Защита информации. Виды и содержание мероприятий.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности, т.е. защита информации от утечки, модификации и утраты. Цель защиты информации — противодействие угрозам безопасности информации.

Защита информации - система мер, направленных на достижение безопасного защищенного документооборота с целью сохранения государственных и коммерческих секретов. Для достижения результата реализуются режимные требования, применяются сложные, как правило, электронные, устройства; для защиты информации в компьютерах и сетях используются программно-технические решения, в том числе с применением криптографии.

Меры по обеспечению защиты информации:

1.организационные мероприятия

2. технические признаки

3. программные средства

4. криптографический способ защиты

Все известные на настоящий момент меры защиты информации можно разделить на следующие виды:
 - правовые;
 - организационные;
 - технические.

Организационные методы защиты информации и защита информации в России обладают следующими свойствами:
1. Методы и средства защиты информации обеспечивают частичное или полное перекрытие каналов утечки согласно стандартам информационной безопасности (хищение и копирование объектов защиты информации);

2. Система защиты информации – это объединенный целостный орган защиты информации, обеспечивающий многогранную информационную защиту.

Методы и средства защиты информации и основы информационной безопасности включают в себя:

· Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;

· Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации – это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);

· Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение (физическая защита информации );

· Органы защиты информации должны обеспечивать профилактику заражения компьютерными вирусами объекта защиты информации.

Правовые основы защиты информации:
Первый уровень состоит из международных договоров о защите информации и государственной тайны. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

· Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в Интернете;

· Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

· Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

· Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

· Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

· Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне); Защита информации курсовая работа.

· Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

На втором уровне используются подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

К третьему уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Также присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации.

Билет№9. Основные положения законодательства о защите информации

Закон защищает персональную информацию, хранящуюся в компьютерах, от несанкционированного использования. Закон распространяется практически на все виды данных, хранящихся в автоматизированном виде, но особенно на персональную информацию. Все пользователи данных (т.е. сотрудники организаций, ответственные за ведение кадровых записей на компьютере) обязаны зарегистрировать свою деятельность в Регистре защиты данных (Data Protection Registrar), заполнив регистрационную форму с указанием персональной информации, которую собирают, цели ее хранения, характера использования, источников, из которых получают информацию, перечня лиц, которым собираются раскрыть данные. В задачи Регистра входит обеспечение соблюдения пользователями данных восьми принципов хранения информации, которые основываются на Европейской конвенции и гласят следующее:

1. Персональная информация может быть получена и использована только честным путем и на законных основаниях.
2. Персональная информация может накапливаться и храниться только в целях специального и законного использования.
3. Информация должна использоваться и раскрываться только в порядке, установленном Регистром.
4. Информация должна быть надежной и адекватной, т.е. точно соответствовать целям ее использования.
5. Информация должна быть точной и в случае необходимости подлежит регулярному обновлению.
6. Информация не должна подлежать хранению дольше, чем это требуется для достижения цели.
7. Любое лицо имеет право знать, располагает ли пользователь, работающий с персональной информацией, какими-либо сведениями о нем, и требовать исправления или стирания неточной или ошибочной информации о себе, если это необходимо.
8. Должны быть приняты меры безопасности против несанкционированного доступа к персональной информации.

Пользователь информацией должен в течение 40 дней ответить на запрос о предоставлении информации. Суд может потребовать от пользователя информацией выплаты компенсации за порчу информации, вызванную ее потерей, уничтожением, или за неточность информации, а также за раскрытие информации лицу или организации, не указанным в регистрации.

Неточность персональной информации может быть простительной, если пользователь может доказать, что она была получена с разумной осторожностью, или была получена у заинтересованного лица (субъекта данных) или у третьей стороны. Прочие положения Закона, могущие иметь значение для работников отделов кадров, гласят следующее.

(а) Несмотря на то, что сведения, выражающие мнения о работнике, предусмотрены Законом, намерения пользователя относительно него - нет.
(б) Закон неприменим к данным, накапливающимся и хранящимся только для целей расчета уровня заработка или размера пенсионного содержания.
(в) Сотрудники не имеют права доступа к информации, хранящейся только для целей исследования или статистического учета; в результатах исследований и расчетов не может быть раскрыто ни одно лицо, данные о котором использовались в этих расчетах.