Общая характеристика законодательства о защите информации.

Информа́ция — сведения независимо от формы их представления.

Защита информации - это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

· конфиденциальность - представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;

· целостность - представляет собой избежание несанкционированных изменений информации;

· доступность - представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

К другим категориям безопасности относятся:

· апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;

· подотчетность – официальная регистрация данных;

· достоверность - представляет собой свойство соответствия предусмотренным результатам или поведению;

· аутентичность или подлинность - представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

 

· выявить требования к защите информации, специфические для этого объекта защиты;

· принять во внимание требования международного и национального Законодательства;

· использовать существующие практики (методологии, стандарты) построения подобных систем;

· определить подразделения, которые ответственны за реализацию и поддержку системы;

· распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;

· на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;

· исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;

· реализовать систему управления (менеджмента) безопасности информации (СМИБ);

· применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

· Комитет Госдумы по безопасности.

· Совет безопасности России.

· ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.

· ФСБ (Федеральная служба безопасности) России.

· ФСО (Федеральная служба охраны) РФ.

· СВР (Служба внешней разведки) России.

· Минобороны (Министерство обороны) РФ.

· МВД (Министерство внутренних дел) России.

· Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

 

· организацию режима, охраны, работу с документами, с кадрами;

· применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

 

К основным мероприятиям защиты информации можно причислить:

 

· Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;

· Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.

· Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.

· Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.

· Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.

· Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

 

Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 08.06.2020) "Об информации, информационных технологиях и о защите информации"