Пр1(ЗакЗИ)


Чтобы посмотреть презентацию с картинками, оформлением и слайдами, скачайте ее файл и откройте в PowerPoint на своем компьютере.
Текстовое содержимое слайдов презентации:

«Цели, задачи и методы правовой защиты информации»   Лекция Раздел 2. Основы правовой защиты информации Тема № 1 дисциплины: " Правовая защита информации" Специальность: 090103 “Организация и технология защиты информации”  Кафедра информационной безопасностиГ. Королев, 2012 год Анализ п р а в о в о г о обеспечения Реализация организационно-правовых мероприятий защиты Реализация технических мероприятий по защите информации Правовое обеспечение планируемых мероприятий в области защиты информации, всегда должнопредшествовать принятию решения о реализации этих мероприятий. При реализации технических мероприятий необходимо выполнить требования законов РФ и нормативных документов по лицензированию исполнителей работ, использованию сертифицированных средств защиты, а также действующим ограничениям на применение специальных технических средств. Комплексное изучение законов и нормативных документовв области защиты информации является обязательным элементом культуры работающего в этой области специалиста. Государственная политика в области обеспечения информационной безопасности Государственное регулирование: установление требований о защите информации;установление ответственности за нарушение Законов. Цель - защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны и безопасности государства Политика ИБ - отношение государства к вопросам обеспечения своей безопасности в информационной сфере Кто (субъект) государство в соответствии с Конституцией, в части определения предметов ведения Как:Только Федеральными Законами Что: Только то, что определено в ФЗ Ограничение доступа к информации, определение перечня информации, доступ к которой ни при каких обстоятельствах не может быть ограничен Условия отнесения к информации с ограниченным доступом Субъекты регулирования органы власти , организации Органы власти и организации Принимают правовые, организационные и технические меры по выполнению требований и соблюдению условий Уполномоченные органы власти Организуют , обеспечивают и контролируют работу государственной системы защиты информации Законы Законы Структура нормативно-правового обеспечения информационной безопасности Нормативно-правовое обеспечение информационной безопасности Российской Федерации Нормативно-правовое обеспечение реализации прав и свобод человека и гражданина, реализуемых в информационной сфере Нормативно-правовое обеспечение интересов Российской Федерации в области развития российской инфраструктуры и эффективного использования отечественных информационных ресурсов Нормативно-правовое обеспечение безопасности информационных и телекоммуникаци-онных систем, сетей связи и информационных ресурсов 7 6 5 4 3 2 1 Основные направления правового обеспечения информационной безопасности Права собственности, владения и распоряжения информацией Степень открытости информации Организация работ по защите информации Государственное лицензирование деятельности в области защиты информации Порядок отнесения информации к категории ограниченного доступа Порядок создания специальных служб Права и ответственность должностных лиц за защиту информации КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ * Статья 231. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Статья 241. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Статья 294. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.5. Гарантируется свобода массовой информации. Цензура запрещается. Статья 71В ведении Российской Федерации находятся:и) федеральные энергетические системы, ядерная энергетика, расщепляющиеся материалы; федеральные транспорт, пути сообщения, информация и связь; деятельность в космосе. ЗАКОНОДАТЕЛЬНАЯ БАЗА ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА 2. Федеральный Закон № 152-ФЗ, 2006«О персональных данных» 1. Федеральный Закон № 149-ФЗ, 2006«Об информации, информационных технологиях и о защите информации» 3. Федеральный Закон N 98-ФЗ, 2004 (с изменениями и дополнениями от 2 февраля 2006 года № 19-ФЗ; от 24 июля 2007 года № 214-ФЗ) «О коммерческой тайне» 4. Указ Президента Российской Федерации от 6 марта 1997года №188«Об утверждении перечня сведений конфиденциального характера» 5. Постановление Правительства РФ от 15 августа 2006г. № 504«О лицензировании деятельности по технической защите конфиденциальной информации» 6.Постановление Правительства РФ от 15 августа 2006г. № 532«О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» * Основные положения Федерального Закона от 27.07.06г.№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» Регулирует отношения, возникающие при:1) осуществлении права на поиск, получение, передачу, производство и распространение информации;2) применении информационных технологий;3) обеспечении защиты информации. Основные принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации: - установление ограничений доступа к информации только федеральными законами;- обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;- достоверность информации и своевременность ее предоставления; Обладатель информации при осуществлении своих прав обязан:- принимать меры по защите информации;- ограничивать доступ к информации, если такая обязанность установлена ФЗ Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен Федеральными законами. Общедоступная информация Информация ограниченного доступа - доступ к которой ограничен федеральными законами. * Информация ФЕДЕРАЛЬНЫЙ ЗАКОН РФ от 27 июля 2006г. №149 «Об информатизации, информационных технологиях и о защите информации» С т а т ь я 2. Основные понятия, используемые в ФЗ1. Информация – сведения (сообщения, данные) независимо от формы их представления.5. Обладатель информации – лицо, самостоятельно создавшее информацию, либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким либо признакам.7. Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя С т а т ь я 9. Ограничение доступа к информации4. Федеральными Законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.5. Информация, полученная гражданами (физическими лицами) при исполнении ими определенных видов деятельности (профессиональная тайна) подлежит защите в случаях, если на эти лица ФЗ возложены обязанности по соблюдению конфиденциальности такой информации. С т а т ь я 16. Защита информации1.Защита информации, представляет собой принятие правовых, организационных и технических мер, направленных на:обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;соблюдение конфиденциальности информации ограниченного доступа;- реализацию права на доступ к информации Защита информации представляет собой принятие правовых, организационных и технических мер. Основные положения Федерального Закона от 27.07.06г.№ 149 -ФЗ «Об информации, информационных технологиях и о защите информации» Обязательность соблюдения конфиденциальности информации, доступ к которой ограничен федеральными законами (ст. 9.2); Обязательность ввода государственной информационной системы в эксплуатацию в порядке, установленном заказчиком (ст. 14.5); Методы и способы защиты информации при создании и эксплуатации государственных информационных систем должны соответствовать требованиям, установленным ФОИВ, уполномоченным в области ПДТР и ТЗИ (ст.16.5) Установленные Федеральным законом от 27.07.06г.№ 149-ФЗ требования к государственным информационным системам, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации (ст.13.4). Обязанности обладателя информации, оператора информационной системы (ст.16.4):- предотвращение несанкционированного доступа к информации, не имеющим права на доступ к информации;- своевременное обнаружение фактов несанкционированного доступа к информации;- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;- возможность незамедлительного восстановления информации, модифицированной или уничтоженной в следствие несанкционированного доступа к ней;- постоянный контроль за обеспечением уровня защищенности информации. Основные положения Федерального Закона от 27.07.06г.№ 149-ФЗ «Об информации, информационных технологиях и о защите информации» об информационных системах Информационные системы. Государственные информационные системы. Муниципальные информационные системы. Иные информационные системы. Требования по защите информации установленные ФСТЭК России. Особенности подключения государственных информационных систем к ИТКС (Интернет) могут быть установлены нормативным правовым актом Президента РФ Порядок создания и эксплуатации ИС, не являющихся государственными или муниципальными, определяется операторами таких ИС в соответствии с требованиями ФЗ * Обязательные Рекомендательные ФЕДЕРАЛЬНЫЙ ЗАКОН РФ от 27 июля 2006г. №149 «Об информатизации, информационных технологиях и о защите информации» С т а т ь я 5. Информация как объект правовых отношений1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если ФЗ не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. С т а т ь я 6. Обладатель информации1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, РФ, субъект РФ, муниципальное образование.5. Обладатель информации, если иное не предусмотрено ФЗ вправе:Разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;Использовать информацию, в том числе распространять ее по своему усмотрению;Передавать информацию другим лицам по договору или на ином установленном законом основании;Защищать установленным законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; С т а т ь я 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации1.Нарушения требований настоящего ФЗ влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ.2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа, вправе обратиться за судебной защитой своих прав, тв том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные ФЗ требования о защите информации. Указ Президента Российской Федерации от 6 марта 1997г. № 188 ПЕРЕЧЕНЬсведений конфиденциального характера * 2. Сведения, составляющие тайну следствия и судопроизводства. 