Организационное и правовое обеспечение информационной безопасности. Место дисциплины в программе подготовки специалиста

1.

1
Алтайский государственный технический
университет им. И.И. Ползунова
Факультет информационных технологий
Кафедра информатики, вычислительной техники и
информационной безопасности
Организационное и правовое обеспечение
информационной безопасности
Лекция 1. Место дисциплины в программе
подготовки специалиста в области ИБ
Санников
Андрей Валерьевич
к.ф.-м.н., доцент
Барнаул 2023

2.

Литература
2
1. Загинайлов Ю. Н. Организационно-правовое обеспечение информационной
безопасности. В 2-х частях. Часть I. Правовое обеспечение информационной
безопасности : Учебное пособие / Алт.гос.техн.ун-т им.И.И.Ползунова.- Баранаул:
Изд-во АлтГТУ.-2012-172с. http://elib.altstu.ru/eum/download/vsib/zaginajlovopobespet.pdf
2. Загинайлов Ю. Н. Организационно-правовое обеспечение информационной
безопасности. В 2-х частях. Часть I. Правовое обеспечение информационной
безопасности : курс визуальных лекций / Алт.гос.техн.ун-т им.И.И.Ползунова.Баранаул: Изд-во АлтГТУ.-2014-118 с. Прямая ссылка:
http://elib.altstu.ru/eum/download/vsib/Zaginajlov-opo21.pdf
3. Лапина, М. А. Информационное право : учебное пособие / М. А. Лапина, А. Г. Ревин,
В. И. Лапин ; под ред. И. Ш. Килясханова ; Московский Университет МВД России. –
Москва : Юнити-Дана : Закон и право, 2017. – 336 с. – (Высшее профессиональное
образование: Юриспруденция). – Режим доступа: по подписке. –
URL: https://biblioclub.ru/index.php?page=book&id=685428 (дата обращения:
09.09.2022). – ISBN 5-238-00798-1. – Текст : электронный.
4. Комаров, С. А. Правовое регулирование обеспечения информационной безопасности
и защиты персональных данных / С. А. Комаров, Е. В. Мицкая ; под ред. С. А.
Комаровой. – Санкт-Петербург : , 2018. – 169 с. – Режим доступа: по подписке. –
URL: https://biblioclub.ru/index.php?page=book&id=564652 (дата обращения:
09.09.2022). – Библиогр.: с. 129-140.

3.

Результаты обучения
Компет
енция
Содержание компетенции
Индикатор
УК-2
УК-2.1
Способен определять круг задач в рамках
поставленной
цели
и
выбирать
оптимальные способы их решения, УК-2.2
исходя из действующих правовых норм,
имеющихся ресурсов и ограничений
УК-2.3
ОПК-5
Способен
применять
нормативные ОПК-5.1
правовые
акты,
нормативные
и
методические
документы,
ОПК-5.2
регламентирующие деятельность по
защите
информации
в
сфере
ОПК-5.3
профессиональной деятельности
ОПК-6
Способен
при
решении
профессиональных задач организовать
защиту
информации
ограниченного
доступа в соответствии с нормативными
правовыми актами, нормативными и
ОПК-6.1
методическими
документами
Федеральной
службы
безопасности
Российской Федерации, Федеральной
службы по техническому и экспортному
контролю
3
Содержание индикатора
Анализирует поставленную цель и формулирует
задачи, которые необходимо решить для её
достижения
Выбирает оптимальный способ решения задач с
учётом существующих ресурсов и ограничений
Выбирает правовые и нормативно-технические
документы,
применяемые
для
решения
поставленных задач
Осуществляет поиск необходимых нормативных
правовых актов и нормативных методических
документов
Демонстрирует знание состава нормативной
документации
Использует
нормативные
правовые
акты,
нормативные
методические
документы
в
профессиональной деятельности
Выбирает
нормативные
правовые
акты,
нормативные
и
методические
документы
Федеральной службы безопасности Российской
федерации, Федеральной службы по техническому
и экспортному контролю

4.

Структура курса
4
Организационное и правовое обеспечение
информационной безопасности
Правовое обеспечение ИБ:
осенний семестр
8 лекций
Практические занятия
Зачет
Организационное обеспечение ИБ:
весенний семестр
8 лекций
Практические занятия
Экзамен

5.

