Новикова_9ОИБ241

1. Организационная структура системы защиты информации. Законодательные акты в области защиты информации. Российские и

ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.
ЗАКОНОДАТЕЛЬНЫЕ АКТЫ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ.
РОССИЙСКИЕ И МЕЖДУНАРОДНЫЕ СТАНДАРТЫ, ОПРЕДЕЛЯЮЩИЕ
ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ
НОВИКОВА ВИКТОРИЯ 9ОИБ241

2. Система защиты информации (СЗИ) -

СИСТЕМА
ЗАЩИТЫ
ИНФОРМАЦИИ
(СЗИ) это комплекс
организационных
и технических мер,
направленных на
обеспечение
информационной
безопасности
организации.

3. Ключевые элементы организационной структуры СЗИ:

КЛЮЧЕВЫЕ ЭЛЕМЕНТЫ
ОРГАНИЗАЦИОННОЙ
СТРУКТУРЫ СЗИ:
• Руководство организации — определяет цели и
задачи функционирования системы, направления её
развития, принимает стратегические решения по
вопросам безопасности.
• Подразделение защиты информации — отвечает за
формирование и реализацию единой политики
информационной безопасности организации,
контролирует и координирует действия всех
подразделений и сотрудников по вопросам защиты
информации.
• Администраторы штатных и дополнительных
средств защиты — обеспечивают работу штатных
средств защиты (ОС, СУБД и т. п.).
• Ответственные за защиту информации в
подразделениях (на технологических участках).
• Конечные пользователи и обслуживающий
персонал — решают свои функциональные задачи с
применением средств защиты.

4. функции подразделений в организационной структуре СЗИ:

ФУНКЦИИ ПОДРАЗДЕЛЕНИЙ В ОРГАНИЗАЦИОННОЙ
СТРУКТУРЕ СЗИ:
•Разработка и внедрение организационных и технических мероприятий по
комплексной защите информации. Контроль выполнения требований по защите
информации сотрудниками (проверка рабочих мест на предмет использования
неразрешённого ПО, отключение средств защиты).
•Расследование инцидентов по информационной безопасности и принятие мер
по их устранению.
•Обучение сотрудников правилам работы с конфиденциальной информацией,
обучение правилам безопасной обработки информации.

5. Нормативная база

НОРМАТИВНАЯ БАЗА
• Политика или стратегия безопасности — документ, принимаемый
высшим руководством организации, в котором содержатся основные
определения и принципы защиты данных.
• Локальные нормативные акты —положения о подразделениях,
обязанностями должностных лиц, инструкциями пользователей
системы.

6. Основные уровни организационной структуры информационной безопасности

ОСНОВНЫЕ УРОВНИ ОРГАНИЗАЦИОННОЙ
СТРУКТУРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РУКОВОДСТВО
ПОДРАЗДЕЛЕНИЕ ИБ
СРЕДСТВА ЗАЩИТЫ
Высший уровень — руководитель
организации, который определяет
цели и задачи функционирования
ИБ, направления её развития,
принимает стратегические
решения по вопросам
безопасности.
Оперативный уровень —
подразделение ИБ (отдел защиты
информации). Его задача —
защита информационных
ресурсов предприятия,
координация работы по
обеспечению безопасности.
Программно-технический
уровень — внедрение и
эксплуатация средств защиты
информации (СЗИ).

7. Федеральные законы в области защиты информации

ФЕДЕРАЛЬНЫЕ ЗАКОНЫ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»
Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи»
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»
Федеральный закон от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации
о деятельности государственных органов и органов местного самоуправления»
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической
информационной инфраструктуры»
Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов
деятельности»

8. Постановления правительства рф в области защиты информации

ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок
и от ее утечки по техническим каналам, утверждено постановлением Совета Министров - Правительства Российской
Федерации от 15 сентября 1993 г. № 912-51
Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных
информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждены
постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676
Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении правил категорирования
объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев
значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации, утверждены постановлением Правительства Российской
Федерации от 17 февраля 2018 г. № 162
Требования к защите персональных данных при их обработке в информационных системах персональных данных,
утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119
Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами, утверждены постановлением Правительства российской Федерации от
21 марта 2012 г. №211

9. Указы Президента Российской Федерации

УКАЗЫ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ
• Указ Президента Российской Федерации от 5 декабря 2016 г.
№ 646 «Об утверждении Доктрины информационной
безопасности Российской Федерации»
• Указ Президента Российской Федерации от 22 мая 2015 г.
№260 «О некоторых вопросах информационной
безопасности Российской Федерации»

10. ИБ-стандарты

ИБ-СТАНДАРТЫ
•Технические или контрольные (control),
регламентирующие различные аспекты реализации мер
защиты.
•Процессно-ориентированные, описывающие поход к
выстраиванию процессов и построению ИБ в целом.