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституци­ей Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Информация, содержащая сведения конфиденциального характера Информация с ограниченным доступом Персональные данные любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Федеральный закон №152-ФЗ (сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными) Профессиональная тайна (ПТ)- информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности. Объекты ПТ: врачебная тайна, тайна связи, тайна переписки, телефонных переговоров, иных сообщений, нотариальная тайна, адвокатская тайна, тайна усыновления, тайна страхования, тайна исповеди. ФЗ от 27.07 2006 № 149. К ПТ не относится коммерческая и государственная. Служебная тайна - сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами. Указ Президента РФ 97 г № 188. Защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости (по ГОСТ Р 51583), упоминается в ФЗ-от 27.07.2006 №149. Коммерческая тайна - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны;ФЗ «О коммерческой тайне от 29.07.2004 №98-ФЗ); Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ (с изменениями и дополнениями от 2 февраля 2006 года № 19-ФЗ; от 24 июля 2007 года № 214-ФЗ) Статья 1. Цели и сфера действия настоящего Федерального закона Статья 2. Законодательство Российской Федерации о коммерческой тайне Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации Статья 5. Сведения, которые не могут составлять коммерческую тайну Статья 6. Предоставление информации, составляющей коммерческую тайну Статьи 7 - 9 утратили силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ.Статья 10. Охрана конфиденциальности информации Статья 11. Охрана конфиденциальности  информации в рамках трудовых отношений Статья 12 утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ.Статья 13. Охрана конфиденциальности информации при ее предоставлении Статья 14. Ответственность за нарушение  настоящего Федерального закона Статья 15. Ответственность за непредоставление органам государственной власти, иным государственным органам, органам местного самоуправления информации, составляющей коммерческую тайну Статья 16. Переходные положения Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 3 п.1. Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; (п. 1 в ред. Федерального закона от 18.12.2006 N 231-ФЗ).п.2. Информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; (п. 2 в ред. Федерального закона от 18.12.2006 N 231-ФЗ) Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона.Утратил силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ.3. Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.4. Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания. Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 5. Сведения, которые не могут составлять коммерческую тайну Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.      Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 10. Охрана конфиденциальной информации (КИ)п.1. Меры по охране КИ, принимаемые ее обладателем, должны включать:1) определение перечня информации, составляющей коммерческую тайну;2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).п.2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи. Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 11. Охрана конфиденциальной информации (КИ) в рамках трудовых отношенийп.1. В целях охраны конфиденциальности информации работодатель обязан:1) ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.п.2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. Федеральный Закон «О коммерческой тайне»от 29 июля 2004г. № 98-ФЗ Статья 13. Охрана конфиденциальности информации при ее предоставлении 1. Органы государственной власти, иные государственные органы, органы местного самоуправления в соответствии с настоящим Федеральным законом и иными федеральными законами обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями. 2. Должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, государственные или муниципальные служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам, органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, за исключением случаев, предусмотренных настоящим Федеральным законом, а также не вправе использовать эту информацию в корыстных или иных личных целях. 3. В случае нарушения конфиденциальности информации должностными лицами органов государственной власти, иных государственных органов, органов местного самоуправления, государственными и муниципальными служащими указанных органов эти лица несут ответственность в соответствии с законодательством Российской Федерации. Нормативные документы в области защиты персональных данных «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении персональных данных при их обработке в информационных системах персональных данных» Федеральный Закон от 27.07.06г. №152-ФЗ «О персональных данных» Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах в привязке к классу системы ПД; Определяется из показателей исходной защищенности, к которым относятся: 1.Территолриальное размещение системы, наличие подключений к Интеренет, разграничение доступа к ПД (всего -7): первый – исходная защищенность системы;2. Частота (вероятность реализации угрозы, которая определяется экспертным образом. Определение перечня актуальных угроз, согласно базовой модели. Базовые модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 утвержден порядок проведения классификации информационных систем персональных данных. Регулирует отношения, связанные с обработкой персональных данных с использованием средств автоматизации Устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн Определяет порядок проведения классификации информационных систем персональных данных Определяет методы и способы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Основные положения Федерального Закона от 27.07.06г. №152-ФЗ «О персональных данных» Федеральным законом регулируются отношения, связанные с обработкой персональных данных Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, обезличивания персональных данных и в отношении общедоступных персональных