Структура курса
Правовое обеспечение ИБ
Глава 1
Информационная сфера и информация в системе права
Глава 2
Содержание и структура правового обеспечения информационной
безопасности
Глава 3
Структура и содержание законодательства в области информационной
безопасности
Глава 4
Правовые основы защиты информации
Глава 5
Правовые основы деятельности и функции органов, обеспечивающих
информационную безопасность
Глава 6
Лицензирование и сертификация в области защиты информации
Глава 7
Правовой институт государственной тайны
Глава 8
Правовой институт коммерческой тайны
Глава 9
Правовой институт персональных данных
Глава 10
Основные понятия, принципы и институты правового регулирования
интеллектуальной собственности
Глава 11
Преступления в сфере компьютерной информации
Глава 12
Правовая ответственность за нарушения законодательства Российской
Федерации о государственной тайне
Глава 13
Правовая ответственность за нарушения законодательства о тайнах и об
интеллектуальной собственности
5

6.

Структура курса
Организационное обеспечение ИБ
Глава 1
Содержание и структура организационного обеспечения
информационной безопасности
Глава 2
Определение состава защищаемой информации
Глава 3
Организация деятельности службы безопасности предприятия
Глава 4
Организация деятельности службы защиты информации предприятия
Глава 5
Определение должностей и подбор персонала для работы с
конфиденциальной информацией
Глава 6
Оформление допуска должностных лиц и граждан к государственной
тайне
Глава 7
Организация системы доступа к защищаемой информации (сведениям,
документам, изделиям)
Глава 8
Работа с персоналом, имеющим допуск и доступ к конфиденциальной
информации
Глава 9
Организация охраны предприятия и физической защиты его объектов
Глава 10
Организация пропускного и внутриобъектового режимов
Глава 11
Организация и проведение совещаний и переговоров по
конфиденциальным вопросам
Глава 12
Аттестация объекта информатизации
6

7.

ВИДЫ ЗАЩИТЫ ИНФОРМАЦИИ
7
Защита информации (ЗИ) - деятельность, направленная на
предотвращение
утечки
защищаемой
информации,
несанкционированных и непреднамеренных воздействий на
защищаемую информацию.
Виды ЗИ
Правовая
Техническая
Организационная
Криптографическая
Физическая

8.

ВИДЫ ЗАЩИТЫ ИНФОРМАЦИИ
8
Техническая защита информации (ТЗИ) – это защита
информации, заключающаяся в обеспечении
некриптографическими методами безопасности информации
(данных), подлежащей (подлежащих) защите в соответствии с
действующим законодательством, с применением технических,
программных и программно-технических средств.
Криптографическая защита информации – защита
информации с помощью ее криптографического преобразования.
Физическая защита информации – защита информации путем
применения организационных мероприятий и совокупности
средств, создающих препятствия для проникновения или доступа
неуполномоченных физических лиц к объекту защиты.

9.

ВИДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Правовая защита информации – это защита информации
правовыми методами, включающая в себя разработку
законодательных и нормативных правовых документов (актов),
регулирующих отношения субъектов по защите информации,
применение этих документов (актов), а также надзор и контроль за
их исполнением. Законодательство включает все нормативные
правовые акты – законодательство в области информационной
безопасности и защиты информации.
Организационная защита информации – это организация
деятельности по защите, регламентирование доступа к
защищаемым ресурсам и на объекты информатизации.
Организационная защита направлена на предотвращение утечки
ИОД и несанкционированного (неправомерного) доступа к ней по
организационным каналам.
9

10.

ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИБ РФ
10
Правовое обеспечение информационной безопасности
Российской Федерации – система правовых норм, регулирующих
общественные отношения в области противодействия угрозам
национальным интересам Российской Федерации в информационной
сфере и скоординированная деятельность органов государственной
власти по развитию, совершенствованию, и реализации норм данной
системы.

11.

11
ВЕРТИКАЛЬНАЯ СТРУКТУРА ЗАКОНОДАТЕЛЬСТВА
Конституция РФ
Международные договоры РФ
Законы РФ
Нормативные акты Президента РФ
Нормативные акты Правительства РФ и ФОИВ
Нормативные акты субъектов РФ

12.

