1.40M

Category:

law

Нормативно-правовая база в области защиты информации. Основные понятия, термины и определения

1.

Лекция
Нормативно-правовая база в
области защиты информации.
Основные понятия, термины
и определения.

Структура правовой защиты информации
Правовая защита информации
Специальные правовые акты, правила, процедуры и мероприятия,
обеспечивающие защиту информации на правовой основе
Международное право
Декларации
Патенты
Авторские права
Лицензии
Внутригосударственное
право
Государственные
Конституция
Законы
Указы
Постановления
Ведомственные
Приказы
Руководства
Положения
Инструкции ит.д.

3.

Система документов в области технической
защиты информации (ФСТЭК)
Правовые документы по технической
защите информации
Конституция Российской Федерации
Федеральные законы (Законы Российской Федерации)
Указы и распоряжения Президента Российской Федерации
Постановления Правительства Российской Федерации
Организационно-распорядительные документы
по технической защите информации
Концепции
Положения
Специальные нормативные документы по
технической защите информации
Государственные стандарты
Специальные нормативные документы

4.

“Положение о государственной системе защиты информации
в Российской Федерации от иностранных технических
разведок и от ее утечки по техническим каналам”
Утверждено постановлением Совета Министров –
Российской Федерации от 15 сентября 1993 г. № 912-51.
Правительством
Определяет задачи и структуру государственной система
защиты информации в Российской Федерации.
Является документом, обязательным для выполнения при
проведении работ по защите информации, содержащей
сведения, составляющие государственную или служебную
тайну, во всех органах власти и прочих организациях
независимо от их организационно-правовой формы и формы
собственности.
Мероприятия по защите информации являются составной
частью управленческой, научной и производственной
деятельности и осуществляются во взаимосвязи с другими
мерами по обеспечению установленного режима секретности
проводимых работ.

5.

Главные направления работ
по защите информации
обеспечение эффективного управления системой защиты
информации;
определение сведений, охраняемых от технических средств
разведки, и демаскирующих признаков, раскрывающих эти
сведения;
анализ и оценка реальной опасности перехвата информации
техническими средствами разведки, несанкционированного
доступа, разрушения (уничтожения) или искажения
информации
путем
преднамеренных
программнотехнических воздействий в процессе ее обработки, передачи
и хранения в технических средствах, выявление возможных
технических каналов утечки сведений, подлежащих защите;
разработка организационно-технических мероприятий по
защите информации и их реализация;
организация и проведение контроля состояния защиты
информации.

6.

Основные организационно-технические
мероприятиям по защите информации
лицензирование деятельности предприятий в области защиты
информации;
аттестование объектов по выполнению требований
обеспечения защиты информации при проведении работ со
сведениями соответствующей степени секретности;
сертификация средств защиты информации и контроля за ее
эффективностью, систем и средств информатизации и связи в
части защищенности информации от утечки по техническим
каналам;
категорирование
вооружения
и
военной
техники,
предприятий (объектов) по степени важности защиты
информации
в
оборонительной,
экономической,
политической и научно-технической и других сферах
деятельности государства;
обеспечение условий защиты информации при подготовке и
реализации международных договоров и соглашений;

7.

оповещение о пролетах космических и других воздушных
летательных аппаратов, кораблях и судах, ведущих разведку
объектов
(перехват
информации,
подлежащей
защите),
расположенных на территории Российской Федерации;
введение
территориальных,
частотных,
энергетических,
пространственных и временных ограничений в режимах
использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных
систем управления в защищенном исполнении;
разработка и внедрение технических решений и элементов защиты
информации при создании и эксплуатации вооружения и военной
техники, при проектировании, строительстве (реконструкции) и
эксплуатации объектов, систем и средств информатизации и связи;
разработка средств защиты информации и контроля за ее
эффективностью (специального и общего применения) и их
использование;
применение специальных методов, технических мер и средств
защиты, исключающих перехват информации, передаваемой по
каналам связи.

8.

Основные задачи государственной системы
защиты информации
проведение единой технической политики, организация и координация
работ по защите информации в оборонной, экономической, политической,
научно-технической и других сферах деятельности;
исключение или существенное затруднение добывания информации
техническими средствами разведки, а также предотвращение ее утечки по
техническим каналам, несанкционированного доступа к ней,
предупреждение преднамеренных программно-технических воздействий с
целью разрушения (уничтожения) или искажения информации в процессе
ее обработки, передачи и хранения;
принятие в пределах компетенции правовых актов, регулирующих
отношения в области защиты информации;
анализ состояния и прогнозирование возможностей технических средств
разведки и способов их применения, формирование системы
информационного обмена сведениями по осведомленности иностранных
разведок;
организация сил, создание средств защиты информации и контроля за ее
эффективностью;
контроль состояния защиты информации в органах государственной
власти и на предприятиях.

9.

Организационная структура Государственной
системы защиты информации
ФСТЭК
межведомственный коллегиальный орган возглавляющий
государственную систему защиты информации.
ФСБ
МВД
МО
СВР
Структурные
подразделения по
защите информации
Структурные
подразделения по
защите информации
Структурные
подразделения по
защите информации
Структурные
подразделения по
защите информации
Структурные и межотраслевые подразделения по ЗИ органов государственной власти
Специальные центры, подчиненные в специальном отношении ФСТЭК РФ
Головные и ведущие научно-исследовательские, научно-технические, проектные и
конструкторские организации по защите информации органов государственной власти
Предприятия, проводящие работы по оборонной тематике и другие работы с использованием
сведений, отнесенных к государственной или служебной тайне
Предприятия, специализирующиеся на проведении работ в области защиты информации
Высшие учебные заведения и институты повышения квалификации по подготовке и
переподготовке кадров в области защиты информации

10.