данных Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных. Оператор обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных. Требования к обеспечению безопасности персональных данных установлены Постановлением Правительства РФ от 17.11.07 №781 ФСТЭК России осуществляет контроль выполнения требований обеспечения безопасности Меры по обеспечению безопасности персональных данных при их обработке Постановление Правительства Российской Федерации от 17 ноября 2007г. №781«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации Требования, являются обязательными к выполнению для- федеральных органов государственной власти; - органов государственной власти субъектов Российской Федерации; - иных государственных органов;- органов местного самоуправления;- юридических и физических лиц, участвующих в создании и эксплуатации информационных систем персональных данных. Постановление Правительства РФ № 781 от 17.11.2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в ИСПД» Основные требования по обеспечению безопасности персональных данных при их обработке в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Информационные системы классифицируются оператором в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Постановление Правительства РФ № 781 от 17.11.2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в ИСПД» Информационная система персональных данных Своевременное обнаружение фактов НСД к ПДн Недопущение воздействий на технические средства автоматизированной обработки ПДн Возможность незамедлительного восстановления ПДн Постоянный контроль за уровнем защищенности ПДн Проведение мероприятий, направленных на предотвращение НСД к ПДн Согласно п.11 данного Положения при обработке персональных данных в информационной системе должно быть обеспечено: Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают: определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;учет лиц, допущенных к работе с персональными данными в информационной системе;контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;описание системы защиты персональных данных. Постановление Правительства РФ № 781 от 17.11.2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в ИСПД» Основные требования по обеспечению безопасности персональных данных при их обработке в информационных системах. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица. Применяемые в информационных системах средства защиты информации должны пройти процедуру оценки соответствия. Постановление Правительства РФ № 781 от 17.11.2007 года «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в ИСПД» Основные требования по обеспечению безопасности персональных данных при их обработке в информационных системах. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Изменение условий применения средств защиты информации, предусмотренных правилами их пользования, согласовывается с ФСТЭК России и ФСБ России пределах их полномочий. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах должна оцениваться при проведении государственного контроля и надзора, осуществляемого уполномоченными федеральными органами исполнительной власти. Методические документы ФСТЭК России в области обеспечения безопасности персональных данных, при их обработке в ИСПД Методические документы ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Методические документы предназначены для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих информационных системах персональных данных:ИСПД государственных органов;ИСПД муниципальных органов;ИСПД юридических лиц;ИСПД физических лиц. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Базовая модель угроз предназначена для решения следующих задач: разработки частных моделей угроз безопасности персональных данных в конкретных информационных системах с учетом их назначения, условий и особенностей функционирования;анализа защищенности информационных систем персональных данных от угроз безопасности в ходе организации и выполнения работ по обеспечению безопасности персональных данных;разработки системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем персональных данных;проведения мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;недопущения воздействия на технические средства информационных систем персональных данных , в результате которого может быть нарушено их функционирование;контроля за обеспечением уровня защищенности персональных данных. Базовая модель угроз безопасности персональных данных содержит: Классификацию угроз безопасности персональных данных. Анализ и характеристики угроз возможной утечки по техническим каналам. Анализ и характеристики угроз несанкционированного доступа к информации в информационной системе персональных данных, включая характеристики источников угроз несанкционированного доступа, характеристики уязвимостей системного и прикладного программного обеспечения, характеристики угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия и программно-математических воздействий, характеристики нетрадиционных информационных каналов и результатов несанкционированного или случайного доступа. Типовые модели угроз безопасности персональных данных, обрабатываемых в информационных системах (автоматизированных рабочих местах, локальных и распределенных информационных системах) не имеющих и имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Методика определения актуальных угроз безопасности предназначена для формирования перечня актуальных угроз безопасности персональным данным, обрабатываемым в информационных системах.