Методические материалы по занятию рекомендованному КИБ

1.

Тема занятия
Действующие требования по защите
информации, типовые нарушения
по защите информации, актуальные
угрозы безопасности информации
1

2.

СУБЪЕКТЫ
Государственные органы,
регулирующие
информационные отношения
Производители информации,
в том числе авторы
(Владельцы информации)
Обладатели информации
Потребители информации
ЭЛЕМЕНТЫ ИНФОРМАЦИОННЫХ ПРАВООТНОШЕНИЙ
СОДЕРЖАНИЕ
ОБЪЕКТЫ
Права, обязанности и
ответственность субъектов
правоотношений при
осуществлении
информационной
деятельности
Документированная информация
Правила поведения
(действия, бездействие)
субъектов при
осуществлении
информационной
деятельности
Информационные ресурсы
Информационные продукты
Информационные услуги
Информационные системы
Средства и механизмы обеспечения
информационной безопасности
2

3.

МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Безопасность предприятия (организации)
Физическая
безопасность
Пожарная
безопасность
Экономическ
ая
безопасность
Экологическа
я
безопасность
Информационная безопасность
Техническая защита конфиденциальной
информации
У г р о з ы б е з о п а с н о с ти
3

4.

Государственная система ЗИ
“Положение о государственной система защиты информации
в Российской Федерации от иностранных технических
разведок и от ее утечки по техническим каналам”
Утверждено постановлением Совета Министров – Правительством
Российской Федерации от 15 сентября 1993 г. № 912-51.
Определяет задачи и структуру государственной система защиты
информации в Российской Федерации.
Является документом, обязательным для выполнения при
проведении работ по защите информации, содержащей сведения,
составляющие государственную или служебную тайну, во всех
органах власти и прочих организациях независимо от их
организационно-правовой формы и формы собственности .
Мероприятия по защите информации являются составной частью
управленческой, научной и производственной деятельности и
осуществляются во взаимосвязи с другими мерами по
обеспечению установленного режима секретности проводимых
4
работ.

5.

Главные направления работ
по защите информации
обеспечение эффективного управления системой защиты
информации;
определение сведений, охраняемых от технических средств
разведки, и демаскирующих признаков, раскрывающих эти
сведения;
анализ и оценка реальной опасности перехвата информации
техническими средствами разведки, несанкционированного
доступа, разрушения (уничтожения) или искажения
информации
путем
преднамеренных
программнотехнических воздействий в процессе ее обработки, передачи
и хранения в технических средствах, выявление возможных
технических каналов утечки сведений, подлежащих защите;
разработка организационно-технических мероприятий по
защите информации и их реализация;
5
организация и проведение контроля состояния защиты
информации.

6.

Основные организационно-технические
мероприятиям по защите информации
лицензирование деятельности предприятий в области защиты
информации;
аттестование объектов по выполнению требований
обеспечения защиты информации при проведении работ со
сведениями соответствующей степени секретности;
сертификация средств защиты информации и контроля за ее
эффективностью, систем и средств информатизации и связи в
части защищенности информации от утечки по техническим
каналам;
категорирование
вооружения
и
военной
техники,
предприятий (объектов) по степени важности защиты
информации
в
оборонительной,
экономической,
политической и научно-технической и других сферах
деятельности государства;
обеспечение условий защиты информации при подготовке и
6
реализации международных договоров и соглашений;

7.

оповещение о пролетах космических и других воздушных
летательных аппаратов, кораблях и судах, ведущих разведку
объектов
(перехват
информации,
подлежащей
защите),
расположенных на территории Российской Федерации;
введение
территориальных,
частотных,
энергетических,
пространственных и временных ограничений в режимах
использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных
систем управления в защищенном исполнении;
разработка и внедрение технических решений и элементов защиты
информации при создании и эксплуатации вооружения и военной
техники, при проектировании, строительстве (реконструкции) и
эксплуатации объектов, систем и средств информатизации и связи;
разработка средств защиты информации и контроля за ее
эффективностью (специального и общего применения) и их
использование;
применение специальных методов, технических мер и средств
защиты, исключающих перехват информации, передаваемой по
каналам связи.
7

8.

