Что не является причиной потери информации
Содержание
- Законы, регулирующие порядок работы с конфиденциальной информацией
- Федеральный закон «О защите персональных данных»
- Федеральный закон «О коммерческой тайне»
- Закон «Об архивном деле»
- Стандарт Банка России
- Соглашение Basel II
- Закон HIPAA
- Закон SOX
- Правило 17а-4 Комиссии по ценным бумагам США
- Федеральный закон «О связи»
- Доктрина информационной безопасности
- Федеральный закон «Об информации, информационных технологиях и о защите информации»
- Федеральный закон «О противодействии неправомерному использованию инсайдерской информации»
- Федеральный закон «О банках и банковской деятельности»
- Федеральный закон «Об электронной подписи»
- Интересные статьи
Книги автора: Как привлечь туристов и стать туристическим брендом в России Блокчейн от А до Я. Все о технологии десятилетия Основы технического анализа финансовых активов Интернет вещей. Новая технологическая революция Криминальный Runet. Темные стороны Интернета ART-коучинг. Техники пРОСТых решений Автоворонки для инфобизнеса Опыт конкуренции в России: причины успехов и неудач 100 советов по информационной безопасности малого бизнеса и предпринимателя лично Физиология ажиотажа. Маркетинговые приемы привлечения потребителей к торговой марке Время – деньги Управление инновационным развитием высокотехнологичных корпораций России Информационные системы и технологии в маркетинге. Монография 27 книг успешного руководителя Транслитерация и визуализация меню на предприятиях сервиса Хакеры с барсетками. Пошаговая инструкция по созданию очереди клиентов из интернета Этикет делового письма Феномен Инстаграма. Как раскрутить свой аккаунт и заработать Закон стартапа Кадровое делопроизводство и управление персоналом на компьютере Компьютер для индивидуального предпринимателя. Как вести учет быстро, легко и безошибочно Интернет: Заметки научного сотрудника Розничные торговые сети: стратегии, экономика, управление Складской учет на компьютере. Лучшие программы, включая 1С 8.2 1С: Управление торговлей 8.2. Настройка, конфигурирование и администрирование Экстремальное программирование. Разработка через тестирование Как защитить компьютер от ошибок, вирусов, хакеров Ментальные карты для бизнеса И радость творчества, и полный кошелек Как запустить бизнес на Амазоне. Пошаговая инструкция: как запустить онлайн-бизнес интернет-магазина мирового масштаба Как внедрить CRM-систему за 50 дней Самоучитель по PR для спортсменов Компьютер от «А» до «Я»: Windows, Интернет, графика, музыка, видео и многое другое Электронная почта (e-mail). Легкий старт Сетевой Маркетинг. Система рекрутирования в Интернете Мерчандайзинг. Курс управления ассортиментом в рознице Халява в Интернете Безопасность и анонимность работы в Интернете. Как защитить компьютер от любых посягательств извне Категорийный менеджмент. Курс управления ассортиментом в рознице Ноутбук для ваших любимых родителей Стив Джобс. Человек-легенда Общение на результат. Как убеждать, продавать и договариваться Бизнес для ржавых чайников. Достойная жизнь на пенсии Дефрагментация мозга. Софтостроение изнутри Библия продаж. Незаменимая книга для России! Продажи невидимого. Продавать услуги легко, если знать как Инновационный продукт. Инструменты маркетинга Яндекс.Директ. Как получать прибыль, а не играть в лотерею Аакер о брендинге. 20 принципов достижения успеха Партизанский маркетинг в социальных сетях. Инструкция по эксплуатации SMM-менеджера Сам себе сисадмин. Победа над «домашним» компьютером Гибкое управление проектами и продуктами E-mail-маркетинг. Как привлечь и удержать клиентов Как организовать дистанционный бизнес? Инфобизнес с нуля. 100 шагов к созданию своей денежной империи Бизнес-тренер на миллион. Личный PR для бизнес-тренеров, ораторов, коучей Контент-технология. Как, где и о чем говорить с клиентами Прицельный маркетинг. Новые правила привлечения и удержания клиентов Запуск! Быстрый старт для вашего бизнеса Успешная короткая презентация Безопасность информационных систем. Учебное пособие Разумный маркетинг. Как продавать больше при меньших затратах Секреты приложений Google Компьютер для тех, кому за… Компьютер для бабушек и дедушек 99 инструментов продаж. Эффективные методы получения прибыли Выжми из бизнеса всё! 200 способов повысить продажи и прибыль Продающие тексты. Как превратить читателя в покупателя Анонимность и безопасность в Интернете. От «чайника» к пользователю Генератор новых клиентов. 99 способов массового привлечения покупателей Если покупатель говорит «нет». Работа с возражениями Копирайтинг: секреты составления рекламных и PR-текстов Интернет для тех, кому за… Продвижение бизнеса в ВКонтакте. Быстро и с минимальными затратами Как заработать в Интернете. 35 самых быстрых способов Домены. Все, что нужно знать о ключевом элементе Интернета Прибыльный блог: создай, раскрути и заработай Инфобизнес на полную мощность. Удвоение продаж Интернет-маркетинг: лучшие бесплатные инструменты Инфобизнес за один день Монетизация сайта. Секреты больших денег в Интернете Деловая e-mail переписка. Пять правил успеха Быстрые деньги в Интернете. 50 способов заработать, сидя дома у компьютера Добавьте в корзину. Ключевые принципы повышения конверсии веб-сайтов Веб-Самоделкин. Как самому создать сайт быстро и профессионально Как спроектировать современный сайт
