- •Правовые вопросы Являются ли цифровые подписи настоящими подписями? Будут ли они признаны судом?
- •Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от
- •Законы Российской Федерации Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
- ••правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику,
- •соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
- •Государственная система защиты информации
- •предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке
- ••общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;
- •Структура государственной системы защиты информации РФ
- •В соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации",
- ••участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;
- •за ними конкретные виды деятельности и области защиты информации (Приложение 1 к данному
- ••деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- •помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения
- ••(ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .
- •(утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии
- •-"Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"
- ••ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее
- ••ГОСТ Р 34.11 -94 «Функция хеширования»
- •Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе
- •Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального
- •Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10
- •ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых
- •включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы
- ••пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения
- ••При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и
- •Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая
- ••сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует)
- •подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной
- •Физические и юридические лица являются собственниками тех документов (массивов документов), которые созданы за
- •Информация с ограниченным доступом делится, в свою очередь, на информацию, отнесенную к государственной
- •♦документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию,
- •Персональные данные (информация о гражданах) относятся к конфиденциальной информации. Подлежит обязательному лицензированию деятельность
- •Обязательные бесплатные экземпляры — экземпляры различных видов документов, подлежащие безвозмездной передаче их производителями
- •♦ издания для слепых, изготавливаемые рельефно-точечным шрифтом по системе Брайля, и «говорящие книги»;
- •♦шестнадцать обязательных бесплатных экземпляров книг, брошюр, альбомов, продолжающихся изданий, журналов, географических карт и
- •Законодательством также определена обязанность изготовителей перечисленных выше документов предоставлять государству до 300 платных
- •Порядок ведения государственного учета и регистрации баз данных определен Временным положением о государственном
- •В каталоге приводятся наименования, описания, объемы баз данных, содержащих сведения об организациях и
- •ООО «Международное Бюро Информации и Телекоммуникаций» (МБИТ)
- •Государственный комитет РФ по статистике (Госкомстат), Государственный комитет РФ но стандартизации, метрологии и
- •научно- технической информации, включая территориальные фонды научно-технической литературы и документации, а также автоматизированные
- •ЕНИРы и т.п.) по различным отраслям: строительство, топливно- энергетический комплекс, торговля и т.п.
- •Все документы снабжены комментариями и разъяснениями специалистов В системе представлены все типы правовой
- •На информационно-правовом сервере КАДИС www.kadis.net в свободном доступе публикуется ежедневный мониторинг новостей законодательства,
- •Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий
- •Стандартизированные определения:
- •Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и
- •Первый уровень правовой основы защиты информации
- •Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации,
- •Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи»
- •Третий уровень правового обеспечения системы защиты экономической информации
- •Организационно-технические и режимные меры и методы:
- •Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- •-Осуществление выбора средств защиты информации и их характеристик; -Внедрение и организация использования выбранных
- •Журналирование (так же называется Аудит).
- •Системы аутентификации Пароль; Сертификат; Биометрия.
- •Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
- •Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств;
Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15- ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя
игода первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).
Второй уровень правовой защиты информации
На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ
ипостановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.
Третий уровень правового обеспечения системы защиты экономической информации
К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.
Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.
Четвертый уровень стандарта информационной безопасности
Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.
Организационно-технические и режимные меры и методы:
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы. Политика безопасности (информации в организации) (англ. Organizational security policy)— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
-Защита объектов информационной системы; -Защита процессов, процедур и программ обработки информации; -Защита каналов связи; -Подавление побочных электромагнитных излучений; -Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
-Определение информационных и технических ресурсов, подлежащих защите; -Выявление полного множества потенциально возможных угроз и каналов утечки информации;
-Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки; -Определение требований к системе защиты;
-Осуществление выбора средств защиты информации и их характеристик; -Внедрение и организация использования выбранных мер, способов и средств защиты;
-Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты. Программно-технические способы и средства
обеспечения информационной безопасности
В литературе предлагается следующая классификация средств защиты информации:
Средства защиты от несанкционированного доступа (НСД): Средства авторизации; Мандатное управление доступом;
Избирательное управление доступом; Управление доступом на основе ролей;
Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS). Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Анализаторы протоколов. Антивирусные средства. Межсетевые экраны.
Криптографические средства: Шифрование; Цифровая подпись.
Системы резервного копирования. Системы бесперебойного питания: Источники бесперебойного питания; Резервирование нагрузки; Генераторы напряжения.
:
Системы аутентификации Пароль; Сертификат; Биометрия.
Средства предотвращения взлома корпусов и краж оборудования. Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты: Мониторинговый программный продукт.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Комитет Государственной думы по безопасности; Совет безопасности России;
Федеральная служба по техническому и экспортному контролю (ФСТЭК); Федеральная служба безопасности Российской Федерации (ФСБ России);
Министерство внутренних дел Российской Федерации (МВД России);
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Службы, организующие защиту информации на уровне предприятия:
Служба экономической безопасности; Служба безопасности персонала (Режимный отдел); Отдел кадров; Служба информационной безопасности.
Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства: Международные договоры РФ; Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ;
Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести:
Методические документы государственных органов России: Доктрина информационной безопасности РФ; Руководящие документы ФСТЭК (Гостехкомиссии России); Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют: Международные стандарты; Государственные (национальные) стандарты РФ; Рекомендации по стандартизации; Методические указания.