Организационная структура Государственной
системы защиты информации
8

9.

Государственная система защиты информации от
утечки по техническим каналам
Межведомственная комиссия по защите ГТ
Создана Указом Президента РФ № 1108 от 8.11.1995 г.
Действует в рамках Государственной системы защиты информации от
утечки по техническим каналам, положение о которой введено в действие
постановлением Правительства РФ от 15.09.1993 г. №912-51.
Основная функция - проведение
единой
технической
политики,
организация
и координация работ
по защите информации
в
оборонной, экономической, политической, научно-технической и других
сферах деятельности страны
9

10.

Государственная система защиты информации от
утечки по техническим каналам
Федеральная служба по техническому и
экспортному контролю
Создана Указом Президента Российской Федерации от 9 марта 2004 г. № 314
«О системе и структуре федеральных органов исполнительной власти»
вместо существовавшей Государственной технической комиссии при
Президенте РФ
Функции
организация и координация работ в стране по защите информации,
обрабатываемой техническими средствами
обеспечению безопасности информации в системах информационной и
телекоммуникационной
инфраструктуры;
противодействие иностранным техническим разведкам на территории
РФ;
обеспечение защиты информации с ограниченным доступом,
предотвращение ее утечки по техническим каналам, несанкционированного
доступа к ней, специальных воздействий на информацию в целях
ее добывания, уничтожения, искажения и блокирования доступа к
ней на территории РФ;
10

11.

Государственная система защиты информации от
утечки по техническим каналам
Федеральная служба по техническому и
экспортному контролю
Функции
реализация государственной политики в области обеспечения
безопасности информации, противодействия техническим разведкам и
технической защиты информации;
осуществление нормативно- правового регулирования обеспечения
безопасности информации; технической защиты информации; координации
деятельности по подготовке перечней сведений, подлежащих
засекречиванию, а также методического руководства этой
деятельностью;
обеспечение безопасности информации и противодействие техническим
разведкам и техническая защита информации в органах власти и
органах власти субъектов РФ, в органах исполнительной власти, органах
исполнительной власти субъектов РФ, органах местного самоуправления
и организациях;
11

12.

Государственная система защиты информации от
утечки по техническим каналам
Федеральная служба по техническому и
экспортному контролю
Функции
прогнозирование развития сил, средств и возможностей технических
разведок, выявление угроз безопасности информации;
противодействие добыванию информации техническими
средствами разведки, техническая защита информации;
осуществление контроля деятельности по обеспечению безопасности
информации, по противодействию
техническим разведкам и по
технической защите информации в органах государственной власти и
органах местного самоуправления и организациях;
осуществление центральным аппаратом ФСТЭК России
организационно-технического обеспечения деятельности
Межведомственной комиссии по защите государственной тайны.
Нормативные акты и методические документы ФСТЭК России,
обязательны для исполнения органами государственной власти и
органами власти субъектов РФ, органами исполнительной власти,
органами местного самоуправления и организациями.
12

13.

Целями защиты информации являются:
предотвращение утечки информации по техническим
каналам;
предотвращение несанкционированного уничтожения,
искажения, копирования, блокирования информации в
системах информатизации;
соблюдение правового режима использования массивов,
программ обработки информации, обеспечение полноты,
целостности, достоверности информации в системах
обработки;
сохранение
возможности
управления
обработки и пользования информацией.
процессом
13

14.

