Базовые правовые нормы и определения ИБ

Сочков Андрей Львович, к.т.н., доцент кафедры ИС в ФКС

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЭКОНОМИКЕ

Литература:

1. Ясенев В.Н. Информационная безопасность экономических систем: учебно-методическое пособие.- Н. Новгород: Нижегородский госуниверситет им. Н.И. Лобачевского, 2006.- 373 с.

2. Информационная безопасность в экономике: Практикум/ Киселев В.Г., Усков А.В., Ясенев В.Н., Ясенев О.В., Хворенков С.Г.; Под общей редакцией профессора, к.э.н. Ясенева В.Н.- Нижний Новгород: ННГУ, 2013.- 57 с.

Понятие ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Понятие ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ многогранно и многоуровневое, кроме того, это синтетическое понятие. Можно говорить об ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (далее – ИБ) на государственном уровне, а можно - на уровне техническом и т.д.

Государственный уровень. В Доктрине информационной безопасности РФ, утвержденной Указом Президента в 2000 г., под информационной безопасностью понимается «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». ИБ рассматривается в широком синтетическом смысле, включая защиту конституционных прав и свобод человека в области получения информации и пользования ею, то есть не только «не пущать», но и обеспечить возможный по закону допуск.

Технический уровень. В технической и учебной литературе под ИБ автоматизированной системы, реализующей некоторый информационный процесс, понимается защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования системы, а также от попыток хищения, изменения или разрушения ее компонентов.

Базовые правовые нормы и определения ИБ

Базовые правовые нормы, закрепляющие права и обязанности граждан, коллективов и государства на информацию и защиту информации, даны в законодательстве РФ:

- ГК РФ;

- ФЗ «Об информации, информационных технологиях и о защите информации»;

- ФЗ «О государственной тайне»;

- ФЗ «О персональных данных» и др.

В ряде случаев владелец информации ограничивает доступ к ней. Именно такая информация подлежит, в первую очередь, защите. Тогда используется понятие конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (ст. 2 ФЗ «Об информации …»).

Общие правовые нормы, касающиеся защиты информации ограниченного доступа, изложены в ФЗ «Об информации…» (ст.9 «Ограничение доступа к информации»):

- ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

- обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами;

- информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда;

- срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина, предоставившего такую информацию о себе;

- запрещается требовать от гражданина предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами.

Система защиты. Для обеспечения безопасности информации в организациях реализуется система защиты. Она представляет собой комплекс

специальных мер правового и административного характера,

организационных мероприятий,

физических и технических средств защиты,

специального персонала,

предназначенных для обеспечения безопасности информации, информационных технологий и всей вычислительной сети.

Создание системы защиты предполагает, что администрация организации

разрабатывает программу работ в области ИБ,

обеспечивает ее выполнение,

выделяет необходимые ресурсы,

контролирует состояние дел.

С целью построения эффективной системы защиты целесообразно выполнить следующие работы:

- определить уровень угрозы и виды угроз ИБ;

- выявить возможные каналы утечки информации и несанкционированного доступа к защищаемым данным;

- построить модель потенциального нарушителя;

- выбрать необходимые меры, методы и средства защиты;

- построить комплексную, эффективную систему защиты.

Служба безопасности. Ключевые проблемы, возникающие при формировании защиты информации в организации, должны решаться с помощью специальной службы безопасности.