Особенности современных подходов к управлению информационной Безопасностью. Система менеджмента информационной безопасности

1.

Раздел 2. Особенности современных подходов к управлению
информационной Безопасностью. Система менеджмента
информационной безопасности.
Нормы, причинно-следственные связи и требования обеспечения
информационной безопасности.
Состав требований по защите.
Стандартизация в сфере информационной безопасности.
Лекция 4. Нормы, причинно-следственные связи и требования
обеспечения информационной безопасности.
Состав требований по защите. Состав требований по защите.

2.

Рассматриваемые вопросы
1)
Информационное право.
2)
Основные нормативные правовые акты по информационной безопасности.
3)
Основные административные правовые документы, регламентирующие деятельность
организации в сфере ИБ.
4)
Нормы, правила и требования обеспечения информационной безопасности.
5)
Состав требований по защите.

3.

Информационное право - отдельная отрасль права
«Отрасль права, совокупность правовых норм, регулирующих
общественные отношения в информационной сфере, связанных с
оборотом информации, формированием и использованием
информационных ресурсов, созданием и функционированием
информационных систем в целях обеспечения безопасного
удовлетворения информационных потребностей граждан,
организаций, государства и общества».

4.

Отличия подходов в формировании норм традиционного и инфомационного
права.
• В рамках традиционного подхода к формированию норм права
закон есть формальное описание сложившихся в обществе
обычаев. Этот подход консервативен и несет риски отставания
права от реалий жизни.
Пример обратного подхода как издевательства над правом- закон Клавдия о «пище богов»
(Агриппина, Нерон, укол отравленным пером, престолонаследие)
• В рамках информационного права сложившиеся обычаи в части
отношения общества к новым возникающим технологиям
отсутствуют, их формирует информационное право. Этот подход
революционен и несет риски ошибки и создания еще больших
рисков, так как последствия от применения таких норм права
часто оценить просто невозможно.

5.

Цели информационного права
1. Обеспечение физических и юридических лиц возможностью
реализации прав и свобод, осуществление которых связано с
информационной сферой.
2. Создание условий для эффективного использования
информационных технологий в деятельности физических и
юридических лиц, а равно в деятельности органов
государственной власти и местного самоуправления.
3. Обеспечение информационной безопасности граждан,
государства и общества.

6.

Все условия, права и свободы в информационной сфере
реализуются через механизмы:
Защиты информации
Владения
Пользования
Распоряжения:
• Распространения информации
• Ограничения распространения и доступа к информации
Институт тайны
Ответственность за использование, защиту и распространение информации
• Передачи электронной информации

7.

Институт тайны
Факультативно
Что такое тайна? То, что намеренно скрывается от других; секрет.
То, что еще не известно, не стало доступным познанию.
Режим свободного доступа,
реализующий право на доступ к
информации содержит:
режим исключительных прав
режим информации, отнесенной
к общественному достоянию
режим массовой информации
Режим ограниченного доступа
составляют:
Режим конфиденциальной
информации
• коммерческая тайна
• профессиональная тайна
• персональные данные
• режим информации, отнесенной к
государственной тайне
Режим информации, охраняемой по
Закону (ПД, право собственника)

8.

Нормативная правовая база в сфере информационной безопасности
базируется на нормах международного права.
Международное законодательство в области ИБ неотделимо от
международного информационного права
Факультативно
К основным международным нормативно-правовым актам в информационной сфере относятся:
Всеобщая декларация прав человека 1949 г.
Европейская конвенция о защите прав человека и основных свобод 1950 г.
Окинавская хартия глобального информационного общества 2000г.
Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981г.
Европейская Конвенция по киберпреступлениям (преступлениям в киберпространстве) Будапешт, 23 ноября 2001 г.
Директива 95/46/ЕС (Общий Регламент о защите персональных данных)1996 г.
Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке
персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите
персональных данных)1 (General Data Protection Regulation) (GDPR)
Женевская Декларация принципов "Построение информационного общества - глобальная задача в новом тысячелетии" (2003 год),
Всемирная встреча на высшем уровне по вопросам информационного общества Женева-Тунис 2005 г.
Типовой закон ЮНСИТРАЛ об электронных подписях (2001г).
Типовой закон ЮНСИТРАЛ об электронной торговле (1996г.)
Руководство ОБСЕ по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в
связи с угрозами, исходящими от киберпространства.
Комментарии:
Содействие укреплению доверия к электронной торговле : правовые вопросы международного использования электронных методов
удостоверения подлинности и подписания (2007г.)
Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (2019г.)