Защита информации осуществляется путем:
предотвращения
перехвата
техническими
средствами
информации, передаваемой по каналам связи;
предотвращения утечки обрабатываемой информации за счет
ПЭМИН, создаваемых функционирующими техническими
средствами, а также электроакустических преобразований;
исключения
несанкционированного
доступа
к
обрабатываемой или хранящейся в технических средствах
информации;
предотвращения
специальных
программно-технических
воздействий,
вызывающих
разрушение,
уничтожение,
искажение информации или сбои в работе средств
информатизации;
выявления возможно внедренных на объекты и в технические
средства электронных устройств перехвата информации
(закладных устройств);
предотвращения перехвата техническими средствами речевой
14
информации из помещений и объектов.

15.

Законодательные акты
Конституция Российской Федерации (1993 г.).
Закон РФ «О безопасности» N 390-ФЗ (2010 г.).
Закон РФ «О государственной тайне» (1993, 18.07.2011г.).
Закон РФ «О техническом регулировании» (2002, 2010 г.).
Закон РФ «Об обеспечении единства измерений» (2008, 2011
г.).
ФЗ «Об информации, информационных технологиях и защите
информации» (2006, 21.07.2011 г.).
ФЗ «О связи» (2003, 18.07.2011 г.).
ФЗ «О коммерческой тайне» (2004, 2011 г.).
ФЗ «О лицензировании отдельных видов деятельности» (2011
г.)
ФЗ «О персональных данных» (2006, 25.07.2011 г.).
15

16.

Нормативные правовые акты Президента РФ
(указы, распоряжения)
Об основах государственной политики в сфере информатизации
(от 20.01.1994 г. № 170).
Вопросы межведомственной комиссии по защите государственной
тайны (от 26.02.2009 г. № 228).
О перечне сведений конфиденциального характера
(от 6 марта 1997 г. № 188).
Вопросы Федеральной службы по техническому и экспортному
контролю (от 16.08.2004 г. № 1085).
О мерах по обеспечению информационной безопасности РФ при
использовании
информационнотелекоммуникационных сетей международного
информационного обмена 17.03.2008 №351 ).
Стратегия национальной безопасности Российской Федерации до 2020
г. (12 мая 2009 года №537).
Доктрина информационной безопасности РФ (2000 г.).
«Основы государственной политики Российской Федерации в области
16
международной информационной безопасности на период до 2020
года» (04 авг. 2013 г)

17.

Постановления Правительства РФ
Положение о государственной системе защиты информации в РФ от
иностранных технических разведок и от ее утечки по техническим
каналам (Извлечения).
(Постановление СМ - Правительства РФ 15.09.1993 г. № 912–51).
Положение о лицензировании деятельности предприятий,
учреждений и организаций по проведению работ, связанных с
использованием сведений, составляющих государственную тайну,
созданием средств защиты информации, а также с осуществлением
мероприятий и (или) оказанием услуг по защите государственной
тайны» (Постановление правительства РФ № 333 от 15 .04.1995 , ред.
2010г.).
Положение о сертификации средств защиты информации
(Постановление правительства РФ от 20.06.1995 г. № 608, 2004).
17

18.

Постановления Правительства РФ
Положение о лицензировании деятельности по технической защите
конфиденциальной информации
(Постановление правительства РФ от 15.08.06 № 504).
Положение о лицензировании деятельности по разработке и (или)
производству средств защиты конфиденциальной информации
(Постановление правительства РФ от 31.08.2006 г. № 532).
Положение о порядке обращения со служебной информацией
ограниченного распространения в федеральных органах
исполнительной власти (Постановление правительства РФ от 3
ноября 1994 г. №1233).
«О предоставлении социальных гарантий гражданам, допущенных к
государственной тайне на постоянной основе и сотрудникам
структурных подразделений по защите государственной тайны»
(Постановление правительства РФ от 18.09.2006 № 573)
18

19.

Указ Президента РФ «Об утверждении Перечня сведений
конфиденциального характера» от 6 марта 1997 г. № 188.
Утверждает перечень сведений конфиденциального характера
1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина,
позволяющие
идентифицировать
его
личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные
сведения, доступ к которым ограничен органами
государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской
Федерации и федеральными законами (врачебная, нотариальная,
адвокатская тайна, тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна).
6. Сведения
о сущности изобретения, полезной модели или
промышленного образца до официальной публикации информации о
19
них.