Правовые документы, определяющие права
и функции основных элементов ГСЗИ
“Положение о государственной система защиты информации в Российской
Федерации от иностранных технических разведок и от ее утечки по
техническим каналам” Утверждено постановлением Совета Министров –
Правительством Российской Федерации от 15 сентября 1993 г. № 912-51.
“Положение о Федеральной службе по техническому и экспортному
контролю” Утверждено Указом Президента Российской Федерации от 16
августа 2004 г. № 1085.
“Типовое положение об органе по аттестации объектов информатизации по
требованиям безопасности информации” Утверждено приказом председателя
Государственной технической комиссии при Президенте Российской Федерации
от 5 января 1996 г. № 3.
“Типовое положение об органе по сертификации средств защиты
информации по требованиям безопасности информации” Утверждено
приказом председателя Государственной технической комиссии при Президенте
Российской Федерации от 5 января 1996 г. № 3.
“Типовое положение об испытательной лаборатории” Утверждено приказом
председателя Государственной технической комиссии при Президенте
Российской Федерации от 25 ноября 1994 г.
“Положение о Межведомственной комиссии по защите государственной
тайны” Утверждено Указом Президента Российской Федерации от 6 октября
2004 г. № 1286

11.

“Положение о Межведомственной комиссии по защите
государственной
тайны”
Утверждено Указом Президента Российской Федерации от 6 октября 2004
г. № 1286
Является
коллегиальным
органом,
координирующим
деятельность федеральных органов государственной власти и
органов государственной власти субъектов РФ по защите
государственной тайны в интересах разработки и выполнения
государственных программ, нормативных правовых актов и
методических документов, обеспечивающих реализацию
федерального законодательства о государственной тайне.
Руководство
деятельностью Межведомственной комиссии
осуществляет Президент Российской Федерации.
В своей деятельности руководствуется Конституцией РФ,
федеральными
конституционными
законами,
Законом
Российской Федерации "О государственной тайне", иными
федеральными законами, актами Президента Российской
Федерации и Правительства Российской Федерации,
международными договорами Российской Федерации.

12.

В положении рассмотрены:
Основные полномочия Межведомственной комиссии;
Состав комиссии и полномочия её председателя:
В состав Межведомственной комиссии входят руководители
федеральных органов исполнительной власти, Администрации
Президента РФ, Аппарата Правительства РФ и (или) их
заместители.
Состав
Межведомственной
комиссии
по
должностям
утверждается
Президентом
Российской
Федерации,
а
персональный состав - Правительством Российской Федерации.
Вопросы
организационно-технического
обеспечения
деятельности Межведомственной комиссии осуществляемого
центральным аппаратом ФСТЭК.
Периодичность заседания Межведомственной комиссии:
• На плановой основе в соответствии с Регламентом,
утверждаемым председателем Межведомственной комиссии.
• В
случае
необходимости
по
решению
председателя
Межведомственной комиссии могут проводиться внеочередные
заседания.

13.

Структурные и межотраслевые подразделения по ЗИ органов государственной власти
проводят единую техническую политику, осуществляют координацию и
методическое руководство работами по защите информации на
подведомственных органу государственной власти предприятиях;
выполняют функции заказчика по проведению научно-исследовательских
и опытно-конструкторских работ по проблемам защиты информации, а
также заказчика поисковых научно-исследовательских работ по этим
проблемам;
разрабатывают предложения для федеральных программ по защите
информации;
организуют аттестование подведомственных органу государственной
власти объектов по выполнению требований обеспечения защиты
информации при проведении работ со сведениями соответствующей
степени секретности, сертификацию средств защиты информации и
контроля за ее эффективностью, систем и средств информатизации и связи
в части защищенности информации от утечки по техническим каналам,
проведение специальных проверок и специальных исследований
технических средств;
готовят рекомендации и указания по лицензированию деятельности
предприятий в области защиты информации.

14.

Специальные центры, подчиненные в специальном отношении ФСТЭК РФ
проверяют и оценивают состояние защиты информации и оказывают
методическую помощь на местах в организации и проведении
мероприятий по защите информации;
участвуют в аттестовании объектов по выполнению требований
обеспечения защиты информации при проведении работ со сведениями
соответствующей степени секретности;
осуществляют активное противодействие возможному ведению разведки
техническими средствами их мест постоянного или временного
пребывания иностранных граждан на территории Российской Федерации.

15.

Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские
организации по защите информации органов государственной власти
В пределах своей специализации разрабатывают:
научные основы и концепции,
проекты федеральных программ,
нормативно-технических и методических документов
информации;
по
защите
Обобщают и анализируют информацию о силах и средствах технической
разведки, прогнозируют ее возможности;
Осуществляют разработку (корректировку) модели
технической разведки и методик оценки ее возможностей;
иностранной
Проводят научные исследования и работы по созданию технических
средств защиты информации и контроля за ее эффективностью.

16.

Организация работ по защите информации на предприятиях
осуществляется их руководителями.
В зависимости от объема работ по защите информации руководителем
предприятия создаются структурное подразделение по защите
информации либо назначаются штатные специалисты по этим вопросам.
Предприятия, проводящие работы по оборонной тематике и другие работы с использованием
сведений, отнесенных к государственной или служебной тайне
Подразделения по ЗИ (штатные специалисты) на предприятиях:
осуществляют мероприятия по защите информации в ходе выполнения
работ с использованием сведений, отнесенных к государственной или
служебной тайне,
определяют совместно с заказчиком работ основные направления
комплексной защиты информации,
участвуют в согласовании технических (тактико-технических) заданий на
проведение работ,
дают заключение о возможности проведения работ с информацией,
содержащей сведения, отнесенные к государственной или служебной
тайне.

17.