9.

Конвенция о защите физических лиц при автоматизированной
обработке персональных данных (Страсбург, 28 января 1981 г.)
• В Конвенции о защите физических лиц при автоматизированной обработке
персональных данных (Страсбург, 28 января 1981 г.) определены такие основные
понятия, как «персональные данные», «автоматическая обработка персональных
данных», «автоматизированные базы данных». Эта Конвенция — первый обязывающий
международный документ, защищающий физических лиц от злоупотреблений, которые
могут иметь место при сборе и обработке персональных данных, и ставящий в то же
время задачу регулировать их трансграничный поток.
• Конвенция не только дает гарантии применительно к сбору и обработке персональных
данных, но и запрещает обработку данных относительно расовой принадлежности
лица, его политических взглядов, здоровья, религии и пр., если национальное право не
обеспечивает надлежащих гарантий. Конвенция дает право лицу знать, что данные о
нем собраны, и в случае необходимости иметь возможность их исправить. Конвенция
также предусматривает определенные ограничения применительно к трансграничным
потокам личных данных в тех государствах, где правовое регулирование не
обеспечивает их должной защиты.

10.

Конвенция о преступности в сфере компьютерной информации (Будапешт,
23 ноября 2001г).
Предполагает не только включение в национальное уголовное законодательство норм, устанавливающих
ответственность за преступления в сфере компьютерной информации, но и развитие международного
сотрудничества в рамках борьбы с компьютерными преступлениями.
В Конвенции приведены универсальные термины и определения в области борьбы суголовными
преступлениями, нацеленные на защиту общества от киберпреступности, в том числе путем принятия
соответствующих законодательных актов и содействия международному сотрудничеству.
В качестве обязательных мер, которые надлежит принять на национальном уровне, Конвенция
предусмотрела: меры уголовного права (модельные нормы, позволяющие единообразно понимать
компьютерную терминологию на законодательном уровне); меры процессуального права (универсальные
нормы, устанавливающие полномочия и процедуры при расследовании преступлений). Конвенция
закрепила и общие принципы международного сотрудничества по уголовным делам в отношении
преступлений, связанных с компьютерными системами и компьютерными данными.
Несмотря на то что Конвенция до сих пор не подписана Россией, отдельные ее положения начинают
внедряться в российскую правовую систему. Например, УК РФ дополнен ст. 242.1 «Изготовление и оборот
материалов или предметов с порнографическими изображениями несовершеннолетних»
ссылка

11.

Регламент Европейского Парламента и Совета Европейского
Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц
при обработке персональных данных
GDPR — это регламент ЕС, который обновляет и расширяет более раннюю Директиву о защите данных (DPD),
впервые принятую в 1995 году. Регламент GDPR посвящен обеспечению конфиденциальности данных
физического лица, будь то клиент, сотрудник или деловой партнер. Цель GDPR заключается в обеспечении защиты
персональных данных граждан ЕС, независимо от того, проживают они в ЕС или в другом месте. В регламенте
изложены цели и рекомендации по их достижению. Организации должны принимать меры для обеспечения
соответствия требованиям GDPR.
Регламент GDPR посвящен вопросам использования данных. Представьте, что данные имеют жизненный цикл.
Цикл начинается со сбора данных, продолжается их хранением и использованием (обработкой) и заканчивается
полным удалением данных из систем.
GDPR охватывает следующие типы данных.
Персональные данные. В соответствии с GDPR персональные данные — это данные, которые могут быть
связаны с физическим лицом и которые позволяют идентифицировать это лицо.
Примеры персональных данных включают имя, адрес, дату рождения и IP-адрес. Согласно GDPR к персональным
данным относится даже закодированная информация (также известная как "анонимная" информация), если она
может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.
Конфиденциальные персональные данные. Это данные, которые содержат дополнительные сведения о
персональных данных. Например, сведения о религиозной принадлежности, участии в профсоюзах, этническом
происхождении и т. д. К конфиденциальным персональным данным также относятся биометрические данные и
данные ДНК. В соответствии с GDPR для конфиденциальных данных предусмотрены более строгие правила
защиты, чем для персональных данных.
- Идея оборотных штрафов

