Выдержка из работы:
Некоторые тезисы из работы по теме Разработка и реализация корпоративной (информационной) политики безопасности организации
Введение
Организация работы любого современного учреждения требует использования информационных технологий. Однако любые виды передачи данных связаны обязательно с угрозами, которые несут каналы передачи, а также отправители в случае некорректного использования информационных активов или пренебрежения правилами информационной безопасности.
Особую роль сотрудники играют в обеспечении работы малых компаний по специфическими видами деятельности. Это в полной мере относится к образовательной деятельности, например, к организации обучения вождению на базе автошкол. В рамках таких образовательных учреждений происходит постоянный обмен персональными данными между сотрудниками и обучаемыми, а также внутри самого учреждения. Слабый уровень ознакомления сотрудников с вариантами реализации атак на персональные данные, технологиями их организации, а также использования результатов атаки приводит к высокому уровню угроз информационной безопасности.
……………………………………….
1 Теоретические и правовые основы информационной безопасности
1.1 Нормативная база РФ в сфере управления информационной безопасностью
Ключевым стандартом, который регулирует вопросы обеспечения информационной безопасности является ГОСТ Р 53114-2008 [7]. Указанный стандарт определяет используемые термины, которые рекомендованы к использованию в технической, правовой, организационно-распорядительной документации, нормативных документах, литературе учебного, научного и справочного характера.
Регулирование вопросов обеспечения информационной безопасности в компании также выполняется на основании следующего списка стандартов: ГОСТ 19781, ГОСТ 34.003, ГОСТ Р 51897, ГОСТ Р 22.0.02, ГОСТ Р 51898, ГОСТ Р 50922, ГОСТ Р 51275, ГОСТ Р 52069.0, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 9000, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/МЭК 13335-1, Р 50.1.056, Р 50.1.053.
Основные требования к обеспечению информационной безопасности и защите информации определены в рамках стандарта ГОСТ Р ИСО/МЭК 15408 [8]. В рамках данного стандарта в разделе ГОСТ ИСО/МЭК 15408-1-2012 [9] освещены базовые принципы оценки степени безопасности в сфере ИТ, описана общей модели оценки уровня информационной безопасности.
Выработка функциональных требований для организации анализа безопасности и список основных компонентов системы определяется правилами стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 [10, 11]. В тексте ГОСТ Р ИСО/МЭК 15408-3-2013.
Наряду с вариантом международного стандарта в сфере информационной безопасности ИСО/МЭК 15408 применяется отечественный ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология – Методы и средства обеспечения безопасности – Критерии оценки безопасности информационных технологий» [12]. Стандарт включает описание обязательного минимального мероприятий, выполняемых оценщиком в процессе проведения оценки согласно ИСО/МЭК 15408 в соответствии с указанными в стандарте.
Описание технологий организации управления процессами обеспечения информационной безопасности сформулировано в семействе стандартов ГОСТ Р ИСО/МЭК 27000.
Входящий в данное семейство ГОСТ Р ИСО/МЭК 27001-2006 [14] регулирует вопросы организации управления процессами защиты информации в организациях с любой формой собственности. В нем устанавливается перечень требований, предъявляемых к проектированию, внедрению, функционированию, анализу, мониторингу, сопровождению и улучшению документированной системы менеджмента информационной безопасности в контексте общих бизнес-рисков предприятия.
В рамках того же стандарта описаны базовые требования, которые касаются внедрения мер управления информационной безопасностью, проведения контроля со стороны задекларированных в рамках организации специализированных подразделений или специалистов по информационной безопасности.
Введенный в 2012 году отечественный стандарт ГОСТ Р ИСО/МЭК 27000-2012 [9], основывающийся на подобном международном стандарте ИСО/МЭК 27000, определяет не только принципы организации работы систем менеджмента информационной безопасности (СМИБ), но и технологии осуществления комплекса (PDCA), включающего планирование, исполнение, проверку и выполнение (Plan – Do – Check – Act).
Отечественный стандарт ГОСТ Р ИСО/МЭК 27003-2012 [15] формулирует и адаптирует основные принципы качественного проектирования и внедрения системы менеджмента информационной безопасности согласно стандарту ISO/IEC 27001:2005.
Кроме указанных основных стандартов и нормативных актов в рамках решаемой задачи обеспечения информационной безопасности обработки персональных данных необходимо рассмотреть также аспекты работы с такими видами данных.
Основным нормативным правовым актом в области обработки и защиты персональных данных является «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) [1].
……………………………………….
Список использованных источников
1. Конституция Российской Федерации: принята 12 декабря 1993 г. Официальный текст. – М.: Омега-Л, 2021.
2. Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (27 июля 2010 г., 6 апреля, 21 июля 2011 г., 28 июля 2012 г., 5 апреля, 7 июня, 2 июля, 28 декабря 2013 г., 5 мая, 21 июля, 24 ноября, 31 декабря 2014 г., 29 июня, 13 июля 2015 г., 23 июня, 3 июля, 19 декабря 2016 г., 1 мая, 7, 18 июня, 1, 29 июля, 25 ноября, 31 декабря 2017 г., 23 апреля, 29 июня, 19 июля, 28 ноября, 18 декабря 2018 г., 18 марта, 1 мая, 2, 27 декабря 2019 г., 3 апреля, 8 июня, 29, 30 декабря 2020 г., 9 марта, 11, 28 июня, 1, 2 июля, 30 декабря 2021 г., 28 июня, 14 июля, 5, 29 декабря 2022 г., 31 июля 2023 г.).
……………………………………….