361.97K
Категория: ИнформатикаИнформатика

Правовые основы обеспечения безопасности информационных технологий

1.

Правовые основы обеспечения
безопасности информационных технологий
Бленда Н.А.
Челябинский Государственный Университет
Институт информационных технологий

2.

Способы нанесения ущерба
1. Раскрытие (утечка) информации
2. Потеря целостности
3. нарушение работоспособности автоматизированной системе
4. Незаконное тиражирование информации

3.

Меры обеспечения безопасности
правовые
Организационные
Морально-этические
Физические,
технологические и
технические

4.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Данный закон является базовым законодательным актом в сфере информатизации и
защиты информации, регулирующим “отношения, возникающие при:
1. осуществлении права на поиск, получение, передачу, производство и
распространение информации;
2. применении информационных технологий;
3. обеспечении защиты информации”.

5.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Статья 2 – основные понятия, определения:
информация - “сведения (сообщения, данные) независимо от формы их представления;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки,
предоставления, распространения информации и способы осуществления таких
процессов и методов;
информационная система - совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий и технических средств;
информационно-телекоммуникационная сеть – технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
Инф.
Internet

6.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Статья 2 – основные понятия, определения:
обладатель информации - лицо, самостоятельно
создавшее информацию либо получившее на основании
закона или договора право разрешать или ограничивать
доступ к информации, определяемой по каким-либо
признакам;
Инф.
доступ к информации - возможность получения информации и её
использования;
конфиденциальность информации - обязательное для выполнения лицом, получившим
доступ к определенной информации, требование не передавать такую информацию
третьим лицам без согласия её обладателя;
Инф.
Я никому ничего не скажу!!!

7.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Статья 2 – основные понятия, определения:
предоставление информации - действия, направленные на получение информации
определенным кругом лиц или передачу информации определенному кругу лиц;
Говорухин
Сидоров
Список:
1. Иванов
2. Петров
3. Сидоров
Инф.
распространение информации - действия, направленные на получение информации
неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

8.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Статья 2 – основные понятия, определения:
электронное сообщение - информация, переданная или полученная пользователем
информационно-телекоммуникационной сети;
оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том числе
по обработке информации, содержащейся в ее базах данных”.
документированная информация - зафиксированная на материальном носителе путём
документирования информация с реквизитами, позволяющими определить такую
информацию или в установленных законодательством Российской Федерации случаях ее
материальный носитель;
целесообразней было бы воспользоваться определением документа из Федерального
закона № 77-ФЗ «Об обязательном экземпляре документов»: документ-материальный
носитель с зафиксированной на нём в любой форме информацией в виде текста,
звукозаписи, изображения и (или) их сочетания, который имеет реквизиты,
позволяющие его идентифицировать, и предназначен для передачи во времени и в
пространстве в целях общественного использования и хранения.

9.

ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
законодательные и другие
нормативные акты;
Информация,
составляющая
государственную тайну
Информация, соблюдение
конфиденциальности, которой
установлено ФЗ
информации о состоянии
окружающей среды;
ФЗ «О государственной
тайне» от 21 июня 1993г.
№ 5485-I
в редакции 19.07.2011
№248-ФЗ
ФЗ от 29 июля 2004 г.№ 98
«О коммерческой тайне»;
в редакции от 11.07.2011
информации о
деятельности
государственных органов
и органов местного
самоуправления, а также
об использовании
бюджетных средств;
информации,
накапливаемой в
открытых фондах
библиотек, музеев и
архивов.
ФЗ от 27 июля 2006 г.N152
«О персональных данных»;
в редакции от 25.07.2011 №261ФЗ
Указ Президента РФ от 6 марта
1997 года г. № 188
Об утверждении перечня
сведений конфиденциального
характера с изменениями и
дополнениями от 23 сентября
2005 г.

10.

ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ
Данный закон регулирует сферу, связанную с обработкой и защитой информации,
составляющую государственную тайну.
В законе подробно перечисляются полномочия органов государственной власти и
должностных лиц в области отнесения сведений к государственной тайне и их защиты
Закон подробно описывает порядок отнесения сведений к государственной тайне и
порядок засекречивания сведений и их носителей.
государственная тайна - защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной и
оперативно-розыскной деятельности, распространение которых может нанести
ущерб безопасности Российской Федерации. (статья 2)
Статья 5 содержит совокупность категорий сведений, в соответствии с которыми
сведения относятся к государственной тайне и засекречиваются на основаниях и в
порядке, установленных федеральным законодательством. “Государственную
тайну”

11.

ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ
Статья 7: сведения, не подлежащие засекречиванию:
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью
граждан,…;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством
гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах Российской
Федерации;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными
лицами”
Общедоступные
- о состоянии экологии, здравоохранения, санитарии, демографии, образования,
культуры, сельского хозяйства, а также о состоянии преступности;

12.

ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ
Статья 20 - органы защиты государственной тайны:
- межведомственная комиссия по защите государственной тайны;
- федеральный орган исполнительной власти, уполномоченный в
области
обеспечения
безопасности,
федеральный
орган
исполнительной власти, уполномоченный в области обороны,
федеральный орган исполнительной власти, уполномоченный в
области внешней разведки, федеральный орган исполнительной
власти, уполномоченный в области противодействия техническим
разведкам и технической защиты информации, и их территориальные
органы;
- органы государственной власти, предприятия, учреждения и
организации и их структурные подразделения по защите
государственной тайны

13.

ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ
Допуск предприятий, учреждений и организаций
к
проведению работ, связанных с использованием сведений, составляющих
государственную тайну, созданием средств защиты информации, а также с
осуществлением мероприятий и (или) оказанием услуг по защите государственной
тайны,
осуществляется путем получения ими в порядке, устанавливаемом Правительством
Российской Федерации, лицензий на проведение работ со сведениями
соответствующей степени секретности.
средства защиты информации должны
иметь сертификат, удостоверяющий их
соответствие требованиям по защите
сведений соответствующей степени
секретности

14.

указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению
информационной безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного информационного
обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
Пункт 1 а) : подключение информационных систем, информационнотелекоммуникационных сетей и средств вычислительной техники, применяемых
для хранения, обработки или передачи информации, содержащей сведения,
составляющие государственную тайну, либо информации, обладателями
которой являются государственные органы и которая содержит сведения,
составляющие служебную тайну, к информационно-телекоммуникационным
сетям, позволяющим осуществлять передачу информации через государственную
границу Российской Федерации, в том числе к международной компьютерной
сети "Интернет" (далее информационно-телекоммуникационные сети
международного информационного обмена), не допускается;

15.

указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению
информационной безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного информационного
обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
НО
нигде не поясняется, что такое эта “необходимость”. Тем
более, что данный случай более нигде не упоминается в
других руководящих документах. Так что лучше
придерживается положения подпункта а).
Пункт 1 б) : при необходимости (???) подключения информационных систем,
информационно-телекоммуникационных сетей и средств вычислительной
техники, указанных в подпункте "а" настоящего пункта, к информационнотелекоммуникационным сетям международного информационного обмена такое
подключение производится только с использованием специально
предназначенных для этого средств защиты информации, в том числе
шифровальных (криптографических) средств, прошедших в установленном
законодательством Российской Федерации порядке сертификацию в
Федеральной службе безопасности Российской Федерации и (или) получивших
подтверждение соответствия в Федеральной службе по техническому и
экспортному контролю. Выполнение данного требования является обязательным
для операторов информационных систем, владельцев информационнотелекоммуникационных сетей и (или) средств вычислительной техники;

16.

указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению
информационной безопасности Российской Федерации при использовании
информационно-телекоммуникационных сетей международного информационного
обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
НО
Пункт 1 г) : государственные органы в целях защиты общедоступной информации,
размещаемой в информационно-телекоммуникационных сетях международного
информационного обмена, используют только средства защиты информации,
прошедшие в установленном законодательством Российской Федерации порядке
сертификацию в Федеральной службе безопасности Российской Федерации и
(или) получившие подтверждение соответствия в Федеральной службе по
техническому и экспортному контролю;
Государственные
органы
Internet

17.

ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ
Основные положения данного закона, регулируют отношения, связанные с
обработкой персональных данных, осуществляемой органами власти всех уровней,
“юридическими лицами, физическими лицами с использованием средств
автоматизации или без использования таких средств, если обработка персональных
данных без использования таких средств соответствует характеру действий
(операций), совершаемых с персональными данными с использованием средств
автоматизации”.
Персональные данные - любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и
место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация.
Особо важным условием обработки персональных данных следует
считать обязательное согласие на это самого субъекта!!!
Закон подробно определяет также условия доступа субъекта к обрабатываемым
оператором данным, взаимоотношения оператора и субъекта, и что особенно важно,
даёт субъекту право в любой момент отозвать согласие на обработку его персональных
данных.

18.

НО
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ
Согласие не требуется в случаях:
1.
обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее
цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат
обработке, а также определяющего полномочия оператора;
2.
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого
является субъект персональных данных;
3.
обработка персональных данных осуществляется для статистических или иных научных целей при условии
обязательного обезличивания персональных данных;
4.
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных
интересов субъекта персональных данных, если получение согласия субъекта персональных данных
невозможно;
5.
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой
связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные
услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6.
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в
целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются
права и свободы субъекта персональных данных; (очень размытая формулировка)
7.
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с
федеральными законами, в том числе персональных данных лиц, замещающих государственные должности,
должности государственной гражданской службы, персональных данных кандидатов на выборные
государственные или муниципальные должности.

19.

ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ
Персональная
информация
Имеется согласие субъекта
Особые случаи, когда согласие
субъекта не требуется
Обязательным условием обработки персональных данных является
конфиденциальность
“ не допускать их распространение без согласия субъекта персональных данных
или наличия иного законного основания ”

20.

ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ
Письменная форма согласия субъекта на обработку его данных:
1) ФИО, адрес, номер документа, удостоверяющего его личность, сведения о дате
его выдачи и выдавшем его органе;
2) наименование (ФИО) и адрес оператора, получающего согласие субъекта
персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие
субъекта;
5) перечень действий с персональными данными, на совершение которых дается
согласие, общее описание используемых оператором способов обработки
персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.

21.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
ФЗ регулирует отношения, связанные с установлением, изменением и прекращением
режима коммерческой тайны в отношении информации, составляющей секрет
производства (ноу-хау).
“коммерческая тайна - режим конфиденциальности информации, позволяющий ее
обладателю при существующих или возможных обстоятельствах увеличить доходы,
избежать неоправданных расходов, сохранить положение на рынке товаров, работ,
услуг или получить иную коммерческую выгоду”. То есть как режим
конфиденциальности информации.
Информация составляющую коммерческую тайну (секрет производства), - “сведения
любого характера (производственные, технические, экономические, организационные
и другие), в том числе о результатах интеллектуальной деятельности в научнотехнической сфере, а также сведения о способах осуществления профессиональной
деятельности, которые имеют действительную или потенциальную коммерческую
ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет
свободного доступа на законном основании и в отношении которых обладателем таких
сведений введен режим коммерческой тайны”.
“право на отнесение информации к информации, составляющей коммерческую тайну, и
на определение перечня и состава такой информации принадлежит обладателю такой
информации ”
>>
НО

22.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
сведения, которые не могут составлять коммерческую тайну: (статья 5)
1) содержащиеся “в учредительных документах юридического лица, документах, подтверждающих факт
внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие
государственные реестры”;
2) содержащиеся “в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного
учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарноэпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах,
оказывающих негативное воздействие на обеспечение безопасного функционирования производственных
объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране
труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии
свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за
совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной
собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их
расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в
деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена
иными федеральными законами”.

23.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Режим коммерческой тайны считается установленным, если обладателем
информации выполнены следующие условия:
“1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем
установления порядка обращения с этой информацией и контроля за соблюдением
такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и
(или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и контрагентами
на основании гражданско-правовых договоров;
5) нанесение на материальные носители (документы), содержащие информацию,
составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием
обладателя этой информации (для юридических лиц - полное наименование и место
нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество
гражданина, являющегося индивидуальным предпринимателем, и место жительства)”.

