Похожие презентации:
Правовые вопросы. Являются ли цифровые подписи настоящими
1.
Правовые вопросы Являются ли цифровые подписи настоящимиподписями? Будут ли они признаны судом? Некоторые предварительные правовые исследования привели к мнению, что цифровые
подписи будут соответствовать требованиям законных подписей для
большей части применений, включая коммерческое использование.
В Соединенных Штатах законы о подписях, контрактах и торговых
операциях находятся в юрисдикции штатов.
Правовые основы информационной работы в РФ Основным
законом, определяющим правовые основы информационной
работы в России, является Федеральный закон от 20 февраля 1995
г. № 24-ФЗ «Об информации, информатизации и защите
информации». В соответствии с этим законом информационные
ресурсы делятся на государственные и негосударственные.
Собственниками государственных информационных ресурсов
являются Российская Федерация и субъекты РФ. Эти ресурсы
создаются, приобретаются, накапливаются за счет федерального
бюджета, бюджетов субъектов РФ, а также иными
установленными законом способами.
2.
Современный этап развития системы обеспечения информационнойбезопасности государства и общества характеризуется переходом от
тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей: - конституционные права и свободы граждан, предприятий и
организаций в сфере информатизации; - необходимый уровень
безопасности информации, подлежащей защите; - защищенность
систем формирования и использования информационных ресурсов
(технологий, систем обработки и передачи информации). Ключевым
моментом политики государства в данной области является
осознание необходимости защиты любых информацион-ных
ресурсов и информационных технологий, неправомерное
обращение с которыми может нанести ущерб их собственнику,
владельцу, пользователю или иному лицу. Нормативные акты
правового регулирования вопросов информатизации и защиты
информации в Российской Федерации включают:
3.
Законы Российской ФедерацииУказы Президента Российской Федерации и утверждаемые этими
указами нормативные документы
Постановления Правительства Российской Федерации и
утверждаемые этими постановлениями нормативные документы
(Положения, Перечни и т.п.)
Государственные и отраслевые стандарты
Положения, Порядки. Руководящие документы и другие
нормативные и методические документы уполномоченных
государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).
Федеральные законы и другие нормативные акты предусматривают:
•разделение информации на категории свободного и ограниченного
доступа, причем информация ограниченного доступа подразделяется на: - отнесенную к государственной тайне, - отнесенную к
служебной тайне (информацию для служебного пользования),
персональные данные (и другие виды тайн), - и другую информацию, неправомерное обращение с которой может нанести ущерб ее
собственнику, владельцу, пользователю или иному лицу;
4.
• правовой режим защиты информации, неправомерное обращениес которой может нанести ущерб ее собственнику, владельцу,
пользователю и иному лицу, устанавливаемый:
• в отношении сведений, отнесенных к государственной тайне, уполномоченными государственными органами на основании
Закона Российской Федерации "О государственной тайне" (от
21.07.93 г. N 5485-1);
• в отношении конфиденциальной документированной информации
-собственником информационных ресурсов или уполномоченным
лицом на основании Закона Российской Федерации "Об
информации, информатизации и защите информации" (от 20.02.95 г.
N 24-ФЗ);
• в отношении персональных данных - отдельным федеральным
законом;
• лицензирование деятельности предприятий, учреждений и
организаций в области защиты информации;
• аттестование автоматизированных информационных систем,
обрабатывающих информацию с ограниченным доступом на
5.
соответствие требованиям безопасности информации припроведении работ со сведениями соответствующей степени
конфиденциальности (секретности);
• сертификацию средств защиты информации и средств контроля
эффективности защиты, используемых в АС;
• возложение решения вопросов организации лицензирования,
аттестации и сертификации на органы государственного управления
в пределах их компетенции, определенной законодательством
Российской Федерации;
• создание автоматизированных информационных систем в
защищенном исполнении и специальных подразделений,
обеспечивающих защиту информации с ограниченным доступом,
являющейся собственностью государства, а также осуществление
контроля защищенности информации и предоставление прав
запрещать или приостанавливать обработку информации в случае
невыполнения требований по обеспечению ее защиты;
• определение прав и обязанностей субъектов в области защиты
информации.
6.
Государственная система защиты информацииСтруктура и основные функции государственной системы защиты
информации от ее утечки по техническим каналам и организация
работ по защите информации определены в "Положении о
государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от ее утечки
по техническим каналам", утвержденном Постановлением
Правительства от 15 сентября 1993 г. № 912-51.
Этим Положением предусматривается, что мероприятия по защите
информации, обрабатываемой техническими средствами, являются
составной частью управленческой, научной и производственной
деятельности учреждений и предприятий и осуществляются во
взаимосвязи с другими мерами по обеспечению установленного
федеральными законами "Об информации, информатизации и
защите информации" и "О государственной тайне" комплекса мер
по защите сведений, составляющих государственную и служебную
тайну. В то же время эти мероприятия являются составной частью
работ по созданию и эксплуатации систем информатизации
7.
предприятий, располагающих такой информацией, и должныосуществляться в установленном нормативными документами »
порядке в виде системы защиты секретной информации.
Основные задачи государственной системы защиты информации:
• проведение единой технической политики, организация и
координация работ по защите информации в оборонной,
экономической, политической, научно-технической и других сферах
деятельности;
• исключение или существенное затруднение добывания
информации техническими средствами разведки, а также
предотвращение ее утечки по техническим каналам,
несанкционированного доступа к ней, предупреждение
преднамеренных специальных программно-технических
воздействий на информацию с целью ее разрушения, уничтожения,
искажения или блокирования в процессе обработки, передачи и
хранения;
• принятие в пределах компетенции нормативно-правовых актов,
регулирующих отношения в области защиты информации;
8.
• общая организация сил, создание средств защиты информации исредств контроля эффективности ее защиты;
• контроль за проведением работ по защите информации в органах
государственного управления, объединениях, на предприятиях, в
организациях и учреждениях (независимо от форм собственности).
В соответствии с Указом Президента Российской Федерации № 212
от 19,02.99 г., межотраслевую координацию и функциональное
регулирование деятельности по обеспечению защиты
(некриптографическими методами) информации, содержащей
сведения, составляющие государственную и служебную тайну,
осуществляет коллегиальный орган - Государственная техническая
комиссия при Президенте Российской Федерации (Гостехкомиссии
России).
Согласно Постановлению Правительства РФ от 12.09.93 г. №912-51
Гостехкомиссия России возглавляет Государственную систему
защиты информации.
9.
Структура государственной системы защиты информации РФ10.
В соответствии с Законом Российской Федерации "О федеральныхорганах правительственной связи и информации", к основным
функциям Федерального агентства правительственной связи и
информации при Президенте Российской Федерации (ФАПСИ) в
рассматриваемой области относится:
• осуществление координации деятельности по вопросам
безопасности информационно-аналитических сетей, комплексов
технических средств баз данных;
• осуществление координации деятельности в области разработки,
производства и поставки шифровальных средств и оборудования
специальной связи, по обеспечению криптографической и
инженерно-технической безопасности шифрованной связи.
Федеральным законом от 03.04.95 г. N 40-ФЗ "Об органах
Федеральной службы безопасности в Российской Федерации" к
компетенции ФСБ в рассматриваемой области отнесены следующие
вопросы:
• участие в разработке и реализации мер по защите сведений,
составляющих государственную тайну
11.
• участие в разработке и реализации мер по защите сведений,составляющих государственную тайну;
• осуществление контроля за обеспечением сохранности сведений,
составляющих государственную тайну, в государственных органах,
воинских формированиях, на предприятиях, в учреждениях и
организациях независимо от форм собственности;
• осуществление мер, связанных с допуском граждан к сведениям,
составляющим государственную тайну.
Лицензирование
Законодательство Российской Федерации предусматривает
установление Правительством РФ порядка ведения лицензионной
деятельности, перечня видов деятельности, на осуществление
которых требуется лицензия, и органов, уполномоченных на
ведение лицензионной деятельности.
Деятельность в области защиты информации регулируются
совместным решением Гостехкомиссии России и ФАПСИ от 27
апреля 1994 № 10, которым утверждено и введено в действие с 1
июня 1994 г. "Положение о государственном лицензировании
12.
за ними конкретные виды деятельности и области защитыинформации (Приложение 1 к данному Положению).
В соответствии с «Перечнем видов деятельности предприятий в
области защиты информации, подлежащих лицензированию
ФАПСИ» лицензированию подлежит «Эксплуатация
негосударственными предприятиями шифровальных средств,
предназначенных для криптографической защиты информации, не
содержаний сведений, составляющих государственную тайну».
В новом Федеральном законе от 8.08.2001 года№ 128-ФЗ «О
лицензировании отдельных видов деятельности», который вступает
в силу с февраля 2002 года и приходит на смену одноименному
Федеральному закону от 25.09.1998 года № 158-ФЗ, в Перечне
видов деятельности, на осуществление которых требуется лицензия,
этого вида деятельности (эксплуатация СКЗИ) уже нет.
В новом законе в Перечень видов деятельности, на осуществление
которых требуется лицензия, включено:
• деятельность по распространению шифровальных
(криптографических) средств;
13.
•деятельность по техническому обслуживанию шифровальных(криптографических) средств;
• предоставление услуг в области шифрования информации;
• разработка, производство шифровальных (криптографических)
средств, защищенных с использованием шифровальных
(криптографических) средств информационных систем,
телекоммуникационных систем;
• деятельность по выдаче сертификатов ключей электронных
цифровых подписей, регистрации владельцев электронных
цифровых подписей, оказанию услуг, связанных с использованием
электронных цифровых подписей, и подтверждению подлинности
электронных цифровых подписей;
• деятельность по разработке и (или) производству средств защиты
конфиденциальной информации;
• деятельность по технической защите конфиденциальной
информации;
• деятельность по выявлению электронных устройств,
предназначенных для негласного получения информации, в
14.
помещениях и технических средствах (за исключением случая, еслиуказанная деятельность осуществляется для обеспечения
собственных нужд юридического лица или индивидуального
предпринимателя).
В настоящее время продолжается разработка подзаконных актов
(положений, перечней), регулирующих порядок лицензирования
данных видов деятельности.
Сертификация средств защиты и аттестование объектов
информатизации
Конкретные средства и меры защиты информации должны
разрабатываться и применяться в зависимости от уровня
конфиденциальности и ценности информации, а также от уровня
возможного ущерба в случае ее утечки, уничтожения, модификации
или блокирования.
В настоящее время в Госстандарте России зарегистрированы три
системы сертификации средств защиты:
• (Гостехкомиссия России) система сертификации средств защиты
информации по требованиям безопасности информации № РОСС
15.
• (ФАПСИ) система сертификации средств криптографическойзащиты информации (система сертификации СКЗИ) №РОСС RU
.0001.030001;
• (ФСБ) система обязательной сертификации средств защиты
информации по требованиям безопасности для сведений,
составляющих государственную тайну (система сертификации СЗИ
- ГТ) №РОСС RU .0001.
Кроме того, системы сертификации средств защиты
разрабатываются (имеются) в Министерстве Обороны РФ и Службе
внешней разведки РФ.
К основным стандартам и нормативно-техническим документам по
вопросам обеспечения безопасности информации, в соответствии с
требованиями которых осуществляется сертификация продукции и
аттестация объектов информатизации по требованиям безопасности
информации, сертификация средств криптографической защиты
информации, относятся:
• в области защиты информации от несанкционированного доступа:
• комплект руководящих документов Гостехкомиссии России
16.
(утвержденных решением Председателя Гостехкомиссии России от25 июля 1997 г.), которые в соответствии с Законом "О
стандартизации" можно отнести к отраслевым стандартам, в том
числе:
- "Защита от несанкционированного доступа к информации.
Термины и определения"
- "Концепция защиты СВТ и АС от НСД к информации"
- "Автоматизированные системы. Защита от НСД к информации.
Классификация АС и требования по защите информации"
- "Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели
защищенности СВТ"
- "Средства вычислительной техники. Межсетевые экраны. Защита
от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации"
- "Временное положение по организации разработки, изготовления
и эксплуатации программных и технических средств защиты
информации от НСД в АС и СВТ"
17.
- "Средства антивирусной защиты. Показатели защищенности итребования по защите от вирусов"
- "Защита от НСД к информации. Программное обеспечение СЗИ.
Классификация по уровню контроля отсутствия недекларированных
возможностей"
• ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от
НСД к информации. Общие технические требования"
• ГОСТ Р 50922-96 «Защита информации. Основные термины и
определения» и другие;
• в области защиты информации от утечки за счет побочных
электромагнитных излучений и наводок (ПЭМИН):
• "Нормы эффективности защиты АСУ и ЭВМ от утечки
информации за счет ПЭМИН" (Решение Председателя
Гостехкомиссии СССР, 1977г.)
• "Специальные требования и рекомендации по защите информации,
составляющей государственную тайну, от утечки по техническим
каналам" (решение Гостехкомиссии России от 23.05.97 г. № 55)
18.
• ГОСТ 29339-92 "Информационная технология. Защитаинформации от утечки за счет ПЭМИН при ее обработке
средствами вычислительной техники. Общие технические
требования"
• ГОСТ Р 50752-95 "Информационная технология. Защита
информации от утечки за счет побочных электромагнитных
излучений при ее обработке средствами вычислительной техники.
Методы испытаний"
• методики контроля защищенности объектов ЭВТ и другие;
• в области криптографического преобразования информации при ее
хранении и передаче по каналам связи:
• ГОСТ 28147-89 "Системы обработки информации. Защита
криптографическая. Алгоритм криптографического
преобразования" • ГОСТ Р 34.10-94 «Процедуры выработки и
проверки электронной цифровой подписи на базе асимметричного
криптографического алгоритма»
• ГОСТ Р 34.10-2001 «Информационная технология.
Криптографическая защита информации. Процессы формирования
19.
• ГОСТ Р 34.11 -94 «Функция хеширования»• "Положение о разработке, изготовлении и обеспечении
эксплуатации шифровальной техники, систем связи и комплексов
вооружения, использующих шифровальную технику" (ПШ-93)
• Положение «О порядке разработки, производства, реализации и
использования средств криптографической защиты информации с
ограниченным доступом, не содержащей сведений, составляющих
государственную тайну» (ПКЗ-99) и другие
• «Инструкция об организации и обеспечении безопасности
хранения, обработки и передачи по каналам связи с использованием
средств криптографической защиты информации с ограниченным
доступом, не содержащей сведений, составляющих
государственную тайну» (Введена приказом ФАПСИ от 13 июня
2001 года N 152 ).
За последние годы достигнут существенный прогресс в развитии
методов решения задачи дискретного логарифмирования, что
послужило причиной разработки в 2000 - 2001 годах нового
государственного стандарта ЭЦП.
20.
Новый стандарт основан на математическом аппаратеэллиптических кривых. Внедрение схемы ЭЦП на базе данного
стандарта повышает, по сравнению с действующей схемой, уровень
защищенности передаваемых сообщений от подделок и искажений.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология.
Криптографическая защита информации. Процессы формирования
и проверки электронной цифровой подписи» утвержден приказом
Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.
Старый стандарт ЭЦП не отменяется. Он будет действовать еще
несколько лет, но согласно письма ФАПСИ лицензиатам разработчикам СКЗИ использование открытого ключа ЭЦП длиной
512 бит допускается только до 31 декабря 2001 года. С 1 января
2002 года длина открытого ключа ЭЦП должна быть 1024 бита.
При проведении работ со сведениями соответствующей степени
конфиденциальности (секретности) системы информатизации
должны (могут) быть аттестованы на соответствие требованиям
безопасности информации.
21.
Под аттестацией объектов информатизации понимается комплексорганизационно-технических мероприятий, в результате которых
посредством специального документа -"Аттестата соответствия"
подтверждается, что объект соответствует требованиям стандартов
или иных нормативно-технических документов по безопасности
информации, утвержденных Гостехкомиссией России. Наличие на
объекте информатизации действующего "Аттестата соответствия"
дает право обработки информации с определенным уровнем
конфиденциальности и в указанный в "Аттестате соответствия"
период времени.
Обязательной аттестации подлежат объекты информатики,
предназначенные для обработки информации, составляющей
государственную тайну, управления экологически опасными
объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер
(добровольная аттестация) и может осуществляться по
инициативе заказчика или владельца объекта информатики
22.
Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ,подписан президентом РФ 10 января 2002 г.) определяет основные
понятия, связанные с ЭЦП следующим образом:
•электронный документ - документ, в котором информация
представлена в электронно-цифровой форме;
•электронная цифровая подпись (ЭЦП) - реквизит электронного
документа, предназначенный для защиты данного электронного
документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого
ключа электронной цифровой подписи и позволяющий
идентифицировать владельца сертификата ключа подписи, а также
установить отсутствие искажения информации в электронном
документе;
•средства ЭЦП - аппаратные и (или) программные средства,
обеспечивающие реализацию хотя бы одной из следующих функций
-создание электронной цифровой подписи в электронном документе
с использованием закрытого ключа электронной цифровой подписи,
подтверждение с использованием открытого
23.
ключа электронной цифровой подписи подлинности электроннойцифровой подписи в электронном документе, создание закрытых и
открытых ключей электронных цифровых подписей;
•сертификат средства ЭЦП - документ на бумажном носителе,
выданный соответствии с правилами системы сертификации для
подтверждения соответствия средства ЭЦП установленным
требованиям;
•закрытый ключ ЭЦП - уникальная последовательность символов,
известная владельцу сертификата ключа подписи и предназначенная
для создания в электронных документах электронной цифровой
подписи с использованием средств ЭЦП;
•открытый ключ ЭЦП - уникальная последовательность символов,
соответствующая закрытому ключу ЭЦП, доступная любому
пользователю информационной системы и предназначенная для
подтверждения с использованием средств ЭЦП подлинности
электронной цифровой подписи в электронном документе;
•сертификат ключа подписи - документ на бумажном носителе или
электронный документ с электронной цифровой подписью
24.
включающий в себя открытый ключ ЭЦП, которые выдаютсяудостоверяющим центром участнику информационной системы для
подтверждения подлинности электронной цифровой подписи и
идентификации владельца сертификата ключа подписи;
•владелец сертификата ключа подписи - физическое лицо, на имя
которого удостоверяющим центром выдан сертификат ключа
подписи и которое владеет соответствующим закрытым ключом
электронной цифровой подписи, позволяющим с помощью средств
ЭЦП создавать свою электронную цифровую подпись в
электронных документах (подписывать электронные документы);
•подтверждение подлинности электронной цифровой подписи в
электронном документе - положительный результат проверки
соответствующим сертифицированным средством ЭЦП с
использованием сертификата ключа подписи принадлежности
электронной цифровой подписи в электронном документе
владельцу сертификата ключа подписи и отсутствия искажений в
подписанное данной электронной цифровой подписью
электронного документе;
25.
•пользователь сертификата ключа подписи - физическое лицо,использующее полученные в удостоверяющем центре сведения о
сертификате ключа подписи для проверки принадлежности
электронной цифровой подписи владельцу сертификата ключа
подписи;
•информационная система общего пользования - информационная
система, которая открыта для пользования всеми физическими и
юридическими лицами и в услугах которой этим лицам не может
быть отказано;
•корпоративная информационная система - информационная
система, участниками которой может быть ограниченный круг лиц,
определенный ее владельцем или соглашением участников этой
информационной системы.
•Основной целью данного Федерального закона является
обеспечение правовых условий использования электронной
цифровой подписи в электронных документах, при соблюдении
которых электронная цифровая подпись в электронном документе
признается равнозначной собственноручной подписи в документе
26.
•При этом закон обеспечивает правовую основу для использованияэлектронных технологий, определяет права и обязанности автора
подписи, технологию удостоверения подписи. Закон определяет
условия использования ЭЦП в электронных документах органами
государственной власти и государственными организациями, а
также юридическими и физическими лицами В законе
устанавливаются права и обязанности обладателя электронной
цифровой подписи. Определены требования к сертификату ключа
подписи, выдаваемому удостоверяющим центром для обеспечения
возможности подтверждения подлинности ЭЦП. Устанавливается
состав сведений, содержащихся в сертификате ключа подписи, срок
и порядок его хранения, а также порядок ведения реестров
сертификатов
•В законе устанавливаются правовой статус удостоверяющих
центров, их функции. Определяются отношения этих центров с
уполномоченным федеральным органом исполнительной власти,
который ведет единый государственный реестр сертификатов
ключей подписей удостоверяющих центров.
27.
Закон устанавливает, что удостоверяющим центром дляинформационных систем общего пользования может быть
коммерческая организация.
Закон исходит из того, что деятельность удостоверяющего центра по
выдаче сертификатов ключей подписи в информационных системах
общего пользования подлежит лицензированию.
Законом предусматривается защита прав лиц, использующих ЭЦП в
процессах электронного обмена документами, и условия
приостановления действия и (или) аннулирования сертификата
ключа подписи.
Наиболее значимым моментом закона "Об ЭЦП" является
определение условий, при которых ЭЦП признается равнозначной
собственноручной подписи физического лица.
Статья 4. Условия признания равнозначности электронной
цифровой подписи и собственноручной подписи
1. Электронная цифровая подпись в электронном документе
равнозначна собственноручной подписи в документе на бумажном
носителе при одновременном выполнении следующих условий:
28.
• сертификат ключа подписи, относящийся к этой электроннойцифровой подписи, не утратил силу (действует) па момент проверки
или на момент подписания электронного документа при наличии
доказательств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в
электронном документе;
• электронная цифровая подпись используется в соответствии со
сведениями, указанными в сертификате ключа подписи.
ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки.
2. Использование при совершении сделок факсимильного
воспроизведения подписи с помощью средств механического или
иного копирования, электронной – цифровой подписи либо иного
аналога собственноручной подписи допускается в случаях и в
порядке, предусмотренных законом, иными правовыми актами или
соглашением сторон.
ПС РФ. Часть 1. Глава 28. Статья 434. Форма договора
Договор в письменной форме может быть заключен путем
составления одного документа,
29.
подписанного сторонами, а также путем обмена документамипосредством почтовой, телеграфной, телетайпной, телефонной,
электронной или иной связи, позволяющей достоверно установить,
что документ исходит от стороны по договору.
Федеральный Закон "Об информации, информатизации и защите
информации"Статья 5. Документирование информации
2. Документ, полученный из автоматизированной информационной
системы, приобретает юридическую силу после его подписания
должностным лицом в порядке установленном законодательством
РФ. 3. Юридическая сила документа, хранимого, обрабатываемого и
передаваемого с помощью автоматизированных информационных и
телекоммуникационных систем, может подтверждаться эцп. Юридическая сила электронной цифровой подписи признается при
наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию
подписи, и соблюдение установленного режима их использования.
4. Право удостоверять идентичность ЭЦП осуществляется на
основании лицензии. Порядок выдачи лицензий определяется
30.
Физические и юридические лица являются собственниками техдокументов (массивов документов), которые созданы за счет их
средств, приобретены ими на законных основаниях, получены в
порядке дарения или наследования. Эти ресурсы являются
негосударственными. Граждане, органы государственной власти,
органы местного самоуправления, организации и общественные
объединения обязаны представлять документированную
информацию органам и организациям, ответственным за
формирование и использование государственных
информационных ресурсов. Перечни представляемой в
обязательном порядке документированной информации и перечни
органов и организаций, ответственных за сбор и обработку
федеральных информационных ресурсов, утверждает
правительство РФ. Порядок и условия обязательного
представления информации доводятся до сведения граждан и
организаций. По категориям доступа информация делится на
открытую и с ограниченным доступом.
31.
Информация с ограниченным доступом делится, в своюочередь, на информацию, отнесенную к государственной тайне, и
конфиденциальную. Отнесение информации к государственной
тайне осуществляется в соответствии с Законом РФ от 21 июля
1993 г. № 5485-1 «О государственной тайне» (с изменениями,
внесенными Законом от 6 октября 1997 г. № 131-ФЗ). Государство
имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения этой информации к государственной тайне. Собственник информационных
ресурсов, содержащих сведения, отнесенные к государственной
тайне, вправе распоряжаться этой собственностью только с
разрешения соответствующих органов государственной власти.
Запрещено относить к информации с ограниченным доступом:
♦ законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов
местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их
реализации;
32.
♦ документы, содержащие информацию о чрезвычайныхситуациях, экологическую, метеорологическую,
демографическую, санитарно-эпидемиологическую и другую
информацию, необходимую для обеспечения
функционирования населенных пунктов, производственных
объектов, безопасности граждан и населения в целом;
♦ документы, содержащие информацию о деятельности
органов государственной власти и местного
самоуправления, об использовании бюджетных средств и
других государственных и местных ресурсов, о состоянии
экономики и потребностях населения, за исключением
сведений, относящихся к государственной тайне;
♦ документы, накапливаемые в открытых фондах библиотек и
архивов, информационных системах органов государственной
власти, органов местного самоуправления, общественных
объединений, организаций, представляющие общественный
интерес или необходимые для реализации прав, свобод и
обязанностей граждан.
33.
Персональные данные (информация о гражданах) относятся кконфиденциальной информации. Подлежит обязательному
лицензированию деятельность негосударственных организаций и
частных лиц, связанная с обработкой и предоставлением
пользователям персональных данных. Порядок лицензирования
определяется законодательством РФ.
Другим важным законом, определяющим порядок формирования
фондов государственной библиотечной системы и органов научнотехнической информации, является Федеральный закон от 29
декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре
документов» и Постановление Правительства РФ от 24 июля 1995
г. № 739 «Об обязательных экземплярах изданий».
Обязательные экземпляры — это экземпляры различных видов
тиражированных документов, подлежащие передаче
производителями в соответствующие учреждения и организации в
порядке и в количестве, установленных Федеральным законом.
34.
Обязательные бесплатные экземпляры — экземпляры различныхвидов документов, подлежащие безвозмездной передаче их
производителями в соответствующие учреждения и организации
в порядке и в количестве, установленных Федеральным законом.
Действие настоящего закона распространяется на юридические
лица Российской Федерации независимо от их организационноправовых форм и форм собственности, участвующие в создании и
доставке обязательных экземпляров различных видов документов,
а также на книжные палаты, библиотеки и органы научнотехнической информации, являющиеся получателями, хранителями
и распространителями обязательных экземпляров. Подлежат
передаче в соответствующие учреждения и организации
обязательные бесплатные и обязательные платные экземпляры
следующих видов документов:
♦ издания (текстовые, нотные, картографические, изоиздания) —
издательская продукция, прошедшая редакционно-издательскую
обработку, полиграфически самостоятельно оформленная,
имеющая выходные сведения;
35.
♦ издания для слепых, изготавливаемые рельефно-точечнымшрифтом по системе Брайля, и «говорящие книги»;
♦ официальные документы — произведения печати,
публикуемые от имени органов законодательной,
исполнительной и судебной власти, носящие законодательный,
нормативный, директивный или информационный характер;
♦ аудиовизуальная продукция — кино-, видео-, фотодокументы;
♦ электронные издания;
♦ неопубликованные документы — результаты научноисследовательской и опытно- конструкторской деятельности
(диссертации, отчеты о научно-исследовательских и опытноконструкторских работах, депонированные научные работы,
алгоритмы и программы). Органы государственной власти
субъектов РФ и органы местного самоуправления могут
определять с учетом своих потребностей виды документов,
подлежащих передаче в качестве обязательного экземпляра
субъекта РФ и обязательного местного экземпляра. Производители
документов доставляют в Российскую книжную палату:
36.
