Административный уровень информационной безопасности
Автор работы: Пользователь скрыл имя, 23 Декабря 2014 в 14:39, реферат
Описание работы
Вводятся ключевые понятия - политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.
Информация, составляющая коммерческую
тайну (секрет производства) - сведения любого характера
(производственные, технические, экономические,
организационные и другие), в том числе
о результатах интеллектуальной деятельности
в научно-технической сфере, а также сведения
о способах осуществления профессиональной
деятельности, которые имеют действительную
или потенциальную коммерческую ценность
в силу неизвестности их третьим лицам,
к которым у третьих лиц нет свободного
доступа на законном основании и в отношении
которых обладателем таких сведений введен
режим коммерческой тайны.
Право на отнесение информации к информации,
составляющей коммерческую тайну, и на определение перечня
и состава такой информации принадлежит
обладателю такой информации с учетом
положений настоящего Федерального закона.
В статье 10 «Охрана конфиденциальности
информации» говорится, что меры по охране конфиденциальности информации,
принимаемые ее обладателем, должны включать
в себя:
1) определение перечня информации, составляющей коммерческую
тайну;
2) ограничение доступа к информации,
составляющей коммерческую тайну,
путем установления порядка обращения
с этой информацией и контроля
за соблюдением такого порядка;
3) учет лиц, получивших доступ
к информации, составляющей коммерческую тайну,
и (или) лиц, которым такая информация была
предоставлена или передана;
4) регулирование отношений по
использованию информации, составляющей коммерческую тайну, работниками
на основании трудовых договоров и контрагентами
на основании гражданско-правовых договоров;
5) нанесение на материальные
носители (документы), содержащие информацию, составляющую коммерческую тайну,
грифа "Коммерческая тайна" с указанием
обладателя этой информации (для юридических
лиц - полное наименование и место нахождения,
для индивидуальных предпринимателей
- фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место
жительства).
Режим коммерческой тайны считается
установленным после принятия обладателем информации, составляющей
коммерческую тайну, мер, указанных выше.
В статье 11 говорится, что в целях
охраны конфиденциальности информации работодатель обязан:
1) ознакомить под расписку работника,
доступ которого к информации,
составляющей коммерческую тайну, необходим
для выполнения им своих трудовых обязанностей,
с перечнем информации, составляющей коммерческую
тайну, обладателями которой является
работодатель и его контрагенты;
2) ознакомить под расписку работника
с установленным работодателем
режимом коммерческой тайны и с мерами
ответственности за его нарушение.
Статья 183 УК РФ. Незаконные получение
и разглашение сведений, составляющих коммерческую, налоговую или
банковскую тайну
1. Собирание сведений, составляющих
коммерческую, налоговую или банковскую тайну, путем похищения документов,
подкупа или угроз, а равно иным незаконным
способом -
наказывается штрафом в размере до 80
000 рублей или в размере заработной платы или иного дохода осужденного
за период от одного до шести месяцев либо
лишением свободы на срок до 2 лет.
2. Незаконные разглашение или
использование сведений, составляющих коммерческую, налоговую
или банковскую тайну, без согласия их
владельца лицом, которому она была доверена
или стала известна по службе или работе,
-
наказываются штрафом в размере до 120 000 рублей или в размере
заработной платы или иного дохода осужденного
за период до одного года с лишением права
занимать определенные должности или
заниматься определенной деятельностью
на срок до трех лет либо лишением свободы
на срок до 3 лет.
3. Те же деяния, причинившие крупный
ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до 200
000 рублей или в размере заработной платы или иного дохода осужденного
за период до восемнадцати месяцев с лишением
права занимать определенные должности
или заниматься определенной деятельностью
на срок до трех лет либо лишением свободы
на срок до 5 лет.
4. Деяния, предусмотренные частями
второй или третьей настоящей
статьи, повлекшие тяжкие последствия, -
наказываются лишением свободы на срок до
10 лет.
Закон “О персональных данных” №152-ФЗ
от 2006 года
Целью закона является обеспечение защиты
прав и свобод человека и гражданина при
обработке его персональных данных, в
том числе защиты прав на неприкосновенность частной жизни, личную и
семейную тайну (статья 2).
В законе дается определение персональных
данных - любая информация, относящаяся к определенному
или определяемому на основании такой
информации физическому лицу (субъекту
персональных данных), в том числе его
фамилия, имя, отчество, год, месяц, дата
и место рождения, адрес, семейное, социальное,
имущественное положение, образование,
профессия, доходы, другая информация
(статья 3).
В статье 5 говорится о принципах обработки
персональных данных. Это:
1) законность целей и способов обработки
персональных данных и добросовестность;
2) соответствие целей обработки
персональных данных целям, заранее
определенным и заявленным при сборе персональных
данных, а также полномочиям оператора;
3) соответствие объема и характера
обрабатываемых персональных данных,
способов обработки персональных данных
целям обработки персональных данных;
4) достоверность персональных данных,
их достаточность для целей
обработки, недопустимость обработки
персональных данных, избыточных по отношению к целям, заявленным
при сборе персональных данных;
5) недопустимость объединения созданных
для несовместимых между собой
целей баз данных информационных
систем персональных данных.
Хранение персональных данных должно
осуществляться в форме, позволяющей определить субъекта
персональных данных, не дольше, чем этого
требуют цели их обработки, и они подлежат
уничтожению по достижении целей обработки
или в случае утраты необходимости в их
достижении.
В статье 6 говорится об условиях обработки персональных данных:
1. Обработка персональных данных
может осуществляться оператором
с согласия субъектов персональных данных.