24.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14:
“нарушение настоящего Федерального закона влечет за собой
дисциплинарную, гражданско-правовую, административную или
уголовную ответственность в соответствии с законодательством
Российской Федерации”
Уголовный кодекс РФ 63-ФЗ
Кодекс РФ об административных
нарушениях 195-ФЗ

25.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14: административное наказание:
Кодекс РФ об административных нарушениях 195-ФЗ
Статья 13.14
Разглашение информации с ограниченным доступом
13.14. Разглашение информации, доступ к которой ограничен федеральным законом
(за исключением случаев, если разглашение такой информации влечет уголовную
ответственность), лицом, получившим доступ к такой информации в связи с
исполнением служебных или профессиональных обязанностей, за исключением
случаев, предусмотренных частью 1 статьи 14.33 (недобросовестная конкуренция)
настоящего Кодекса
влечет наложение административного штрафа на граждан в размере от пятисот до
одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

26.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую
или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую
тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным
способом наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного до шести
месяцев, либо исправительными работами на срок до одного года, либо
принудительными работами на срок до двух лет, либо лишением свободы на тот же
срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

27.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую
или банковскую тайну
2. Незаконные разглашение или использование сведений, составляющих
коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом,
которому она была доверена или стала известна по службе или работе, наказываются штрафом в размере до ста двадцати тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до одного года с
лишением права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет, либо исправительными работами на срок до двух
лет, либо принудительными работами на срок до трех лет, либо лишением свободы на
тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

28.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую
или банковскую тайну
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной
заинтересованности, наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной
платы или иного дохода осужденного за период до восемнадцати месяцев с
лишением права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет, либо принудительными работами на срок до пяти
лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

29.

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение
сведений, составляющих коммерческую, налоговую
или банковскую тайну
4. Деяния, предусмотренные частями второй или третьей настоящей статьи,
повлекшие тяжкие последствия, наказываются принудительными работами на срок до пяти лет либо лишением
свободы на срок до семи лет.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

30.

Государственная система
защиты информации

31.

Государственная система защиты информации:
- совокупность органов
- исполнителей
- техники защиты информации
- объекты защиты
организованная и функционирующая по правилам, установленным
соответствующими правовыми, организационно-распорядительными и
нормативными документами в области защиты информации.
Является составной частью системы обеспечения национальной
безопасности Российской Федерации и призвана защищать безопасность
государства от внешних и внутренних угроз в информационной сфере.

32.

Государственная система защиты информации как сложная система
включает в себя:
• подсистемы лицензирования деятельности предприятий в области
защиты информации
• сертификации средств защиты информации
• аттестации объектов информатизации по требованиям безопасности
информации
Организацию деятельности государственной системы технической защиты
информации на федеральном, межрегиональном, региональном,
отраслевом и объектовом уровнях, а также руководство указанной
Государственной системой осуществляет ФСТЭК России (Федеральная
служба по техническому и экспортному контролю).

33.

Выше перечисленные подсистемы представляют в совокупности деятельность
следующих органов:
•Федеральная служба технического и экспортного контроля (ФСТЭК России) и
ее территориальные органы (региональные управления в субъектах
Российской Федерации)
•Федеральные органы исполнительной власти, другие органы и организации
Российской Федерации, руководящие работники которых входят в состав
коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД,
МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР,
ГУСП, РАН, ЦБР)
•Структурные подразделения по защите информации федеральных органов
исполнительной власти, других органов государственной власти и
организаций Российской Федерации
•Предприятия, проводящие работы с использованием сведений, отнесенных к
информации ограниченного доступа, и их подразделения по защите
информации
•Научно-исследовательские организации по проблемам защиты информации

34.

>> продолжение
•Организации-разработчики средств защиты информации, защищенных
технических средств и средств контроля эффективности защиты информации
•Предприятия, оказывающие услуги в области защиты информации
•Организации Федерального агентства по техническому регулированию и
метрологии (бывшего Госстандарта России), выполняющие работы по
стандартизации в области защиты информации
•Органы системы лицензирования деятельности в области защиты
информации
•Органы системы сертификации средств защиты информации
•Органы системы аттестации объектов защиты по требованиям безопасности
информации

35.