♦ шестнадцать обязательных бесплатных экземпляров книг,брошюр, альбомов, продолжающихся изданий, журналов,
географических карт и атласов на русском языке;
♦ семь обязательных бесплатных экземпляров книг, брошюр,
альбомов, продолжающихся изданий, журналов, географических
карт и атласов на других языках народов РФ и на иностранных
языках;
♦ девять обязательных бесплатных экземпляров газет;
♦ двенадцать обязательных бесплатных экземпляров авторефератов
диссертаций;
♦ десять обязательных экземпляров стандартов. Производители
патентных документов поставляют по два обязательных
бесплатных экземпляра во Всероссийскую патентно-техническую
библиотеку и Государственную публичную научно-техническую
библиотеку Сибирского отделения Российской академии наук.
37.
Законодательством также определена обязанность изготовителейперечисленных выше документов предоставлять государству до
300 платных экземпляров при тираже свыше 1 тыс.
экземпляров и до 100 экземпляров при тираже от 500 до 1
тыс. экземпляров.
Представители Российской книжной палаты при ознакомлении с
планом выпуска продукции издательства на следующий год
определяют потребность государства в платных экземплярах тех
или иных изданий и направляют соответствующие заявки в
издательства.
На российском рынке сведения об информационных ресурсах
предоставляются потребителям рядом организаций:
Научно-технический центр «Информрегистр» Государственного
комитета РФ по связи и информатизации Работы по учету и
регистрации баз и банков данных и по ведению Государственного
регистра баз данных осуществляются «Информрегистром» в
соответствии с Постановлением Правительства РФ от 28 февраля
1996 г. № 226 «О государственном учете и регистрации баз и
38.
Порядок ведения государственного учета и регистрации базданных определен Временным положением о государственном
учете и регистрации баз и банков данных (государственный учет и
регистрацию баз и банков данных правовой информации ведет
научно-технический центр правовой информации «Система»
Федерального агентства правительственной связи и информации
при Президенте РФ). Во Временном положении о государственном учете и регистрации даны определения базы, банка и
государственной базы данных; указано, что государственная
регистрация любых негосударственных баз данных
осуществляется на добровольной основе и бесплатно.
«Информрегистр» ведет следующие электронные каталоги и
выпускает справочники:
♦ электронный каталог Государственного регистра баз данных
(объем каталога — 3 тыс. записей), который содержит описание
зарегистрированных российских баз,
♦ каталог «Базы данных России» — справочник;
♦ каталог «Где найти адрес».
39.
В каталоге приводятся наименования, описания, объемы базданных, содержащих сведения об организациях и предприятиях,
номенклатуре продукции, услугах, и адресно-справочные данные
владельцев баз данных;
♦ электронный каталог «Где найти адрес», который содержит более
350 описаний российских источников адресно-справочной
информации;
♦ каталог «Российские электронные издания», который содержит
описания свыше 300 отечественных электронных изданий,
выпускаемых на оптических дисках и дискетах. Федеральное
агентство правительственной связи и информации (ФАПСИ) С
целью обеспечения высших органов управления РФ сведениями
об информационных ресурсах страны агентство ведет реестр
баз данных «МЕТАБАЗА», содержащий сведения о сотнях базах
данных министерств, ведомств, а также предприятий и
организаций акционерной формы собственности. Имеются
данные о базах регионов РФ. Сведения о российском
информационном рынке предоставляет также ряд коммерческих
40.
ООО «Международное Бюро Информации и Телекоммуникаций»(МБИТ)
Государственные информационные ресурсы — это ресурсы,
которые как элемент имущества находятся в собственности
государства. Государственные ресурсы делятся на следующие
группы: ♦ федеральные ресурсы;
♦ информационные ресурсы, находящиеся в совместном ведении
Российской Федерации и субъектов РФ;
♦ информационные ресурсы субъектов РФ. Государственные
информационные ресурсы, являясь важнейшим фактором,
влияющим на выполнение всех функций государства,
обеспечивают выполнение следующих основных задач:
♦ государственного управления;
♦ обеспечения прав и безопасности граждан;
♦ поддержки социально-экономического развития страны,
развития культуры, науки, образования и т. д.
41.
Государственный комитет РФ по статистике (Госкомстат),Государственный комитет РФ но стандартизации, метрологии и
сертификации (Госстандарт), Федеральная служба по
гидрометеорологии и мониторингу окружающей среды
(Росгидромет) и др.
К системам, имеющим межведомственный, универсальный
характер, могут быть отнесены: ♦ библиотечная сеть Российской
Федерации;
♦ архивный фонд Российской Федерации;
♦ государственная система статистики;
♦ государственная система научно-технической информации.
Библиотечная сеть РФ насчитывает свыше 150 тыс. библиотек
Всероссийский научно-технический информационный центр
(ВНТИЦ)
Российское объединение информационных ресурсов научнотехнического развития (объединение «Росинформресурс»)
Основные задачи объединения «Росинформресурс» —
формирование, размещение и использование на территории
42.
научно- технической информации, включая территориальныефонды научно-технической литературы и документации, а также
автоматизированные системы обработки и передачи этой
информации.
Российское объединение информационных ресурсов научнотехнического развития (объединение «Росинформресурс»)
Всероссийский институт научной и технической информации
(ВИНИТИ) ВИНИТИ — ведущий информационный центр в
России
Справочно-правовые системы:
Информационно-правовой сервер “Кодекс”
Информационно-правовой сервер «Кодекс» (www.kodeks.net)
является Интернет-версией профессиональных юридических и
специализированных систем «Кодекс» и содержит банк данных по
нормативно-правовой, нормативно-технической и
специализированной информации для всех сфер деятельности.
Сайт предоставляет и базы данных по арбитражной практике, и
нормативно-технические документы (ГОСТы, СНиПы, СанПиНы,
43.
ЕНИРы и т.п.) по различным отраслям: строительство, топливноэнергетический комплекс, торговля и т.п.На сайте «Кодекс» можно найти образцы правовых и деловых
документов, консультации юристов и аудиторов, словари
юридических и бухгалтерских терминов, ежедневные обзоры
законодательства России, Москвы, Санкт-Петербурга, Электронную
юридическую библиотеку, Большую Российскую юридическую
энциклопедию и многое другое.
В бесплатном доступе можно пользоваться ежедневными и
еженедельными обзорами законодательства, новыми документами,
поступившими в систему «Кодекс», Электронной юридической
библиотекой.
2.Компьютерная справочная правовая система ГАРАНТ
Компьютерная справочная правовая система ГАРАНТ
(http://www.garant.ru) содержит специализированные правовые
блоки по всем разделам федерального законодательства и по
законодательству субъектов Федерации, а также законодательство регионов Российской Федерации и практику Федеральных
44.
Все документы снабжены комментариями и разъяснениямиспециалистов
В системе представлены все типы правовой информации законодательство, международные договоры, комментарии,
проекты законов, судебная и арбитражная практика, а также бизнессправки, налоговый календарь, формы бухгалтерской и
статистической отчетности, таблицы и схемы по вопросам
законодательства, материалы из популярной бухгалтерской прессы.
Ежедневно публикуются бесплатные мониторинги
законодательства.
3.Информационно-правовой сервер КАДИС
Информационный центр “Кадис” – региональный центр
Общероссийской сети распространения правовой информации
КонсультантПлюс (http://www.consultant.ru) – оказывает
информационно-правовую поддержку организациям СанктПетербурга и Ленинградской области во всем, что касается
бухгалтерского учета, налогообложения, хозяйственной
деятельности и юридических вопросов в организации.
45.
На информационно-правовом сервере КАДИС www.kadis.net всвободном доступе публикуется ежедневный мониторинг новостей
законодательства, актуальный обзор по налоговой системе,
дайджест правовых материалов из деловых и общественнополитических средств массовой информации, информационноправовой бюллетень и новости Агентства правовой информации
(АПИ) “Кадис ПРЕСС”, обзоры и комментарии экспертов.
46.
Защита информации - деятельность по предотвращению утечкизащищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию, то
есть процесс, направленный на достижение состояния
защищённости информационной среды.
Статья 272.Лицо будет привлечено к уголовной ответственности за
неправомерный доступ к информации,за
порчу,изменение,уничтожение,нарушение гласности и правовых
норм.
статья 273. За распространение,создание,использование вирусного и
другого вредоносного программного ПО.
Статья 274. нарушение правил эксплуатации эвм лицом,имеющим
доступ к этой информации,повлекшее уничтожение,простой в
работе,изменение информации и т.д.
P.S. Вредоносным по не счиаются программы дебагеры,которые
просматривают код программы(поэтому всякие кряки не запрещены
законом),также программы удаленного управления
компьютероам,при условии,что управляемые компьютер вкурсе
47.
Стандартизированные определения:Безопасность информации (данных) — состояние защищенности
информации (данных), при котором обеспечены её (их)
конфиденциальность, доступность и целостность.
Безопасность информации (данных) определяется отсутствием
недопустимого риска, связанного с утечкой информации по
техническим каналам, несанкционированными и
непреднамеренными воздействиями на данные и (или) на другие
ресурсы автоматизированной информационной системы,
используемые в автоматизированной системе.
Информационная безопасность — защита конфиденциальности,
целостности и доступности информации.
Конфиденциальность: обеспечение доступа к информации только
авторизованным пользователям.
Целостность: обеспечение достоверности и полноты информации и
методов её обработки.
Доступность: обеспечение доступа к информации и связанным с
ней активам авторизованных пользователей по мере необходимости.
48.
Информационная безопасность (англ. information security)[5] —все аспекты, связанные с определением, достижением и
поддержанием конфиденциальности, целостности, доступности,
неотказуемости, подотчетности, аутентичности и достоверности
информации или средств её обработки.
неотказуемость или апеллируемость (англ. non-repudiation)[9] —
невозможность отказа от авторства;
подотчётность (англ. accountability)[10] — обеспечение
идентификации субъекта доступа и регистрации его действий;
достоверность (англ. reliability)[5] — свойство соответствия
предусмотренному поведению или результату;
аутентичность или подлинность (англ. authenticity)[5] — свойство,
гарантирующее, что субъект или ресурс идентичны заявленным.
Правовые основы защиты информации – это законодательный
орган защиты информации, в котором можно выделить до 4 уровней
правового обеспечения информационной безопасности информации
и информационной безопасности предприятия.
49.
Первый уровень правовой основы защиты информацииПервый уровень правовой охраны информации и защиты состоит из
международных договоров о защите информации и государственной
тайны, к которым присоединилась и Российская Федерация с целью
обеспечения надежной информационной безопасности РФ. Кроме
того, существует доктрина информационной безопасности РФ,
поддерживающая правовое обеспечение информационной
безопасности нашей страны. Правовое обеспечение
информационной безопасности РФ:
Международные конвенции об охране информационной
собственности, промышленной собственности и авторском праве
защиты информации в интернете;
Конституция РФ (ст. 23 определяет право граждан на тайну
переписки, телефонных, телеграфных и иных сообщений);
Гражданский кодекс РФ (в ст. 139 устанавливается право на
возмещение убытков от утечки с помощью незаконных методов
информации, относящейся к служебной и коммерческой тайне);
50.
