Similar presentations:
Правовая и и организационная защита информации
1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
ЛекцияЛекция 2:
2:
«Правовая
«Правовая и
и
организационная
организационная защита
защита
информации»
информации»
2. Учебные вопросы:
1.2.
3.
4.
5.
6.
Содержание правовой защиты
информации.
Основные законодательные акты в
области информационной безопасности.
Ответственность за нарушение
законодательства в информационной
сфере.
Регулирование процессов защиты
информации на предприятиях.
Разработка внутренней организационнораспорядительной документации по ЗИ.
Организационная защита информации.
3. Вопрос 1: «Содержание правовой защиты информации»
ВопросВопрос 1:
1: «Содержание
«Содержание правовой
правовой
защиты
защиты информации»
информации»
Правовая защита информации защита информации правовыми методами,
включающая в себя разработку
законодательных и нормативных правовых
документов (актов), регулирующих
отношения субъектов по защите
информации, применение этих
документов (актов), а также надзор и
контроль за их исполнением.
(ГОСТ Р 50922-2006)
4.
ПРАВОВАЯПРАВОВАЯ ЗАЩИТА
ЗАЩИТА
ИНФОРМАЦИИ
ИНФОРМАЦИИ
Международное право
договоры
конвенции
стандарты
авторские права
лицензии
Внутригосударственное право
Законодательные
акты
Конституция РФ
законы РФ
Подзаконные
нормативные
документы
указы Президента
постановления
Правительства
приказы
руководства
положения
инструкции
стандарты
5. Вопрос 2: «Основные законодательные акты в области информационной безопасности»
ВопросВопрос 2:
2: «Основные
«Основные законодательные
законодательные
акты
акты вв области
области информационной
информационной
безопасности»
безопасности»
Гражданский кодекс Российской
Федерации.
Кодекс Российской Федерации об
административных правонарушениях.
Доктрина информационной безопасности
Российской Федерации от 9 сентября 2000
г. № Пр-1895.
Федеральный закон № 149-ФЗ от 27 июля
2006 г. «Об информации, информационных
технологиях и защите информации».
6.
ФЗ № 17-ФЗ от 3 февраля 1996 г. «Обанках и банковской деятельности».
ФЗ № 63-ФЗ от 6 апреля 2011 г. «Об
электронной подписи».
Федеральный закон № 152-ФЗ от 27
июля 2006 г. «О персональных
данных».
Федеральный закон № 98-ФЗ от 29
июля 2004 г. «О коммерческой тайне».
Федеральный закон № 126-ФЗ от 7
июля 2003 г. «О связи».
7.
Федеральный закон № 125-ФЗ от 1октября 2004 г. «Об архивном деле в
Российской Федерации».
Федеральный закон от 28 декабря 2010 г.
№ 390-ФЗ «О безопасности».
Закон РФ № 5485-1 от 21 июля 1993 г. «О
государственной тайне».
Закон РФ от 11.03.92 г. № 2487-1 «О
частной детективной и охранной
деятельности».
8.
ISO/IEC 27001 — «ИТ. Методы обеспечениябезопасности. Системы управления ИБ. Требования."
Стандарт по которому организация может быть
сертифицирована (опубликован в 2005);
ISO/IEC 27002 — «ИТ. Методы обеспечения
безопасности. Практические правила управления
информационной безопасностью.;
ISO/IEC 27003 — «ИТ. Методы обеспечения
безопасности. Руководство по внедрению Системы
Менеджмента ИБ"; (Опубликован в январе 2010)
ISO/IEC 27004 — «ИТ. Методы обеспечения
безопасности. Измерение эффективности системы
управления ИБ." (Опубликован в январе 2010)
ISO/IEC 27005 — «ИТ. Методы обеспечения
безопасности. Управление рисками информационной
безопасности." (опубликовано в 2008)
ISO/IEC 27006 — "Информационные технологии.
Методы обеспечения безопасности. Требования к органам
аудита и сертификации систем управления
информационной безопасностью" (опубликовано в 2007);
9. Вопрос 3: «Ответственность за нарушение законодательства в информационной сфере»
ВопросВопрос 3:
3: «Ответственность
«Ответственность за
за нарушение
нарушение
законодательства
законодательства вв информационной
информационной
сфере»
сфере»
Виды ответственности:
Дисциплинарная ответственность
возникает вследствие совершения
дисциплинарных проступков.
Материальная ответственность рабочих
и служащих за ущерб, нанесенный
предприятию, учреждению, заключается в
необходимости возместить ущерб в
порядке, установленном законом.
10.
Гражданско-правоваяответственность наступает за
нарушения договорных обязательств
имущественного характера или за
причинение имущественного
внедоговорного вреда.
Административно-правовая
ответственность наступает за
совершение административных
проступков, предусмотренных КОАП.