Формирование перечня источников угроз персональным данным осуществляется методом экспертного опроса. На основе экспертного опроса и анализа результатов сетевого сканирования информационной системы формируется перечень ее уязвимых звеньев. По данным обследования информационной системы формируется перечень возможных технических каналов утечки информации.Путем анализа указанных перечней определяются условия существования в информационной системе угроз безопасности информации и составляется их полный перечень. На основании полного перечня угроз безопасности информации в соответствии с порядком определения актуальных угроз безопасности персональных данных в информационных системах персональных данных формируется перечень актуальных угроз безопасности персональным данным. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Мероприятия по обеспечению безопасности персональных данных формулируются в зависимости от класса информационной системы с учетом возможного возникновение угроз безопасности жизненно важным интересам личности, общества и государства. Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных включают:организация обеспечения безопасности персональных данных, включая классификацию информационной системы ;мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационной системе , включающие размещение, специальное оборудование, охрану и организацию режима допуска в помещения, где ведется работа с персональными данными; мероприятия по закрытию технических каналов утечки персональных данных при их обработке в информационных системах; мероприятия по защите персональных данных от несанкционированного доступа и определению порядка выбора средств защиты персональных данных при их обработке в информационных системах персональных данных. На стадии ввода информационных систем в эксплуатацию осуществляется оценка соответствия информационной системы требованиям безопасности. Оценка соответствия информационных систем персональных данных требованиям безопасности информации проводится: для информационных систем 1 и 2 классов – сертификация (аттестация) по требованиям безопасности информации; для информационных систем 3 класса – декларирование соответствия или сертификация (аттестация) по требованиям безопасности информации (по решению оператора); для информационных систем 4 класса оценка соответствия проводится по решению оператора. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. №504«О лицензировании деятельности по технической защите конфиденциальной информации» операторы информационных систем персональных данных при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в информационных системах 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. РД «РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 1992 г.РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 1992 г.РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 1997 г.РД «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» 1992 г.РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» 2001 г.РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» 2002 г.«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР К)» 2002 г. РУКОВОДЯЩИЕ ДОКУМЕНТЫ ФСТЭК (ГОСТЕХКОМИССИИ) РОССИИ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К). Термины, определения и сокращенияОбщие положенияОрганизация работ по защите конфиденциальной информацииТребования и рекомендации по защите речевой конфиденциальной информацииТребования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системахРекомендации по обеспечению защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользованияПриложенияМетодики СТРУКТУРА ДОКУМЕНТА ПРИЛОЖЕНИЯ К СТР-К Основные нормативные правовые акты и методические документы по защите информации Пример документального оформления перечня сведений конфиденциального характера Форма технического паспорта на автоматизированную систему Форма технического паспорта на защищаемое помещение Форма аттестата соответствия автоматизированной системы Форма аттестата соответствия защищаемого помещения Форма акта классификации автоматизированной системы,предназначенной для обработки конфиденциальной информации СТР-К Требования и рекомендации Рекомендации По защите государственных информационных ресурсов некриптографическими методами По защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну Информационные ресурсы информационных системСовокупность файлов данных, составляющих информацию пользователей и программных продуктов, определяющих информационную технологию. Средства и системы информатизации СВТ, АС различного уровня и назначения на базе СВТ, в т. ч. информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для защиты конфиденциальной информации Технические средства и системы, Не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует); Помещения для ведения переговоров со сведениями ограниченного доступа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Защите подлежат: Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе. ОСНОВНЫЕ ПОЛОЖЕНИЯ «СПЕЦИАЛЬНЫХ ТРЕБОВАНИЙ И РЕКОМЕНДАЦИЙ» ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1. Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением (при необходимости) средств защиты информации от утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.2. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации. 3. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России.4. Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт РоссииГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт РоссииГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт РоссииГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт РоссииГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт РоссииГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт РоссииГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель. Госстандарт РоссииГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт РоссииГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России Государственные стандарты Система нормативных и методических документов по безопасности ИТ * 1 у р о в е н ь 2 у р о в е н ь 3 у р о в е н ь 4 у р о в е н ь Положение по обеспечению безопасности в жизненном цикле Концепция обеспечения безопасности изделий ИТ Технический регламентО безопасности ИТ Базовая модель обеспечения безопасности в жизненном цикле ИТ Типовая программа обеспечения безопасности изделий ИТ Разработка завершена в2005 Руководящий документ (2002г.)Критерии оценки безопасности ИТ Положение по разработке ПЗ и ЗБ Профили защиты Руководство по регистрации профилей защиты Базовая модель угроз безопасности изделий ИТ Руководство по формированию семейств ПЗ Руководство по разработке ПЗ и ЗБ Технический регламентО требованиях к средствам обеспечения безопасности ИТ ГОСТ ИСО/МЭК 15408-2002. «ИТ. Методы и средства ОБ. Критерии оценки безопасности ИТ»Введен с 1.01.2004г. Общая методология оценки безопасности изделий ИТ Положение о порядке оценки соответствия …. Требования к участникам системы оценки соответствия Положение по инспекционному контролю за деятельностью испытательных лабораторий Руководство для испытательной лаборатории Руководство для органов сертификации Руководство для заявителя 1 группа 2 группа 3 группа Включают технические регламенты:«О безопасности информационных технологий»«О требованиях к средствам обеспечения безопасности информационных технологий. Определяют: Основные понятия в области ИТ; Перечень объектов технического регулирования, для которых риск реализации угроз может быть недопустимо велик; Виды потенциальных угроз безопасности ИТ и способы их реализации; Порядок анализа и оценки рисков угроз безопасности ИТ; Категории объектов технического регулирования в зависимости от риска реализации угроз; Требования безопасности для каждой категории объектов технического регулирования; Порядок проведения контроля и надзора. ДОКУМЕНТЫ ПЕРВОГО УРОВНЯ (Программа разработки технических регламентов на 2005-2006 годы, утверждена Правительством РФ от 6.11.04г. №1421-р) Включают:1. «Концепцию обеспечения безопасности изделий информационных технологий» (2005г) Основные понятия и общие положения по безопасности изделий ИТ. Назначение, структура и основное содержание документов по безопасности изделий ИТ (профиля защиты и задания по безопасности). Основные меры безопасности при разработке и эксплуатации изделий ИТ. 2. «ГОСТ Р ИСО/ МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». (Введен с 1.01.2004г.) Содержит функциональные требования к средствам ИТ и требования доверия. 3. Постановления Правительства РФ и положения «О стандартизации оборонной продукции» и «О порядке оценки соответствия оборонной продукции и продукции, используемой в целях ЗИ ограниченного доступа» (Срок разработки проектов 2005г.) ДОКУМЕНТЫ ВТОРОГО УРОВНЯ Конкретизируют требования документов второго уровня:1. Положение по обеспечения безопасности при разработке , испытаниях, поставке и эксплуатации изделий информационных технологий» Система положений по достижению требуемого уровня безопасности ИТ; Общие требования по безопасности на различных этапах изделий ИТ2. РД « Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Соответствует ГОСТ Р ИСО ИСО/ МЭК 15408-2002 и предназначен для заказчиков, разработчиков, пользователей изделий ИТ, органов по оценке соответствия с обеспечением оперативного внесения изменений по опыту практического применения. 3. «Положение по разработке профилей защиты и заданий по безопасности» Определяет порядок разработки , оценки, регистрации и публикации профилей защиты и заданий по безопасности для изделий ИТ, предназначенных для обработки информации ограниченного доступа.4. «Руководство по регистрации профилей защиты» Профиль защиты – НД со стандартизированным набором требований по безопасности изделий ИТ5.«Положение по инспекционному контролю за деятельностью участников системы оценки соответствия» Определяет порядок и процедуры контроля за соблюдением органами по оценке соответствия критериев, методологии и процедур оценки изделий ИТ, формы и периодичность проверок. ДОКУМЕНТЫ ТРЕТЬЕГО УРОВНЯ Определяют методы и способы достижения требований, задаваемых в документах первых трех уровней.