Использование существующих международных стандартов, обобщающих опыт зарубежных компаний, при создании системы информационной безопасности позволяет не только упростить её создание, но и обеспечивает гарантию её надежности и простоты сопровождения. Кроме того, для многих организаций использование соответствующих нормативных документов является одним из условий их функционирования. При создании системы информационной безопасности необходимо также учитывать, что в различных странах действуют различные специфические нормы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в законодательстве Российской Федерации.
Наиболее часто при аудите информационных систем и создании положений об информационной безопасности используются следующие стандарты — СТО БР ИББС-1.0–2006, ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC 13335, ГОСТ Р ИСО/МЭК 15408, стандарты BS и ГОСТ Р, описывающих общий подход к реализации наиболее часто используемых организационных и технических средств и методов защиты информации, позволяющих создать необходимую для компании политику информационной безопасности.
Так в стандарте ISO/IEC 17799-2005 «Управление информационной безопасностью – Информационные технологии», построенном на основе британского стандарта «Практические рекомендации по управлению информационной безопасностью», приведены рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности конкретной организации:
- определение информационной безопасности и перечень составляющих ее элементов;
- разъяснение основных положений политики информационной безопасности компании, принципов ее построения и используемых стандартов в области ИБ:
- реализуемая инфрастуктура ИБ;
- классификация информационными ресурсами и система управления ими;
- порядок подготовки персонала по вопросам информационной безопасности и порядок их допуска к работе;
- порядок обеспечения физической безопасности информационных ресурсов и обеспечивающих систем;
- порядок администрирования информационных ресурсов;
- порядок управления доступом к средствам вычислительной техники, программному обеспечению и корпоративным данным;
- порядок разработки и сопровождения информационных систем;
- система организации защиты от вредоносных программ;
- система обеспечения непрерывности функционирования информационных систем;
- порядок управления инцидентами в области ИБ;
- порядок изменения политики информационной безопасности.
- должностные обязанности ответственных за обеспечение информационной безопасности лиц и сотрудников организации;
- организационно-распорядительные документы, регламентирующие политику информационной безопасности.
Стандарт ГОСТ Р ИСО/МЭК 15408 (ISO 15408) «Общие критерии оценки безопасности информационных технологий» позволяет оценить адекватность встроенных в информационную систему компании механизмов информационной защиты политикам безопасности предприятия. Стандарт позволяет провести анализ угроз безопасности КИС, определить необходимый профиль защиты информационной системы, произвести оценку соответствия требований безопасности существующей модели угроз и информационных рисков, на основании которой разрабатывается система защиты информации.
Использование руководящего документа Гостехкомиссии России «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» позволяет определить необходимый класс защищенности информационной системы предприятия, установить степени конфиденциальности различной информации и условия ее обработки
Использование руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), позволяет определить необходимые работы по защите конфиденциальной информации.
При создании системы информационной безопасности необходимо использовать и другие стандарты — ITIL, СММ и тд, непрямую не описывающие системы информационной безопасности, но обеспечивающие качество функционирования сервисов и служб компании, в том числе и обеспечивающих политику информационной безопасности в соответствии с установленными стандартами, непрерывное совершенствование качества реализованных систем
Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.
Разработка политики информационной безопасности
Безопасность организации — это такое состояние, которое достигается посредством обеспечения и поддержания защищенности ее персонала и жизненно важных интересов организации от внутренних и внешних угроз с целью уменьшения отрицательных последствий нежелательных событий и достижения наилучших результатов деятельности.