Уголовная ответственность наступает
за совершение преступлений и
устанавливается только уголовным
законом.
11. Кодекс РФ об административных правонарушениях
КодексКодекс РФ
РФ об
об административных
административных
правонарушениях
правонарушениях
Статья 13.11. Нарушение
установленного законом порядка сбора,
хранения, использования или
распространения информации о
гражданах (персональных данных)
влечет предупреждение или наложение
административного штрафа на граждан в
размере от трех до пяти минимальных
размеров оплаты труда; на должностных лиц
- от пяти до десяти минимальных размеров
оплаты труда; на юридических лиц - от
пятидесяти до ста минимальных размеров
оплаты труда.
12.
Статья 13.12. Нарушение правил защитыинформации
Статья 13.13. Незаконная деятельность в
области защиты информации
Статья 13.14. Разглашение информации с
ограниченным доступом :
Разглашение информации, доступ к которой
ограничен федеральным законом (за исключением
случаев, если разглашение такой информации
влечет уголовную ответственность), лицом,
получившим доступ к такой информации в связи с
исполнением служебных или профессиональных
обязанностей, - влечет наложение
административного штрафа на граждан в
размере от пяти до десяти минимальных
размеров оплаты труда; на должностных лиц от сорока до пятидесяти минимальных размеров
оплаты труда.
13. Уголовный Кодекс Российской Федерации
УголовныйУголовный Кодекс
Кодекс Российской
Российской
Федерации
Федерации
Статья 138. Нарушение тайны переписки,
телефонных переговоров, почтовых,
телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или
иных сообщений граждан - наказывается
штрафом в размере до восьмидесяти тысяч
рублей или в размере заработной платы или
иного дохода осужденного за период до шести
месяцев, либо обязательными работами на
срок от ста двадцати до ста восьмидесяти
часов, либо исправительными работами на
срок до одного года.
14.
2. То же деяние, совершенное лицом с использованиемсвоего служебного положения или специальных
технических средств, предназначенных для негласного
получения информации, - наказывается штрафом в
размере от ста тысяч до трехсот тысяч рублей или в
размере заработной платы или иного дохода
осужденного за период от одного года до двух лет, либо
лишением права занимать определенные должности или
заниматься определенной деятельностью на срок от
двух до пяти лет, либо обязательными работами на срок
от ста восьмидесяти до двухсот сорока часов, либо
арестом на срок от двух до четырех месяцев.
3. Незаконные производство, сбыт или приобретение в
целях сбыта специальных технических средств,
предназначенных для негласного получения
информации, - наказываются штрафом в размере до
двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до
восемнадцати месяцев, либо ограничением свободы
на срок до трех лет, либо лишением свободы на
срок до трех лет с лишением права занимать
определенные должности или заниматься
определенной деятельностью на срок до трех лет.
15.
Статья 155. Разглашение тайныусыновления (удочерении)
Разглашение тайны усыновления (удочерения)
вопреки воле усыновителя, совершенное
лицом, обязанным хранить факт усыновления
(удочерения) как служебную или
профессиональную тайну, либо иным лицом из
корыстных или иных низменных побуждений,
— наказывается штрафом в размере до
восьмидесяти тысяч рублей или в размере
заработной платы или иного дохода
осужденного за период до шести месяцев,
либо исправительными работами на срок до
одного года, либо арестом на срок до четырех
месяцев с лишением права занимать
определенные должности или заниматься
определенной деятельностью на срок до
трех лет или без такового.
16.
Статья 183. Незаконное получение иразглашение сведений, составляющих
коммерческую или банковскую тайну.
1. Собирание сведений, составляющих
коммерческую, налоговую или банковскую
тайну, путем похищения документов, подкупа
или угроз, а равно иным незаконным способом
- наказывается штрафом в размере до
восьмидесяти тысяч рублей или в размере
заработной платы или иного дохода
осужденного за период от одного до шести
месяцев либо лишением свободы на срок
до двух лет.
17.
2. Незаконные разглашение илииспользование сведений, составляющих
коммерческую, налоговую или банковскую
тайну, без согласия их владельца лицом,
которому она была доверена или стала
известна по службе или работе, наказываются штрафом в размере до ста
двадцати тысяч рублей или в размере
заработной платы или иного дохода
осужденного за период до одного года с
лишением права занимать определенные
должности или заниматься определенной
деятельностью на срок до трех лет либо
лишением свободы на срок до трех лет.
18.
3. Те же деяния, причинившие крупный ущербили совершенные из корыстной
заинтересованности, - наказываются штрафом
в размере до двухсот тысяч рублей или в
размере заработной платы или иного дохода
осужденного за период до восемнадцати
месяцев с лишением права занимать
определенные должности или заниматься
определенной деятельностью на срок до трех
лет либо лишением свободы на срок до
пяти лет.
