шпора1
.pdf1.Информация. Защита информации. Свойства информации. Цели защиты информации.
Информация - сведения (сообщения, данные) независимо от формы их представления. Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Свойства информации:
1.Достоверность - Информация должна отражать реальное состояние дел, без искажений и ошибок.
2.Полнота - Информация считается полной, если она содержит достаточный объем данных для принятия решения или понимания ситуации.
4.Актуальность (своевременность) - Информация важна только тогда, когда она предоставляется в нужный момент.
5.Понятность - Информация должна быть выражена на языке, доступном для восприятия получателя.
6.Доступность - Информация должна быть легко доступной для пользователя при соблюдении правил конфиденциальности.
7.Объективность - Информация должна быть независимой от субъективного мнения автора, основанной на фактах.
8.ТочностьИнформация должна максимально соответствовать истинному положению дел.
9.Конфиденциальность - Информация может быть защищена от несанкционированного доступа, особенно если речь идет о персональных данных.
10.Ценность - Информация должна нести практическую пользу или способствовать достижению цели.
Цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
2. Угрозы информационной безопасности Классификация.
УГРОЗА (безопасности информации) – совокупность условий и факторов, создающих опасность нарушения информационной безопасности.
•Угроза конфиденциальности – это угроза, в результате реализации которой конфиденциальная или секретная информация становится доступной лицу, группе лиц или какой-либо организации, которой она не предназначалась.
•Угроза целостности – угроза, в результате реализации которой информация становится измененной или уничтоженной в результате несанкционированного доступа.
•Угроза отказа в обслуживании (угроза доступности) – угроза, реализация которой приведет к отказу в обслуживании клиентов АС, несанкционированному использованию ресурсов злоумышленниками по своему усмотрению.
•Естественные (объективные) - вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
•Искусственные (субъективные) вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют
•Непреднамеренные (случайные) угрозы - ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
•Преднамеренные (умышленные) угрозы - неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.
3. Классификация методов защиты информации.
Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования.
Программно-аппаратная защита используется для защиты программного обеспечения от несанкционированного (неавторизованного) доступа и нелегального использования. Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношение субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
4. Виды информации. Формирование информационных ресурсов и их классификация.
Информация в зависимости от категории доступа и ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
К общедоступной информации относится общеизвестные сведения и иная информация, доступ к которой не ограничен; Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1)информацию, свободно распространяемую;
2)информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3)информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению,
4)информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Информационные ресурсы — это знания, идеи человечества и руководящие принципы их реализации, которые записываются в любой форме и на любом носителе. К ним относят документы, базы данных, базы знаний, алгоритмы, компьютерные программы, а также произведения искусства, литературы и науки.
Формирование информационных ресурсов происходит, например, в библиотеках, архивах, фондах, банках данных, депозитариях, музейных хранилищах и других информационных системах.
Для классификации информационных ресурсов используют разные параметры, среди них:
Тематика хранимой информации. Например, общественно-политическая, научная, финансово-экономическая, экологическая и другие.
Форма собственности. Может быть государственная (федеральная, субъекта федерации, муниципальная), общественных организаций, акционерная, частная.
Доступность информации. Бывает открытая, закрытая, конфиденциальная.
Принадлежность к определённой информационной системе. Например, библиотечной, архивной, научно-технической.
Источник информации. Это может быть официальная информация, публикации в СМИ, статистическая отчётность, результаты социологических исследований и другие.
Назначение и характер использования информации. Например, массовое, региональное, ведомственное.
Форма представления информации. Бывает текстовая, цифровая, графическая, мультимедийная.
Вид носителя информации. Может быть бумажный, электронный.
5. Виды конфиденциальной информации.