Уголовный кодекс РФ (ст. 272 устанавливает ответственность занеправомерный доступ к компьютерной информации, ст. 273 — за
создание, использование и распространение вредоносных программ
для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ,
систем и сетей);
Федеральный закон «Об информации, информатизации и защите
информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение
информационных ресурсов по категориям доступа: открытая
информация, государственная тайна, конфиденциальная
информация, ст. 21 определяет порядок защиты информации);
Федеральный закон «О государственной тайне» от 21.07.93 № 54851 (ст. 5 устанавливает перечень сведений, составляющих
государственную тайну; ст. 8 — степени секретности сведений и
грифы секретности их носителей: «особой важности», «совершенно
секретно» и «секретно»; ст. 20 — органы по защите
государственной тайны, межведомственную комиссию по защите
государственной тайны для координации деятельности этих
органов; ст. 28 — порядок сертификации средств защиты
51.
Федеральные законы «О лицензировании отдельных видовдеятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об
авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право
вой охране программ для электронных вычислительных машин и
баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие
признания авторского права — знак © с указанием правообладателя
и года первого выпуска продукта в свет; ст. 18 — защиту прав на
программы для ЭВМ и базы данных путем выплаты компенсации в
размере от 5000 до 50 000 минимальных размеров оплаты труда при
нарушении этих прав с целью извлечения прибыли или путем
возмещения причиненных убытков, в сумму которых включаются
полученные нарушителем доходы).
Второй уровень правовой защиты информации
На втором уровне правовой охраны информации и защиты (ФЗ о
защите информации) – это подзаконные акты: указы Президента РФ
и постановления Правительства, письма Высшего Арбитражного
Суда и постановления пленумов ВС РФ.
52.
Третий уровень правового обеспечения системы защитыэкономической информации
К данному уровню обеспечения правовой защиты информации
относятся ГОСТы безопасности информационных технологий и
обеспечения безопасности информационных систем.
Также на третьем уровне безопасности информационных
технологий присутствуют руководящие документы, нормы, методы
информационной безопасности и классификаторы,
разрабатывающиеся государственными органами.
Четвертый уровень стандарта информационной безопасности
Четвертый уровень стандарта информационной безопасности
защиты конфиденциальной информации образуют локальные
нормативные акты, инструкции, положения и методы
информационной безопасности и документация по комплексной
правовой защите информации рефераты по которым часто пишут
студенты, изучающие технологии защиты информации,
компьютерную безопасность и правовую защиту информации.
53.
Организационно-технические и режимные меры и методы:Для описания технологии защиты информации конкретной
информационной системы обычно строится так называемая
Политика информационной безопасности или Политика
безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ.
Organizational security policy)— совокупность документированных
правил, процедур, практических приемов или руководящих
принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных
технологий (англ. ІСТ security policy) — правила, директивы,
сложившаяся практика, которые определяют, как в пределах
организации и её информационно-телекоммуникационных
технологий управлять, защищать и распределять активы, в том
числе критичную информацию.
54.
Для построения Политики информационной безопасностирекомендуется отдельно рассматривать следующие направления
защиты информационной системы:
-Защита объектов информационной системы;
-Защита процессов, процедур и программ обработки информации;
-Защита каналов связи;
-Подавление побочных электромагнитных излучений;
-Управление системой защиты.
При этом по каждому из перечисленных выше направлений
Политика информационной безопасности должна описывать
следующие этапы создания средств защиты информации:
-Определение информационных и технических ресурсов,
подлежащих защите;
-Выявление полного множества потенциально возможных угроз и
каналов утечки информации;
-Проведение оценки уязвимости и рисков информации при
имеющемся множестве угроз и каналов утечки;
-Определение требований к системе защиты;
55.
-Осуществление выбора средств защиты информации и иххарактеристик;
-Внедрение и организация использования выбранных мер, способов
и средств защиты;
-Осуществление контроля целостности и управление системой
защиты.
Политика информационной безопасности оформляется в виде
документированных требований на информационную систему.
Документы обычно разделяют по уровням описания (детализации)
процесса защиты. Программно-технические способы и средства
обеспечения информационной безопасности
В литературе предлагается следующая классификация средств
защиты информации:
Средства защиты от несанкционированного доступа (НСД):
Средства авторизации;
Мандатное управление доступом;
Избирательное управление доступом;
Управление доступом на основе ролей;
56.
Журналирование (так же называется Аудит).Системы анализа и моделирования информационных потоков
(CASE-системы).
Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения утечек конфиденциальной информации
(DLP-системы).
Анализаторы протоколов.
Антивирусные средства.
Межсетевые экраны.
Криптографические средства:
Шифрование;
Цифровая подпись.
Системы резервного копирования.
Системы бесперебойного питания:
Источники бесперебойного питания;
Резервирование нагрузки;
Генераторы напряжения.
57.
Системы аутентификацииПароль;
Сертификат;
Биометрия.
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты:
Мониторинговый программный продукт.
Государственные органы РФ, контролирующие деятельность в
области защиты информации:
Комитет Государственной думы по безопасности;
Совет безопасности России;
Федеральная служба по техническому и экспортному контролю
(ФСТЭК);
Федеральная служба безопасности Российской Федерации (ФСБ
России);
Министерство внутренних дел Российской Федерации (МВД
России);
58.
Федеральная служба по надзору в сфере связи, информационныхтехнологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне
предприятия:
Служба экономической безопасности;
Служба безопасности персонала (Режимный отдел);
Отдел кадров;
Служба информационной безопасности.
Нормативные документы в области информационной
безопасности
В Российской Федерации к нормативно-правовым актам в области
информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные
конституционные законы, кодексы);
Указы Президента РФ;
59.
Постановления правительства РФ;Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного
самоуправления и т. д.
К нормативно-методическим документам можно отнести:
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
Международные стандарты;
Государственные (национальные) стандарты РФ;
Рекомендации по стандартизации;
Методические указания.