Правовое регулирование аттестации объектов информатизации по безопасности информации, защита информации в автоматизированных системах

В настоящее время с развитием информационных технологий появляются возможности копирования обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах.

Целью данной работы является анализ нормативных актов в области безопасности информации в автоматизированных системах.

Задачи работы:

• изучение федеральных законов в области информационной безопасности;
• изучение подзаконных актов в области информационной безопасности;
• изучение типовых требований к локальным нормативным актам, к документационному, организационному, технологическому обеспечению системы защиты информации.

Объект исследования: законодательство в области защиты информации.

Предмет исследования: состояние информационной безопасности в условиях информационных систем предприятий.

Работа содержит 3 главы, введение, заключение и список литературы.

В главе 1 приведен анализ федерального законодательства в области защиты информации. В главе 2 приведен анализ подзаконных актов, в соответствии с которыми производится аудит систем защиты информации, категорирование персональных данных, классов защищенности информационных систем. В главе 3 определен типовой набор требований к локальным нормативным актам в области защиты информации в соответствии с категорией информационной системы.

1 Анализ нормативной базы технологий защиты информации

С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в том числе и содержащей информацию персонифицированного характера. Современные носители информации малогабаритны, и при этом позволяют хранить региональные или даже федеральные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в том числе через сеть Интернет. Известны прецеденты, когда утечка информации приводила к прямым материальным потерям их обладателя.

...

2 Аттестация объектов информатизации

Согласно нормативным документам в области информационной безопасности проведена классификация автоматизированных систем по типам обрабатываемой информации, к каждому из которых сопоставлены соответствующие организационно-технологические меры по защите информации.

При моделировании угроз сохранности конфиденциальной информации в информационных системах необходимо применение классификаций. Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» классификацию персональных данных на следующие категории:

Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

...

Таблица 1 - Определение класса типовой информационной системы

...

Таблица 2 - Типы защищенности информационных систем

...

3 Локальное правовое регулирование систем защиты информации

Как было показано в предыдущем разделе, по итогам аудита информационной системы предприятия, автоматизированной системе сопоставляется класс обрабатываемых данных, присваивается класс защищенности информационной системы, в соответствии с которым необходимо проектировать систему защиты информации, которая включает в себя комплекс организационно-технических мер. Организационная компонента включает в себя необходимость издания ряда локальных нормативных актов в области защиты информации на предприятии.

...

Таблица 3 - Функциональные обязанности специалистов в области информационной безопасности

...

Таблица 4 - Обеспечение системы защиты информации в соответствии с типовыми угрозами

...

Таблица 5 - Описание технологических средств защиты информации в рамках проекта системы информационной безопасности

...

ЗАКЛЮЧЕНИЕ

В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.

...