Правовое обеспечение ИС. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ИС.

В Концепции нац безопасности, утвержденной указом Президента РБ, определены приоритетные направления и осн принципы обесп безоп РБ в инф сфере. Нормативно-правовая база, регламентир права, обязанности и ответственность субъектов, действующих в инф среде в РБ, развиваются по след направлениям:

- разраб концепции инф безопасности;

- разраб нормативно-правовых, орг-методич доков, регламентир деятельность органов гос власти в области обеспеч инф безопасности;

- разраб правовых и орг мероприятий, обесп сохранение и развитие инф ресурсов;

- формир правового статуса субъектов системы инф безопасности, определение их ответственности за обеспечение инф безопасности.

Закон РБ «Об инфе, информатизации и защите инфы» регулирует правоотношения, возникающие в процессе формир и исп документир инфы и инф ресурсов, создания инф технологий автоматизир или автоматич инф систем и сетей.

23 сент 1993 – соглашение стран СНГ о сотрдничестве в области авторского права, о патентах.

1июля 2010 – указ Президента РБ «о мерах по совершенствованию исп нац сегмента Интернет».

Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель формулирования политики безопасности для ИС – ясное изложение взглядов руководства организации на существо угроз информационной безопасности организации и технологий обеспечения безопасности ИС. Политика безопасности должна быть оформлена документально на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности ИС (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях.

Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.

Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью.