Нормативно-правовое обеспечение информационных технологий управления

Международное законодательства в сфере обеспечения информационных технологий управления. Стандарты ISO/IEC 17799:2005, ISO/IEC 15408-99, ISO серии 27000. Системное представление о правовом обеспечении деятельности в сфере информационных технологий.

Рубрика Государство и право
Вид реферат
Язык русский
Дата добавления 27.05.2013
Размер файла 27,7 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Администрация городского округа Самара

Автономное муниципальное образовательное учреждение высшего профессионального образования

Факультет управления и информационных технологий

Кафедра «Управления персонала»

Реферат

по дисциплине «Информационные технологии в управлении персоналом»

Нормативно-правовое обеспечение информационных технологий управления

Реферат студента 791-Д группы

Факультета УИТ

Специальности УП

Тимаков Р.

Проверил доц. Дельцова Н.О.

Самара 2013г.

Содержание

Введение

Глава 1 Международное законодательство

1.1 Стандарт ISO/IEC 17799:2005

1.2 Стандарт ISO/IEC 15408-99

1.3 Стандарты ISO серии 27000

Глава 2 Российское законодательство в сфере обеспечение информационных технологий управления

Заключение8

Список источников и литературы

Введение

Информационные технологии в настоящее время охватывают практически все сферы жизнедеятельности человека и в этой связи являются объектом повышенного внимания законодателя и иных нормотворческих органов. При осуществлении правовой поддержки деятельности, связанной с созданием и применением информационных технологий специалисту необходимы специальные правовые знания. В то же время такие знания относятся к различным отраслям и институтам права, при этом в редких случаях освещаются в традиционных учебных курсах, в том числе в курсе информационного права. Нехватка предметных специалистов в данной сфере негативно сказывается на эффективности применения информационных технологий в сферах государственного и муниципального управления и порождает различные правовые риски в деятельности коммерческих организаций. Обучение соответствующим специальным правовым знаниям позволит обеспечить текущие потребности рынка, в специалистах, имеющих системное представление о правовом обеспечении деятельности в сфере информационных технологий.

Целью данной работы является анализ нормативно-правового обеспечения информационных технологий.

Глава 1 Международное законодательство

1.1 Стандарт ISO/IEC 17799:2005

Стандарт ISO/IEC 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» изначально были разработаны на базе британского стандарта BS 17799 и действуют в Беларуси как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации». ?

Стандарт учитывает:

* существенное возрастание роли электронной коммерции в мировой практике;

* распространенность проектов электронных правительств;

* общую тенденцию к ужесточению требований к информационной безопасности.

В качестве базовых принципов стандартом приняты:

* защита данных и документов организации;

* обеспечение конфиденциальности персональных данных;

* защита прав интеллектуальной собственности.

В руководство по применению стандарта включены рекомендации по разработке кадровых политик, юридических требований, систем обеспечения непрерывности производственного процесса и политик безопасности.

Стандарт применяется в качестве критериев оценки механизмов безопасности организации, в т. ч. административных, процедурных и физических мер защиты. В нем выработаны:

* стратегии планирования развития;

* схемы классификации документов (данных, информационных материалов) и методы безопасного доступа к ним;

* методология оценок рисков безопасности;

* градация ответственности работников.

В стандарте заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, применяемого в сертификации по международным стандартам безопасности информации.

1.2 Стандарт ISO/IEC 15408-99

В начале 1990-х гг. ISO приступила к разработке серии стандартов по общим критериям оценки безопасности информационных технологий - Common Criteria for Information Technology Security Evaluation. В 1999 г. был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности», устанавливающие критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.?

Стандарт направлен на защиту информации от потерь, несанкционированного использования, модификации или раскрытия. Критерием защиты является обеспечение:

1) доступности (готовности): информация и средства ее автоматизированной обработки обязаны быть доступны (готовы к функционированию);

2) целостности: информация должна быть защищенной от несанкционированного изменения содержания (уничтожения);

3) конфиденциальности: информация может быть доступна только строго определенному кругу лиц согласно локальным нормативным актам организации.

Применение разработанной в стандарте методологии позволяет выработать критерии оценки защитных свойств систем автоматизации в организациях.

На основе этого стандарта разрабатываются национальные стандарты Беларуси серии СТБ 34.101 в области методов и средств безопасности ИКТ.