Для проведения работ по защите информации могут привлекаться на
договорной основе специализированные предприятия, имеющие лицензии на
право проведения работ в области защиты информации.
Предприятия, специализирующиеся на проведении работ в области защиты информации
Высшие учебные заведения и институты повышения квалификации по подготовке и переподготовке
кадров в области защиты информации
Осуществляют:
первичную подготовку
информации;
специалистов
по
комплексной
защите
переподготовку (повышение квалификации) специалистов по защите
информации органов государственной власти и предприятий;
усовершенствование знаний руководителей органов государственной
власти и предприятий в области защиты информации.

18.

Целями защиты информации являются:
предотвращение утечки информации по техническим
каналам;
предотвращение несанкционированного уничтожения,
искажения, копирования, блокирования информации в
системах информатизации;
соблюдение правового режима использования массивов,
программ обработки информации, обеспечение полноты,
целостности, достоверности информации в системах
обработки;
сохранение
возможности
управления
обработки и пользования информацией.
процессом

19.

Задачи защиты информации:
предотвращения
перехвата
техническими
средствами
информации, передаваемой по каналам связи;
предотвращения утечки обрабатываемой информации за счет
ПЭМИН, создаваемых функционирующими техническими
средствами, а также электроакустических преобразований;
исключения
несанкционированного
доступа
к
обрабатываемой или хранящейся в технических средствах
информации;
предотвращения
специальных
программно-технических
воздействий,
вызывающих
разрушение, уничтожение,
искажение информации или сбои в работе средств
информатизации;
выявления возможно внедренных на объекты и в технические
средства электронных устройств перехвата информации
(закладных устройств);
предотвращения перехвата техническими средствами речевой
информации из помещений и объектов.

20.

Категории нарушений по степени важности
Первая - невыполнение требований или норм по защите
информации, в результате чего имелась или имеется
реальная возможность её утечки по техническим каналам;
Вторая - невыполнение требований по защите информации, в
результате чего создаются предпосылки к ее утечке по
техническим каналам;
Третья - невыполнение других требований по защите
информации.
Положение о государственной система защиты информации в
РФ от ИТР и от ее утечки по техническим каналам

21.

Нормативно-правовая база
в области защиты информации
Конституция Российской Федерации
от 12 декабря 1993 г. (с изменениями и дополнениями от 9
января 1996 г. № 20; от 10 февраля 1996 г. № 173; от 9 июня
2001 г. № 679; от 25 июля 2003 г. № 841)
Статья 1
1. Российская Федерация - Россия есть демократическое
федеративное правовое государство с республиканской
формой правления.
Статья 2
Человек, его права и свободы являются высшей ценностью.
Признание, соблюдение и защита прав и свобод человека и
гражданина - обязанность государства.

22.

Статья 4
2. Конституция Российской Федерации и федеральные законы
имеют верховенство на всей территории Российской
Федерации.
Статья 8
1. В РФ признаются и защищаются равным образом частная,
государственная,
муниципальная
и
иные
формы
собственности.
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни,
личную и семейную тайну, защиту своей чести и доброго
имени.
2. Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании
судебного решения.

23.

Статья 24
1. Сбор,
хранение,
использование
и
распространение
информации о частной жизни лица без его согласия не
допускаются.
2. Органы
государственной власти и органы местного
самоуправления, их должностные лица обязаны обеспечить
каждому возможность ознакомления с документами и
материалами, непосредственно затрагивающими его права и
свободы, если иное не предусмотрено законом.
Статья 29
4. Каждый имеет право свободно искать, получать, передавать,
производить и распространять информацию любым законным
способом.
Перечень
сведений,
составляющих
государственную тайну, определяется федеральным законом.
5. Гарантируется
свобода массовой информации. Цензура
запрещается.

24.

Закон РФ «О безопасности» от 5 марта 1992 г. № 2446-1
Закрепляет правовые основы обеспечения безопасности
личности, общества и государства, определяет систему
безопасности и ее функции, устанавливает порядок
организации
и
финансирования
органов
обеспечения
безопасности, а также контроля и надзора за законностью их
деятельности.
Закон РФ «О правовой охране программ для электронных
вычислительных машин и баз данных»
от 23 октября 1992 г. № 3523-1
Регулирует отношения, связанные с созданием, правовой
охраной и использованием программ для ЭВМ и баз данных.
Программы для ЭВМ и баз данных относятся к объектам
авторского права.
Программам для ЭВМ предоставляется правовая охрана как
произведениям литературы, а базам данных - как сборникам.

25.

Закон РФ «О информации, информационных технологиях
и о защите информации» от 27.07.2006г. №149-ФЗ
Регулирует отношения, возникающие при:
1)
Осуществлении права на поиск, передачу, производство и
распространение информации;
2)
Применении информационных технологий;
3)
Обеспечение защиты информации.

26.

информация - сведения (сообщения, данные)
независимо от формы их представления;
информационная
система
совокупность
содержащейся в базах данных информации и
обеспечивающих ее обработку информационных
технологий и технических средств;
обладатель информации - лицо, самостоятельно
создавшее информацию либо получившее на
основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой
по каким-либо признакам;
оператор информационной системы - гражданин или
юридическое лицо, осуществляющие деятельность
по эксплуатации информационной системы, в том
числе по обработке информации, содержащейся в ее
базах данных;

27.

доступ к информации - возможность
информации и ее использования;
получения
конфиденциальность информации - обязательное для
выполнения лицом, получившим доступ к определенной
информации, требование не передавать такую информацию
третьим лицам без согласия ее обладателя;
предоставление информации - действия, направленные на
получение информации определенным кругом лиц или
передачу информации определенному кругу лиц;
распространение информации - действия, направленные на
получение информации неопределенным кругом лиц или
передачу информации неопределенному кругу лиц;

28.

