6 этап. После того как это сделано можно рассчитать риск, который может возникнуть в организации от реализации той и ли иной угрозы.

Для этого величина ущерба умножается на вероятность атаки.

После того как составлена таблица рисков по всем видам атак на все виды информации и информационных ресурсов, можно начинать анализ рисков или 7 этап..


7 этап. Анализ рисков информационной безопасности - отдельное направление в защите информации и рассматривается как минимум в 3 дисциплинах при подготовке специалистов по защите информации.

Желательно, разбить риски на несколько категорий. 1 категория – риски, которые необходимо обязательно устранить, не считаясь с материальными и финансовыми затратами.

2 категория – приемлемые риски , ущерб от которых незначителен.

3 категория рисков - те риски, которые мы будем минимизировать задаваясь заранее некоторым их уровнем опасности или уровнем ущерба, ориентируясь при этом на вероятности их возникновения.

8 этап .Перечислить имеюшиеся средства защиты информации в выбранной СЭД и соотнести этот перечень с необходимыми средствами защиты для своего предприятия.

9 этап. Созданию системы защиты (противодействия угрозам и атакам) информации в конкретной организации.

При выстраивании системы защиты (подбирая методы и технические средства) необходимо точно знать каким методом и средством, от каких атак мы защищаем конкретную информацию и на каком ресурсе. То есть необходимо знать какой бизнес-процесс нашей организации (какую информацию в нем) мы защищаем и от каких атак.

10 этап. После того как система создана ,необходимо определить зоны ответственности подразделений и лиц по обеспечению информационной безопасности компании (если создана служба или группа по обеспечению безопасности организации). Также необходимо создать (разработать ) необходимый набор организационной документации (Политика безопасности и ее варианты, разделы).

11 этап Расчет эффективности построенной системы защиты и ее отдельных средств.

12 этап. Расчет затрат на реализацию и создание системы безопасности ИС (обосновать и произвести расчет финансовых вложений в обеспечение безопасности организации). Расчет экономической эффективности.

  1. Методика резервного копирования. Средства резервного копирования.

Оперативное резервирование (Online Backup). Это означает, что накопитель, на который будет проводиться резервирование или с которого будет выполняться восстановление, подключён. Жёсткий диск может или работать, или быть в режиме бездействия, ожидая команды пользователя. Он может быть либо подключён напрямую к компьютеру, либо доступен по сети. Автономное резервирование (Offline Backup). Данный способ подразумевает хранение резервной копии на съёмном носителе, кассете или картридже, который перед использованием следует установить в привод.