12.

Национальные нормативные правовые акты по информационной безопасности.
Конституция РФ.
Указы Президента РФ
Стратегические документы
Законодательство
Федеральные законы:
Кодексы РФ:
• Об информации, информационных отношениях и о защите
информации
• УК РФ
• О государственной тайне
• О коммерческой тайне
• О ПД
• О КИИ
• О ПОД ФТ
• О безопасности
• Об электронной подписи
• О техническом регулировании
• О лицензировании отдельных видов деятельности
• О стандартизации в Российской Федерации
• УП КРФ
• .АПК РФЫ
• ГПК РФ
• КАСРФ
• Трудовой кодекс РФ
• Налоговый кодекс РФ.
• КоАП РФ.
• ГрК РФ.
Нормативные правовые акты Госрегуляторов
Об оперативно-розыскной деятельности“
Документы по стандартизации
Постановления правительства РФ
Профессиональные стандарты

13.

Стратегические документы
1.Доктрина информационной безопасности Российской Федерации
2.Стратегия развития информационного общества в Российской
Федерации на 2017 — 2030 годы
3.Стратегия национальной безопасности Российской Федерации»
4.Выписка из Основных направлений научных исследований в
области обеспечения информационной безопасности Российской
Федерации (утв. Секретарем Совета Безопасности Российской
Федерации Н.П. Патрушевым 31 августа 2017 г.)
5.Национальная стратегия развития искусственного интеллекта на
период до 2030 года
ссылка

14.

15.

Доктрина информационной безопасности Российской Федерации»
Официальная система взглядов и структура системы обеспечения ИБ в России
Основные понятия стратегического уровня
Характеристика состояния ИБ
Силы и средства обеспечения безопасности
ссылка

16.

Конституция Российской Федерации от 12.12.1993 с изменениями, одобренными в
ходе общероссийского голосования 01.07.2020г. Главные информационные статьи.
Статья 15
Ч. 3. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные
правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не
опубликованы официально для всеобщего сведения.
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго
имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение
этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому
возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не
предусмотрено законом.
Статья 29
1. Каждому гарантируется свобода мысли и слова.
2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и
вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства.
3. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.
4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным
способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается.

17.

Стратегия развития информационного общества в Российской
Федерации на 2017 — 2030 годы
Основными принципами настоящей Стратегии являются:
а) обеспечение прав граждан на доступ к информации;
б) обеспечение свободы выбора средств получения знаний при работе с информацией;
в) сохранение традиционных и привычных для граждан (отличных от цифровых) форм получения
товаров и услуг;
г) приоритет традиционных российских духовно-нравственных ценностей и соблюдение основанных на
этих ценностях норм поведения при использовании информационных и коммуникационных технологий;
д) обеспечение законности и разумной достаточности при сборе, накоплении и распространении
информации о гражданах и организациях;
е) обеспечение государственной защиты интересов российских граждан в информационной сфере.
ссылка

18.

