Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
— наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
— формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
— разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
— установление на объекте режима конфиденциальности;
— разграничение доступа к информации;
— правовое обеспечение процесса защиты информации;
— четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
· Политика Информационной безопасности;
· Положение о коммерческой тайне;
· Положение о защите персональных данных;
· Перечень сведений, составляющих конфиденциальную информацию;
· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
· Положение о специальном делопроизводстве и документообороте;
· Обязательство сотрудника о сохранении конфиденциальной информации;
· Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.