Функционирование государственной системы защиты информации осуществляется
на основании законности:
• Конституция Российской Федерации
• ФЗ «О безопасности» №390-ФЗ от 28.12.2010г.
• ФЗ «О государственной тайне» 21 июля 1993, в редакции 19.07.2011 №248-ФЗ
• ФЗ «Об информации, информатизации и защите информации» ФЗ-149 с
изменениями от 21.07.2011 № 252-ФЗ
• ФЗ «Об участии в международном информационном обмене»
• Доктрина информационной безопасности Российской Федерации утв.
Президентом РФ 09.09.2000 N Пр-1895 с изменениями от 2003 г
• Положение о государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от утечки по
техническим (утверждено Постановлением Совета Министров – Правительства Российской
Федерации от 15 сентября 1993 г. №912–51)
• Указы президента Российской Федерации (№1085 от 16.8.2004 г.)
• Постановления правительства Российской Федерации
• Другие правовые акты федеральных органов власти в области защиты
информации

36.

6. Главными направлениями работ по защите информации являются:
- обеспечение эффективного управления системой защиты информации;
- определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих
эти сведения;
- анализ и оценка реальной опасности перехвата информации техническими средствами разведки,
несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных
программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах,
выявление возможных технических каналов утечки сведений, подлежащих защите;
- разработка организационно-технических мероприятий по защите информации и их реализация;
- организация и проведение контроля состояния защиты информации.
7. Основными организационно-техническими мероприятиями по защите информации являются:
- лицензирование деятельности предприятий в области защиты информации;
- аттестование объектов по выполнению требований обеспечения защиты информации при
проведении работ со сведениями соответствующей степени секретности;
- сертификация средств защиты информации и контроля за ее эффективностью, систем и средств
информатизации и связи в части защищенности информации от утечки по техническим каналам;
- категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в
оборонной, экономической, политической, научно-технической и других сферах деятельности;
- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
- оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку
объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;
- введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах
использования технических средств, подлежащих защите;
- создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
- разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации
вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и
средств информатизации и связи;
- разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их
использование;
- применение специальных методов, технических мер и средств защиты, исключающих перехват информации,
передаваемой по каналам связи.
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических
разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской
Федерации от 15 сентября 1993 г. №912–51)

37.

ФЗ Об информации, информатизации и защите информации - ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий
и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную,
гражданско-правовую, административную или уголовную ответственность в соответствии с
законодательством Российской Федерации.
КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ (N 195-ФЗ 30.12.2001)
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты
информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на
должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч
рублей.
(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)
(см. текст в предыдущей редакции)
2. Использование несертифицированных информационных систем, баз и банков данных, а также
несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за
исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с
конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с
конфискацией несертифицированных средств защиты информации или без таковой.
...

38.

Цели государственной системы информационной безопасности:
Обеспечение условий, способствующих реализации политики
Российской Федерации в сфере безопасности Государства,
Содействие экономическому и научно - техническому прогрессу страны,
Предотвращение или существенное снижение ущерба национальной
безопасности Российской Федерации с использованием методов и
средств защиты информации

39.

Решаемые задачи для достижения целей:
•Проведение единой технической политики, организация и координация работ по защите
информации в военной, экономической, научно-технической и других сферах деятельности
•Исключение или существенное затруднение добывания информации техническими
средствами разведки
•Принятие правовых актов, регулирующих отношения в области защиты информации
•Организация сил, создание средств защиты информации и контроля их эффективности
•Контроль состояния защиты информации в органах государственной власти и на
предприятиях
•Анализ состояния государственной системы, выявление ключевых проблем в области
защиты информации
•Определение приоритетных направления государственной системы защиты информации
•Нормативно-методическое и информационное обеспечение работ по защите информации

40.

Организационная структура системы
обеспечения безопасности
информационных технологий.
Распределение функций.
Система нормативно-методических и
организационно-распорядительных
документов организации по
обеспечению безопасности
информационных технологий.

41.

целью создания системы обеспечения безопасности информационных технологий
является предотвращение или минимизация ущерба (прямого или косвенного,
материального, морального или иного), наносимого субъектам информационных
отношений посредством нежелательного воздействия на информацию, ее носители и
процессы обработки.
задачей системы защиты является обеспечение необходимого уровня доступности,
целостности и конфиденциальности компонентов (ресурсов) АС соответствующими
множеству значимых угроз методами и средствами.

42.

Субъекты, влияющие на состояние информационной безопасности

43.

