Информационная безопасность и защита информации

1.

Информационная безопасность
и защита информации
Стольникова Алена Александровна
Старший специалист 1 разряда отдела
Управления ФСТЭК России
по Уральскому федеральному округу

2.

План лекции
Федеральный закон от 27.07.2006 № 149 «Об информации, ИТ и ЗИ»;
Федеральный закон от 27.07.2006 № 152 «О персональных данных»;
Федеральный закон от 29.07.2004 №98 «О коммерческой тайне»;
Федеральный закон от 26.07.2017 № 187
«О безопасности критической информационной инфраструктуры РФ»
Приказ ФСТЭК России от 29.04.2021 № 77;
Приказ ФСТЭК России от 11.02.2013 № 17;
Приказ ФСТЭК России от 18.02.2013 № 21.

3.

Основные нормативно-правовые акты
Основным НПА в области защиты информации
является Федеральный закон от 27.07.2006
№ 149 «Об информации, информационных
технологиях и о защите информации».
1
3

4.

Федеральный закон от 27.07.2006 № 149
«Об информации, информационных технологиях
и о защите информации»
информация - сведения (сообщения, данные) независимо от формы
их представления
информационные технологии - процессы, методы поиска, сбора,
хранения, обработки, предоставления, распространения информации
и способы осуществления таких процессов и методов
информационная система - совокупность содержащейся в базах
данных информации и обеспечивающих ее обработку
информационных технологий и технических средств
4

5.

Федеральный закон от 27.07.2006 № 149
Информация
Ограниченного
доступа
Содержащая
государственную тайну
Общедоступная
Не содержащая
государственную тайну
5

6.

Информация ограниченного доступа
не содержащая государственную тайну
Для служебного пользования (ДСП)
Коммерческая тайна (КТ)
Интеллектуальная собственность
Сведения по перспективным разработкам
Сведения, связанные с профессиональной деятельностью
Персональные данные
6

7.

Информация ограниченного доступа
содержащая государственную тайну
сведения в военной области
сведения в области экономики, науки и техники
сведения в области внешней политики и экономики
сведения в области разведывательной,
контрразведывательной и оперативно-розыскной
деятельности, а также в области противодействия
терроризму
*Статья 5. Закон РФ "О государственной тайне"
7

8.

Информационные системы
государственные информационные системы созданные на основании соответственно федеральных
законов, законов субъектов Российской Федерации, на
основании правовых актов государственных органов
муниципальные информационные
системы, созданные на основании решения
органа местного самоуправления
иные информационные системы
8

9.

Федеральный закон от 27.07.2006 № 149
«Об информации, информационных технологиях
и о защите информации»
обладатель информации - лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора
право разрешать или ограничивать доступ к информации,
определяемой по каким-либо признакам
предоставление информации - действия, направленные на
получение информации определенным кругом лиц или передачу
информации определенному кругу лиц
распространение информации - действия, направленные на
получение информации неопределенным кругом лиц или передачу
информации неопределенному кругу лиц
9

10.

Статья 5. Федерального закона от 27.07.2006 N 149-ФЗ
свободно
распространяемую
по соглашению лиц
ограничивается или
запрещается
подлежит
предоставлению или
распространению
10

11.

Основные нормативно-правовые акты
Федеральный закон от 27.07.2006 №152
«О персональных данных» регулирует
работу с персональными данными
2
11

12.

Федеральный закон от 27.07.2006 №152
«О персональных данных»
персональные данные - любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу
обработка персональных данных - любое действие или
совокупность действий, совершаемых с использованием средств
автоматизации или без использования таких средств с ПДн
12

13.

Категории персональных данных»
Общие
ФИО
Место регистрации
Информация об образовании
О месте работы
Номер телефона
E-mail
Общедоступные – ПДн, доступ
неограниченного круга лиц, которым
предоставлен самим субъектом ПДн
или по его просьбе
Специальные
Расовая и национальная принадлежность
Политические взгляды
Религиозные/философские убеждения
Состояние здоровья
Подробности интимной жизни
Информация о судимости
Биометрические
Фото
Отпечатки пальцев
ДНК
Группа крови
Рост
Вес…
Иные – ПДн, не относящиеся ни к одной из вышеперечисленных
13

14.

Федеральный закон от 27.07.2006 №152
«О персональных данных»
уничтожение персональных данных - действия, в результате
которых становится невозможным восстановить содержание
персональных данных в ИСПДн
обезличивание персональных данных - действия, в результате
которых становится невозможным без использования
дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
14

15.

Федеральный закон от 27.07.2006 №152
«О персональных данных»
информационная система персональных данных совокупность содержащихся в базах данных персональных
данных и обеспечивающих их обработку информационных
технологий и технических средств
15

16.

Основные нормативно-правовые акты
Федеральный
закон
от
29.07.2004
№98 «О коммерческой тайне» определяет
термин «коммерческая тайна», правила
защиты и ответственность за ее разглашение
3
16

17.

Федеральный закон от 29.07.2004
№98 «О коммерческой тайне»
сведения о материальном положении фирмы;
сведения о разработках компании (ноу-хау, промышленные образцы);
сведения о поставщиках и потребителях
информация об имуществе предприятия и его стоимости;
прочие сведения коммерческого характера
17

18.

Основные нормативно-правовые акты
Федеральный закон от 26.07.2017 № 187 «О безопасности
критической информационной инфраструктуры РФ»
4
Закон описывает правила защиты IT-инфраструктуры на
предприятиях, работающих в сферах, критически важных для
государства
18

19.