20.

Указ Президента РФ «О мерах по обеспечению информационной
безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного
информационного обмена» от 17.03.2008 №351 .
Субъектам международного информационного обмена в Российской
Федерации не осуществлять включение информационных систем,
сетей связи и автономных персональных компьютеров, в которых
обрабатывается информация, содержащая сведения, составляющие
государственную тайну, и служебную информацию ограниченного
распространения, а также для которых установлены особые правила
доступа к информационным ресурсам, в состав средств
международного информационного обмена, в том числе в
международную ассоциацию сетей "Интернет".
20

21.

Специальные требования и рекомендации
1.
2.
3.
Специальные требования и рекомендации по защите
информации составляющей государственную тайну от
утечки по техническим каналам (СТР-97). Решение ГТК
при Президенте РФ 1997 г.
Специальные требования и рекомендации по защите
информации, обрабатываемой ТСПИ, в ВС РФ. Приказ
МО РФ от 1996 г.
Специальные
требования
и
рекомендации
по
технической защите конфиденциальной информации
(СТР-К). Решение Коллегии ГТК России № 7.2 от 2 марта
2001г. Приказ ГТК России № 282 от 30 августа 2002 г.
21

22.

ПРИКАЗЫ
ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ
КОНТРОЛЮ
От 11 февраля 2013 г. № 17
«ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ
СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В
ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ»
от 18 февраля 2013 г. N 21
«ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ
ОРГАНИЗАЦИОННЫХ
И
ТЕХНИЧЕСКИХ
МЕР
ПО
ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

23.

Национальные интересы России в информационной сфере:
соблюдение конституционных прав и свобод граждан в
области получения информации и пользования ею;
развитие современных телекоммуникационных технологий;
защита
государственных информационных ресурсов от
несанкционированного доступа.
Серьезную опасность представляют:
стремление
ряда стран к доминированию в мировом
информационном пространстве, вытеснению России с
внешнего и внутреннего информационного рынка;
разработка рядом государств концепции информационных
войн, предусматривающей создание средств опасного
воздействия на информационные сферы других стран мира;
нарушение
нормального
функционирования
информационных и телекоммуникационных систем, а также
сохранности
информационных
ресурсов,
получение
несанкционированного доступа к ним.
23

24.

Уголовный кодекс Российской Федерации
от 13 июня 1996 года № 63-ФЗ
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о
частной жизни лица, составляющих его личную или
семейную тайну, без его согласия либо распространение
этих сведений в публичном выступлении, публично
демонстрирующемся
произведении
или
средствах
массовой информации:
штраф в размере до 200000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18
месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года,
либо арест на срок до 4 месяцев.
24

25.

2. Те же деяния, совершенные лицом с использованием своего
служебного положения:
штраф в размере от 150000 до 300000 рублей или в размере
заработной платы или иного дохода осужденного за период от
одного года до 2 лет,
либо лишение права занимать определенные должности или
заниматься определенной деятельностью на срок от 2 до 5 лет,
либо арест на срок от 4 до 6 месяцев.
Статья 138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров,
почтовых, телеграфных или иных сообщений граждан:
штраф в размере до 80000 рублей, или в размере заработной
платы или иного дохода осужденного за период до шести
месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года.
25

26.

2.
То же деяние, совершенное лицом с использованием своего
служебного положения или специальных технических средств,
предназначенных для негласного получения информации:
штраф в размере от 150 000 до 300 000 рублей или в размере
заработной платы или иного дохода осужденного за период от 1
года до 2 лет,
либо лишение права занимать определенные должности или
заниматься определенной деятельностью на срок от 2 до 5 лет,
либо обязательные работы на срок от 180 до 240 часов,
либо арест на срок от 2 до 4 месяцев.
3. Незаконные производство, сбыт или приобретение в целях
сбыта специальных технических средств, предназначенных для
негласного получения информации:
штраф в размере до 200 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18 месяцев,
либо ограничение свободы на срок до 3 лет,
либо лишение свободы на срок до 3 лет с лишением права занимать
определенные
должности
или
заниматься
определенной
деятельностью на срок до 3 лет
26

27.