Закон РФ «О государственной тайне»
от 21 июля 1993 г. № 5485-1
Определяет
основные
понятия,
полномочия
органов
государственной власти и должностных лиц в области отнесения
сведений к государственной тайне и их защиты.
Дает перечень сведений, которые могут быть отнесены к
государственной тайне.
Указывает принципы засекречивания сведений, перечисляет
сведения, не подлежащие засекречиванию.
Устанавливает степени секретности сведений и грифы
секретности носителей этих сведений.

29.

государственная тайна - защищаемые государством
сведения
в
области
его
военной,
внешнеполитической,
экономической,
разведывательной,
контрразведывательной
и
оперативно-розыскной
деятельности,
распространение которых может нанести ущерб
безопасности Российской Федерации;
система
защиты государственной тайны совокупность органов защиты государственной
тайны, используемых ими средств и методов защиты
сведений, составляющих государственную тайну, и
их носителей, а также мероприятий, проводимых в
этих целях;

30.

Перечень сведений, составляющих
государственную тайну
совокупность категорий сведений, в соответствии с которыми
сведения относятся к государственной тайне и засекречиваются
на основаниях и в порядке, установленных федеральным
законодательством
Сведения в военной области.
Сведения в области экономики, науки и техники.
Сведения в области внешней политики и экономики.
Сведения
в
области
разведывательной,
контрразведывательной
и
оперативно-розыскной
деятельности.

31.

Сведения, не подлежащие отнесению к
государственной тайне и засекречиванию
о чрезвычайных происшествиях и катастрофах, угрожающих
безопасности и здоровью граждан, и их последствиях, а также о
стихийных бедствиях, их официальных прогнозах и
последствиях;
о состоянии экологии, здравоохранения, санитарии, демографии,
образования, культуры, сельского хозяйства, а также о
состоянии преступности;
о привилегиях, компенсациях и социальных гарантиях,
предоставляемых государством гражданам, должностным
лицам, предприятиям, учреждениям и организациям;
о фактах нарушения прав и свобод человека и гражданина;
о размерах золотого запаса и государственных валютных
резервах Российской Федерации;
о состоянии здоровья высших должностных лиц Российской
Федерации;
о фактах нарушения законности органами государственной
власти и их должностными лицами.

32.

Степени секретности сведений и грифы
секретности носителей этих сведений
Степень
секретности
сведений,
составляющих
государственную тайну, должна соответствовать степени
тяжести ущерба, который может быть нанесен безопасности РФ
вследствие распространения указанных сведений.
Гриф секретности - реквизиты, свидетельствующие о
степени секретности сведений, содержащихся в их носителе,
проставляемые на самом носителе и (или) в сопроводительной
документации на него;
особой важности
совершенно секретно
секретно

33.

Указ Президента РФ «Об утверждении Перечня сведений
конфиденциального характера» от 6 марта 1997 г. № 188.
Утверждает перечень сведений конфиденциального характера
1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина,
позволяющие
идентифицировать
его
личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные
сведения, доступ к которым ограничен органами
государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской
Федерации и федеральными законами (врачебная, нотариальная,
адвокатская тайна, тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна).
6. Сведения
о сущности изобретения, полезной модели или
промышленного образца до официальной публикации информации о
них.

34.

ФЗ «Об электронной цифровой подписи»
от 10 января 2002 г. № 1-ФЗ
Обеспечивает правовые условия использования электронной
цифровой подписи в электронных документах, при соблюдении
которых электронная цифровая подпись в электронном
документе признается равнозначной собственноручной
подписи в документе на бумажном носителе.
ФЗ «О техническом регулировании»
от 27 декабря 2002 г. № 184-ФЗ
Регулирует отношения, возникающие при:
разработке, принятии, применении и исполнении обязательных
требований
к
продукции,
процессам
производства,
эксплуатации, хранения, перевозки, реализации и утилизации;
разработке,
принятии, применении и исполнении на
добровольной основе требований к продукции, процессам
производства, эксплуатации, хранения, перевозки, реализации
и утилизации, выполнению работ или оказанию услуг;
оценке соответствия.

35.

Информация
может
являться
объектом
публичных,
гражданских и иных правовых отношений.
Информация может свободно использоваться любым лицом и
передаваться одним лицом другому лицу, если федеральными
законами не установлены ограничения доступа к информации
либо иные требования к порядку ее предоставления или
распространения.
Классификация информации по категории доступа
ИНФОРМАЦИЯ
Общедоступная
Доступ к которой ограничен
федеральными законами
(информация ограниченного
доступа)

36.

предоставление информации - действия, направленные на
получение информации определенным кругом лиц или
передачу информации определенному кругу лиц;
распространение информации - действия, направленные на
получение информации неопределенным кругом лиц или
передачу информации неопределенному кругу лиц;
Классификация информации в зависимости от порядка её
предоставления или распространения
ИНФОРМАЦИЯ
Информация, свободно
распространяемая
Информация, предоставляемая
по соглашению лиц,
участвующих в
соответствующих отношениях
Информация,
распространение
которой в РФ
ограничивается или
запрещается
Информация, которая в
соответствии с федеральными
законами подлежит
предоставлению или
распространению

37.

Обладатель информации
Права:
разрешать или ограничивать доступ к информации, определять
порядок и условия такого доступа;
использовать информацию, в том числе распространять ее, по
своему усмотрению;
передавать информацию другим лицам по договору или на ином
установленном законом основании;
защищать установленными законом способами свои права в
случае незаконного получения информации или ее незаконного
использования иными лицами;
осуществлять иные действия с информацией или разрешать
осуществление таких действий.
Обязанности:
соблюдать права и законные интересы иных лиц;
принимать меры по защите информации;
ограничивать доступ к информации, если такая обязанность
установлена федеральными законами.

38.

