- •План лекции
- •1. Правовые аспекты защиты информации
- •1.1. Национальная и государственная безопасность (государственный уровень)
- •1.2. Безопасность коммерческих структур (коммерческий уровень).
- •2. Международная практика правового обеспечения информационной безопасности
- •2.1.Защита прав личности в информационной сфере.
- •2.1.1. Защита прав личности на доступ к информации, ее получение и распространение.
- •2.1.2.. Защита права на неприкосновенность частной жизни.
- •2.1.3. Защита права на личную информацию ограниченного доступа.
- •2.1.4. Защита права личности на интеллектуальную собственность.
- •2.2. Защита государственных интересов
- •2.3. Защита предпринимательской и финансовой деятельности.
- •2.4. Защита информации от компьютерных преступлений.
- •2. Современные направления развития правовое базы обеспечения
- •3. Организационные структуры государственной системы обеспечения информационной безопасности на уровне федеральных органов исполнительной власти.
- •3.1. Службы контроля и надзора органа исплнительной власти
- •3.2. Специализированные предприятия — разработчики комплексов и средств обеспечения,
- •3.3. Сертификационно-испытательные центры и лаборатории
- •3.4. Аттестационные центры
- •3.5. Службы безопасности и защиты информации предприятий и организаций
3.2. Специализированные предприятия — разработчики комплексов и средств обеспечения,
Эти предприятия занимают особое место в государственной системе защиты информации.
Они обеспечивают также поставку услуг в области безопасности и защиты информации.
Именно от степени их развития, уровня и качества поставляемой продукции и услуг зависит безопасность, устойчивость и надежность функционирования всей инфраструктуры информационной безопасности.
Поэтому, одним из обязательных требований к указанным предприятиям и организациям является лицензирование их деятельности уполномоченным органом исполнительной власти в соответствии с законодательством о государственном регулировании отдельных видов
деятельности.
Предлагаемые на рынке этими предприятиями услуги организационно-технологического характера можно классифицировать в соответствии с этапами жизненного цикла систем обеспечения информационной безопасности:
— услуга, которая может включать анализ защищенности обследование используемых информационных технологий, обследование системы документо -оборота, обследование организации в целом (т.е. анализ влияния существующего документооборота на защищенность бизнес-процессов), проверку деятельности организации в соответствии с требованиями нормативно-правовых документов и тому подобное;
— проектирование комплексной системы обеспечения, при котором должен быть охвачен не только технический уровень, но и все механизмы защиты, включая организационно-правовые;
внедрение системы защиты информации на договорной основе с использованием специализированных подрядных организаций, имеющих соответствующую лицензию (может дать большой эффект за счет высокой квалификации привлекаемых специалистов);
сопровождение систем информационной безопасности и работ по защите информации третьими лицами (аутсорсинг), т.е. оказание специализированной оперативной помощи в случае внештатных ситуаций, периодическое обновление специального и общесистемного программного обеспечения в случае появления новых атак и уязвимостей.
Организация и технологии разработки специализированных комплексов, систем и средств защиты информации принципиально не отличаются от используемых в других отраслях создания высокотехнологичной продукции, в частности средств вычислительной техники.
Основная номенклатура должностей традиционна для
высокотехнологичных предприятий: конструктор по наладке и испытаниям; конструктор по стандартизации; программист; технолог; электроник; техник по наладке и испытаниям.
Бурный процесс информатизации и, как следствие, все возрастающая актуальность обеспечения требований информационной безопасности приводят к необходимости видоизменения и дополнения номенклатуры специалистов.
Широкое распространение общепризнанной международной практики проведения такого вида услуги, как аудит информационной безопасности, привело к появлению специалистов нового профиля — аудиторов, которые осуществляют свою деятельность в соответствии с рекомендациями отечественных и международных стандартов.
К таким стандартам относятся:
ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология — Практические правила управления информационной безопасностью»;
ИСО/МЭК 17799—2000 «Информационная технология. Кодекс установившейся практики для менеджмента информационной безопасностью»;
В8 7799 «Управление информационной безопасностью. Практические правила»;
Вторая часть В8 7799-2:2002 «Системы управления информационной безопасностью — спецификация с руководством по использованию».