Статья 140. Отказ
информации.
в
предоставлении
гражданину
Неправомерный отказ должностного лица в предоставлении документов
и материалов, затрагивающих права и свободы гражданина, либо
предоставление гражданину неполной или заведомо ложной
информации, если эти деяния причинили вред правам и законным
интересам граждан, наказываются штрафом в размере до двухсот тысяч рублей или в размере
заработной платы за период до восемнадцати месяцев либо
лишением права занимать определенные должности на срок до пяти
лет.
27

28.

Статья 183. Незаконные получение и разглашение сведений,
составляющих коммерческую, налоговую или банковскую
тайну
1. Собирание
сведений, составляющих коммерческую,
налоговую или банковскую тайну, путем похищения
документов, подкупа или угроз, а равно иным незаконным
способом:
штраф в размере до 80 000 рублей или в размере заработной
платы или иного дохода осужденного за период от 1 до 6
месяцев,
либо лишение свободы на срок до 2 лет.
2.
Незаконные разглашение или использование сведений,
составляющих коммерческую, налоговую или банковскую
тайну, без согласия их владельца лицом, которому она была
доверена или стала известна по службе или работе:
штраф в размере до 120 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 1 года с
лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до 3 лет, 28
либо лишение свободы на срок до 3 лет.

29.

3.
4.
Те же деяния, причинившие крупный ущерб или
совершенные из корыстной заинтересованности:
штраф в размере до 200 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18 с
лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 5 лет.
Деяния, предусмотренные частями второй или третьей
настоящей статьи, повлекшие тяжкие последствия:
лишение свободы на срок до 10 лет.
29

30.

Статья 272. Неправомерный доступ к компьютерной
информации.
1. Неправомерный
доступ
к
охраняемой
законом
компьютерной информации, если это деяние повлекло
уничтожение,
блокирование,
модификацию
либо
копирование компьютерной информации:
штраф до 200 000 рублей или в размере заработной платы за
период до 18 месяцев,
либо исправительными работами на срок до 1 года,
либо ограничением свободы на срок до 2 лет,
либо принудительными работами на срок до 2 лет,
либо лишением свободы на срок до 2 лет.
30

31.

2.
То же деяние, причинившее крупный ущерб
совершенное из корыстной заинтересованности.
или
штраф в размере от 100 000 до 300 000 рублей или в размере
заработной платы за период от 1 года до 2 лет,
исправительные работы на срок от 1 года до 2 лет,
ограничение свободы на срок до 4 лет,
принудительные работы на срок до 4 лет,
арест на срок до 6 месяцев,
лишение свободы на срок до 6 месяцев.
31

32.

3. То же деяние, совершенное группой лиц по
предварительному сговору или организованной группой
либо лицом с использованием своего служебного
положения.
штраф в размере 500 000 рублей, в размере заработной платы
или иного дохода осужденного за период до 3 лет.
ограничение свободы на срок до 4 лет.
принудительные работы до 5 лет.
лишение свободы на срок до 5 лет.
4. Те же деяния, если они повлекли тяжкие последствия или
создали угрозу их наступления (более 1 млн. руб).
лишение свободы на срок до 7 лет.
32

33.

Статья 273. Создание, использование и распространение
вредоносных компьютерных программ.
1.
Создание,
распространение
или
использование
компьютерных программ …, заведомо предназначенных
для несанкционированного уничтожения, блокирования,
модификации, копирования компьютерной информации
или нейтрализации средств защиты компьютерной
информации.
лишение свободы на срок до 4 лет со штрафом в размере до
200 000 руб. или в размере заработной платы или иного
дохода осужденного за период до 18 месяцев.
33

34.