20.

Статья 2 Федерального закона от 26.07.2017 № 187
• информационные
системы
• информационнотелекоммуникационные сети
• автоматизированные системы
управления
• здравоохранения
• науки
функционирующие
в сферах:
• государственные
органы и
учреждения
•российские
юридические лица
•индивидуальные
предприниматели
которым
принадлежат:
Субъект КИИ
• транспорта
• связи
• энергетики, топливноэнергетического комплекса
• финансов,
• атомной энергии
• оборонной
а также российские юридические лица и (или)
индивидуальные предприниматели,
которые обеспечивают взаимодействие
указанных систем или сетей
• ракетно-космической
• горнодобывающей,
металлургической
• химической промышленности
20

21.

Критические процессы
процессы в рамках выполнения
функций субъектов КИИ
нарушение которых
может привести к
последствиям:
• социальным (ухудшение условий жизни граждан),
• политическим (развязывание войны),
• экономическим (потеря бюджета),
• экологическим (загрязнение окружающей среды),
• снижение обороны страны, безопасности
государства и правопорядка (срыв гособоронзаказа).
21

22.

Статья 2 Федерального закона от 26.07.2017 № 187
Объект КИИ
• информационные
системы,
•информационнотелекоммуникационные
сети,
•автоматизированные
системы управления.
управляющие:
критическими
процессами
22

23.

Статья 2 Федерального закона от 26.07.2017 № 187
Значимый объект
объект критической информационной инфраструктуры, которому присвоена одна
из категорий значимости и который включен в реестр значимых объектов КИИ
Объект КИИ
которому:
присвоена
категория
значимости
и который:
внесен в реестр
значимых объектов
КИИ
23

24.

Основные нормативно-правовые акты
Обеспечение
информационной
безопасности в
Российской
федерации
Государственные
информационные
системы
Приказ ФСТЭК России от 11.02.2013 №17
Постановление Правительства от 06.07.2015 №676
Информационные
системы
персональных
данных
Федеральный закон от 27.07.2006 года № 152-ФЗ
Постановление Правительства от 01.11.2012 №1119
Приказ ФСТЭК России от 18.02.2013 №21
Критическая
информационная
инфраструктура
Федеральный закон от 26.07.2017 года № 187-ФЗ
Постановление Правительства от 08.02.2018 №127
Приказ ФСТЭК России от 21.12.2017 № 235
Приказ ФСТЭК России от 25.12.2017 № 239
24

25.

Защита информации, не составляющая
государственную тайну, содержащаяся в
государственных информационных системах
Приказ ФСТЭК России от 11.02.2013 №17
Об утверждении требований
25

26.

ст. 2, 14 Федерального закона от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и защите информации»
Государственная информационная система – информационная
система, обладающая следующими признаками:
создана на основании решения государственного органа;
предназначена для реализации полномочий государственного
органа.
26

27.

Примеры государственных информационных систем
Единая
система
взаимодействия
межведомственного
электронного
Федеральная государственная информационная система
«Единая система идентификации и аутентификации в
инфраструктуре,
обеспечивающей
информационнотехнологическое взаимодействие информационных систем,
используемых для предоставления государственных и
муниципальных услуг в электронной форме»
27

28.

Примеры ГИС в Свердловской области
ГИС Свердловской области «Единое цифровое пространство»
ГИС «Архив электронных документов Свердловской области»
ГИС «Региональная информационно-аналитическая система
управления развития территории Свердловской области»
28

29.

Иерархия требований по защите информации в ГИС
Федерального закона от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и защите информации»
ПП РФ от 6 июля 2015 г. № 676
«О требованиях к порядку создания,
развития, ввода в эксплуатацию,
эксплуатации и вывода из
эксплуатации ГИС и дальнейшего
хранения содержащейся в их базах
данных информации»
Приказ ФСТЭК России от 11.02.2013 №17
Об утверждении требований о защите
информации, не составляющей
государственную тайну, содержащейся в ГИС
ПП РФ от 6 июля 2015 г. N 675
«О порядке осуществления контроля
за соблюдением требований,
предусмотренных частью 2.1
статьи 13 и частью 6 статьи 14
Федерального закона
от 27.07.2006 № 149-ФЗ
Приказ ФСБ России от 24.10.2022 N 524
"Об утверждении Требований о защите
информации, содержащейся в ГИС, с
использованием шифровальных средств"
29

30.

Основные мероприятия по ЗИ в ГИС
формирование требований;
разработка системы защиты информации;
внедрение системы защиты информации;
аттестация ГИС и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации ГИС;
обеспечение защиты информации при выводе ГИС из эксплуатации.
30

31.

Формирование требований
31

32.

Формирование требований
32

33.

Формирование требований
33

34.

Класс защищенности (К) = [уровень значимости информации; масштаб системы]
УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба)
(доступность, степень ущерба)]
Масштаб информационной системы
Объектовый – только одна «организация», внутри одного муниципальных
образованиях/организациях;
Региональный – на территории субъекта и сегменты в одном или нескольких
муниципальных образованиях/организациях;
Федеральный – на территории РФ и сегменты в нескольких субъектах /
муниципальных образованиях/организациях;
34

35.

36.

Класс защищенности информационной системы определяется
в соответствии с таблицей
*При разбиении ГИС на сегменты:
Класс ГИС ≥ Класс сегмента