Основные федеральные законодательные
акты РФ.
1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) «Об информации,
информационных технологиях и о защите информации»
2. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 29.07.2017) «О техническом
регулировании»
3. Федеральный закон от 29.06.2015 г. № 162-ФЗ О стандартизации в Российской Федерации
4. Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 30.10.2018) «О лицензировании отдельных
видов деятельности»
5. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) «Об электронной подписи»
6. Закон РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне»
7. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 18.04.2018) «О коммерческой тайне»
8. Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной
инфраструктуры Российской Федерации»
9. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
10.Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма" от 07.08.2001 N 115-ФЗ (последняя редакция)

19.

ФЗ № 149 - ФЗ «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ»
Статья 5. Информация как объект правовых отношений
Статья 6. Обладатель информации
Статья 7. Общедоступная информация
Статья 8. Право на доступ к информации
Статья 9. Ограничение доступа к информации
Статья 10. Распространение информации или предоставление информации
Статья 16. Защита информации
выписка

20.

ФЗ № 98 - ФЗ «О коммерческой тайне»
Статья 10. Охрана конфиденциальности информации
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и
контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена
или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров
и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов
документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер,
указанных в части 1 настоящей статьи.
3. Индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с
которыми заключены трудовые договоры, принимает меры по охране конфиденциальности информации, указанные в части 1 настоящей статьи, за
исключением пунктов 1 и 2, а также положений пункта 4, касающихся регулирования трудовых отношений.
4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при
необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству
Российской Федерации меры.
5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без
нарушения режима коммерческой тайны.
6. Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя,
нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

21.

ФЗ N 152 - ФЗ О персональных данных
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Статья 5. Принципы обработки персональных данных
Статья 6. Условия обработки персональных данных
Статья 7. Конфиденциальность персональных данных
Статья 8. Общедоступные источники персональных данных
Статья 9. Согласие субъекта персональных данных на обработку его персональных
данных
Статья 10. Специальные категории персональных данных
Статья 11. Биометрические персональные данные
Статья 12. Трансграничная передача персональных данных
Статья 19. Меры по обеспечению безопасности персональных данных при их
обработке

22.

Законодательство РФ в сфере ответственности за правонарушения в
информационной сфере.
1. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 03.10.2018)
2. «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ
(ред. от 11.10.2018)
3. Постановление Пленума Верховного Суда РФ от 25.12.2018 N 46 «О некоторых вопросах
судебной практики по делам о преступлениях против конституционных прав и свобод человека и
гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 Уголовного кодекса Российской
Федерации)»
4. »Уголовно-процессуальный кодекс Российской Федерации" от 18.12.2001 N 174-ФЗ (ред. от
30.10.2018)
5. «Арбитражный процессуальный кодекс Российской Федерации» от 24.07.2002 N 95-ФЗ (ред. от
03.08.2018)
6. «Гражданский процессуальный кодекс Российской Федерации» от 14.11.2002 N 138-ФЗ (ред. от
03.08.2018)
7. «Кодекс административного судопроизводства Российской Федерации» от 08.03.2015 N 21-ФЗ
(ред. от 19.07.2018)
8. ФСБ России. Стандарт СТО.ФСБ.КК 1-2018 «Компьютерная экспертиза. Термины и
определения»

23.

УК РФ
Даны общие определения, в частности понятия и категории преступления
Особенная часть.
Глава 21 Преступления против собственности
Ст. 159, 159.1, 159.2, 159.2, 159.6,
Глава 22 экономические преступления
Ст. 170, 170.1, 172.1, 172.2.,, 183, 187,
Глава 28 Преступления в сфере компьютерной информации
Ст. 272, ст.273, ст.274, ст.274.1
Глава 29 Преступления против государственной власти
Ст.283, 283.1,

24.

КОАП РФ
• Понятие административного правонарушения
• Подведомственность, порядок наложения и т.д.
+Особая часть:
Глава 13. Административные нарушения в области связи и
информации
Ст.13.6, 13.12, 13.12.1, 13.1313.14,
Дополнительно
17.13, 19.7.15

25.

