Смекни!
smekni.com
Остальные рефераты

Системы в экономике (стр. 118 из 135)

В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».

В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.

Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.

С принятием в 1992 г. Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».

В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.

В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.

В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.

Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др.

Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».

Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).

Доктрина информационной безопасности Российской Федерации (далее – Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188.

Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:

· Уставе и/или учредительном договоре;

· коллективном договоре;

· правилах внутреннего трудового распорядка;

· должностных обязанностях сотрудников;

· специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);

· договорах со сторонними организациями;

· трудовых договорах с сотрудниками;

· иных индивидуальных актах.

Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования [243].

Методы и средства обеспечения безопасности экономического объекта представлены на рис. 13.2.

Рис. 13.2 Методы и средства информационной безопасности экономического объекта

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий [101].

Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:

· организационно-административные;

· организационно-технические;

· организационно-экономические.

В табл. изложены организационные мероприятия, обеспечивающие защиту документальной информации

Таблица 13.1

Обеспечение информационной безопасности организации

Составные части делопроизводства

Функции обеспечения ИБ при работе с документами

Способы выполнения

Документирование Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов
Учет документов Предупреждение утраты (хищения) документов Контроль за местонахождением документа
Организация документооборота Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками
Хранение документов Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения
Уничтожение документов Исключение доступа к бумажной «стружке» Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов
Контроль наличия, своевременности и правильности исполнения документов Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи Установление порядка проведения наличия документов и порядка их обработки

Комплекс организационно-технических мероприятий состоит:

· в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;

· в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;

· в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;

· в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;

· в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;

· в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.


13.3 Организация системы защиты информации экономических систем

Каждую систему защиты следует разрабатывать индивидуально, учитывая следующие особенности:

- организационную структуру организации;

- объем и характер информационных потоков (внутри объекта в целом, внутри отделов, между отделами, внешних);

- количество и характер выполняемых операций: аналитических и повседневных;

- количество и функциональные обязанности персонала;

- количество и характер клиентов;

- график суточной нагрузки.

Защита должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и АИС в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.

Этап анализа возможных угроз АИС необходим для фиксирования на определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

 
назад
читать дальше
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.