законодательные принципы кадровой защиты информационной безопасности
1. Законодательные принципы
кадровой защиты
информационной
безопасности
Выполнил :
студент 43 группы
факультет информатики
Щепетихин Дмитрий
Магнитогорск, 2012
2. Введение
Главной целью обеспечения безопасности предприятия
является достижение максимальной стабильности
функционирования, а также создание основы и перспектив
роста для выполнения целей бизнеса, вне зависимости от
объективных и субъективных угрожающих факторов
(негативных воздействий, факторов риска).
Кадровая безопасность является одной из составляющих
экономической безопасности (наряду с другими -
финансовой, силовой, информационной, технико-
технологической, правовой, экологической)
3. Риск
Рассмотрим наиболее доступные
формулировки:
Риск это вероятность возможной
нежелательной потери чего-либо при
плохом стечении обстоятельств.
Риск это неопределённое событие или
условие, которое в случае
возникновения имеет позитивное или
негативное воздействие на репутацию
компании, приводит к приобретениям
или потерям в денежном выражении.
4. Кадровая безопасность
• Кадровая безопасность - это мероприятия
направленные на предотвращение
экономических угроз и рисков связанных с
персоналом предприятия, а также
разрешение конфликтных ситуаций в
коллективе
5. Информационная безопасность
В деле обеспечения информационной безопасности успех
может принести только комплексный подход
Для защиты интересов субъектов информационных
отношений необходимо сочетать меры следующих
уровней:
• Законодательного(законы)
• административного (приказы и другие действия
руководства организаций, связанных с защищаемыми
информационными системами);
• процедурного (меры безопасности, ориентированные на
людей);
• программно-технического.
6. Законодательный уровень
Законодательный уровень является важнейшим для обеспечения
информационной безопасности. Большинство людей не
совершают противоправных действий не потому, что это
технически невозможно, а потому, что это осуждается и/или
наказывается обществом, потому, что так поступать не принято.
На законодательном уровне различают две группы мер:
• меры, направленные на создание и поддержание в обществе
негативного (в том числе с применением наказаний) отношения
к нарушениям и нарушителям информационной безопасности
(назовем их мерами ограничительной направленности);
• направляющие и координирующие меры, способствующие
повышению образованности общества в области
информационной безопасности, помогающие в разработке и
распространении средств обеспечения информационной
безопасности (меры созидательной направленности).
7. Аспекты информационной
безопасности
Выделяют 3 аспекта
информационной безопасности :
• Конфиденциальность
• Целостность
• Доступность
11. Весьма продвинутым в плане информационной безопасности
является Уголовный кодекс Российской Федерации (редакция от 14
марта 2002 года). Глава 28 - "Преступления в сфере компьютерной
информации" - содержит три статьи:
статья 272. Неправомерный доступ к компьютерной информации;
статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ;
статья 274. Нарушение правил эксплуатации средств хранения,
обработки или передачи компьютерной информации и
информационно-телекоммуникационных сетей.
Первая имеет дело с посягательствами на конфиденциальность,
вторая - с вредоносным ПО, третья - с нарушениями доступности и
целостности, повлекшими за собой уничтожение, блокирование
или модификацию охраняемой законом информации ЭВМ.
Включение в сферу действия УК РФ вопросов доступности
информационных сервисов представляется нам очень
своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных
данных, предусматривает наказание за нарушение тайны
переписки, телефонных переговоров, почтовых, телеграфных или
иных сообщений. Аналогичную роль для банковской и
коммерческой тайны играет статья 183 УК РФ.
12. Нормативные правовые акты РФ в
области защиты информации
Законодательные акты
• Закон РФ "О безопасности" от 05.03.1992г. № 2446-1
• Закон РФ "О государственной тайне" от 21.07.1993г.
№5485-1 (с изм. и доп., вступающими в силу с 15.12.2007)
• ФЗ РФ "Об информации, информационных технологиях и о
защите информации" от 27.07.2006г. №149-ФЗ
• ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ
• ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-
ФЗ
• ФЗ "О техническом регулировании" от 27 декабря 2002 г. N
184-ФЗ
• ФЗ РФ "Об обеспечении единства измерений" от 26 июня
2008 года № 102-ФЗ
13. Законодательные акты
• ФЗ РФ "Электронной цифровой подписи" от 10 января 2002 г. N
1-ФЗ
• ФЗ РФ "Об электронной подписи" от 6 апреля 2011 г. N 63-ФЗ
• ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ
• ФЗ "О лицензировании отдельных видов деятельности" от 8
августа 2001 года, N 128-ФЗ
• ФЗ "Об органах Федеральной Службы Безопасности в
Российской Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269)
• Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о
методах и способах защиты информации в информационных
системах персональных данных"
• Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г.
№55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных
данных»
• ФЗ от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов
деятельности"
14. Причины угроз со стороны
персонала
•Возможность
•Мотив
•Самооправдание
15. Возможность
Должностные полномочия, степень доверия
и эффективность системы управления определяют
возможности сотрудника вести себя определённым
образом. Если правила не устанавливает компания,
правила для себя формирует сотрудник.
16. Мотив
Возникает как результат
неэффективной системы
управления и мотивации. Начинает
меняться мировоззрение
сотрудника и восприятие им новых
для него факторов окружающей
действительности: не оправдались
ожидания по зарплате, карьерному
росту, обида на компанию или
руководство, отсутствие должного
внимания и оценки результатов
работы со стороны руководителя
и т. п. Помимо этого, сотрудник
может попасть в обстоятельства
непреодолимой силы: финансовые
проблемы, алкоголь, наркотики,
азартные игры, соблазн, шантаж
и т. п.
17. Самооправдание
Под воздействием негативных мотивов, сотрудник осознаёт
потребность компенсировать несправедливое отношение
со стороны компании. Он анализирует способы решения
задачи и систему управления компании в части мер
безопасности. Сотрудник убеждает себя, что, используя
свои должностные полномочия, он достигнет желаемого
и сможет скрыть последствия злоупотребления, чтобы уйти
от ответственности
18. Список литературы
• Законодательный уровень информационной безопасности[электронный
ресурс]:
http://www.intuit.ru/department/security/secbasics/4/secbasics_4.html
• Кадровое обеспечение информационной безопасности[электронный
ресурс]:
http://www.hr-portal.ru/article/kadrovoe-obespechenie-informatsionnoi-
bezopasnosti
• Кадровое и методическое обеспечение деятельности органов внутренних
дел по борьбе с преступлениями в сфере компьютерных
технологий[электронный ресурс]:
http://www.crime-research.ru/library/PolivGolub.html
• Проблемы кадрового обеспечения информационной
безопасности[электронный ресурс]:
http://library.mephi.ru/data/scientific-sessions/1998/1/411.html
• Законодательство РФ В Области Информационной
Безопасности[электронный ресурс]:
http://stroimechtu.ru/prochee/214-3-zakonodatelstvo-rf-v-oblasti-informacionnoj-
bezopasnosti.html