Комментарий к ГК
Т.К. ГК РФ регулируются гражданско-правовые отношения, в части электронного взаимодействия ГК создал основу для
заключения сделок к в электронной форме с использованием ЭП.
С 1 октября 2019 г. Введены новые понятия:
Цифровые права
Появился новый объект гражданских прав - цифровые права, Цифровыми признаются права, содержание и условия осуществления
которых определяются по правилам информационной системы, отвечающей установленным законом признакам.
При этом:
- цифровые права должны быть названы в таком качестве в законе;
- осуществление таких прав, распоряжение или ограничение распоряжения ими возможны только в информационной системе;
- по общему правилу обладателем цифрового права считается лицо, которое может им распоряжаться;
- переход цифрового права по сделке не требует согласия должника;
- прямо допускается оборотоспособность цифровых прав (к ним будут применимы общие положения о купле-продаже).
Создание цифровых прав, сфера их использования и особенности оборота будут определяться федеральными законами,
разрабатываемыми с участием Банка России, Минфина, Минэкономразвития и иных ведомств.
Электронная форма сделки
Изменятся правила о письменной форме сделки: к ней приравнено совершение сделки с помощью электронных и иных технических
средств. Для совершения сделки в электронной форме необходима возможность воспроизвести ее содержание в неизменном виде на
материальном носителе, а также достоверно определить волеизъявляющее лицо. При этом специальный способ определения лица
может быть установлен в правовых актах или соглашении сторон.

26.

Продолжение
Смарт-контракты
Вводится норма об использовании так называемых смарт-контрактов: по условиям сделки
возникающие из нее обязательства могут исполняться без отдельного волеизъявления сторон
путем применения информационных технологий.
Механизм действия смарт-контрактов объясняется следующим образом.
После идентификации пользователей в информационной системе дальнейшее их поведение
подчиняется алгоритму компьютерной программы. Лицо, приобретающее цифровое право,
получит этот объект автоматически при наступлении определенных обстоятельств. Сделка
будет исполнена без дополнительных распоряжений сторон: у продавца будет списано
цифровое право, а у покупателя деньги. Таким образом, воля лица, направленная на
заключение договора, включает в себя и волю, направленную на исполнение обязательства.
Прочие изменения
Отдельно указаны возможности применения электронных средств при голосовании на
собрании, формировании документа, подтверждающего оплату товара, заключении договора
номинального счета, договора страхования. Однако составление завещания с помощью
технических средств не допускается.
Кроме того, в ГК РФ будут установлены особенности договора об оказании услуг по
предоставлению информации. Предусмотрена возможность ввести запрет на совершение
действий, в результате которых информация может быть раскрыта третьим лицам.
Нововведения разработаны, прежде всего, для сферы сбора и обработки значительных
массивов обезличенной информации.

27.

28.

Основные административные правовые документы, регламентирующие деятельность
организации в сфере ИБ.

29.

Направления нормативно – правового регулирования и НПА.
Административная,
гражданско-правовая,
хозяйственная,
трудовая деятельность
Ответственность
За допущенные
должностные
нарушения,
правонарушения
и преступления
Профессиональная
деятельность,
квалификация
и подготовка
Защита информационных систем
Требования по безопасности
Требования по проектированию
и эксплуатации
СОИБ
Контроль и мониторинг
ГК РФ
КОАП
Профстандарты
Указы, ФЗ, Распоряжения,
ПП, ГОСТы, Стандарты
документы регуляторов
Трудовой кодекс
Ук РФ
персонал
СОИБ
СМИБ
СИБ
ИС

30.

Основные нормативные правовые акты, административные
и нормативно-технические документы, регламентирующие
деятельность организации в сфере ИБ.
Административные
• Положение об организации
• Документы, устанавливающие право
деятельности (лицензии, документы об
аккредитации)
• Структура, штатное расписание
подразделений
• Положение о подразделении
• Должностные инструкции сотрудников
• Документы, устанавливающие право
собственности, включая лицензии на
использование ПО и АПК
• Приказы, распоряжения
Нормативно-технические
• Политика информационной безопасности
• Модель нарушителя и угроз
• Требования по информационной безопасности
• Стандарты безопасности
• Стандарты разработки и проектирования
• Технические описания
• Технические политики
• Регламенты
• Инструкции
• Настройки и копии настроек оборудования,
реализующие требования по сегментированию и
безопасности
• Методические материалы
• Эксплуатационная документация

31.