1.3 Стандарты ISO серии 27000

В настоящее время ISO разрабатывает стандарты серии 27000 по управлению безопасностью информации. Стандарт ISO 27001 «Требования к системе управления безопасностью» заменяет стандарт BS7799, входящий в состав сертификационных стандартов по информационной безопасности. В сравнении с BS7799, в ISO 27001 имеется ряд изменений в сторону гармонизации подходов с другими стандартами менеджмента ISO 9001 и полного применения модели PDCA («Plan -Do - Check -Act», т. е. «планирование -выполнение -проверка -исправление»).

Стандарт ISO 27002 является дальнейшим развитием ISO 17799. Стандарт ISO 27004 посвящен метрикам и оценке безопасности. ?

Важно отметить, что вся последующая деятельность по международной сертификации в области безопасности информации должна будет происходить по требованиям стандартов серии 27000.

Глава 2 Российское законодательство в сфере обеспечение информационных технологий управления

Особое внимание законодательной защите информационных прав граждан уделено в Конституции РФ. Так, конституционный статус информационных отношений закреплен в ст. 24 , ст. 41 (п. 3), ст. 42. При этом ст. 24 (п. 2) определяет субъекты информационных правоотношений: с одной стороны - это органы государственной власти, органы местного самоуправления, с другой - граждане Российской Федерации.

Основной закон закрепил право граждан на «тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения» (п. 2, ст. 23).?

Принципиальное значение имеет положение, предусматривающее защиту информационных прав и свобод граждан: не допускается распространение информации о частной жизни лица (равно как и сбор, хранение, использование сведений) без его согласия (п.1, ст. 24).

Конституция РФ закрепила вполне конкретные права граждан на информацию. Так, «органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом» (п. 2, ст. 24). А далее, в п. 4, ст. 29 провозглашено, что «каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым закон.

Предметом конституционного регулирования стали правоотношения не только в сфере информации, носящей личный характер, но и в сферах правовой (п. 3,ст. 15) и экологической информации.

Основной Закон наделил граждан России широкими правами, в том числе в информационной сфере. Ограничение некоторых прав и свобод граждан может быть допущено только на основании судебного решения.

Этим законом введены понятия собственника и владельца информационных ресурсов, информационных систем и технологий, понятие пользователя (потребителя) информации, а также определено, что информационные ресурсы «являются объектами отношений физических, юридических лиц, государства». Они «составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами».

Федеральный закон РФ «Об информации, информатизации и защите информации» отнес персональные данные (информацию о гражданах) к категории конфиденциальной информации (ст. 11). В нем законодательно урегулирована конституционная норма, закрепленная в п. 5, ст. 24. Закон не допускает сбора, накопления, использования и распространения информации о частной жизни, а также информации, «нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, телеграфных и иных сообщений физического лица без его согласия». Последнее может быть осуществлено лишь на основании судебного решения.?

В этом Законе уделено большое внимание защите информации, а также правам и обязанностям субъектов в области информационных процессов и информатизации ( гл. 5). Целями защиты являются (ст. 20):

· предотвращение утечки, хищения, утраты, искажения, подделки информации;

· предотвращение угроз безопасности личности, общества, государства;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы;

· защита конституционных прав граждан и сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Базовый акт информационного законодательства. Задача законодательного урегулирования права граждан на информацию, закрепленная в ч. 4, ст. 29 Конституции РФ, во многом решается Федеральным законом «Об информации, информатизации и защите информации». Он регламентирует конкретные информационные отношения, возникающие при формировании информационных ресурсов, создании и использовании информационных технологий и средств их обеспечения, а также при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» регулируются отношения, связанные с созданием, правовой охраной и использованием программ для ЭВМ и БД. В этом Законе определены понятия программы для ЭВМ, БД, а также ряд понятий, связанных с изменением и использованием программ (адаптация, модификация, декомпилирование, воспроизведение, распространение, выпуск в свет, использование). Этим законом программы для ЭВМ и базы данных отнесены к объектам авторского права. Вместе с тем авторское право не связано с правом собственности на их материальный носитель, а «передача прав на материальный носитель не влечет за собой передачи каких-либо прав на программы для ЭВМ и базы данных» (п. 6, ст. 3). Это существенно, поскольку для ОВД важное значение имеют вопросы передачи информации в другие организации, например, при проведении процессуальных действий.

Принципиальное значение имеет ряд статей этого Закона. Так, в п. 1, ст. 12 сказано, что имущественные права на программу для ЭВМ или базу данных, созданных в порядке выполнения служебных обязанностей или по заданию работодателя, принадлежат работодателю, если в договоре между ним и автором не предусмотрено иное.

Лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, имеет право без дополнительного разрешения правообладателя осуществлять как декомпилирование программы, так и любые действия, связанные с функционированием программы для ЭВМ или базы данных .

Соблюдение прав и свобод граждан, обеспечение безопасности государства невозможно реализовать без сохранения «информационного» суверенитета. Информация, являясь важнейшим национальным ресурсом, не может оставаться бесконтрольной. Поэтому непосредственное отношение к проблемам информации имеет Закон РФ «О государственной тайне», который регулирует отношения, возникающие при отнесении сведений к государственной тайне, их рассекречивании и защите в интересах обеспечения безопасности Российской Федерации. Закон определяет государственную тайну как защищаемые государственные сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 1).?

В соответствии с этим Законом к государственной тайне отнесены:

· сведения в военной области;

· сведения в области экономики;

· сведения в области внешней политики и экономики (ст. 5).

Закон определяет порядок засекречивания и рассекречивания сведений, а также их носителей, принципы установления степени секретности сведений и грифы секретности носителей этих сведений. В ст. 20 определены органы защиты государственной тайны.

С целью создания в России единого информационно-правового пространства, которое бы позволило донести правовую информацию до каждого гражданина, удовлетворить информационные потребности различных социальных структур, была разработана Концепция правовой информатизации России. Она была утверждена Указом Президента РФ 28 июня 1993 г. № 966. «Под правовой информатизацией России понимается процесс создания оптимальных условий максимально полного удовлетворения информационно-правовых потребностей государственных и общественных структур, предприятий, организаций, учреждений и граждан на основе эффективной организации и использования информационных ресурсов с применением прогрессивных технологий».?

В соответствии с Концепцией правовая информатизация должна осуществляться одновременно по трем направлениям:

· информатизация правотворческой деятельности;

· информатизация правореализационной деятельности;

· правовое обеспечение процессов информатизации. В Концепции определены главные цели правовой информатизации:

· информационно-правовое обеспечение внутренней деятельности органов государства;

· информационно- правовое обеспечение внешних по отношению к государственным органам субъектов, в том числе юридических лиц;

· сохранение и структурирование информационного правового поля39.

В Концепции предусмотрено построение Российской автоматизированной системы информационного обеспечения правотворческой и правореализационной деятельности, правового образования и воспитания (РАСИПО).

Федеральные законы «Об органах федеральной службы безопасности Российской Федерации» и «О внешней разведке» в части, касающейся добывания и обработки разведывательной ин­формации, а также защиты государственной тайны, имеют много общего.

Для достижения целей разведывательной деятельности и получения специальной информации органы Федеральной службы безопасности (ФСБ) и органы внешней разведки используют методы и средства в соответствии с федеральными законами.

Вместе с тем в ст. 20 Закона «Об органах федеральной службы безопасности РФ» указано, что хранение в информационных системах сведений о физических и юридических лицах не является основанием для принятия мер, ограничивающих права названных лиц.?

Федеральным законом «О внешней разведке» регламентируется деятельность подразделений и частей радиоразведки ФАПСИ, которые обеспечивают и ведут разведывательную деятельность в сфере шифрованной, засекреченной и иных видов специальной связи.?

Федеральный закон «О государственной охране» определил, что в состав федеральных органов государственной охраны входят Служба безопасности Президента РФ и Федеральная служба охраны (ФСО) РФ (ст. 12).

На федеральные органы государственной охраны возложен ряд обязанностей. В их числе: проведение оперативно-технического, рационального и противоэпидемического контроля на охраняемых объектах, противодействие утечке информации по техническим каналам.

Федеральным органам государственной охраны предоставлены очень широкие права. Так, в частности, они могут для сбора информации использовать: различные методы и специальные средства; получать безвозмездно необходимую информацию от органов государственной власти и организаций независимо от форм собственности, а также от общественных объединений (ст. 15).

Принятие Федерального Закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закона) направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также на воплощение в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности при обращении с персональными данными от 28 января 1981 года.

В этой связи не случайно, что в качестве основополагающих принципов обработки персональных данных, законодатель декларирует соответствие способа обработки и объема обрабатываемых данных законными целями, определенными оператором до начала обработки, а также недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.?

По общему правилу (п. 1 ст. 6 Закона) обработка данных возможна только с согласия субъекта персональных данных, однако достаточно широк и перечень исключений из этого правила.

Согласие субъекта не требуется, когда обработка данных:

- ведется на основании федерального закона, устанавливающего ее цель, условия получения данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- проводится в целях исполнения договора, одной из сторон которого является субъект;

- ведется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия на обработку данных невозможно;

- необходима для доставки почтовых отправлений организациями почтовой связи, для расчетов операторами электросвязи с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- ведется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта.