12
Горизонтальная структура законодательства
законодательство об информации, информационных
технологиях и о защите информации;
законодательство о персональных данных;
законодательство о тайнах;
законодательство о средствах массовой информации и о
рекламе;
законодательство об интеллектуальной собственности;
законодательство о связи;
законодательство о техническом регулировании;
законодательство о цифровой подписи.

13.

ИСТОЧНИКИ ИНФОРМАЦИИ
1. Официальный интернет-портал правовой
информации http://pravo.gov.ru
13

14.

ИСТОЧНИКИ ИНФОРМАЦИИ
2. Информационно-правовые системы
14

15.

ИСТОЧНИКИ ИНФОРМАЦИИ
3. Официальные сайты органов власти
15

16.

Понятие системы защиты информации
16
Система – это комплекс взаимодействующих компонентов»
(Л.Берталанфи).
«Система представляет собой определённое множество
взаимосвязанных элементов, образующих устойчивое единство и
целостность, обладающее интегральными свойствами и
закономерностями» (В. П. Кузьмин);
Система защиты информации – совокупность органов,
используемой ими техники защиты информации, а также объектов
защиты информации, организованная и функционирующая по
правилам и нормам, установленным соответствующими документами
в области защиты информации.
Система защиты
информации
Органы
защиты
Техника
защиты
Объекты
защиты
Правила и
нормы

17.

Компоненты системы защиты информации
17
Орган защиты информации – административный орган,
осуществляющий организацию защиты информации.
Наименования:
− отдел защиты государственной тайны и информации;
− отдел защиты информации;
− отдел информационной безопасности;
− служба защиты информации;
− служба информационной безопасности и т.п.
Техника защиты информации – средства защиты
информации, в том числе средства физической
защиты информации, криптографические средства
защиты информации, средства контроля
эффективности защиты информации, средства и
системы управления, предназначенные для
обеспечения защиты информации.

18.

Компоненты системы защиты информации
18
Объект защиты информации – информация или носитель
информации, или информационный процесс, которые необходимо
защищать в соответствии с целью защиты информации:
− защищаемая информация;
− носитель защищаемой информации;
− информационный процесс;
− защищаемая информационная система;
− хранилища носителей ИОД;
− защищаемый объект информатизации;
Правила и нормы, установленные
соответствующими документами в области защиты
информации, включают правила и нормы,
установленные правовыми, организационно –
распорядительными, нормативно-методическими
документами, разработанными и введёнными в
действие, как органами государственной власти, так
и руководством организации в которых создаётся и
используется система защиты информации.

19.

Комплексная система защиты информации
19
Комплексная
система
защиты
информации
предприятия (КСЗИП) – система защиты, реализующая правовую,
организационную, техническую, криптографическую, физическую
защиту информации и адекватная по своему компонентному составу и
функциям, угрозам безопасности информации и объектам
информатизации предприятия.
Вид защиты
информации
Сфера действия
Правовая
Территория государства
Организационная
Территория предприятия
Физическая
Контролируемая зона,
здание или помещение
Техническая
Контролируемая зона,
здание или помещение,
ЛВС, отдельные
компьютеры
Криптографическая
ЛВС, отдельные
компьютеры

20.

20
Компоненты КСЗИП
КСЗИП
Подсистема
управления КСЗИП
Подсистема
защиты от
физического НСД
Подсистема
защиты от НСД в
АС и ИТКС
Подсистема защиты от утечки по ТКУИ и ПДТР
Подсистема
защиты от утечки
по техническим
каналам
Подсистема
противодействия
технически
разведкам
Подсистема
защиты от
вредоносных
программ

21.

21
Подсистема защиты информации от НСД в АС и ИТКС
Подсистема защиты информации от НСД в АС и ИТКС
предназначена для защиты информации от несанкционированного
доступа в автоматизированных системах и ИТКС организации, а также
для обеспечения целостности информации и доступности для
уполномоченных пользователей.

22.

Подсистема физической защиты
22
Подсистема физической защиты предназначена для контроля
пребывания на территории и объектах информатизации (в контролируемых
зонах) персонала предприятия и предотвращения неконтролируемого
пребывания посторонних лиц, а также для сигнализации и извещения о
случаях несанкционированного проникновения на территорию и охраняемые
объекты информатизации.