Субъекты, влияющие на состояние информационной безопасности
•сотрудников структурных подразделений (конечных пользователей АС), решающих свои
функциональные задачи с применением средств автоматизации;
•программистов, осуществляющих разработку (приобретение и адаптацию) необходимых
прикладных программ (задач) для автоматизации деятельности сотрудников организации;
•сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное
функционирование и установленный порядок инсталляции и модификации прикладных программ
(задач);
•сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и
обслуживание технических средств обработки и передачи информации и системного программного
обеспечения;
•системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
•сотрудников подразделения защиты информации, оценивающих состояние информационной
безопасности, определяющих требования к системе защиты, разрабатывающих организационнораспорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих
специализированные дополнительные средства защиты (администраторов безопасности);
•руководителей организации, определяющих цели и задачи функционирования АС, направления
ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих
основные документы, регламентирующие порядок безопасной обработки и использования
защищаемой информации сотрудниками организации.
на информационную безопасность организации могут оказывать влияние посторонние лица и
сторонние организации, предпринимающие попытки вмешательства в процесс нормального
функционирования АС или несанкционированного доступа к информации как локально, так и
удаленно.

44.

Распределение функций по ОИБ
Реализация подразделениями и отдельными сотрудниками организации функций по
ОИБ осуществляется в соответствии с разработанными и утвержденными руководством
организационно-распорядительными документами (положениями, инструкциями,
обязанностями, перечнями, формулярами и т.п.)
По некоторому абстрактному предприятию для обеспечения безопасности:
Служба безопасности (отдел защиты информации)
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
Управление автоматизации (фонд алгоритмов и программ – ФАП)
Все Управления и отделы (структурные подразделения) организации

45.

Распределение функций по ОИБ
Служба безопасности (отдел защиты информации)
Выполнение различных мероприятий по созданию и поддержанию работоспособности системы
защиты должно быть возложено на специальную службу - службу компьютерной безопасности.
Служба обеспечения безопасности информации должна представлять собой систему штатных
подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту
информации.
• определяет критерии, по которым различные АРМ относятся к той или иной категории по требуемой
степени защищенности, и оформляет их в виде «Положения об определении требований по защите
(категорировании) ресурсов»;
• определяет типовые конфигурации и настройки программно-аппаратных средств защиты
информации для АРМ различных категорий (требуемых степеней защищенности);
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач)
проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с
точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной
группе по степени защищенности;
• совместно с отделом технического обслуживания Управления автоматизации проводит работы по
установке на АРМ программно-аппаратных средств защиты информации;
• согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные
в подразделениях организации;
• обеспечивает проведение необходимых дополнительных специальных мероприятий по
обеспечению безопасности информации;
• определяет организацию, методики и средства контроля эффективности противодействия попыткам
несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс
функционирования АС.

46.

Распределение функций по ОИБ
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач)
проводит анализ возможности решения указанных задач на конкретных АРМ и уточнение содержания
необходимых для этого изменений в конфигурации аппаратных и программных средств АРМ;
• на основе утвержденных заявок начальников подразделений установленным порядком производит:
• установку (развертывание, обновление версий) программных средств, необходимых для решения на
АРМ конкретных задач (используя полученные в ФАП дистрибутивы и формуляры задач);
• удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
• установку (развертывание) новых АРМ (ПЭВМ) или подключение дополнительных устройств (узлов,
блоков), необходимых для решения на АРМ конкретных задач;
• изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков), необходимость в использовании
которых отпала, предварительно осуществляя установленным порядком затирание остаточной
информации на изымаемых машинных носителях;
• принимает участие в заполнении (корректировке сведений) формуляров АРМ и выдаче предписаний
к эксплуатации АРМ;

47.

Распределение функций по ОИБ
Управление автоматизации (фонд алгоритмов и программ – ФАП)
• ведет общий перечень задач, решаемых в АС организации;
• по запросу начальников подразделений организации предоставляет общий перечень и
копии формуляров конкретных задач, решаемых в АС;
• совместно с отделами разработки и сопровождения Управления автоматизации и
отделом защиты информации оформляет формуляры установленного образца на новые
функциональные задачи АС, сдаваемые в ФАП;
• хранит установленным порядком и осуществляет резервное копирование и контроль
целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП
программных пакетов;
• осуществляет выдачу установленным порядком (во временное пользование)
специалистам отдела технического обслуживания Управления автоматизации
лицензионных дистрибутивов или эталонных носителей программных пакетов (их
целостных копий) для их развертывания или обновления на АРМ АС организации по
заявкам начальников отделов.

