Организационно-правовое обеспечение информационной безопасности представляет собою совокупность решений, законов, нормативов, регламентирующих как общую организацию работ по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Поэтому организационно-правовая база должна обеспечивать следующие основные функции:
1) разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации;
2) определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области;
3) создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;
4) определение мер ответственности за нарушение правил защиты;
5) определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.
Правовые методы
Комплексная система защиты информации создается на объектах для блокирования (парирования) всех возможных или, по крайней мере, наиболее вероятных угроз безопасности информации. Для парирования той или иной угрозы используется определенная совокупность методов и средств защиты. Некоторые из них защищают информацию от нескольких угроз одновременно.
Среди методов защиты имеются и универсальные методы, которые являются базовыми при построении любой системы защиты.
Это, прежде всего, правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения. Организационные методы защиты информации, как правило, используются для парирования нескольких угроз. Кроме того, организационные методы используются в любой системе защиты без исключений.
Государство должно обеспечить в стране защиту информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:
1) выработать государственную политику безопасности в области информационных технологий;
2) законодательно определить правовой статус компьютерных систем, информации, систем защиты информации, владельцев и пользователей информации и т. д.;
3) создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности информационных технологий;
4) создать систему стандартизации, лицензирования и сертификации в области защиты информации;
5) обеспечить приоритетное развитие отечественных защищенных информационных технологий;
6) повышать уровень образования граждан в области информационных технологий, воспитывать у них патриотизм и бдительность;
7) установить ответственность граждан за нарушения законодательства в области информационных технологий.
Законодательная база информатизации общества
важным правовым документом, регламентирующим вопросы защиты информации в КС, является закон РФ «О государственной тайне». Он принят Постановлением Верховного Совета РФ от 21.07.1993 г. Закон определяет уровни секретности государственной информации (грифы секретности) и соответствующую степень важности информации. Руководствуясь данным законом и «Перечнем сведений, отнесенных к государственной тайне», введенным в действие Указом Президента РФ от 30 ноября 1995 года, соответствующие государственные служащие устанавливают гриф секретности информации. Отношения, связанные с созданием программ и баз данных, регулируются Законом Российской Федерации от 23.09.1992 г.
«О правовой охране программ для электронных вычислительных машин и баз данных» и Законом Российской Федерации от 09.07.1993 г. «Об авторском праве и смежных правах».
На основании приведенных правовых документов ведомства (министерства, объединения, корпорации и т. п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты информации в подведомственных организациях.
Организационные методы защиты информации тесно связаны с правовым регулированием в области безопасности информации.
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности информации такая деятельность относится к организационным методам защиты информации.
Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности информации.
В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:
• организация работ по разработке системы защиты информации;
• ограничение доступа на объект и к ресурсам КС;
• разграничение доступа к ресурсам КС;
• планирование мероприятий;
• разработка документации;
• воспитание и обучение обслуживающего персонала и
пользователей;
• сертификация средств защиты информации;
• лицензирование деятельности по защите информации;
• аттестация объектов защиты;
• совершенствование системы защиты информации;
• оценка эффективности функционирования системы защиты информации;
• контроль выполнения установленных правил работы в КС.
Организационные методы являются стержнем комплексной системы защиты информации в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты информации.