Помимо этого не требуется согласия субъекта на обработку данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных кандидатов на выборные государственные или муниципальные должности, а также лиц, замещающих государственные должности, должности государственной гражданской службы.

Действие Закона распространяется на все отношения, связанные с обработкой персональных данных. При этом за рамки Закона выведены следующие случаи:

- обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъекта;

- организация хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в РФ;

- обработка подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если она проводится в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

- обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

При необходимости обработки персональных данных оператор (государственный, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие ее цели и содержание), должен выполнять определенную последовательность действий:

- Уведомить по предусмотренной Законом форме уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку данных.

- Удостовериться, что персональные данные получены с соблюдением требований законодательства и соответствуют заявленным целям обработки, т.е. либо данные получены из открытого источника, либо во исполнение федерального закона, либо с соответствующим согласием субъекта (в необходимых случаях письменным).

- Предпринять предусмотренные Законом меры для защиты конфиденциальности полученных персональных данных (подробные требования к обеспечению безопасности персональных данных при их обработке устанавливает Правительство РФ).

- Представлять персональные данные по требованию субъекта или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных.

Ответственность за нарушение норм комментируемого Закона предусмотрена в иных нормативных актах. Так, преступлениями, влекущими за собой уголовную ответственность, за нарушения порядка обращения с персональными данными, являются:

- незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);

- неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);

- неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

На настоящий момент административная ответственность для операторов предусмотрена:

- за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

- нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет за собой уголовную ответственность) лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Итак, принятие комментируемого Закона безусловно является значительным шагом вперед на пути построения в Российской Федерации правового и демократического государства. Конечно же, сама жизнь потребует внесения определенных корректив в рассматриваемый документ, но нельзя и не отметить тот факт, что начало уже положено, да и сами цели, на достижение которых направлен Федеральный закон «О персональных данных», заслуживают одобрения и поддержки со стороны и общества, и государства.

информационный технология управление стандарт

Заключение

Главной целью правового обеспечения является укрепление законности.

В состав правового обеспечения входят законы, указы, постановления государственных органов власти, приказы, инструкции и другие нормативные документы министерств, ведомств, организаций, местных органов власти. В правовом обеспечении можно выделить общую часть, регулирующую функционирование любой ИС, и локальную часть, регулирующую функционирование конкретной системы.

Правовое обеспечение этапов функционирования ИС - информационных систем - включает:

· статус ИС;

· права, обязанности и ответственность персонала;

· правовые положения отдельных видов процесса управления;

· порядок создания и использования информации и др.

Правовое обеспечение этапов разработки ИС включает нормативные акты, связанные с договорными отношениями разработчика и заказчика и правовым регулированием отклонений от договора.

Список источников и литературы

1. Источники

1.1. Конституция Российской Федерации (с изм. от 25.03.2004) (принята всенародным голосованием 12.12.1993) // Российская газета, № 237, 25.12.1993

1.2. О внешней разведке: Федеральный закон от 10 января 1996 г. № 5-ФЗ //Там же. 1996. № 3 Ст. 143.

1.3. О государственной охране: Федеральный закон от 27 мая 1996г. № 57-ФЗ// Там же. 1996. № 22. Ст. 2594

1.4. О государственной тайне: Закон РФ от 21 июня 1993г. № 5485 -1 // Бюллетень текущего законодательства. 1993. Вып. 5. Ч. 1. С.58.

1.5. О Концепции правовой информатизации России. - Утв. Указом Президента РФ от 28 июля 1993 г. № 966/УСобрание актов Президента и Правительства РФ. 1993. №27. Ст. 2521.

1.6. О персональных данных Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ

1.7. Об информации, информатизации и защите информации: Федеральный закон от 20 февраля 1995г. № 24-ФЗ/УСобрание законодательства РФ. 1995. Ст.609.

1.8. Об органах Федеральный службы безопасности РФ: Федеральный закон от 10 апреля 1995 г. № 40-ФЗ Собрание законодательства РФ. 1995. № 15.

2. Литература

2.1. Силков, С. В. К вопросу об обеспечении гарантий безопасности в объектах информационных технологий / С. В. Силков // Материалы конф. «Обеспечение безопасности информации в информационных системах», ноябрь 2004 г. - Минск: Акад. управления при Президенте Респ. Беларусь. - С. 72.

Размещено на Allbest.ru

...

Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.