11. Процессно-ориентированные ИБ-стандарты

•ISO/IEC 27001. Устанавливает требования к системе менеджмента информационной
безопасности (СМИБ) для демонстрации способности организации защищать
информационные ресурсы. Поддерживает процессный подход, использует цикл PDCA
(Plan-Do-Check-Act) для непрерывного совершенствования ИБ-процессов.
•ГОСТ Р ИСО/МЭК 27001-2006. Устанавливает требования по разработке, внедрению,
функционированию, мониторингу, анализу, поддержке и улучшению СМИБ.
•ГОСТ ISO/IEC 27014-2021. Описывает понятия, цели и процессы руководства
деятельностью по обеспечению ИБ, с помощью которых организации могут оценивать,
направлять, контролировать и передавать информацию о процессах, связанных с ИБ,
внутри организации.

12. Технические иб-стандарты

ТЕХНИЧЕСКИЕ ИБ-СТАНДАРТЫ
• ISO/IEC 15408. Международный стандарт, который используют для оценки и
сертификации свойств безопасности ИТ-продуктов и систем.
• IEC 62443. Стандарт кибербезопасности, который определяет процессы, методы и
требования к системам промышленной автоматизации и управления.
• Стандарты NIST. Изначально созданы для обеспечения безопасности федеральных
информационных систем, но стали основополагающими ориентирами для программ
кибербезопасности в различных отраслях промышленности и странах.
• Стандарты Федерального управления информационной безопасности (BSI).
Содержат рекомендации по методам, процессам и процедурам, подходам и мерам
для различных аспектов информационной безопасности.

13. Действующие стандарты по направлению "ИБ"

ДЕЙСТВУЮЩИЕ СТАНДАРТЫ ПО НАПРАВЛЕНИЮ "ИБ"
1.
Информационные технологии. Методы и средства обеспечения
безопасности. Безопасность сетей Часть6. Обеспечение
информационнойбезопасности при использовании беспроводных IPсетей
ГОСТ Р
59162-2020
2.
Информационная технология. Криптографическая защита информации.
Процессы формирования и проверки электронной цифровой подписи
ГОСТ Р
34.10-2012
ГОСТ Р
34.11-2012
ГОСТ Р
34.12-2015
ГОСТ Р
34.13-2015
ПНСТ
799
3.
4.
5.
6.
Информационная технология. Криптографическая защита информации.
Функция хэширования
Информационная технология. Криптографическая защита информации.
Блочные шифры
Информационная технология. Криптографическая защита информации.
Режимы работы блочных шифров
Информационная технология. Криптографическая защита информации.
Термины и определения

14. Нормативные документы ИБ

НОРМАТИВНЫЕ ДОКУМЕНТЫ ИБ
• Стандарт Банка России СТО БР ИББС-1.0-2014 — Стандарт Банка России:
«Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения».
• PCI DSS (Payment Card Industry Data Security Standard) — Стандарт
безопасности данных индустрии платёжных карт.

15. Международные стандарты

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ
•BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for
Information Security Management (Практические правила управления информационной
безопасностью) описывает 127 механизмов контроля, необходимых для построения системы
управления информационной безопасностью (СУИБ) организации, определённых на основе лучших
примеров мирового опыта (best practices) в данной области. Этот документ служит практическим
руководством по созданию СУИБ
•BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information
Security management — specification for information security management systems (Спецификация
системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть
стандарта используется в качестве критериев при проведении официальной процедуры
сертификации СУИБ организации.
•BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области
управления рисками информационной безопасности
•ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности —
Практические правила менеджмента информационной безопасности». Международный
стандарт, базирующийся на BS 7799-1:2005

16.

•ISO/IEC 27001 — «Информационные технологии — Методы обеспечения
безопасности — Системы управления информационной безопасностью — Требования».
Международный стандарт, базирующийся на BS 7799-2:2005.
•ISO/IEC 27002 — «Информационные технологии — Технологии безопасности —
Практические правила менеджмента информационной безопасности». Дата выхода —
2007 год.
•ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
•ISO/IEC 31000 — Описание подхода к риск-менеджменту без привязки к ИТ/ИБ.
•German Information Security Agency. IT Baseline Protection Manual — Standard security
safeguards (Руководство по базовому уровню защиты информационных технологий).

17. Руководящие документы

РУКОВОДЯЩИЕ ДОКУМЕНТЫ
• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации
от 15 июля 2017— содержит описание показателей защищенности
информационных систем и требования к классам защищенности

18. Список литературы

СПИСОК ЛИТЕРАТУРЫ
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами;
• Постановление Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации»

19. Спасибо за внимание

СПАСИБО ЗА ВНИМАНИЕ