23.

Подсистема защиты от вредоносных программ 23
Подсистема защиты от вредоносных программ предназначена
для защиты АС (ИС), функционирующих на основе персональных
компьютеров и вычислительных сетей, ИТКС от
несанкционированного воздействия с применением компьютерных
вирусов и других видов вредоносных программ.

24.

Подсистема защиты от утечки по техническим каналам. 24
Подсистема защиты информации от утечки по техническим
каналам и ПДТР предназначена для предотвращения утечки
конфиденциальной (секретной) информации по техническим каналам
и незаконного получения её третьими лицами (разведками).

25.

Подсистема управления КСЗИП
25
Подсистема управления КСЗИП предназначена для
управления
процессами
защиты
информации
на
основе
законодательства и регламентации правил и порядка доступа к
защищаемой информации и контроля всех процессов со стороны
руководства организации и службы защиты информации.

26.

Организационная защита информации на предприятии 26
Организационная защита информации – составная часть
системы защиты информации, определяющая и вырабатывающая
порядок и правила функционирования объектов защиты и
деятельности должностных лиц в целях обеспечения защиты
информации.
Организационная защита информации на предприятии –
регламентация производственной деятельности и взаимоотношений
субъектов (сотрудников предприятия) на нормативно-правовой
основе, исключающая или ослабляющая нанесение ущербу данному
предприятию.

27.

Основные направления организационной защиты 27
Организационная
защита
Организация
внутриобъектового
и пропускного
режимов и охраны
Организация
работы с
персоналом
Организация
аналитической
работы и контроля
Организация
работы с
носителями
сведений
Комплексное
планирование
мероприятий по ЗИ

28.

Основные направления организационной защиты28
− определение должностей и подбор персонала для работы с
защищаемой информацией;
− оформление допуска сотрудников к государственной тайне или
конфиденциальной информации;
− организацию системы доступа к защищаемой информации;
− организацию работы с персоналом, имеющим доступ к защищаемой
информации;
− организацию системы конфиденциального (секретного)
делопроизводства;
− организацию охраны предприятия, пропускного режима;
− оборудование служебных помещений;
− организацию подготовки и проведения совещаний и переговоров по
конфиденциальным вопросам;
− организацию защиты информации при осуществлении
международного сотрудничества, выезде сотрудников за границу,
при осуществлении издательской, рекламной и выставочной
деятельности;
− организацию служебных расследований;
− организацию системы управления информационной безопасностью
предприятия.

29.

Понятие и виды права
29
Право - обоснованная, оправданная свобода или возможность
поведения человека в его взаимоотношениях с другими людьми,
которая признана и поддерживается обществом.
Объективное право – система норм, правил поведения,
выраженных в законах и устанавливающих правомерное и
неправомерное поведение граждан, организаций и государства.
Юридическое право – система общеобязательных норм,
выраженных в законах, иных признаваемых государством источниках
права и являющихся общеобязательным основанием для определения
правомерно-дозволенного, запрещенного и предписанного поведения.

30.

Признаки права
30
Юридическое право обладает следующими признаками:
Общеобязательная нормативность – нормы права
распространяют свое действие на всю территорию и на ее население.
Выражение норм в законах, иных признаваемых
государством источниках права.
Действие через дозволения, через субъективные права,
очерчивающие сферу юридически дозволенного поведения, сферу
свободы личности, ее автономности.
Государственная обеспеченность – нормы права имеют
поддержку государства как мощной социальной силы, способной в
установленных правом случаях и форме гарантированно обеспечить
наступление ожидаемых от юридических норм результатов.

31.

Понятие и особенности нормы права
31
Юридическая норма (норма права) – общеобязательное правило
поведения, выраженное в законах, иных признаваемых государством
источниках права и выступающее в качестве критерия правомернодозволенного, запрещенного или предписанного поведения субъектов
права:
Особенности норм права:
Системность, отражающая свойство норм существовать и
действовать не поодиночке, не каждая сама по себе, а в комплексе, в
составе целых правовых институтов и более обширных
подразделений права – отраслей.
Специализация, отражающая свойство норм закреплять какуюто одну, определенную юридическую операцию – установление
общих положений (нормы – принципы), запрет (запрещающие
нормы), применение принудительных мер в случае совершения
правонарушения (правоохранительные нормы) и т. п.

