Разработка системы защиты информации производится подразделением организации или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России. При этом разрабатываются методическое руководство и конкретные требования по защите информации, аналитическое обоснование необходимости создания СЗИ, согласовывается выбор ОТСС и ВТСС, технических и программных средств ЗИ, организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, аттестация объекта информатизации.
Так же разрабатывается «Положении о порядке организации и проведения работ по защите конфиденциальной информации», в котором описывается порядок организации работ по созданию и эксплуатации объектов информатизации и их СЗИ (или в приложении к так же разрабатываемому «Руководству по защите информации от утечки по техническим каналам на объекте»). Этот документ должен предусматривать порядок определения защищаемой информации; порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатации объектов информатизации; ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗИ.
Стадии содзания системы защиты информации:
Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание
Стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации
Стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. Работы, выполняемые на предпроектной стадии:
Устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации
Определяется перечень сведений конфиденциального характера, подлежащихзащите
Определяются (уточняются) угрозы безопасности информации и модель вероятногонарушителя применительно к конкретным условиям функционирования объекта
Определяются условия расположения объекта информатизации относительнограниц КЗ
Определяются конфигурация и топология ОТСС в целом и их отдельныхкомпонентов, физические, функциональные и технологические связи ОТСС с другими системами различного уровня и назначения
Определяются конкретные технические средства и системы, предполагаемые к использованию в разрабатываемой АС, условия их расположения, их программные средства
Определяются режимы обработки информации в АС в целом и в отдельных компонентах
Определяется класс защищенности АС
Определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности
Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации Информационное право
Информационное право — отрасль права, совокупность правовых норм, регулирующих общественные отношения в информационной сфере,
Основным предметом правового регулирования информационного права выступают информационные отношения, то есть общественные отношения в информационной сфере, возникающие при осуществлении информационных процессов — процессов производства, сбора, обработки, накопления, хранения, поиска, передачи, распространения и потребления информации.
сновные задачи в этой области:
изучение актов действующего информационного законодательства и подзаконных актов;
выявление пробелов и дублей в источниках информационного права, разработка предложений по разработке проектов федеральных законов и подзаконных актов в этой области;
изучение практики применения норм и актов информационного права, оценка эффективности действия принятых нормативных правовых актов, подготовка предложений по совершенствованию процессов регулирования общественных отношений в информационной сфере, предложений по дополнению и изменению норм и актов информационного права;
проведение работ по подготовке законопроектов и иных нормативных правовых актов в информационной сфере;
изучение проблем формирования Информационного кодекса РФ как основного кодифицированного акта информационного права.
Информационное право.
Информационное право — отрасль права, совокупность правовых норм, регулирующих общественные отношения в информационной сфере, связанных с оборотом информации, формированием и использованием информационных ресурсов, созданием и функционированием информационных систем в целях обеспечения безопасного удовлетворения информационных потребностей граждан, их организаций, государства и общества.
Предмет и методы информационного права
Основным предметом правового регулирования информационного права выступают информационные отношения, то есть общественные отношения в информационной сфере, возникающие при осуществлении информационных процессов — процессов производства, сбора, обработки, накопления, хранения, поиска, передачи, распространения и потребления информации.
В информационном праве используется вся совокупность способов регулирующего воздействия на информационные правоотношения, то есть как диспозитивное регулирование (свобода выбора, равенство сторон, децентрализация, координация), так и императивное регулирование (централизованное осуществление властных полномочий, строгая субординация). Включенность различных методов в систему информационного права не означает их произвольного столкновения или конкуренции. Дискуссии по вопросам значительности тех или иных методов для информационного права можно примирить, только выработав самостоятельную правовую систему для разрешения проблем, возникающих в отношениях информационного свойства.