Нормативно-правовое обеспечение информационных технологий управления

Администрация городского округа Самара

Автономное муниципальное  образовательное учреждение высшего  профессионального образования

САМАРСКАЯ АКАДЕМИЯ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ

Факультет управления и информационных технологий

Кафедра «Управления персонала»

 

 

Реферат

по дисциплине «Информационные технологии в управлении персоналом»

Нормативно-правовое обеспечение информационных технологий управления

 

 

Реферат  студента 791-Д  группы

Факультета УИТ

Специальности УП

Тимаков Р.

 

Проверил доц. Дельцова Н.О.

 

 

 

Самара 2013

 

Содержание

Введение ……………………………………………………………………..3

Глава 1 Международное законодательство………………………………..4

1.1 Стандарт ISO/IEC 17799:2005………………………………………….4

1.2 Стандарт ISO/IEC 15408-99…………………………………………….5

1.3 Стандарты ISO серии 27000…………………………………………….6

Глава 2 Российское законодательство в сфере обеспечение информационных технологий управления ……………………………………..7

Заключение ………………………………………………………………...18

Список источников и литературы…………………………………………19

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Информационные технологии в настоящее время охватывают практически все сферы жизнедеятельности  человека и в этой связи являются объектом повышенного внимания законодателя и иных нормотворческих органов. При осуществлении правовой поддержки  деятельности, связанной с созданием  и применением информационных технологий специалисту необходимы специальные  правовые знания. В то же время такие  знания относятся к различным  отраслям и институтам права, при  этом в редких случаях освещаются в традиционных учебных курсах, в  том числе в курсе информационного  права. Нехватка предметных специалистов в данной сфере негативно сказывается  на эффективности применения информационных технологий в сферах государственного и муниципального управления и порождает  различные правовые риски в деятельности коммерческих организаций. Обучение соответствующим  специальным правовым знаниям позволит обеспечить текущие потребности  рынка, в специалистах, имеющих системное  представление о правовом обеспечении  деятельности в сфере информационных технологий.

Целью данной работы является анализ нормативно-правового обеспечения информационных технологий.

 

 

 

 

 

 

 

 

 

 

 

Глава 1 Международное  законодательство

1.1 Стандарт ISO/IEC 17799:2005

Стандарт ISO/IEC 17799-2000/2004 «Информационные  технологии и безопасность. Правила  управления информационной безопасностью» изначально были разработаны на базе британского стандарта BS 17799 и действуют  в Беларуси как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью  информации». ¹

Стандарт учитывает:

• существенное возрастание  роли электронной коммерции в  мировой практике;

• распространенность проектов электронных правительств;

• общую тенденцию к  ужесточению требований к информационной безопасности.

В качестве базовых принципов  стандартом приняты:

• защита данных и документов организации;

• обеспечение конфиденциальности персональных данных;

• защита прав интеллектуальной собственности.

В руководство по применению стандарта включены рекомендации по разработке кадровых политик, юридических  требований, систем обеспечения непрерывности  производственного процесса и политик  безопасности.

Стандарт применяется  в качестве критериев оценки механизмов безопасности организации, в т. ч. административных, процедурных и физических мер  защиты. В нем выработаны:

• стратегии планирования развития;

• схемы классификации  документов (данных, информационных материалов) и методы безопасного доступа  к ним;

________________________________

¹Силков, С. В. К вопросу об обеспечении гарантий безопасности в объектах информационных технологий / С. В. Силков // Материалы конф. «Обеспечение безопасности информации в информационных системах», ноябрь 2004 г. – Минск: Акад. управления при Президенте Респ. Беларусь. – С. 72.

• методология оценок рисков безопасности;

• градация ответственности  работников.

В стандарте заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, применяемого в сертификации по международным стандартам безопасности информации.

1.2 Стандарт ISO/IEC 15408-99

В начале 1990-х гг. ISO приступила к разработке серии стандартов по общим критериям оценки безопасности информационных технологий – Common Criteria for Information Technology Security Evaluation. В 1999 г. был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности», устанавливающие критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.¹

Стандарт направлен на защиту информации от потерь, несанкционированного использования, модификации или  раскрытия. Критерием защиты является обеспечение:

1) доступности (готовности): информация и средства ее автоматизированной  обработки обязаны быть доступны (готовы к функционированию);

2) целостности: информация  должна быть защищенной от  несанкционированного изменения  содержания (уничтожения);

3) конфиденциальности: информация  может быть доступна только  строго определенному кругу лиц  согласно локальным нормативным  актам организации.

________________________________

¹Силков, С. В. К вопросу об обеспечении гарантий безопасности в объектах информационных технологий / С. В. Силков // Материалы конф. «Обеспечение безопасности информации в информационных системах», ноябрь 2004 г. – Минск: Акад. управления при Президенте Респ. Беларусь. – С. 72.

Применение разработанной  в стандарте методологии позволяет  выработать критерии оценки защитных свойств систем автоматизации в организациях.

На основе этого стандарта  разрабатываются национальные стандарты  Беларуси серии СТБ 34.101 в области  методов и средств безопасности ИКТ.

