Правовая защита от информационных угроз.?

Вопросы защиты информации регулируются Главой 7.Защита информации Закона «Об информации…».

 

Защите подлежит информация, неправомерные действия в отношении которой могут причинить вред ее обладателю, пользователю или иному лицу.

Целями защиты информации являются:

· Обеспечение национальной безопасности, суверенитета Республики Беларусь;

· Сохранение информации о частной жизни физических лиц и неразглашение персональных данных, содержащихся в информационных системах;

· Обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологий, а также формировании и использовании информационных ресурсов;

· Недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий.

 

Требования по защите информации в государственных информационных системах, а также в ИС, содержащих информацию ограниченного доступа определяются законодательством РБ.

 

Защита организуется:

1. В отношении общедоступной информации – лицом, осуществляющим распространение и/или предоставление такой информации

2. В отношении информации распространение и распространение которой ограничено – собственником или оператором информационной системы, содержащей такую информацию либо обладателем информации если такая информация не содержится в информационных системах

3. Иными лицами, в случаях, определенных законодательством РБ.

 

Меры по защите информации

К правовым мерам по защите информации относятся заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.

К организационным мерам по защите информации относятся обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.

К техническим (программно-техническим) мерам по защите информации относятся меры по использованию средств защиты информации, в том числе криптографических, а также систем контроля доступа и регистрации фактов доступа к информации.

Государственные органы и юридические лица, осуществляющие обработку информации, распространение и (или) предоставление которой ограничено, определяют соответствующие структурные подразделения или должностных лиц, ответственных за обеспечение защиты информации.

 

Информация, распространение и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Советом Министров Республики Беларусь от 26.05.2009 № 675?

Аттестацию систем защиты информации проводит организация, имеющая соответствующие лицензии, которые выдает ОАЦ.

Владельцы государственных информационных систем обязаны иметь структурное подразделение по технической защите информации либо должностное лицо, ответственное за обеспечение защиты информации. Если есть структурное подразделение по технической защите информации, тогда оно производит аттестацию системы защиты информации владельцами которой они являются.

Аттестация системы защиты информации проводится до ввода системы в эксплуатацию. На основании аттестации выдается аттестат соответствия, который является основанием для использования системы защиты информации на период времени, установленный в аттестате соответствия.

 

Указ Президента Республики Беларусь от 16.04.2013 N 196

(ред. от 29.11.2013)

"О некоторых мерах по совершенствованию защиты информации"

(вместе с "Положением о технической и криптографической защите информации в Республике Беларусь")

 

Криптографическая защита теперь находится в компетенции ОАЦ.

 

Криптографическая защита – это деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием технических, программных, программно-аппаратных средств защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка ЭЦП и митозащита) и криптографические протоколы, а также функции управления криптографическими ключами, механизмы идентификации и аутентификации.

 

КГБ – только шифрование.

 

Техническая защита должна быть установлена на следующих объектах:

· Объекты информатизации, предназначенные для обработки информации, содержащей государственные секреты;

· Информационные системы, предназначенные для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

· Критически важные объекты информатизации.

 

К объектам, на которых осуществляется криптографическая защита информации, относятся:

· Государственные информационные системы в части обеспечения целостности и подлинности электронных документов;

· Информационные системы, предназначенные для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

· Критически важные объекты информатизации – объект обеспечивающий функционирование экологически опасных и или социально значимых производств и технологических процессов, нарушение штатного режима которых может привести к ЧС техногенного характера. Объект, который осуществляет функции ИС нарушение функционирования которой может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной и экологической сферах; объект, обеспечивающий предоставление значительного объема информационных услуг, частичное или полное прекращение обладания, которых может привести к значительным негативным последствиям для национальной безопасности.

 

Следует отметить, что подключение ИС, обрабатывающих информацию ограниченного доступа к сетям общего пользования, в том числе к Интернету запрещено.

Создание, эксплуатация систем защиты информации в ИС осуществляется подразделением технической защиты информации или назначенными должностными лицами, ответственные за техническую защиту информацию.