4. Деяния, предусмотренные частями второй
или третьей настоящей статьи, повлекшие
тяжкие последствия, - наказываются
лишением свободы на срок до десяти лет.
19. Ответственность за преступления в сфере компьютерной информации
ОтветственностьОтветственность за
за преступления
преступления вв
сфере
сфере компьютерной
компьютерной информации
информации
Статья 272. Неправомерный доступ к
компьютерной информации
1. Неправомерный доступ к охраняемой законом
компьютерной информации, то есть информации
на машинном носителе, в электронновычислительной машине (ЭВМ), системе ЭВМ или
их сети, если это деяние повлекло уничтожение,
блокирование, модификацию либо копирование
информации, нарушение работы ЭВМ, системы
ЭВМ или их сети, - наказывается штрафом в
размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного
за период до восемнадцати месяцев, либо
исправительными работами на срок от шести
месяцев до одного года, либо лишением
свободы на срок до двух лет.
20.
2. То же деяние, совершенное группой лиц попредварительному сговору или
организованной группой либо лицом с
использованием своего служебного
положения, а равно имеющим доступ к ЭВМ,
системе ЭВМ или их сети, - наказывается
штрафом в размере от ста тысяч до трехсот
тысяч рублей или в размере заработной платы
или иного дохода осужденного за период от
одного года до двух лет, либо
исправительными работами на срок от одного
года до двух лет, либо арестом на срок от трех
до шести месяцев, либо лишением свободы
на срок до пяти лет.
21.
Статья 273. Создание, использование ираспространение вредоносных программ для
ЭВМ.
1. Создание программ для ЭВМ или внесение
изменений в существующие программы, заведомо
приводящих к несанкционированному
уничтожению, блокированию, модификации либо
копированию информации, нарушению работы
ЭВМ, системы ЭВМ или их сети, а равно
использование либо распространение таких
программ или машинных носителей с такими
программами - наказываются лишением свободы
на срок до трех лет со штрафом в размере до
двухсот тысяч рублей или в размере заработной
платы или иного дохода осужденного за период до
восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности
тяжкие последствия, - наказываются лишением
свободы на срок от трех до семи лет.
22.
Статья 274. Нарушение правилэксплуатации ЭВМ, системы ЭВМ или их
сети.
1. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети лицом, имеющим
доступ к ЭВМ, системе ЭВМ или их сети,
повлекшее уничтожение, блокирование,
модификацию охраняемой законом
информации ЭВМ, если это деяние причинило
существенный вред, наказывается лишением
права занимать определенные должности или
заниматься определенной деятельностью на
срок до 5 лет, либо обязательными работами
на срок от 180 до 240 часов, либо
ограничением свободы на срок до 2 лет.
Те же деяния, повлекшие по неосторожности
тяжкие последствия, - наказываются
лишением свободы на срок до 4 лет.
23. Вопрос 4: «Регулирование процессов защиты информации на предприятиях»
Механизм защиты коммерческой тайныпредприятия предусматривает наличие:
нормы права, направленные на защиту
интересов ее владельцев;
нормы, установленные руководством
предприятия, (приказы, распоряжения,
инструкции и т.д.);
специальные структурные
подразделения, обеспечивающие
соблюдение этих норм (подразделения
режима, службы безопасности и т.п.).
24. Требования к оформлению внутренних документов организации
1.Ввести в Устав предприятия в раздел
«Права и обязанности
предприятия»: «Предприятие имеет
право определять состав, объем и
порядок защиты сведений,
составляющих коммерческую тайну»,
требовать от сотрудников предприятия
обеспечения ее сохранности».
«Предприятие обязано обеспечить
сохранность коммерческой тайны»
25. Требования к оформлению внутренних документов организации
2.3.
Дополнить «Коллективный договор»
требованиями в раздел «Предмет
договора»: «Администрация предприятия
обязуется обеспечить разработку и
осуществление мероприятий по определению и
защите коммерческой тайны. Трудовой
коллектив принимает на себя обязательство по
соблюдению установленных на предприятии
требований по защите коммерческой тайны».
В раздел «Кадры»: «Администрация
обязуется привлекать нарушителей требований
по защите коммерческой тайны к
административной и уголовной
ответственности в соответствии с действующим
законодательством».
26. Требования к оформлению внутренних документов организации
4.5.
Дополнить Правила внутреннего
распорядка для рабочих и служащих
следующими требованиями: «При
поступлении рабочего или служащего на
работу, переходе его на другую работу, а
также при увольнении, администрация
обязана проинструктировать работника
по правилам сохранения КТ с
оформлением письменного обязательства
о ее неразглашении.