На фоне большого числа примитивных нарушений и
невыполнения требований, государству ничего не остается делать,
как усиливать ответственность за невыполнение требований по
ИБ

32.

Требования к системе защиты автоматизированной системы управления включаются в техническое задание
на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное
техническое задание) на создание системы защиты автоматизированной системы управления,
разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации, которые
должны в том числе содержать:
цель и задачи обеспечения защиты информации в автоматизированной системе управления;
класс защищенности автоматизированной системы управления;
перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных
стандартов и стандартов организаций, которым должна соответствовать автоматизированная система
управления;
объекты защиты автоматизированной системы управления на каждом из ее уровней;
требования к мерам и средствам защиты информации, применяемым в автоматизированной системе
управления;
требования к защите информации при информационном взаимодействии с иными автоматизированными
(информационными) системами и информационно телекоммуникационными сетями;
требования к поставляемым техническим средствам, программному обеспечению, средствам защиты
информации;
функции заказчика и оператора по обеспечению защиты информации в автоматизированной системе
управления;
стадии (этапы работ) создания системы защиты автоматизированной системы управления.

33.

Нормы, правила и требования
Норма
Минимальное или предельное количество чего-либо, допускаемое правилом, планом (например, Норма
времени, Норма высева семян)
Общепризнанное в определённой социальной среде правило, воззрение; правило поведения людей в
обществе, выраженное в законе (см. Норма права)
Правило, закон в какой-либо отрасли знания, например Норма языковая
Причинно-следственная связь
Наличие взаимосвязей между несколькими переменными в виде «причины и следствия». Причинноследственная связь предполагает, что переменные, которые действуют предсказуемым образом, могут
вызывать изменения в связанных с ними переменных, и что эту взаимосвязь можно выявить с помощью
прямого и многократного наблюдения.
Требование
Действие, выражающееся в настойчивой, категорической просьбе исполнить что-либо, не путать с
понятием - ПРОСЬБА, так как требование обусловливается именно использованием слова ТРЕБУЮ.

34.

Нормы, правила и требования применительно к информационной
безопасности. Примеры.
Норма – показатель защищенности меры близости (критерий достаточности по ГОСТ 57580.1 - 0,92);
Набор требований по безопасности применительно к процессу обеспечения безопасности.
Причинно-следственная связь, пример - эффективная атака в результате эксплуатации уязвимостей,
возникших в результате нарушения требований по защите.
Требование – обязательная для выполнения настройка СЗИ, оборудования или ПО;
Обязательное выполнение набора действий или процедур. Эксплуатацтонной документации;

35.

Состав требований по защите.
требования
Требования
Технические
Защитные меры
По группам или
процессам
Организационнотехнические
Модели угроз,
политики
Проектные
Проектная и
Конструкторская,
эксплуатационная
документация
Профессиональные стандарты
Административноуправленческие
Процессные
Организационная
документация
форма
ФЗ, Указы Президента, ПП, НПА регуляторов, Стандарты
К этапам жизненного цикла
PDCA

36.

Иерархия требований и мер
Требование безопасности —
Требование, изложенное на стандартизованном
языке и направленное на достижение целей
безопасности для объекта оценки [ ГОСТ Р
ИСО/МЭК 15408-1-2012 ].
Мера защитная [ Safeguard ] —
Организационные (в том числе,
управленческие) и технические меры,
применяемые для защиты информации и
обеспечения доступности автоматизированной
системы [ ГОСТ Р 57580.1-2017 ]
Син.: Мера безопасности, Мера обеспечения
безопасности.
Настройка – регулирование параметров
устройства или ПО с целью обеспечения
соответствия защитным мерам и требованиям
по безопасности
ПОЛИТИКА ИБ
Требование по безопасности
НПА, Стандарты
Защитные меры
единицы
сотни
Защитные меры
Защитные меры
Защитные меры
Экспл.
документация
Настройки СЗИ, оборудования и ПО
Настройки СЗИ, оборудования и ПО
Настройки СЗИ, оборудования и ПО
Как настроим, такая и
безопасность
тысячи

37.