ФЗ «О персональных данных» от 27 июля 2006 г. № 152-ФЗ
Регулирует отношения, связанные с обработкой персональных
данных,
осуществляемой
федеральными
органами
государственной власти, органами государственной власти
субъектов Российской Федерации, иными государственными
органами, . . . физическими лицами с использованием средств
автоматизации или без использования таких средств, . . .
Целью настоящего ФЗ является обеспечение защиты прав и
свобод человека и гражданина при обработке его персональных
данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну.

39.

Положение об обеспечении безопасности персональных
данных при их обработке в информационных системах
персональных данных.
Устанавливает требования к обеспечению безопасности
персональных данных при их обработке в информационных
системах персональных данных.
Информационная система персональных данных совокупность персональных данных, содержащихся в базах
данных, а также информационных и технологий и
технических средств, позволяющих осуществлять обработку
таких персональных данных с использованием средств
автоматизации.

40.

Базовая модель угроз безопасности персональных данных
при
их
обработке
в
информационных
системах
персональных данных.
Содержит систематизированный перечень угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных (ИСПДн).
4. Угрозы утечки информации по техническим каналам:
4.1. Угрозы утечки акустической (речевой)информации
4.2. Угрозы утечки видовой информации
4.3. Угрозы утечки информации по каналам ПЭМИН

41.

5. Угрозы НСД к информации в ИСПД:
5.1. Характеристика источников угроз НСД в ИСПД
5.2. Характеристика уязвимостей ИСПД
5.2.1. Характеристика уязвимостей системного ПО.
5.2.2. Характеристика уязвимостей прикладного ПО
5.3. Характеристика угроз непосредственного доступа в
операционную среду ИСПД
5.4 Характеристика угроз безопасности персональных данных,
реализуемых с использованием протоколов межсетевого
взаимодействия
5.5. Характеристика угроз программно-математических
воздействий
5.6. Характеристика нетрадиционных информационных
каналов
5.7. Характеристика результатов несанкционированного или
случайного доступа

42.

6. Типовые модели угроз безопасности персональных данных,
обрабатываемых в информационных системах:
6.1. Типовая модель угроз безопасности персональных данных,
обрабатываемых в автоматизированных рабочих местах, не
имеющих подключения к сетям связи общего пользования и
(или) сетям международного информационного обмена
6.2. Типовая модель угроз безопасности персональных данных,
обрабатываемых
в автоматизированных рабочих местах,
имеющих подключение к сетям связи общего пользования и
(или) сетям международного информационного обмена
6.3. Типовая модель угроз безопасности персональных данных,
обрабатываемых в локальных информационных' системах
персональных данных, не имеющих подключения
к сетям связи общего пользования и (или) сетям
международного информационного обмена

43.

6.4. Типовая модель угроз безопасности персональных данных,
обрабатываемых в локальных информационных системах
персональных данных, имеющих подключение к сетям
связи общего пользования и (или) сетям международного
информационного
обмена
6.5. Типовая модель угроз безопасности персональных данных,
обрабатываемых
в распределенных информационных
системах персональных данных, не имеющих подключение
к сетям связи общего пользования и (или) сетям
международного информационного обмена
6.6. Типовая модель угроз безопасности персональных данных,
обрабатываемых
в распределенных информационных
системах персональных данных, имеющих подключение к
сетям связи общего пользования и (или) сетям
международного информационного обмена

44.

Рекомендации по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных.
Понятие
информационной
системы
персональных
данных.
Классификация систем по уровням защищенности с учетом важности
персональных данных.
2.
Общий порядок организации обеспечения безопасности персональных
данных в информационных системах персональных данных.
3.
Краткая характеристика мероприятий по обеспечении безопасности
персональных данных в информационных системах персональных
данных:
3.1 Рекомендации по применению программных и программно-аппаратных
мер и средств обеспечения безопасности персональных данных в
информационных
системах
персональных
данных
от
несанкционированного доступа, реализуемого с использованием
программно-аппаратных и программных средств
3.2. Рекомендации по обеспечению безопасности персональных данных и
программно-аппаратной среды ИСПДн от программно-математических
воздействий
3.3. Рекомендации по межсетевому экранированию
3.4. Рекомендации по применению средств защиты персональных данных от
утечки по техническим каналам
1.

45.

ФЗ «О коммерческой тайне» от 29 июля 2004 г. № 98-ФЗ.
Регулирует
отношения,
связанные
с
отнесением
информации к коммерческой тайне, передачей такой
информации, охраной ее конфиденциальности в целях
обеспечения баланса интересов обладателей информации,
составляющей коммерческую тайну, и других участников
регулируемых отношений, в том числе государства, на рынке
товаров, работ, услуг и предупреждения недобросовестной
конкуренции, а также определяет сведения, которые не могут
составлять коммерческую тайну.

46.

РД Методические рекомендации по технической защите
информации, составляющей коммерческую тайну. 2007.
1.
Основные понятия и сокращения.
2.
Понятие коммерческой тайны.
3.
Порядок определения сведений, составляющих КТ.
4.
Категорирование объектов информатизации по уровням
защищенности и группам коммерческой ценности
информации.
5.
Методические рекомендации по общему порядку
организации ЗИ, составляющей КТ, на ОИ.
6.
Методические рекомендации по порядку выявления
актуальных угроз безопасности информации, составляющей
коммерческую тайну.

47.

Рекомендации по применению мер и средств технической
защиты информации, составляющей коммерческую тайну.
7.1. Общие рекомендации.
7.
Система защиты информации
Подсистема управления
Подсистемы защиты отНСД
От доступа к
программной
среде
От программноматематических
воздействий
Подсистема защиты от
Физического доступа
Подсистема защиты
речевой информации
от утечки по техническим
каналам
Подсистема защиты от
утечки по ПЭМИН
Подсистема
антивирусной
защиты
Подсистема защиты
информации от перехвата
при
передаче по каналам связи

48.