Администрация предприятия вправе
принимать решение об отстранении от работ,
связанных с КТ, которые нарушают
установленные требования по ее защите».
27. Обязательства рабочих и служащих:
не разглашать коммерческую тайнуорганизации третьим лицам или публично без
согласия администрации;
сохранять коммерческую тайну тех
организаций, с которыми имеются деловые
связи;
выполнять требования приказов и
инструкций по защите коммерческой тайны
предприятия;
не использовать конфиденциальные
сведения организации, занимаясь другой
деятельностью (ущерб от конкурентного
действия);
28. Обязательства рабочих и служащих:
незамедлительно извещать службу безопасностипредприятия о попытках посторонних лиц
получить закрытую информацию;
незамедлительно извещать об утрате носителей
конфиденциальной информации и другие факты
нарушения режима ее защиты;
при увольнении все носители сведений, с
которыми работал сотрудник, передаются
соответствующему должностному лицу;
работник предупрежден о наступлении
гражданской, административной или уголовной
ответственности в случае нарушения взятых
обязательств.
29. Вопрос № 5: «Разработка внутренней организационно-распорядительной документации по ЗИ»
1. Положение о подразделении по защитеконфиденциальной информации.
2. Должностные обязанности лиц, ответственных за
защиту конфиденциальной
информации.
3. План мероприятий по защите конфиденциальной
информации.
4. План проверок состояния защиты конфиденциальной
информации.
5. Модель угроз информационной безопасности.
6. Положение о порядке организации и проведения работ
по защите конфиденциальной информации
30.
7. Перечень защищаемых объектов информатизации.8. Акты категорирования защищаемых объектов
информатизации.
9. Акты категорирования ОТСС в защищаемых
помещениях.
10. Технические паспорта на защищаемые объекты
информатизации.
11. Приказ по границе контролируемой зоны, схема
контролируемой зоны.
12. Приказ о вводе защищаемого помещения в
эксплуатацию и назначении ответственного за
помещение лица.
31.
13. Приказ о вводе в эксплуатацию средств вычислительнойтехники, обрабатывающих конфиденциальную информацию
и назначении ответственных лиц.
14. Приказ (распоряжение) о хранении конфиденциальной
информации на жестких дисках или на учтенных гибких
магнитных дисках.
15. Инструкция по защите речевой информации при проведении
конфиденциальных совещаний.
16. Акты классификации АС или отдельных ПЭВМ
обрабатывающих конфиденциальную информацию.
17. Акты проверок защищаемых помещений на утечку по вибро
и акустическому каналам, акты проверок вычислительной
техники (основной и вспомогательной), заключение
(предписание) проверяющих организаций на соответствие
требованиям руководящих документов ФСТЭК России.
32.
18. Аттестаты соответствия требованиям безопасностиинформации на объекты информатизации.
19. Приказ (распоряжение) о закреплении ПЭВМ (АРМ) за
ответственными лицами.
20. Приказ о запрете использования в защищаемых
помещениях радиотелефонов, сотовых и
пейджинговых устройств при проведении
конфиденциальных совещаний.
21. Инструкция по информационной безопасности при
подключении к информационно-вычислительным
сетям общего пользования (Интернет и т.п.),
разрешение на подключение к Интернет, журнал учета
работы на АП ИВС, список лиц, допущенных к работе
на АП ИВС.
33.
22. Инструкция по антивирусной защите.23. Перечень защищаемых ресурсов в ЛВС, заявки на
доступ к ресурсам, таблицы разграничения доступа.
24. Приказ о назначение ответственного за эксплуатацию
средств защиты информации.
25. Журнал (карточки) учета средств защиты информации.
26. Журнал учета ключевых средств в АС.
27. Журнал учета работы с ключевыми средствами в АС.
34. Нормативное закрепление состава защищаемой информации
НормативноеНормативное закрепление
закрепление состава
состава
защищаемой
защищаемой информации
информации
1. Сведения, составляющие
конфиденциальную информацию
предприятия, отражаются в
Перечне.
2. Подготовка Перечня
осуществляется путем
организации работы экспертной
комиссии.
35. Вопрос 6: «Организационная защита информации»
ВопросВопрос 6:
6: «Организационная
«Организационная защита
защита
информации»
информации»
Организационная защита
информации - регламентация
деятельности предприятия и
взаимоотношений персонала на
нормативно – правовой основе,
исключающей или существенно
затрудняющей неправомерное овладение
конфиденциальной информацией и
проявление внутренних и внешних угроз.
36.
Организационная защита информацииОрганизация
охраны
и режима
Организация
работы
с персоналом
Организация
аналитической
работы и
контроля
Организация
работы
с
документами
Комплексное
планирование
мероприятий
по ЗИ,
управление ИБ
(модель PDCA)