Подход к современному структурированию требований по защите
ГОСТ Р 57580.1
BS7799
ISO 17799
ISO 27001
ГОСТ 27001
Приказы ФСТЭК
Меры (процессы) обеспечения безопасности (смешанные требования)
Политики информационной безопасности
Организация деятельности по информационной безопасности
Мобильные устройства и дистанционная работа
Безопасность, связанная с персоналом
Во время работы
Менеджмент активов
Управление доступом
Криптография
Физическая безопасность и защита от воздействия окружающей среды
Безопасность при эксплуатации
Безопасность системы связи
Приобретение, разработка и поддержка систем
Взаимоотношения с поставщиками
Менеджмент инцидентов информационной безопасности
Аспекты ИБ в рамках менеджмента непрерывности деятельности
организации
Соответствие
Проверки информационной безопасности
Интерпретация в
стандартах и НПА

38.

Пример интерпретации требований по защите в приказе ФСТЭК №239
ПРИКАЗ
25 декабря 2017 г.
Москва
№ 239
Об утверждении Требований
по обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации
(в ред. приказов ФСТЭК России от 9 августа 2018 г.№ 138,
от 26 марта 2019 г. № 60, от 20 февраля 2020 г. № 35)
В соответствии с пунктом 4 части 3 статьи 6 Федерального закона
от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной
инфраструктуры Российской Федерации » (Собрание законодательства
Российской Федерации, 2017, № 31, ст. 4736) П Р И К А З Ы В А Ю:
Утвердить прилагаемые Требования по обеспечению безопасности
значимых объектов критической информационной инфраструктуры
Российской Федерации.
ДИРЕКТОР ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
В.СЕЛИН

39.

Структура требований
процессные
Требования к обеспечению
безопасности в ходе создания,
эксплуатации и вывода из
эксплуатации
• на всех стадиях (этапах) их
жизненного цикла.
Внедрение организационных и
технических мер по обеспечению
безопасности и ввод в действие
Обеспечение безопасности в
ходе эксплуатации
Обеспечение безопасности
при выводе из эксплуатации
Проектные
Установление требований к
обеспечению безопасности
значимого объекта
• цель и задачи;
• категория значимости;
• перечень НПА, МД и
национальных стандартов;
• перечень типов объектов
защиты;
• требования к
организационным и
техническим мерам;
• стадии (этапы работ)
создания СОИБ;
• требования к ПС и АПС,
СЗИ;
• требования к защите
обеспечивающей
инфраструктуры;
• требования к
информационному
взаимодействию
• требования к составу и
содержанию
документации,
Организационно-технические
Технические
Разработка организационных и
технических мер по обеспечению
безопасности значимого объекта
• анализ угроз безопасности
информации и разработка модели
угроз безопасности информации
или ее уточнение (при ее наличии);
• проектирование подсистемы
безопасности;
• разработка рабочей
(эксплуатационной) документации
(в части обеспечения его
безопасности).
Требования к
организационным
и техническим мерам
безопасности объектов
• таблица
Требования к
программным и
программно-аппаратным
средствам
• Классы и уровни
защищенности
• Сертифицированные
СЗИ и СКЗИ
• Отсутствие
уязвимостей

40.

Внедрение организационных и технических мер по
обеспечению безопасности и ввод в действие
а) установку и настройку средств защиты информации, настройку
программных и программно-аппаратных средств;
б)
разработку
организационно-распорядительных
документов,
регламентирующих правила и процедуры обеспечения безопасности
значимого объекта;
в) внедрение организационных мер по обеспечению безопасности
значимого объекта;
г) предварительные испытания значимого объекта и его подсистемы
безопасности;
д) опытную эксплуатацию значимого объекта и его подсистемы
безопасности;
е) анализ уязвимостей значимого объекта и принятие мер по их
устранению;
ж) приемочные испытания значимого объекта и его подсистемы
безопасности.