2. Согласия субъекта персональных
данных не требуется в следующих
случаях:
1) обработка персональных данных
осуществляется на основании федерального закона, устанавливающего
ее цель, условия получения персональных
данных и круг субъектов, персональные
данные которых подлежат обработке, а
также определяющего полномочия оператора;
2) обработка персональных данных
осуществляется в целях исполнения договора, одной из сторон
которого является субъект персональных
данных;
3) обработка персональных данных
осуществляется для статистических или иных научных целей при условии
обязательного обезличивания персональных
данных;
4) обработка персональных данных необходима для защиты
жизни, здоровья или иных жизненно важных
интересов субъекта персональных данных,
если получение согласия субъекта персональных
данных невозможно;
5) обработка персональных данных
необходима для доставки почтовых
отправлений организациями почтовой связи,
для осуществления операторами электросвязи
расчетов с пользователями услуг связи
за оказанные услуги связи, а также для
рассмотрения претензий пользователей
услугами связи;
6) обработка персональных данных
осуществляется в целях профессиональной деятельности
журналиста либо в целях научной, литературной
или иной творческой деятельности при
условии, что при этом не нарушаются права
и свободы субъекта персональных данных;
7) осуществляется обработка персональных
данных, подлежащих опубликованию в соответствии
с федеральными законами, в том числе персональных
данных лиц, замещающих государственные
должности, должности государственной
гражданской службы, персональных данных
кандидатов на выборные государственные
или муниципальные должности.
В статье 8 говорится об общедоступных
источниках персональных данных:
1. В целях информационного обеспечения
могут создаваться общедоступные
источники персональных данных (в том
числе справочники, адресные книги). В
общедоступные источники персональных
данных с письменного согласия субъекта
персональных данных могут включаться
его фамилия, имя, отчество, год и место
рождения, адрес, абонентский номер, сведения
о профессии и иные персональные данные,
предоставленные субъектом персональных
данных.
2. Сведения о субъекте персональных
данных могут быть в любое
время исключены из общедоступных источников персональных
данных по требованию субъекта персональных
данных либо по решению суда или иных уполномоченных
государственных органов.
В статье 10 говорится, что обработка специальных
категорий персональных данных, касающихся
расовой, национальной принадлежности,
политических взглядов, религиозных или
философских убеждений, состояния здоровья,
интимной жизни, не допускается. Исключение
составляют угрозы здоровью субъекту
персональных данных, обработка персональных
данных в медико-профилактических целях
и в правоохранительных целях и др. при
соблюдении определенных условий.
В статье 14 говорится о праве субъекта
персональных данных на доступ к своим персональным данным (на
основании 24 статьи Конституции РФ).
В статье 19 говорится о мерах по обеспечению
безопасности персональных данных при
их обработке. В частности, что оператор при обработке
персональных данных обязан принимать
необходимые организационные и технические
меры, в том числе использовать шифровальные
(криптографические) средства, для защиты
персональных данных от неправомерного
или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования,
распространения персональных данных,
а также от иных неправомерных действий.
В статье 22 говорится об уведомлении
об обработке персональных данных, что
оператор до начала обработки персональных
данных обязан уведомить уполномоченный орган по защите прав субъектов
персональных данных о своем намерении
осуществлять обработку персональных
данных.
Оператор вправе осуществлять без уведомления
уполномоченного органа по защите прав субъектов персональных данных
обработку персональных данных:
1) относящихся к субъектам персональных
данных, которых связывают с оператором трудовые
отношения;
2) полученных оператором в связи
с заключением договора, стороной
которого является субъект персональных
данных, если персональные данные не распространяются,
а также не предоставляются третьим лицам
без согласия субъекта персональных данных
и используются оператором исключительно
для исполнения указанного договора и
заключения договоров с субъектом персональных
данных;
3) относящихся к членам (участникам)
общественного объединения или
религиозной организации и обрабатываемых соответствующими
общественным объединением или религиозной
организацией, действующими в соответствии
с законодательством Российской Федерации,
для достижения законных целей, предусмотренных
их учредительными документами, при условии,
что персональные данные не будут распространяться
без согласия в письменной форме субъектов
персональных данных;
5) включающих в себя только
фамилии, имена и отчества субъектов
персональных данных;
6) необходимых в целях однократного пропуска субъекта
персональных данных на территорию, на
которой находится оператор, или в иных
аналогичных целях;
7) включенных в информационные
системы персональных данных, имеющие
в соответствии с федеральными
законами статус федеральных автоматизированных информационных
систем, а также в государственные информационные
системы персональных данных, созданные
в целях защиты безопасности государства
и общественного порядка;
8) обрабатываемых без использования
средств автоматизации в соответствии с федеральными законами
или иными нормативными правовыми актами
Российской Федерации, устанавливающими
требования к обеспечению безопасности
персональных данных при их обработке
и к соблюдению прав субъектов персональных
данных.
Закон "Об информации, информационных технологиях
и о защите информации" от 27 июля 2006
года N 149-ФЗ.
Закон на первое место ставит сохранение
конфиденциальности информации.
Технические средства, предназначенные
для обработки информации, содержащейся в государственных информационных
системах, в том числе программно-технические
средства и средства защиты информации,
должны соответствовать требованиям законодательства
Российской Федерации о техническом регулировании.
В статье 3 закона говорится о принципах
правового регулирования отношений, возникающих
в сфере информации, информационных технологий
и защиты информации. Это:
1) свобода поиска, получения, передачи,
производства и распространения
информации любым законным способом;
2) установление ограничений
доступа к информации только федеральными
законами;
3) открытость информации о деятельности
государственных органов и органов местного самоуправления и свободный
доступ к такой информации, кроме случаев,
установленных федеральными законами;
4) обеспечение безопасности Российской Федерации при
создании информационных систем, их эксплуатации
и защите содержащейся в них информации;