Угроза безопасности организации — это событие, действие или явление, которое посредством воздействия на персонал, финансовые, материальные ценности и информацию может привести к нанесению вреда здоровью работников и ущерба организации, нарушению или приостановке ее функционирования.
Обеспечение безопасности организации — это деятельность ее должностных лиц, персонала, специального подразделения по безопасности, государственных правоохранительных органов и иных структур, направленная на предотвращение возможного нарушения ее нормального функционирования.
Система безопасности организации — это комплекс организационно — управленческих, экономических, правовых, социально-психологических, профилактических, пропагандистских, режимных и инженерно-технических мер и мероприятий, направленных на обеспечение безопасности организации и ее персонала. Определяющим и изначальным при формировании системы безопасности является концепция безопасности организации, которая представляет собой свод основных документов, касающихся политики и стратегии безопасности, основных направлений, средств и методов ее обеспечения.
Рассмотрим сущность видов безопасности.
Физическая безопасность объекта — это охрана материальных и финансовых ресурсов от чрезвычайных обстоятельств (пожар, стихийное бедствие, терроризм) и от несанкционированного проникновения на территорию (вандализм, кража, хищение и т. д.). Обеспечение безопасности объектов регулируется Законом РФ от 11.03.1992 N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» (ред. от 27.12.2009), положениями и инструкциями, разрабатываемыми и вводимыми в действие Службой государственного пожарного надзора и Управления вневедомственной охраны МВД России. Этот вид безопасности объекта обеспечивается деятельностью сотрудников службы охраны путем соблюдения пропускного объектового и внутриобъектового режимов с применением соответствующих охранных технических средств и систем. К техническим и инженерно-техническим охранным средствам и системам относятся: периметральные охранные системы; системы охранной сигнализации; системы пожарной сигнализации, пожаротушения и оповещения; системы охранного телевидения; системы ограничения доступа; системы управления доступом; средства оперативной связи; защитные инженерные средства (решетки, жалюзи, бронестекла и др.).
Физическая безопасность персонала подразделяется на личную безопасность руководства и ведущих специалистов и безопасность всего персонала в целом. Личная безопасность руководства и ведущих специалистов — это их физическая охрана, а также охрана жилья и средств передвижения руководителей и ведущих специалистов организации и членов их семей. Личная безопасность обеспечивается целым комплексом оперативных и технических мер по охране лица как в обычных повседневных, так и экстремальных условиях. Проведение мероприятий по обеспечению личной безопасности охраняемого лица регулируется Законом РФ «О частной детективной и охранной деятельности». Физическая безопасность персонала — это система охраны труда и техники безопасности в организации на основе производственной санитарии и психологии деловых отношений. Безопасные и здоровые условия труда в организации обеспечиваются комплексным взаимодействием как руководства организации, так и, не в последнюю очередь, усилиями самого персонала организации. Системы охраны труда и техники безопасности в организации регламентируются Трудовым кодексом РФ (разд. X), Законом РФ «Об основах охраны труда в Российской Федерации» и нормативными правовыми актами по охране труда.
Экономическая безопасность — это состояние защищенности экономических интересов организации от внутренних и внешних угроз посредством минимизации коммерческих рисков, системы мер экономического, правового и организационного характера, разработанной администрацией организации. Экономическая безопасность характеризуется совокупностью качественных и количественных показателей и включает в себя следующие функциональные составляющие: финансовую, имущественную, валютную, кредитную, политико-правовую и др. Экономическая безопасность выступает материальной основой решения практически всех задач, связанных с функционированием организации.
Информационная безопасность — это охрана каналов поступления, хранения, обработки и передачи информации, защита любых информационных ресурсов по уровням доступа. Защите подлежит любая документационная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты информации устанавливается в отношении конфиденциальной документационной информации собственником информационных ресурсов, т. е. самой организацией. Результатами реализации угроз информации могут быть: утрата (разрушение, уничтожение), утечка (извлечение, копирование, подслушивание), искажение (модификация, подделка), блокирование. Существует два основных принципа защиты информации: разделение обязанностей и минимизация привилегий. Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не смог нарушить критически важный для предприятия процесс. Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. При этом высокий уровень информационной безопасности организации обеспечивается целым комплексом административных мер и оперативно-технических мероприятий.