Перечень должностей работников РОГУ и иных государственных организаций, подчиненных Правительству РБ в компетенцию которых входит обеспечение ИБ этих органов утверждено Постановлением Митруда и соцзащиты от 30.08.2004 года № 99.

· Руководитель республиканского органа государственного управления

· Первый заместитель (заместитель) руководителя республиканского органа государственного управления

· Главный инженер государственной организации, подчиненной Правительству Республики Беларусь

· Ведущие специалисты всех наименований, обеспечивающие информационную безопасность

· Главные специалисты по защите государственных секретов

 

Постановлению СМ от 31. № 646 работники РОГУ и иных госорганизаций в компетенцию которых входит обеспечение ИБ в обязательном порядке проходят повышение квалификации не реже 1 раза в 3 года.

К работам по созданию систем защиты информации могут привлекаться организации, имеющие соответствующие лицензии ОАЦ.

Ответственность за организацию защиты информации возлагается на руководителя организации.

Постановление Совета Министров Республики Беларусь от 31.05.2004 N 646

"Об обязательном повышении квалификации работников республиканских органов государственного управления и иных государственных организаций, подчиненных Правительству Республики Беларусь, в компетенцию которых входит обеспечение информационной безопасности этих органов (организаций)"

Комплекс мероприятий по созданию систем защиты информации в ИС включает в себя:

1. Классификацию хранящихся и обрабатываемых в ИС сведений и разделение информаций по категориям

2. Анализ организационной структуры ИС

3. Присвоение ИС класса типового объекта информатизации в соответствии с нормативно-техническими актами

4. Разработка или корректировка политики ИБ под которой понимается совокупность документированных правил, процедур и требований в области защиты информации, действующих в организации.

5. Разработка задания по безопасности на информационную систему в соответствии с нормативно-техническими документами.

6. Реализация требований задания по безопасности в ИС

7. Оценка соответствия системы защиты информации требованиям НПА;

8. Ввод ИС в эксплуатацию.

 

Планируется создать банковское подразделение при Центре банковских технологий. Оно негосударственное!! Пока только ОАЦ. ---пока инфы о том что оно функционирует нет, по состоянию на 2013

Задача: противодействие кибер-мошенничеству.

 

 

Дисциплинарная и материальная ответственность за правонарушения в информационной сфере.

Дисциплинарная ответственность – это одна из правовых форм воздействия на нарушителей трудовой дисциплины. Заключается в наложении дисциплинарных взысканий администрацией предприятия или учреждения, где трудится лицо. Применяются следующие дисциплинарные взыскания: замечание, выговор, увольнение с работы. Дисциплинарные взыскания могут быть обжалованы в установленном законом порядке

 

Дисциплинарная - наступает для того лица кот состоит в служебных отношениях. Пример.

В контракте может быть прописано использование сетей в рабочее время в рабочем пространстве. За виновное неисполнение работников своих обязанностей следующие виды: замечание, выговор и увольнение.

За совершение дисциплинарного проступка наниматель может применить к работнику следующие меры дисциплинарного взыскания:

1) замечание;

2) выговор;

3) увольнение

Для отдельных категорий работников с особым характером труда могут предусматриваться также и другие меры дисциплинарного взыскания (там статья в конце).

Право выбора меры дисциплинарного взыскания принадлежит нанимателю. При выборе меры дисциплинарного взыскания должны учитываться тяжесть дисциплинарного проступка, обстоятельства, при которых он совершен, предшествующая работа и поведение работника на производстве.

К работникам, совершившим дисциплинарный проступок, независимо от применения мер дисциплинарного взыскания могут применяться: лишение премий, изменение времени предоставления трудового отпуска и другие меры. Виды и порядок применения этих мер определяются правилами внутреннего трудового распорядка, коллективным договором, соглашением, иными локальными нормативными правовыми актами.

 

Ее конспект по этому вопросу тупо по этим статьям!!

Статья 199 ТК. Порядок применения дисциплинарных взысканий

До применения дисциплинарного взыскания наниматель обязан затребовать письменное объяснение работника.