41.

Обеспечение безопасности в ходе эксплуатации
а) планирование мероприятий по обеспечению безопасности значимого объекта;
б) анализ угроз безопасности информации в значимом объекте
и последствий от их реализации;
в) управление (администрирование) подсистемой безопасности значимого объекта;
г) управление конфигурацией значимого объекта и его подсистемой безопасности;
д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;
е) обеспечение действий в нештатных ситуациях в ходе эксплуатации значимого объекта;
ж) информирование и обучение персонала значимого объекта;
з) контроль за обеспечением безопасности значимого объекта.

42.

Требования к организационным и техническим мерам
безопасности объектов
объектами защиты являются:
а) в ИС:
информация;
программно-аппаратные средства, в том числе машинные носители
информации, средства защиты информации;
архитектура и конфигурация информационной системы;
б) в ИТКС:
информация, передаваемая по линиям связи;
Телекомм. оборудование (в том числе ПО, система управления);
средства защиты информации;
архитектура и конфигурация информационно-телекоммуникационной
сети;
в) в АСУ:
информация о состоянии управляемого объекта или процесса;
АПС, линии связи, контроллеры, оборудование (исполнительные
устройства);
ПО,ППО;
СЗИ;
архитектура и конфигурация АСУ
должны быть реализованы следующие организационные и технические
меры:
идентификация и аутентификация (ИАФ);
управление доступом (УПД);
ограничение программной среды (ОПС);
защита машинных носителей информации (ЗНИ);
аудит безопасности (АУД);
антивирусная защита (АВЗ);
предотвращение вторжений (компьютерных атак) (СОВ);
обеспечение целостности (ОЦЛ);
обеспечение доступности (ОДТ);
защита технических средств и систем (ЗТС);
защита информационной (автоматизированной) системы и ее компонентов
(ЗИС);
планирование мероприятий по обеспечению безопасности (ПЛН);
управление конфигурацией (УКФ);
управление обновлениями программного обеспечения (ОПО);
реагирование на инциденты информационной безопасности (ИНЦ);
обеспечение действий в нештатных ситуациях (ДНС);
информирование и обучение персонала (ИПО).

43.

Состав мер по обеспечению безопасности для значимого объекта соответствующей категории
значимости
Обозначение и
номер
меры
Категория
Меры обеспечения безопасности значимого объекта
значимости
3
2
1
+
+
+
I. Идентификация и аутентификация (ИАФ)
Регламентация правил и процедур
ИАФ.0
идентификации и аутентификации
ИАФ.1
Идентификация и аутентификация пользователей и
инициируемых ими процессов
+
+
+
ИАФ.2
Идентификация и аутентификация устройств
+
+
+
ИАФ.3
Управление идентификаторами
+
+
+
ИАФ.4
Управление средствами аутентификации
+
+
+
ИАФ.5
Идентификация и аутентификация внешних пользователей
+
+
+
ИАФ.6
Двусторонняя аутентификация
ИАФ.7
Защита аутентификационной информации при передаче
+
+
+

44.

Семинар. Задания
1.
Цели информационного права.
2.
Направления нормативно – правового регулирования и основные НПА.
3.
Состав требований по защите.
4.
Иерархия требований и мер.
5.
Пример интерпретации структуры требований по защите в приказе ФСТЭК №239

45.

2. Примерные задания по контрольной работе (тип 1): Раздел 2. «Исходная концептуальная
схема (парадигма) обеспечения информационной безопасности. Особенности современных
подходов к управлению информационной Безопасностью. Нормативное-правовое
регулирование управления информационной безопасностью.» (ПК-4, ОПК-14, 8):
1.Парадигма это:
2. СИБ это
3. СОИБ это
4. Госрегуляторы
5. Госсопка это