Указ Президента РФ от 17 марта 2008 г. N 351
"О мерах по обеспечению информационной безопасности
Российской Федерации при использовании информационнотелекоммуникационных сетей международного
информационного обмена"
Подключение информационных систем, информационнотелекоммуникационных сетей и
СВТ, применяемых для
хранения, обработки или передачи информации, содержащей
сведения, составляющие ГТ, либо информации, обладателями
которой являются государственные органы и которая содержит
сведения, составляющие служебную тайну, к информационнотелекоммуникационным сетям, позволяющим осуществлять
передачу информации через государственную границу
Российской Федерации, в том числе к международной
компьютерной сети "Интернет"
(далее - информационнотелекоммуникационные
сети
международного
информационного обмена), не допускается;

49.

При необходимости подключения информационных систем,
информационно-телекоммуникационных
сетей
и
СВТ,
указанных
в
подпункте
"а"
настоящего пункта, к
информационно-телекоммуникационным сетям международного
информационного обмена такое подключение производится
только с использованием специально предназначенных для
этого средств защиты информации, в
том числе
шифровальных (криптографических) средств, прошедших в
установленном законодательством Российской Федерации
порядке сертификацию в Федеральной службе безопасности
Российской Федерации и (или) получивших подтверждение
соответствия в Федеральной службе по техническому и
экспортному контролю. Выполнение
данного
требования
является обязательным для
операторов информационных
систем, владельцев
информационно-телекоммуникационных
сетей и (или) СВТ;

50.

Нормативная база обеспечения
информационной безопасности
ГОСТ Р 51583-2000. Защита информации. Порядок создания
автоматизированных систем в защищённом исполнении. Общие
положения.
ГОСТ Р 51624-2000. Защита информации. Автоматизированные
системы в защищённом исполнении. Общие требования.
ГОСТ ИСО/МЭК 15408-1-2002. Информационная технология.
Методы обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и
общая модель.
ГОСТ ИСО/МЭК 15408-2-2002. Информационная технология.
Методы обеспечения безопасности. Критерии оценки
безопасности
информационных
технологий
Часть
2.
Функциональные требования безопасности.

51.

ГОСТ ИСО/МЭК 15408-3-2002. Информационная технология.
Методы обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3.
Требования доверия к безопасности.
BS 7799-1 – (Code of Practice for Information Security
Management)
Практические
правила
управления
информационной безопасностью.
BS 7799-2 - Information Security management – specification for
information security management systems (Спецификация
системы
управления
информационной
безопасностью).
Системы
управления
информационной
безопасностью.
Спецификация и руководство по применению.
ISO/IEC 27001:2005 - Информационные технологии. Методы
обеспечения
безопасности.
Системы
управления
информационной безопасностью. Требования.

52.

СТО БР ИББС-1.0-2006 Стандарт управления ИБ банка
России
«Обеспечение
информационной
безопасности
организаций банковской системы РФ. Общие положения»
Акты Сарбейниса - Оксли (SOX, Sarbanes-Oxley Act of 2002),
GLBA (Gramm-Leach-Bliley Act), ISO 17799 и 13335, «Общие
критерии» (ГОСТ Р ИСО\МЭК 15408).
ISO 27002 Практические правила управления информационной
безопасностью. Выпуск стандарта запланирован на 2006-2007 г.
ISO 27003 Руководство по внедрению системы управления ИБ.
Выпуск стандарта запланирован на 2007 г.
ISO 27004 Измерение эффективности системы управления ИБ.
Выпуск стандарта запланирован на 2007 г.
ISO 27005 Управление рисками ИБ.
Выпуск стандарта запланирован на 2007 г.

53.

Специальные требования и рекомендации
1.
2.
3.
Специальные требования и рекомендации по защите
информации составляющей государственную тайну от
утечки по техническим каналам (СТР-97). Решение ГТК
при Президенте РФ 1997 г.
Специальные требования и рекомендации по защите
информации, обрабатываемой ТСПИ, в ВС РФ. Приказ
МО РФ от 1996 г.
Специальные
требования
и
рекомендации
по
технической защите конфиденциальной информации
(СТР-К). Решение Коллегии ГТК России № 7.2 от 2 марта
2001г. Приказ ГТК России № 282 от 30 августа 2002 г.

54.

Кодекс Российской Федерации
об административных правонарушениях
от 30 декабря 2001 года № 195-ФЗ
Статья 13.11. Нарушение порядка сбора, хранения,
использования или распространения информации о
гражданах (персональных данных).
предупреждение
на граждан в размере от 300 до 500 рублей;
для должностных лиц от 500 до 1 000 рублей;
для юридических лиц от 5 000 до 10 000 рублей.
Статья 13.12. Нарушение правил защиты информации.
1. Нарушение условий, предусмотренных лицензией на
осуществление деятельности в области защиты
информации
(за
исключением
информации,
составляющей государственную тайну).
на граждан в размере от 300 до 500 рублей;
на должностных лиц - от 500 до 1 000 рублей;
на юридических лиц - от 5 000 до 10 000 рублей.

55.

2.
Использование
несертифицированных
информационных систем, баз и банков данных, а также
несертифицированных средств защиты информации,
если они подлежат обязательной сертификации (за
исключением
средств
защиты
информации,
составляющей государственную тайну).
Административный штраф:
на граждан в размере от 500 до 1000 рублей с конфискацией
несертифицированных средств защиты информации или
без таковой;
на должностных лиц - от 1 000 до 2 000 рублей;
на юридических лиц - от 10 000 до 20 000 рублей с
конфискацией несертифицированных средств защиты
информации или без таковой.

56.