48.

Распределение функций по ОИБ
Все Управления и отделы (структурные подразделения) организации
• определяют функциональные задачи, которые должны решаться в подразделении с
использованием АРМ АС организации;
• все необходимые изменения в конфигурации АРМ и полномочиях пользователей
подразделения осуществляют на основе заявок в соответствии с "Инструкцией по
внесению изменений в списки пользователей АС организации и наделению их
полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и
техническому обслуживанию программного обеспечения и аппаратных средств АРМ
автоматизированной системы организации";
• заполняют формуляры АРМ и представляют их на утверждение в отдел технической
защиты Управления безопасности;
• обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты
информации.

49.

Положение
О защите коммерческой тайны некоторого
предприятия

50.

Коммерческая тайна 4.1 – общие положения:
А) Что является коммерческой
“ПЕРЕЧЕНЬ” – перечень сведений, составляющих коммерческую тайну
Все что входит в ПЕРЕЧЕНЬ – коммерческая тайна!!!
Б) Изменение списка коммерческой тайны
Изменение ПЕРЕЧНЯ
Генеральный директор
Формирование списков
информации содержащей
коммерческую тайну
подразделения

51.

4.2 – доступ к информации, составляющей коммерческую тайну:
Сторонние лица –гос. Служащие
при посещении предприятия
Предприятие
Информация
1. Обязательство о
неразглашении
(прил2)
2. Копия обязательства
3. Отчет о пребывании на территории
(прил3)
Спец
отдел
1. Ознакомиться с
ПЕРЕЧНЕМ
2. Обязательство о
неразглашении
(прил1)

52.

4.3 – Передача и предоставление информации:
Гос. Органы. Суды.
Предприятие
Контр. Агент
Информация
язательства,
б
О
,
ь
н
е
ч
е
р
е
П
л 4.
Договор – при
а
ь
ектор
р
и
Ответсвенност
д
го
ль н о
а
р
е
ю ген
и
н
е
ш
разре
о
п
о
Тольк
СМИ, правоохранительные
органы
Передача курьером.
нарочным

53.

4.3 – Передача и предоставление информации:
Предприятие
Информация
А
Б
В виде магнитных носителей. Или
запечатанных пакетах,
Кроме п 4.3.7 – гражданскко-правовые
договора идр информационных
систем >> cлед слайд >

54.

4.4 – доступ к информации, обрабатываемой в корпоративной сети:
Предприятие
Информация
А
Б
1.
2.
3.
4.
Заявка
Разрешение от правообладателя
Согласование со спец отделом
Ознакомление с требованиями
нормативных документов,
устанавливающих режим
коммерческой тайны

55.

4.5 Порядок обращения с документами и носителями информации
1.
2.
3.
4.
5.
6.
Регистрация документов
Тиражирование и копирование
Уничтожение удаление документов
Учет документов
Выдача документов для исполнителей
Рассылка документов внутри организации

56.

5 – Требования по защите информации в помещениях. Предназначенных для
проведения совещаний по вопросам. Составляющим коммерческую тайну

57.

6 – Требования к серверам и рабочим станциям
рабочие станции
Содержание
Замки, опечатывающие
устройства, сигнализация
Обработка –объект обрабатывает, но не
содержит информацию
Составляется перечень рабочих станций
В структурном подразделении
Предоставляется в спец отдел
пребывание посторонних лиц, только под наблюдением ответственного лица, и
уборка.

58.

6 – Требования к серверам и рабочим станциям
Сервера
1. Регистрация пользователей (индивидуальное имя и пароль)
не менее 8 символов
2. Разграничение доступа (чтение, запись, изменение)
3. Ведение электронных журналов
сервера находятся в отдельных помещениях, с железными дверями, замками,
охранной сигнализацией + автоматизированные системы контроля
управления доступом и системами видеонаблюдения
Список лиц, имеющие доступ в помещения
English     Русский Правила