«Базовая модель обеспечения безопасности в жизненном цикле ИТ»«Типовая программа обеспечения безопасности при разработке и сопровождении изделия ИТ» Определяют соответствующие этапу меры и работы по обеспечению безопасности с учетом принятой модели жизненного цикла средства ИТ3. «Общая методология оценки безопасности изделий ИТ» Содержит совокупность типовых методик оценки выполнения требований безопасности ИТ. 4. «Базовая модель угроз безопасности изделий ИТ. Устанавливает структуру модели угроз, форму представления угроз в профилях защиты и заданиях по безопасности, описание типовых угроз для изделий ИТ.5. «Руководство по формированию семейств профилей защиты» Устанавливает порядок формирования семейств профилей защиты, состав классов защищенности изделий ИТ и соответствующих им базовых пакетов требований доверия и уровней стойкости функций безопасности.6. «Руководство по разработке профилей защиты и заданий по безопасности» Методический документ к РД «Безопасность ИТ. Критерии оценки безопасности ИТ.7. Руководства для участников системы оценки соответствия. Определяют основные процедурные и методические аспекты деятельности участников системы оценки соответствия, их задачи и порядок взаимодействия. ДОКУМЕНТЫ ЧЕТВЕРТОГО УРОВНЯ ГОСТ Р ИСО/МЭК 17799 "Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации" Вторая часть «Спецификации системы» - рассматривает аспекты информационной безопасности с точки зрения сертификации информационной системы на соответствие требованиям стандарта. Первая часть «Практические рекомендации» Определяет и рассматривает следующие аспекты информационной безопасности:• политика безопасности;• организация защиты;• классификация и управление информационными ресурсами;• управление персоналом;• физическая безопасность;• администрирование компьютерных систем и сетей;• управление доступом к системам;• разработка и сопровождение систем;• планирование бесперебойной работы организации;• проверка системы на соответствие требованиям информационной безопасности. * Примерная структура типовой политики безопасности организации и перечень инструкций в соответствии с ГОСТ Р ИСО/МЭК 17799 1. Общие положения.1.1. Назначение документа.1.2. Основания для разработки документа.1.3. Основные определения.2. Идентификация системы.2.1. Идентификатор и имя системы.2.2. Ответственные подразделения.2.3. Режим функционирования системы.2.4. Описание и цели системы.2.5. Цели и задачи политики безопасности.2.6. Системная среда.2.6.1. Физическая организация системы.2.6.2. Логическая организация системы.2.7. Реализованные сервисы системы.2.8. Общие правила, принятые в системе.2.9. Общее описание важности информации.3. Средства управления.3.1. Оценка рисков и управление.3.2. Экспертиза системы защиты информации.3.3. Правила поведения, должностные обязанности и ответственность.3.4. Планирование безопасности.3.5. Разрешение на ввод компонента в строй.3.6. Порядок подключения подсетей подразделения к сетям общего пользования. * 4. Функциональные средства.4.1. Защита персонала.4.2. Управление работой и вводом-выводом.4.3. Планирование непрерывной работы.4.4. Средства поддержки программных приложений.4.5. Средства обеспечения целостности информации.4.6. Документирование.4.7. Осведомленность и обучение специалистов.4.8. Ответные действия в случаях возникновения происшествий.5. Технические средства.5.1. Требования к процедурам идентификации и аутентификации.5.2. Требования к системам контроля и разграничения доступа.5.3. Требования к системам регистрации сетевых событий. 1. Требования к защите портов и служб.2. Порядок проведения экспертизы системы защиты информации.3. Порядок проведения анализа рисков.4. Использование автоматизированных систем анализа защищенности.5. Порядок восстановления автоматизированных систем после аварийных ситуаций. Примерная структура типовой политики безопасности Примерные инструкции по реализации политики безопасности Основные положения стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0–2006) Стандарт устанавливает:общие и специальные принципы безопасного функционирования организации банковской системы; модели угроз и нарушителей информационной безопасности организаций банковской системы РФ; состав и назначение политики информационной безопасности организаций банковской системы РФ;общие (основные) требования по обеспечению информационной безопасности, отображаемые в политиках информационной безопасности организации;управление информационной безопасностью организации банковской системы РФ;модель зрелости процессов управления информационной безопасностью организаций банковской системы РФ;аудит и мониторинг информационной безопасности организаций банковской системы РФ;направления дальнейшего развития стандарта * ОСНОВНЫЕ НАКАЗУЕМЫЕ ДЕЯНИЯ В ИНФОРМАЦИОННОЙ СФЕРЕ УГОЛОВНЫЙКОДЕКСРоссийской Федерации Ст. 284: утрата документов, содержащих государственную тайну Ст. 283:разглашение государственнойтайны Ст. 183:незаконное получение иразглашение сведений, составляющих коммерческую или банковскую тайну Ст. 272:неправомерный доступ к компьютерной информации Ст. 273:создание, использование и распространение вредоносных программ для ЭВМ Ст. 276:шпионаж Ст. 138:нарушение тайны перепискителефонных переговоров,почтовых, телеграфныхили иных сообщений Ст. 274:нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети К О Д Е К СРоссийской Федерации об административных правонарушенияхот 30.12.2001 №195-ФЗ Глава 13. Административные правонарушения в области связи и информации Статья 13.12. Нарушение правил защиты информации п. 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на должностных лиц – от 10 до 20 МРОТ, на юридических лиц – от 100 до 200 МРОТ.п. 4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц – от 30 до 40 МРОТ, на юридических лиц – от 200 до 300 МРОТ. Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. ТРУДОВОЙ КОДЕКС РФ

Приложенные файлы

  • ppt 19911820
    Размер файла: 989 kB Загрузок: 0

Добавить комментарий