3.
Нарушение условий, предусмотренных лицензией на
проведение работ, связанных с использованием и
защитой информации, составляющей ГТ, созданием
средств, предназначенных для ЗИ, составляющей
государственную тайну, осуществлением мероприятий и
(или) оказанием услуг по защите информации,
составляющей ГТ.
Административный штраф:
на должностных лиц в размере от 2 000 до 3 000 рублей;
на юридических лиц - от 15 000 до 20 000 рублей.
4.
Использование
несертифицированных
предназначенных для ЗИ, составляющей ГТ.
средств,
Административный штраф:
на должностных лиц в размере от 3 000 до 4 000 рублей;
на юридических лиц - от 20 000 до 30 000 рублей с
конфискацией
несертифицированных
средств,
предназначенных для защиты информации, составляющей
государственную тайну, или без таковой.

57.

Грубое
нарушение
условий,
предусмотренных
лицензией на осуществление деятельности в области
защиты информации (за исключением информации,
составляющей государственную тайну)
Административный штраф
на
лиц,
осуществляющих
предпринимательскую
деятельность без образования юридического лица от 1 000
до 1 500 рублей или административное приостановление
деятельности на срок до девяноста суток;
на должностных лиц - от 1 000 до 1 500 рублей;
на юридических лиц - от 10 000 до 15 000 рублей или
административное приостановление деятельности на срок
до девяноста суток.
5.
Понятие грубого нарушения устанавливается Правительством
Российской Федерации в отношении конкретного
лицензируемого вида деятельности.

58.

Статья 13.13. Незаконная деятельность в области защиты
информации.
1.
Занятие видами деятельности в области ЗИ (за
исключением информации, составляющей ГТ) без
получения в установленном порядке специального
разрешения (лицензии), если такое разрешение (такая
лицензия) в соответствии с федеральным законом
обязательно (обязательна).
Административный штраф:
на граждан в размере от 500 до 1 000 рублей с
конфискацией средств защиты информации или без
таковой;
на должностных лиц - от 2 000 до 3 000 рублей с
конфискацией средств защиты информации или без
таковой;
на юридических лиц - от 10 000 до 20 000 рублей с
конфискацией средств защиты информации или без
таковой.

59.

Занятие
видами
деятельности,
связанной
с
использованием и ЗИ, составляющей ГТ, созданием
средств, предназначенных для ЗИ, составляющей ГТ,
осуществлением мероприятий и (или) оказанием услуг по
ЗИ, составляющей ГТ без лицензии.
Административный штраф:
на должностных лиц в размере от 4 000 до 5 000 рублей;
на юридических лиц - от 30 000 до 40 000 рублей с
конфискацией созданных без лицензии средств защиты
информации, составляющей ГТ, или без таковой.
2.
Статья 13.14. Разглашение информации, доступ к которой
ограничен федеральным законом (за исключением
случаев, если разглашение такой информации влечет
уголовную ответственность), лицом, получившим доступ
к такой информации в связи с исполнением служебных
или профессиональных обязанностей.
Административный штраф:
на граждан в размере от 500 до 1 000 рублей;
на должностное лицо - от 4 000 до 5 000 рублей.

60.

Уголовный кодекс Российской Федерации
от 13 июня 1996 года № 63-ФЗ
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о
частной жизни лица, составляющих его личную или
семейную тайну, без его согласия либо распространение
этих сведений в публичном выступлении, публично
демонстрирующемся
произведении
или
средствах
массовой информации:
штраф в размере до 200 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18
месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года,
либо арест на срок до 4 месяцев.

61.

2. Те же деяния, совершенные лицом с использованием
своего служебного положения:
штраф в размере от 150 000 до 300 000 рублей или в размере
заработной платы или иного дохода осужденного за период
от одного года до 2 лет,
либо лишение права занимать определенные должности или
заниматься определенной деятельностью на срок от 2 до 5
лет,
либо арест на срок от 4 до 6 месяцев.
Статья 138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или иных
сообщений
1. Нарушение тайны переписки, телефонных переговоров,
почтовых, телеграфных или иных сообщений граждан:
штраф в размере до 80 000 рублей, или в размере заработной
платы или иного дохода осужденного за период до 6 месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года.

62.

2. То
же деяние, совершенное лицом с использованием своего
служебного положения или специальных технических средств,
предназначенных для негласного получения информации:
штраф в размере от 150 000 до 300 000 рублей или в размере
заработной платы или иного дохода осужденного за период от
одного года до двух лет,
либо лишение права занимать определенные должности или
заниматься определенной деятельностью на срок от 2 до 5 лет,
либо обязательные работы на срок от ста восьмидесяти до 240
часов,
либо арест на срок от 2 до 4 месяцев.
3. Незаконные производство, сбыт или приобретение в целях
сбыта специальных технических средств, предназначенных для
негласного получения информации:
штраф в размере до 200 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18 месяцев,
либо ограничение свободы на срок до 3 лет,
либо лишение свободы на срок до 3 лет с лишением права
занимать определенные должности или заниматься определенной
деятельностью на срок до 3 лет

63.

Статья 183. Незаконные получение и разглашение сведений,
составляющих коммерческую, налоговую или банковскую
тайну
1. Собирание
сведений, составляющих коммерческую,
налоговую или банковскую тайну, путем похищения
документов, подкупа или угроз, а равно иным незаконным
способом:
штраф в размере до 80 000 тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от 1
до 6 месяцев,
либо лишение свободы на срок до 2 лет.
2.
Незаконные разглашение или использование сведений,
составляющих коммерческую, налоговую или банковскую
тайну, без согласия их владельца лицом, которому она была
доверена или стала известна по службе или работе:
штраф в размере до 120 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 1 года с
лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 3 лет.

64.

3.
4.
Те же деяния, причинившие крупный ущерб или
совершенные из корыстной заинтересованности:
штраф в размере до 200 000 рублей или в размере заработной
платы или иного дохода осужденного за период до 18 месяцев с
лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 5 лет.
Деяния, предусмотренные частями второй или третьей
настоящей статьи, повлекшие тяжкие последствия:
лишение свободы на срок до 10 лет.

