- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Электронная подпись юридического лица или государственного органа
Новый закон допускает получение электронной подписи юридическими лицами или госорганами, использование ключа по доверенности, а также при оказании гос. услуг.
Использование подписи юридического лица осуществляется физическим лицом (должностным), которое указывается в сертификате. Исключения составляют подписи, используемые в автоматизированных системах в автоматическом режиме.
При использовании гос.услуг планируется вести особый порядок использования простых электронных подписей (предусмотрена федеральным законом 210 ФЗ об организации представления государственных и муниципальных услуг).
Подтверждение принадлежности ключа эп ее владельцу
Для простой электронной подписи не требуется выдачи какого либо удостоверяющего документа не в бумажном, не в электронном виде.
Для усиленной неквалифицированной подписи необходимо получить сертификат ключа проверки ЭП
Для квалифицированной ЭП, получение квалифицированное сертификата ключа во всех случаях.
Под квалифицированном сертификатом ключа проверки ЭП в законе об ЭП понимается особый сертификат ключа, выданный аккредитованным удостоверяющим центром, его доверенным лицом, либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП.
Удостоверяющий центр – это юридическое лицо или индивидуальный предприниматель. Аккредитацию проводит уполномоченный федеральный орган на добровольной основе на 5 лет.
Дополнительные требования:
Наличие чистых активов не менее 1 млн.р.
Наличие финансового обеспечения, ответственности за убытки, принесенные 3им лицам в размере не менее 1.5 млн.р.
Наличие средств ЭП и средств удостоверяющего центра, соответствующего требованиям ФСБ.
Наличие в штате не менее 2 специалистов в области криптографии ИТ.
Федеральный закон о персональных данных 152 фз
Целью закона являются обеспечение защиты прав и работ человека и гражданина при обработки его персональных данных, в том числе защиты прав и свободы частной жизни, личной и семейную тайну.
Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемых государственными органами (федеральные органы гос.власти и другие гос.органы), муниципальными органами (органы местного самоуправления и т.д.), юридическими лицами, физическими лицами, как с использованием средств автоматизации, так и без их использования.
Действие закона не распространяется на:
Обработку персональных данных физическими лицами для личных или семейных нужд, если не нарушаются права субъекта персональных данных
При использовании в соответствии с законодательством об архивном деле
Обработки по включению в единый государственный реестр индивидуальных предпринимателей
Обработка персональных данных, связанных с государственной тайной
Определение:
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу субъекта персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейной, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор –участник, осуществляющий или организующий обработку персональных данных, а также определяющий цели и содержание обработки персональных данных
Обработка персональных данных – действие с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение персональных данных.
Целостность, актуальность персональных данных не рассматриваются в ФЗ.
Принципы обработки персональных данных:
Законности целей и способов обработки персональных данных и добросовестности
Соответствие целям обработки данным целям заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора
Соответствие объема и характера обрабатываемых данных, способы обработки персональных данных целям обработки
Достоверности персональных данных, из достаточности, недопустимости обработки данных избыточных по отношению к целям
Недопустимость объединения созданных для несовместимых между собой целей, БД, ИС, персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требует цели обработки и они подлежат уничтожению по достижению цели обработки или в случае утраты необходимости в их достижении.
Закон декларирует право субъекта персональных данных на доступ к своим персональным данным:
Получение сведений об операторе
О наличии у него своих персональных данных
В праве требовать уточнения, блокирования, уничтожения
Защита своих прав
Субъект имеет право:
Подтверждение факта обработки персональных данных и цель обработки
Получение информации о лицах, имеющих доступ
Перечень обрабатываемых персональных данных и источник их получения
Сроки обработки персональных данных
Сведения о юридических последствиях обработки персональных данных
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решения порождающих юридические последствия. Решения порождающие последствия в таких системах может быть принято исключительно на основании письменного согласия субъекта персональных данных. Оператор обязан разъяснить субъекту порядок, связанный с принятием такого решения.
Субъект персональных данных имеет право обжаловать действия или бездействие оператора.
Законом предусмотрены меры по обеспечению безопасности персональных данных:
Оператор обязан защищать данные от неправомерного или случайного доступа, уничтожение, изменение, блокирования, копирование, распространение и другое
Государством установлены требования по обеспечению безопасности обработки ПД в ИС. Требование к материальным носителям и технологиям хранения вне информационных систем
Государство назначает орган для контроля и надзора
Использование и хранение биометрических персональных данных вне ИС только на носителях информации, обеспечивающих защиту данных.