2.
3.
Те же деяния, совершенные группой лиц по
предварительному сговору или организованной группой
либо лицом с использованием своего служебного
положения, а равно причинившие крупный ущерб или
совершенные из корыстной заинтересованности.
лишение свободы на срок до 4 лет
принудительные работы на срок до 5 лет с лишением права
занимать определенные должности или заниматься
определенной деятельностью на срок до 3 лет или без
такового,
лишение свободы на срок до 5 лет со штрафом в размере от
100 000 до 200 000 рублей или в размере заработной платы
или иного дохода осужденного за период от 2 до 3 лет или без
такового и с лишением права занимать определенные
должности или заниматься определенной деятельностью на
срок до 3 лет или без такового..
Те же деяния, повлекшие тяжкие последствия.
лишение свободы на срок до 7 лет.
34

35.

Статья 274. Нарушение правил эксплуатации средств
хранения, обработки или передачи компьютерной
информации и информационно-телекоммуникационных
сетей.
1.
Нарушение правил эксплуатации средств хранения,
обработки или передачи охраняемой компьютерной
информации,
информационно-телекоммуникационных
сетей, а также правил доступа к информационнотелекоммуникационным сетям, повлекшее уничтожение,
блокирование,
модификацию
либо
копирование
компьютерной информации, причинившее крупный
штраф в размере до 500 000 рублей или в размере заработной
платы или иного дохода за период до 18 мес
либо исправительные работы на срок от 6 мес. до 1 года,
либо ограничение свободы на срок до 2 лет.
2.
То же деяние, повлекшее по неосторожности тяжкие
последствия.
лишение свободы на срок до 5 лет.
35

36.

Статья 293. Халатность
… если это повлекло причинение крупного ущерба или существенное
нарушение прав и законных интересов граждан … Наказывается штрафом в размере до ста двадцати тысяч рублей или
в размере заработной платы или иного дохода осужденного за
период до одного года, либо обязательными работами на срок до
трехсот шестидесяти часов, либо исправительными работами на
срок до одного года, либо арестом на срок до трех месяцев.
36

37.

Кодекс АП
Статья 5.39. Отказ в предоставлении информации.
Неправомерный отказ в предоставлении гражданину и (или) организации
информации, несвоевременное ее предоставление либо предоставление
заведомо недостоверной информации, влечет наложение
административного штрафа на должностных лиц в размере от одной
тысячи до трех тысяч рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах
(персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования
или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на
граждан в размере от трехсот до пятисот рублей; на должностных лиц - от
пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до
десяти тысяч рублей.
37

38.

Кодекс АП
Статья 13.12. Нарушение правил защиты информации
Штраф на граждан в размере от пятисот до одной тысячи рублей с
конфискацией несертифицированных средств защиты информации или
без таковой; на должностных лиц - от одной тысячи до двух тысяч
рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей
с конфискацией несертифицированных средств защиты информации
или без таковой.
Статья 13.14. Разглашение информации с ограниченным
доступом
Штраф на граждан в размере от пятисот до одной тысячи рублей; на
должностных лиц - от четырех тысяч до пяти тысяч рублей.
38

39.

Кодекс АП
Статья 19.7. Непредставление сведений (информации)
Непредставление или несвоевременное представление в
государственный орган (должностному лицу) сведений
(информации) … влечет предупреждение или наложение штрафа
на граждан в размере от ста до трехсот рублей; на должностных
лиц - от трехсот до пятисот рублей; на юридических лиц - от трех
тысяч до пяти тысяч
39

40.

Трудовой кодекс
Статья 90. Ответственность за нарушение норм, регулирующих
обработку и защиту персональных данных работника
… привлекаются к дисциплинарной и материальной ответственности, а
также привлекаются к гражданско-правовой, административной и
уголовной ответственности…
40

41.

ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1)
права и обязанности субъектов правоотношений в области
информатизации и защиты информации;
разделение информации на категории открытого и ограниченного
доступа, при этом информация ограниченного доступа по условиям её
правового режима подразделяется на отнесенную к государственной
тайне и конфиденциальную;
отнесение ряда сведений (служебной и коммерческой тайн,
персональных данных и др.) к сведениям конфиденциального
характера;
введение правового режима защиты информации, неправомерное
обращение с которой может нанести ущерб ее собственнику, владельцу
или пользователю, устанавливаемого в отношении информации с
ограниченным доступом собственником информационных ресурсов
или уполномоченным лицом;
порядок организации работ по защите информации, структуру и
основные функции государственной системы защиты информации от
ее утечки по техническим каналам;
41

42.

ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2)
порядок лицензирования деятельности предприятий в области технической
защиты конфиденциальной информации, разработки и производства средств
защиты конфиденциальной информации и сертификации средств защиты
информации на соответствие требованиям безопасности информации;
возложение ответственности за организацию деятельности систем
лицензирования и сертификации на федеральные органы исполнительной
власти и разграничение сфер их компетенции;
необходимость создания специальных служб (подразделений),
обеспечивающих защиту информации с ограниченным доступом, которая
является обственностью государства, а также необходимость контроля
защищенности информации и права запрещать или приостанавливать
обработку информации в случае невыполнения требований по защите
информации;
введение ответственности за обеспечение требований по технической
защите информации, которая возлагается на руководителей учреждений
и предприятий, эксплуатирующих объекты информатизации;
порядок организации и проведения контроля эффективности мероприятий
42
по защите информации ограниченного доступа и др. каналам;

43.

Актуальные угрозы безопасности информации
Угроза информационной безопасности автоматизированной
системы – это возможность реализации воздействия на информацию,
обрабатываемую в автоматизированной
системе, приводящего
к нарушению конфиденциальности, целостности или доступности
этой информации, а также возможность воздействия на компоненты
автоматизированной системы, приводящего к их утрате, уничтожению
или сбою функционирования.
43

44.

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Угроза – любое обстоятельство или событие, способное
причинить информационной системе вред в виде разрушения,
раскрытия, искажения информации или вызывающее отказ в
обслуживании
Угроза безопасности информации - потенциальная возможность
нарушения основных качественных характеристик (свойств)
информации при ее обработке техническими средствами:
конфиденциальности, целостности, доступности.
Примерная структура возможных источников
угроз
конфиденциальной информации
82% - собственные
17% технические
средства
разведки;
конкурирующие
фирмы, клиенты,
контрагенты;
криминальные
структуры,
террористы
сотрудники
организаций
1% - случайные
люди
44

45.

Структура основных причин утраты и
модификации информации
По данным исследовательского центра Data Pro Research (США)
10% затопление
водой
15% - пожары
10% - отказ
оборудования
10% умышленные
действия
персонала
52% неумышленны
е действия
персонала
45

46.

Структура основных целей (мотивов)
умышленных действий персонала, приведших к
утрате и модификации информации
По данным исследовательского центра Data Pro Research (США)
2% - другие
мотивы
16% - хищение
конфиденциальн
ой информации
16% повреждение
ПО
12% - фальсификация
информации
10% - заказ
услуг за
чужой счёт
44% - кража
денег с
электронных
счетов
46

47.

ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Правовые
Лицензирован
ие
Сертификаци
я СЗИ
Аттестация
ОИ
Организационнотехнические
Разработка и
внедрение
технических решений
по защите
Решения
по
информации
Решения
защите
по защите
информаци
информаци
и от утечки
и от НСД к
по
ней
технически
м каналам
Экономические
Разработка и
применение средств
защиты информации
Средства
защиты
информации
от утечки по
технически
м каналам
Средства
защиты
информаци
и от НСД
к ней
47

48.