65.

Статья 272. Неправомерный доступ к компьютерной
информации.
1. Неправомерный
доступ
к
охраняемой
законом
компьютерной информации, то есть информации на
машинном носителе, в электронно-вычислительной
машине (ЭВМ), системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию
либо копирование информации, нарушение работы ЭВМ,
системы ЭВМ или их сети.
штраф до 200 000 рублей
или в размере заработной платы или иного дохода
осужденного за период до 18 месяцев,
либо исправительными работами на срок от 6 месяцев до 1
года,
либо лишением свободы на срок до 2 лет

66.

2.
То же деяние, совершенное группой лиц по
предварительному сговору или организованной группой
либо лицом с использованием своего служебного
положения, а равно имеющим доступ к ЭВМ, системе
ЭВМ или их сети.
штраф от 100 000 до 300 000 рублей
или в размере заработной платы или иного дохода
осужденного за период от 1 года до 2 лет,
либо исправительными работами на срок от 1 года до 2 лет,
либо арестом на срок от 3 до 6 месяцев,
либо лишением свободы на срок до 5 лет.

67.

Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ.
1.
2.
Создание программ для ЭВМ или внесение изменений в
существующие программы, заведомо приводящих к
несанкционированному уничтожению, блокированию,
модификации
либо
копированию
информации,
нарушению работы ЭВМ, системы ЭВМ или их сети, а
равно использование либо распространение таких
программ или машинных носителей с такими
программами.
лишение свободы на срок до 3 лет со штрафом в размере до
200 000 рублей или в размере заработной платы или иного
дохода осужденного за период до 18 месяцев.
Те же деяния, повлекшие по неосторожности тяжкие
последствия.
лишение свободы на срок от 3 до 7 лет.

68.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы
ЭВМ или их сети.
1.
2.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или
их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или
их сети, повлекшее уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ,
если это деяние причинило существенный вред
лишение права занимать определенные должности или
заниматься определенной деятельностью на срок до 5 лет,
либо обязательные работы на срок от 180 до 240 часов,
либо ограничение свободы на срок до 2 лет.
То же деяние, повлекшее по неосторожности тяжкие
последствия.
лишение свободы на срок до 4 лет.

69.

ФЗ «О внесении изменений в Трудовой
кодекс РФ...» от 30.06.2006 № 90-ФЗ
Приравнял разглашение персональных данных другого
работника, ставших известными в связи с исполнением
служебных обязанностей, к разглашению охраняемой законом
тайны.
Возможно
увольнение
сотрудника.
Раздел
«Прекращение трудового договора» ТК.
Установленный ст. 391 перечень индивидуальных трудовых
споров, подлежащих рассмотрению непосредственно в судах,
дополнен
спорами
по
заявлениям
работников
о
неправомерных действиях (бездействии) работодателя при
обработке и защите персональных данных работника. Раздел
«Рассмотрение и разрешение индивидуальных трудовых
споров».
Работодатель
получает
право
уволить
служащего,
допустившего утечку персональных данных других
сотрудников компании.
Работник может подать в суд на свое предприятие, если оно не
заботится о приватных сведениях персонала.

70.

Основные понятия, термины
и определения
Лицензирование
мероприятия,
связанные
с
предоставлением лицензий, переоформлением документов,
подтверждающих наличие лицензий, приостановлением
действия
лицензий
в
случае
административного
приостановления деятельности лицензиатов за нарушение
лицензионных требований и условий, возобновлением или
прекращением действия лицензий, аннулированием
лицензий, контролем лицензирующих органов за
соблюдением
лицензиатами
при
осуществлении
лицензируемых видов деятельности соответствующих
лицензионных требований и условий, ведением реестров
лицензий, а также с предоставлением в установленном
порядке заинтересованным лицам сведений из реестров
лицензий и иной информации о лицензировании;
ФЗ О лицензировании отдельных видов деятельности
от 8 августа 2001 г. № 128-ФЗ

71.

Аккредитация - официальное признание органом по
аккредитации
компетентности
физического
или
юридического лица выполнять работы в определенной
области оценки соответствия.
Сертификация - форма осуществляемого органом по
сертификации
подтверждения
соответствия
объектов
требованиям
технических
регламентов,
положениям
стандартов или условиям договоров.
ФЗ О техническом регулировании
от 27.12.02 № 184-ФЗ

72.

Аттестация объектов информатизации - комплекс
организационно-технических мероприятий, в результате
которых посредством специального документа - "Аттестата
соответствия" подтверждается, что объект соответствует
требованиям стандартов или иных нормативно-технических
документов по безопасности информации, утвержденных
Гостехкомиссией
России.
Наличие на объекте информатизации действующего "Аттестата
соответствия" дает право обработки информации с уровнем
секретности (конфиденциальности) и на период времени,
установленными в "Аттестате соответствия".
РД Положение по аттестации объектов информатизации по
требованиям безопасности информации,
Утверждено Председателем Гостехкомиссии России 25.11.94 г.

73.

Специальные проверки (спецпроверки) - проверки
средств ТСПИ иностранного и совместного производства на
наличие возможно внедренных электронных устройств
перехвата информации.
Специальные исследования (специсследования) выявление с помощью контрольно - измерительной
аппаратуры возможных каналов утечки категорированной
информации, обрабатываемой ТСПИ.
Специальные обследования (спецобследования) –
определение соответствия условий эксплуатации объектов
ТСПИ требованиям аттестатов соответствия, предписаний на
эксплуатацию и других руководящих документов по
спецзащите без применения контрольно - измерительной
аппаратуры.
ГОСТ Р 50922-96.
Защита информации. Основные термины и определения.

English Русский Rules