Юридическая безопасность — это охрана прав, порядка и условий осуществления конкурентной предпринимательской деятельности организации в рамках законодательства Российской Федерации. Если рассматривать юридическую защиту более подробно, то условно ее можно подразделить на три основных направления:
— взаимоотношения с органами государственной власти;
— защита от действий недобросовестных партнеров, заказчиков или контрагентов;
— создание условий для успешной производственной деятельности организации.
Интеллектуальная безопасность — охрана прав на научные труды, промышленные образцы, товарные знаки, коммерческие наименования. На основе Гражданского кодекса РФ (ст. 138) «признается исключительное право (интеллектуальная собственность)… юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации. Использование результатов интеллектуальной деятельности и средств индивидуализации может осуществляться третьими лицами только с согласия правообладателя».
Экологическая безопасность — охрана окружающей среды, обеспечение безопасной работы экологически опасных объектов предприятия, предотвращение экологических катастроф. В общем виде вопросы экологической безопасности организаций регулируются соответствующими законами Российской Федерации. Экологическая составляющая безопасности в структуре безопасности предприятия является достаточно специфичным явлением и в основном значимо для предприятий, имеющих экологически опасные производства или занимающихся разработкой недр и т. д.
И наконец, кадровая безопасность — это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.
Виды угроз со стороны персонала:
1. Хищение имущества предприятия.
2. Использование ресурсов предприятия в собственных целях.
3. Умышленная порча и уничтожение имущества предприятия.
4. Получение заработной платы за невыполняемую работу.
5. Шантаж компетентностью (я — незаменимый работник).
6. Шантаж полномочиями (концентрация полномочий в одних руках).
7. Торговля коммерческими секретами.
8. Дисциплинарные нарушения.
9. Создание в коллективе невыносимого морально-психологического климата. безопасность юридический угроза персонал
Очевидно, что кадровая безопасность занимает доминирующее положение по отношению к другим элементам системы безопасности организации, так как она имеет дело с персоналом, который в любой составляющей первичен.
Субъектом кадровой безопасности является служба управления персоналом, причем вопросы кадровой безопасности должны решаться на каждом этапе управления персоналом (поиск, отбор, прием, адаптация, развитие, оценка и т. д.). Любое действие менеджера по персоналу на любом этапе — это либо усиление, либо ослабление безопасности компании по главной ее составляющей — по персоналу.
Как показывает практический опыт, обеспечение безопасности организации должно соответствовать следующим принципам:
— непрерывность — осуществление мер по обеспечению безопасности должно быть основано на постоянной готовности к отражению как внутренних, так и внешних угроз безопасности организации. При этом руководители организаций должны ясно осознавать: процесс обеспечения безопасности не допускает перерывов, иначе придется все начинать сначала;
— комплексность — использование всех средств защиты финансовых, материальных, информационных и человеческих ресурсов во всех структурных подразделениях организации и на всех этапах ее деятельности. При этом комплексность реализуется через совокупность правовых, организационных и инженерно-технических мероприятий без их приоритетного выделения;
— своевременность — обеспечение безопасности с использованием упреждающих мер. При этом принцип своевременности предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности, а также разработку эффективных мер предупреждения посягательств на интересы организации;
— законность — обеспечение безопасности на основе законодательства РФ и других нормативных актов, утвержденных органами государственного управления в пределах их компетенции. При этом необходимо иметь в виду, что вопрос дозволенности тех или иных методов обнаружения и пресечения правонарушений в рамках действующего законодательства и большого количества ведомственных подзаконных актов в настоящее время в большинстве случаев остается открытым;
— активность — обеспечение безопасности организации с достаточной степенью настойчивости и с широким использованием маневра имеющихся сил и средств;
— универсальность — обеспечение безопасности посредством применения таких мер и проведения таких мероприятий, которые дают положительный эффект независимо от места их конкретного применения;
— экономическая целесообразность — сопоставление возможного ущерба и затрат на обеспечение безопасности. При этом во всех случаях стоимость системы безопасности должна не превышать размера возможного ущерба от любых видов риска;
— конкретность и надежность — определение конкретных видов ресурсов, выделяемых на обеспечение безопасности. При этом обязательным является достаточное дублирование методов, средств и форм защиты при обеспечении безопасности организации;
— профессионализм — реализация мер безопасности должна осуществляться только профессионально подготовленными специалистами. При этом в условиях быстрого развития средств и систем безопасности необходимо постоянное совершенствование мер и средств защиты на базе обучения личного состава;
— взаимодействие и координация — осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений, служб и ответственных лиц. При этом вопрос о взаимодействии и координации касается не только подразделений и лиц, непосредственно отвечающих за безопасность, но и их связи с остальными подразделениями организации;
— централизация управления и автономность — обеспечение организационно-функциональной самостоятельности процесса организации защиты всех объектов охраны и централизованное управление обеспечением безопасности организации в целом.