При ведении переговоров и использовании технических средств
для обработки и передачи информации возможны следующие
каналы утечки и источники угроз безопасности информации:
акустическое излучение информативного речевого сигнала;
электрические сигналы, возникающие посредством преобразования
информативного сигнала из акустического в электрический за счет
микрофонного эффекта и распространяющиеся по проводам и линиям,
выходящими за пределы КЗ;
виброакустические сигналы, возникающие посредством преобразования
информативного акустического сигнала при воздействии его на строительные
конструкции и инженерно-технические коммуникации защищаемых
помещений;
несанкционированный доступ и несанкционированные действия по
отношению к информации в автоматизированных системах, в том числе с
использованием информационных сетей общего пользования;
воздействие на технические или программные средства информационных
систем в целях нарушения конфиденциальности, целостности и доступности
информации, работоспособности технических средств, средств защиты
информации посредством специально внедренных программных средств;

49.

побочные электромагнитные излучения информативного сигнала от
технических средств, обрабатывающих конфиденциальную информацию, и
линий передачи этой информации;
наводки информативного сигнала, обрабатываемого техническими
средствами, на цепи электропитания и линии связи, выходящие за пределы
КЗ;
радиоизлучения, модулированные информативным сигналом, возникающие
при работе различных генераторов, входящих в состав технических средств,
или при наличии паразитной генерации в узлах (элементах) технических
средств;
радиоизлучения или электрические сигналы от внедренных в технические
средства и защищаемые помещения специальных электронных устройств
перехвата
речевой
информации
"закладок",
модулированные
информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств
перехвата информации, подключенных к каналам связи или техническим
средствам обработки информации;
прослушивание ведущихся телефонных и радиопереговоров;
просмотр информации с экранов дисплеев и других средств ее отображения,
бумажных и иных носителей информации, в том числе с помощью
оптических средств;
хищение технических средств с хранящейся в них информацией или
отдельных носителей информации.

50.

Перехват информации или воздействие на нее с использованием
технических средств могут вестись
из-за границы КЗ из близлежащих строений и транспортных средств;
из смежных помещений, принадлежащих другим учреждениям (предприятиям) и
расположенным в том же здании, что и объект защиты;
при посещении учреждения (предприятия) посторонними лицами;
за счет несанкционированного доступа (несанкционированных действий) к
информации, циркулирующей в АС, как с помощью технических средств АС, так
и через информационные сети общего пользования
Аппаратура перехвата или воздействия на информацию и технические
средства
возимые и носимые (портативные) устройства, размещаемые вблизи объекта
защиты
подключаемые к каналам связи или техническим средствам обработки
информации
электронные устройства перехвата информации "закладки", размещаемые
внутри или вне защищаемых помещений
Кроме перехвата информации техническими средствами возможно
непреднамеренное попадание защищаемой информации к лицам,
не допущенным к ней, но находящимся в пределах КЗ

51.

Выявление и учет
факторов
воздействующих или
могущих воздействовать
на
защищаемую информацию
в конкретных условиях
угроз безопасности информации
!
составляет основу для планирования и осуществления
мероприятий, направленных на защиту информации на
объекте информатизации
Перечень необходимых мер защиты информации
по результатам
обследования
объекта
информатизации
определяется
с учетом соотношения
затрат на защиту
информации с
возможным ущербом
для нее
с учетом реальных
возможностей ее перехвата
и раскрытия ее содержания

52.

Основное внимание должно быть уделено защите информации, в отношении
которой угрозы безопасности информации реализуются без применения
сложных технических средств перехвата информации
• речевой информации, циркулирующей в защищаемых помещениях;
• информации, обрабатываемой средствами вычислительной техники, от
несанкционированного доступа и несанкционированных действий;
• информации, выводимой на экраны видеомониторов;
• информации, передаваемой по каналам связи, выходящим за пределы КЗ.
Разработка мер и обеспечение защиты информации осуществляются
подразделениями по защите информации (службами безопасности)
отдельными специалистами
сторонними предприятиями, имеющими соответствующие лицензии
ФСТЭК и/или ФСБ на право оказания услуг в области защиты информации
Для
защиты
информации
необходимо
серт