32.

Подразделение норм права
32
По общей направленности действия правовые нормы подразделяются
на:
регулятивные, определяющие субъективные права и юридические
обязанности субъектов, условия их возникновения и действия;
правоохранительные, определяющие условия применения к
субъекту мер государственно-принудительного воздействия,
характер и содержание этих мер.
По способу воздействия на общественные отношения правовые нормы
подразделяются на:
управомочивающие,
запрещающие,
обязывающие.

33.

Правоотношения
33
Правоотношение – обусловленное правовой нормой отношение
между субъектами, которые имеют субъективные права и
юридические обязанности.
Правоотношения включают:
Субъекты права – лица (граждане, организации, общественные
образования, государственные органы, учреждения и т.д.),
обладающие правосубъектностью, т.е. способностью быть
носителями прав и обязанностей, участвовать в правовых
отношениях.
Субъективные права определят возможность субъекта права
действовать дозволенным образом и требовать определенного
поведения от других субъектов (лиц) в связи с реализацией данного
права.
Объекты права – предметы окружающего мира, материальное
или нематериальное благо, по поводу которого сложилось
правоотношение.

34.

Источники права
34
Источник права – официальный документ, созданный в
соответствии с установленной процедурой и опубликованный
уполномоченными государственными органами, а также содержащий
нормы права или их элементы, правовые обычаи и судебные решения.
Источники права подразделяются на следующие группы:
Общепринятые принципы и нормы международного
права, международные договоры РФ, являющиеся составной
частью правовой системы России.
Законы – юридические акты, обладающие высшей юридической
силой на территории их действия по сравнению с другими
национальными нормативными правовыми актами.
Подзаконные акты, принимаемые органами исполнительной
власти во исполнение законов в пределах их компетенции (указы
Президента, постановления Правительства, руководящие
документы,
Технические регламенты и др.

35.

Понятие и структура информационной сферы
35
Информационная сфера – это сфера деятельности, связанная с
созданием, преобразованием, распространением, потреблением
информации.
Информационная сфера – это сфера общественной жизни,
включающая:
субъекты информационного взаимодействия (органы власти,
общественные организации, юридические и физические лица);
объекты информационной сферы (информация, информационные
ресурсы, объекты информационной инфраструктуры,
информационные системы);
общественные отношения, складывающихся в связи с
созданием, преобразованием, распространением, потреблением
информации, обменом информацией внутри общества и
использованием для этих целей элементы информационной
инфраструктуры.

36.

Роль права в обеспечении ИБ РФ
36
Роль права заключается в создании системы правовых механизмов,
обеспечивающих эффективное противодействие угрозам
национальным интересам Российской Федерации в информационной
сфере.
Правовые механизмы включают:
систему правовых норм, регулирующих общественные
отношения в области противодействия угрозам национальным
интересам Российской Федерации в информационной сфере;
деятельность органов государственной власти по
развитию и совершенствованию норм данной системы;
обеспечение правосудия в процессе выполнения задач
противодействия угрозам ИБ.

37.

Понятие правового обеспечения ИБ
37
Правовое обеспечение информационной безопасности
Российской Федерации – система правовых норм, регулирующих
общественные отношения в области противодействия угрозам
национальным интересам Российской Федерации в информационной
сфере и скоординированная деятельность органов государственной
власти по развитию, совершенствованию, и реализации норм данной
системы.
Предмет правового обеспечения информационной
безопасности представляет собой совокупность общественных
отношений, на которые направлено правовое воздействие в целях
недопущения, выявления и пресечения проявлений угроз объектам
национальных интересов в информационной сфере, а также
минимизации негативных последствий проявления этих угроз.

38.

ЗАДАНИЕ
1. Получить доступ к информационным библиотечным
используемых при организации занятий в АлтГТУ
38
системам,
2. Самостоятельно изучить главы 1 и 2 учебного пособия Ю.Н, Загинайлова,
подготовить ответы на контрольные вопросы
3. Проанализировать нормы Конституции РФ на предмет регулирования
информационных правоотношений, выписать в файл статьи с указанием их
номеров.