Отказ работника от дачи объяснения не является препятствием для применения взыскания и оформляется актом с указанием присутствующих при этом свидетелей.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

Дисциплинарное взыскание оформляется приказом (распоряжением), постановлением нанимателя.

Приказ (распоряжение), постановление о дисциплинарном взыскании с указанием мотивов объявляется работнику под роспись в пятидневный срок.

Работник, не ознакомленный с приказом (распоряжением), постановлением о дисциплинарном взыскании, считается не имеющим дисциплинарного взыскания.

Отказ работника от ознакомления с приказом (распоряжением), постановлением оформляется актом с указанием присутствующих при этом свидетелей.

 

Статья 200. Сроки применения дисциплинарных взысканий

Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения дисциплинарного проступка, не считая времени болезни работника и (или) пребывания его в отпуске.

Днем обнаружения дисциплинарного проступка считается день, когда о проступке стало известно лицу, которому работник непосредственно подчинен.

При рассмотрении материалов о дисциплинарном проступке правоохранительными органами дисциплинарное взыскание применяется не позднее одного месяца со дня отказа в возбуждении или прекращения уголовного дела.

Дисциплинарное взыскание не может быть применено позднее шести месяцев, а по результатам ревизии, проверки, проведенной компетентными государственными органами или организациями, - позднее двух лет со дня совершения дисциплинарного проступка. В указанные сроки не включается время производства по уголовному делу.

 

Статья 201. Органы (руководители), правомочные применять дисциплинарные взыскания

Дисциплинарное взыскание применяется органом (руководителем), которому предоставлено право приема (избрания, утверждения, назначения на должность) и увольнения работников, либо по его поручению иным органом (руководителем).

Передача полномочий по применению дисциплинарных взысканий оформляется приказом (распоряжением) руководителя.

Дисциплинарные взыскания к отдельным категориям работников с особым характером труда (статья 204) могут применяться также органами (руководителями), вышестоящими по отношению к органам (руководителям), указанным в части первой настоящей статьи.

Работники, занимающие выборные должности, могут быть уволены с работы только по решению органа, которым они избраны, и только по основаниям, предусмотренным законодательством.

 

Статья 202. Порядок обжалования дисциплинарных взысканий

Дисциплинарное взыскание может быть обжаловано в порядке, установленном настоящим Кодексом.

Орган, рассматривающий трудовой спор, с учетом степени вины работника, соответствия дисциплинарного взыскания тяжести дисциплинарного проступка, обстоятельств, при которых проступок совершен, предшествующего поведения работника на производстве и его отношения к труду вправе отменить дисциплинарное взыскание.

После отмены дисциплинарного взыскания в соответствии с частью второй настоящей статьи наниматель может применить к работнику более мягкое дисциплинарное взыскание, если не истекли сроки, предусмотренные частями второй, третьей и четвертой статьи 200 настоящего Кодекса, в которые не включаются сроки рассмотрения трудового спора в органах по рассмотрению трудовых споров.

Вышестоящий орган (руководитель), рассматривающий трудовые споры отдельных категорий работников с особым характером труда (статья 204), вправе отменить, смягчить или усилить (в пределах предоставленных ему полномочий) дисциплинарное взыскание, наложенное нижестоящим органом (руководителем), если установит, что это взыскание не соответствует тяжести совершенного дисциплинарного проступка.

Усиление дисциплинарного взыскания не допускается, если вопрос о наложении дисциплинарного взыскания рассматривается по жалобе работника.

 

Статья 203. Снятие и погашение дисциплинарного взыскания

Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, он считается не подвергавшимся дисциплинарному взысканию. При этом дисциплинарное взыскание погашается автоматически без издания приказа (распоряжения), постановления.

Орган (руководитель), применивший взыскание, имеет право снять его досрочно до истечения года по собственной инициативе, по ходатайству непосредственного руководителя, профсоюза или иного представительного органа (представителя) работников, а также по просьбе работника.

Досрочное снятие дисциплинарного взыскания оформляется приказом (распоряжением), постановлением.

 

Особенности дисциплинарной ответственности работников транспорта, таможенной службы и других категорий работников с особым характером труда устанавливаются Правительством Республики Беларусь.