1.3 Стандарты ISO серии 27000

В настоящее время ISO разрабатывает  стандарты серии 27000 по управлению безопасностью  информации. Стандарт ISO 27001 «Требования  к системе управления безопасностью» заменяет стандарт BS7799, входящий в состав сертификационных стандартов по информационной безопасности. В сравнении с BS7799, в ISO 27001 имеется ряд изменений  в сторону гармонизации подходов с другими стандартами менеджмента ISO 9001 и полного применения модели PDCA («Plan –Do – Check –Act», т. е. «планирование –выполнение –проверка –исправление»).

Стандарт ISO 27002 является дальнейшим развитием ISO 17799. Стандарт ISO 27004 посвящен метрикам и оценке безопасности. ¹

Важно отметить, что вся  последующая деятельность по международной  сертификации в области безопасности информации должна будет происходить  по требованиям стандартов серии 27000.

 

 

 

 

 

 

 

 

________________________________

¹Силков, С. В. К вопросу об обеспечении гарантий безопасности в объектах информационных технологий / С. В. Силков // Материалы конф. «Обеспечение безопасности информации в информационных системах», ноябрь 2004 г. – Минск: Акад. управления при Президенте Респ. Беларусь. – С. 72.

Глава 2 Российское законодательство в сфере обеспечение  информационных технологий управления

Особое внимание законодательной  защите информационных прав граждан  уделено в Конституции РФ. Так, конституционный статус информационных отношений закреплен в ст. 24 , ст. 41 (п. 3), ст. 42. При этом ст. 24 (п. 2) определяет субъекты информационных правоотношений: с одной стороны - это органы государственной власти, органы местного самоуправления, с другой - граждане Российской Федерации.

Основной закон закрепил право граждан на «тайну переписки, телефонных переговоров, почтовых, телеграфных  и иных сообщений. Ограничение этого  права допускается только на основании  судебного решения» (п. 2, ст. 23).¹

Принципиальное значение имеет положение,  предусматривающее защиту информационных прав и свобод граждан: не допускается распространение информации о частной жизни лица (равно как и сбор, хранение, использование сведений) без его согласия (п.1, ст. 24).

Конституция РФ закрепила  вполне конкретные права граждан  на информацию. Так, «органы государственной  власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его  права и свободы, если иное не предусмотрено  законом» (п. 2, ст. 24). А далее, в п. 4, ст. 29 провозглашено, что «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым закон.

Предметом конституционного регулирования стали правоотношения не только в сфере информации, носящей личный характер, но и в сферах правовой (п. 3,ст. 15) и экологической информации.

__________________________________

¹Агапов А.Б. Основы федерального информационного права России. -М. 1995. С. 145.

Основной Закон наделил  граждан России широкими правами, в  том числе в информационной сфере. Ограничение некоторых прав и  свобод граждан может быть допущено только на основании судебного решения.

Этим законом введены  понятия собственника и владельца информационных ресурсов, информационных систем и технологий, понятие пользователя (потребителя) информации, а также определено, что информационные ресурсы «являются объектами отношений физических, юридических лиц, государства». Они «составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами».

Федеральный закон РФ «Об  информации, информатизации и защите информации» отнес персональные данные (информацию о гражданах) к  категории конфиденциальной информации (ст. 11). В нем законодательно урегулирована конституционная норма, закрепленная в п. 5, ст. 24. Закон не допускает сбора, накопления, использования и распространения информации о частной жизни, а также информации, «нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, телеграфных и иных сообщений физического лица без его согласия». Последнее может быть осуществлено лишь на основании судебного решения.¹

В этом Законе уделено большое  внимание защите информации, а также  правам и обязанностям субъектов в области информационных процессов и информатизации ( гл. 5). Целями защиты являются (ст. 20):

• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в информационные ресурсы;

__________________________________

¹ Об информации, информатизации и защите информации: Федеральный закон от 20 февраля 1995г. № 24-ФЗ/УСобрание законодательства РФ. 1995. Ст.609.

• защита конституционных прав граждан и сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Базовый акт информационного  законодательства. Задача законодательного урегулирования права граждан на информацию, закрепленная в ч. 4, ст. 29 Конституции РФ, во многом решается Федеральным законом «Об информации, информатизации и защите информации». Он регламентирует конкретные информационные отношения, возникающие при формировании информационных ресурсов, создании и использовании информационных технологий и средств их обеспечения, а также при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» регулируются отношения, связанные с созданием, правовой охраной и использованием программ для ЭВМ и БД. В этом Законе определены понятия программы для ЭВМ, БД, а также ряд понятий, связанных с изменением и использованием программ (адаптация, модификация, декомпилирование, воспроизведение, распространение, выпуск в свет, использование). Этим законом программы для ЭВМ и базы данных отнесены к объектам авторского права. Вместе с тем авторское право не связано с правом собственности на их материальный носитель, а «передача прав на материальный носитель не влечет за собой передачи каких-либо прав на программы для ЭВМ и базы данных» (п. 6, ст. 3). Это существенно, поскольку для ОВД важное значение имеют вопросы передачи информации в другие организации, например, при проведении процессуальных действий.