Правовые меры обеспечения

информационной безопасности
 Высокая степень информатизации современных предприятий обусловливает
необходимость всестороннего комплексного подхода к обеспечению защиты
информации от внутренних и внешних угроз.
Выделяют следующие направления защиты информации:
- правовая защита (это специальные законы, нормативные акты, правила,
процедуры и мероприятия, которые обеспечивают защиту информации на
правовой основе),
- организационная защита (это регламентация производственной деятельности и
взаимоотношений исполнителей на нормативно-правовой основе, которая
исключает или ослабляет нанесение каких-либо убытков предприятию),
- инженерно-техническая защита (это использование технических средств,
которые препятствуют нанесению убытков предприятию).

По характеру угроз защитные мероприятия ориентированы на защиту

информации от разглашения, утечки и несанкционированного доступа.
По охвату защитные мероприятия распространяются на территорию, здание,
помещение, аппаратуру или её элементы.
Масштабность мероприятий защиты характеризуется как объектовая, групповая
или индивидуальная защита.
 Правовая защита информации на межгосударственном и
государственном уровне определяется межгосударственными
договорами, конвенциями, декларациями и реализуется патентами,
авторским правом и лицензиями на их защиту.

Ведомственные нормативные акты определяются приказами,

руководствами, положениями и инструкциями, которые издаются
ведомствами, организациями и предприятиями.
Опираясь на государственные правовые акты и учитывая ведомственные
интересы на уровне конкретного предприятия, разрабатываются
собственные нормативно-правовые документы, ориентированные на
обеспечение ИБ.

3
 Основной документ по ИБ современного коммерческого предприятия –
“Политика информационной безопасности предприятия”. Это
совокупность руководящих принципов, правил, процедур и практических
приёмов в области ИБ, регулирующие управление, защиту и
распределение ценной информации.
Цель ПолИБ – обеспечение развития организации в области ИБ в
соответствии с целями бизнеса и требованиями, предъявляемыми
регулирующими органами.
Данный документ регламентирован международными стандартами
ISO 27001 и ISO 27002.
Направления разработки ПолИБ:
- определение, какие данные и насколько серьёзно нужно защищать,
- определение, кто и какой ущерб может нанести фирме в
информационном аспекте,
- вычисление рисков и определение схемы уменьшения их до
приемлемой величины.
4
 Политика ИБ должна включать следующее:
- определение понятия информационной безопасности,
- цели обеспечения ИБ,
- признание важности обеспечения ИБ,
- заявление о намерении руководства поддерживать цели и принципы
обеспечения ИБ,
- подход к управлению рисками и выбора контрмер для уменьшения рисков
ИБ,
- краткое объяснение принципов ИБ, требования ИБ,
- определение обязанностей по обеспечению ИБ,
- ссылки на более детальные политики и процедуры, поддерживающие ПолИБ.

ПолИБ должна регулярно пересматриваться для того, чтобы она оставалась

актуальной и эффективной. Политика ИБ строится на основе анализа рисков,
которые признаются реальными для информационной системы организации.
5
 Кроме ПолИБ и программы ИБ на предприятии разрабатываются
следующие документы:
- положение о сохранении конфиденциальности информации,
- перечень сведений, которые составляют конфиденциальную
информацию,
- инструкция о порядке допуска сотрудников к конфиденциальной
информации,
- положение о специальном делопроизводстве и документообороте,
- перечень сведений, которые разрешены к опубликованию в открытой
печати,
- положение о работе с иностранными фирмами и их представителями,
- обязательство сотрудника о сохранении конфиденциальной
информации,
- памятка сотруднику о сохранении коммерческой тайны.

6
 Существуют следующие формы защиты информации:
- патентование,
- признание сведений коммерческой тайной (это такие сведения,
которые не являются государственными секретами и связаны с
производством, технологией, управлением, финансами и другой
деятельностью, разглашение, утечка и несанкционированный доступ к
которой может привести к убыткам),
- авторское право (к нему прибегают при широкой публикации своей
информации),
- товарные знаки,
- применение норм обязательного права.

Лицензия – это разрешение, выданное государством на проведение

хозяйственной деятельности, включая внешнеторговые операции, и
предоставления права использовать защищённые патентами
изобретения, методики, технологии.
7
 Правовые нормы обеспечения безопасности и защиты информации на
конкретном предприятии отображается в совокупности учредительных,
организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отображаются в
Уставе предприятия в виде следующих положений:
- предприятие имеет право определять состав, объёмы и порядок защиты
конфиденциальных сведений, требовать от своих сотрудников обеспечения их
сохранения и защиты от внутренних и внешних угроз,
- предприятие обязано обеспечивать сохранность конфиденциальной
информации.

Эти требования дают администрации предприятия следующие права:

- создавать организационные структуры по защите конфиденциальной
информации,
- издавать нормативные документы, определяющие порядок выделения
конфиденциальных сведений и механизмы их защиты,
- включать требования по защите информации в соглашения по всем видам
8
хозяйственной деятельности,
 (продолжение)
- требовать защиту интересов предприятия со стороны государственных
и судебных инстанций,
- распоряжаться информацией, которая является собственностью
предприятия, с целью получения выгоды и недопущения экономических
убытков,
- разрабатывать “Перечень сведений конфиденциальной информации”.

Требования правового обеспечения защиты информации

предусматриваются в коллективном договоре. Он содержит:
- раздел “Предмет договора”. Администрация предприятия обязана
обеспечить разработку и осуществление мероприятий по определению и
защите конфиденциальной информации.
- раздел “Кадры. Обеспечение дисциплины труда”. Администрация
обязана привлекать нарушителей требований по защите коммерческой
тайны к криминальной и административной ответственности в
соответствии с законодательством. 9
 Правила внутреннего трудового распорядка для рабочих и служащих
предприятия целесообразно дополнить следующими требованиями:
- раздел “Порядок приёма и увольнения рабочих и служащих”.
Необходимо ознакомить рабочего/служащего с правилами сохранения
коммерческой тайны с оформлением письменного обязательства о её
неразглашении. Администрация имеет право отстранять от работ тех, кто
нарушает эти требования по защите конфиденциальной информации,
- раздел “Основные обязанности рабочих и служащих”. Рабочие и
служащие должны придерживаться требований нормативных
документов по защите конфиденциальной информации,
- раздел “Основные обязанности администрации”. Администрация
обязана обеспечивать сохранность конфиденциальной информации,
осуществлять работу с рабочими, направленную на защиту секретов
предприятия, включать в инструкции и положения обязанности по
сохранению конфиденциальной информации, выполнять требования
Устава, коллективного договора и других документов в части
обеспечения экономической и информационной безопасности. 10
Обязанности конкретного сотрудника относительно защиты информации
должны быть оговорены в трудовом договоре (контракте). При
заключении договора сотрудник обязуется выполнять требования,
которые действуют на предприятии. Подпись работника на приказе о
приёме на работу подтверждает его согласие с условиями договора.
После этого делается отметка об осведомлённости нового сотрудника с
порядком защиты информации предприятия.

Правовые мероприятия обеспечения безопасности и защиты

информации являются основой порядка деятельности и поведения
сотрудников предприятия и определяют меру их ответственности за
нарушение установленных норм.

11
Спасибо за внимание!

12