Тесно связана с кадровой безопасностью безопасность труда и здоровья персонала — система обеспечения безопасности жизни и здоровья работников в процессе трудовой деятельности, включающая правовые, социально-экономические, организационно-технические, санитарно-гигиенические, лечебно-профилактические, реабилитационные и иные мероприятия (ст. 1 Основ законодательства РФ об охране труда).
Безопасность организации обеспечивается посредством взаимодействия администрации, подразделения охраны труда и техники безопасности и самого работника. С этой целью в организациях разрабатываются комплексные планы организационно-технических, социально-экономических и психологических мероприятий по обеспечению безопасности организации.
Основой для разработки таких планов может послужить построение «дерева целей» системы безопасности организации. На рис. 1 приведен фрагмент «дерева целей» системы безопасности организации на примере одного из важнейших направлений безопасности — кадровой безопасности организации.
Законы, регулирующие порядок работы с конфиденциальной информацией
Федеральный закон «О защите персональных данных»
Федеральный закон «О защите персональных данных». Данный закон, в частности, определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.
Федеральный закон «О коммерческой тайне»
Федеральный закон о коммерческой тайне. Этот закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности.
Закон «Об архивном деле»
Федеральный закон «Об архивном деле». Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности.
Стандарт Банка России
«Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный документ, в частности, регламентирует порядок работы с конфиденциальной информацией внутри банка.
Соглашение Basel II
«Международная конвергенция измерения капитала и стандартов капитала: новые подходы». Все банки Европы, а также крупнейшие банки США должны иметь архивы электронной корреспонденции с возможностью проведения аналитических выборок и гарантией аутентичности сохраняемых сообщений.
Закон HIPAA
Health Insurance Portability and Accountability Act of 1996 гласит, что: «Все медицинские, страховые и финансовые организации, работающие с чувствительной медицинской информацией должны хранить не менее 6 лет всю свою электронную документацию».
Закон SOX
Sarbanes-Oxley Act of 2002, §802 – Все публичные компании, представленные на фондовом рынке США, обязаны собирать, архивировать и хранить на протяжении минимум семи лет электронную корпоративную корреспонденцию.
Правило 17а-4 Комиссии по ценным бумагам США
SEC Rule 17a-4. Все финансовые публичные компании, представленные на фондовом рынке США, должны хранить переписку с клиентами в виде отдельной базы данных.
Федеральный закон «О связи»
Настоящий Федеральный закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.
Доктрина информационной безопасности
Данный документ — совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:
- формирования государственной политики в области обеспечения ИБ РФ;
- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ РФ;
- разработки целевых программ обеспечения ИБ РФ.
Доктрина ИБ РФ была утверждена президентом России В.В. Путиным 9.09.2000 года. Новую редакцию доктрины приняли в декабре 2016 года.
Федеральный закон «Об информации, информационных технологиях и о защите информации»
Закон «Об информации, информационных технологиях и защите информации» определяет и закрепляет права на защиту информации и информационную безопасность граждан и организаций в ЭВМ и в информационных системах, а также вопросы информационной безопасности граждан, организаций, общества и государства. В законе дано правовое определение понятия «информация»: «информация — сведения (сообщения, данные) независимо от формы их представления».
Федеральный закон «О противодействии неправомерному использованию инсайдерской информации»
Новый для российского правового поля Федеральный закон №224-ФЗ определяет сведения, относящиеся к инсайдерской информации, обозначает перечень лиц, относящихся к инсайдерам, а также действия, относящиеся к манипулированию рынком. Также он устанавливает меры противодействия неправомерному использованию инсайдерской информации и манипулированию рынком и перечень запрещенных способов использования инсайдерской информации, обязанность и порядок ее раскрытия.
Требования закона направлены, в том числе, на банки. Для автоматизированного контроля за конфиденциальными сведениями банковские службы ИБ используют DLP-системы.
Федеральный закон «О банках и банковской деятельности»
Безопасность информации, отнесенной к банковской тайне, обеспечивается в соответствии со статьей 26 Федерального закона «О банках и банковской деятельности»
Федеральный закон «Об электронной подписи»
В Законе РФ от 6 апреля 2011 года №63-ФЗ «Об электронной подписи» прописаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе. Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.