|
Сведения о фактах, событиях и обстоятельствах частной |
|
жизни гражданина, позволяющие идентифицировать его |
Персональные |
личность (персональные данные), за исключением сведений, |
данные |
подлежащих распространению в средствах массовой |
|
информации в установленных федеральными законами |
|
случаях |
|
№ 152-ФЗ «О персональных данных » |
|
|
Сведения, составляющие тайну следствия и |
|
|
судопроизводства, сведения о лицах, в отношении которых в |
|
|
соответствии с федеральными законами от 20 апреля 1995 г. |
|
|
№ 45-ФЗ «О государственной защите судей, должностных лиц |
|
|
правоохранительных и контролирующих органов» и от 20 |
|
|
августа 2004 г. № 2004 г. № 119-ФЗ «О государственной |
|
Тайна следствия и |
защите потерпевших, свидетелей и иных участников |
|
судопроизводства |
уголовного судопроизводства», другими нормативными |
|
|
правовыми актами Российской Федерации принято решение |
|
|
о применении мер государственной защиты, а также |
|
|
сведения о мерах государственной защиты указанных лиц, |
|
|
если законодательством Российской Федерации такие |
|
|
сведения не отнесены к сведениям, составляющим |
|
|
государственную тайну |
|
|
Служебные сведения, доступ к которым ограничен органами |
|
|
государственной власти в соответствии с Гражданским |
|
Служебная тайна |
кодексом Российской Федерации и федеральными законами |
|
№ 130-ФЗ «О службе в органах внутренних дел Российской |
||
|
||
|
Федерации и внесении изменений и дополнений в некоторые |
|
|
законодательные акты Российской Федерации» |
|
|
Сведения, связанные с профессиональной деятельностью, |
|
|
доступ к которой ограничен в соответствии с Конституцией |
|
Профессиональная |
Российской Федерации и федеральными законами |
|
тайна |
(врачебная, нотариальная, адвокатская, тайна переписки, |
|
|
телефонных переговоров, почтовых отправлений, |
|
|
телеграфных и иных сообщений и так далее) |
|
|
Сведения, связанные с коммерческой деятельностью, доступ |
|
Коммерческая |
к которым ограничен в соответствии с Гражданским кодексом |
|
тайна |
Российской Федерации и федеральными законами |
|
|
№ 98-ФЗ «О коммерческой тайне» |
|
Сведения о |
Сведения о сущности изобретения, полезной модели или |
|
сущности |
промышленного образа до официальной публикации |
|
изобретения |
информации о них |
|
|
Сведения, содержащиеся в личных делах осуждённых, а |
|
Сведения об |
также сведения о принудительном исполнении судебных |
|
актов, актов других органов и должностных лиц, кроме |
||
исполнительном |
||
сведений, которые являются общедоступными в соответствии |
||
производстве |
||
с Федеральным законом от 2 октября 2007 г. № 229-ФЗ «Об |
||
|
||
|
исполнительном производстве» |
6. Субъекты информационных правоотношений. Права и обязанности обладателя информации.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Из определения следует, что обладателем информации может быть лицо, которое самостоятельно создало информацию либо получило эту информацию по закону или по договору. Таким образом, обладателем может быть лицо:
1)которое создало информацию;
2)которое получило информацию по закону или по договору между сторонами. Обладатель информации:
• Физическое лицо (гражданин);
• Юридическое лицо (организация, компания);
• Российская Федерация (орган государственной власти…);
• Субъект РФ (регион, орган гос. власти региона);
• Муниципальные образования (орган местного самоуправления).
Права обладателя информации
1)Разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2)Использовать информацию, в том числе распространять ее, по своему усмотрению;
3)Передавать информацию другим лицам по договору или на ином установленном законом основании;
4)Защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5)Осуществлять иные действия с информацией или разрешать осуществление таких действий.
Обязанности обладателя информации
1)Соблюдать права и законные интересы иных лиц;
2)Принимать меры по защите информации;
3)Ограничивать доступ к информации, если такая обязанность установлена федеральными законами ст. 6 п. 4 Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
7. Правовая защита информации. Структура правовой защиты информации.
Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношение субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
Конституция РФ
↓
Федеральные законы (152-ФЗ, 149-ФЗ, 54-ФЗ, 54-ФЗ, 98-ФЗ, 126-ФЗ.)
↓
Постановления Правительства РФ
↓
Ведомственные нормативные документы
↓
Локальные нормативные акты организаций
8. Структура нормативных правовых актов РФ в области защиты информации.
СТРУКТУРА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Нормативную правовую базу образуют документы, регулирующие правовые отношения в области защиты информации. Эту базу составляют документы федерального уровня, к которым относятся:
федеральные законы;
указы президента Российской Федерации;
постановления правительства Российской Федерации;
государственные стандарты Российской Федерации.
Нормативную техническую базу образуют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты. К этим документам относятся:
требования и рекомендации по защите информации;
нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.
9. Структура государственной системы правового регулирования информационной безопасности в Российской Федерации. (Цели, функции, задачи).
Государственная система правового регулирования информационной безопасности (ИБ)
— это совокупность нормативно-правовых актов, государственных органов, механизмов реализации и контроля, направленных на защиту информации от угроз, обеспечения конфиденциальности, целостности и доступности информации различного вида.
Цели:
Обеспечение суверенитета и безопасности государства
Создание безопасной информационной среды
Защита прав и свобод граждан
Развитие цифровой экономики и инфраструктуры
Установление единых стандартов и требований к защите информации Функции:
|
|
|
|
|
|
|
Принятие законов, указов, постановлений, |
|
Нормативная |
|
|
|
|
регулирующих отношения в сфере |
|
|
|
|
|
|
|
|
информационной безопасности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Контроль соблюдения требований |
|
Контрольная |
|
|
|
|
|
|
|
|
|
|
|
законодательства (Роскомнадзор, ФСТЭК, ФСБ). |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Применение мер ответственности за нарушение |
|
Правоприменительная |
|
|||||
|
|
требований защиты информации. |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Повышение осведомленности общества и |
|
Образовательная |
|
|
специалистов о рисках и методах защиты |
|||
|
|
|
|
|
|
|
информации. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Установление единых требований и стандартов |
|
Стандартизирующая |
|
защиты информации (например, требования ФСТЭК |
||||
|
|
|
|
|
|
|
России). |
|
|
|
|
|
|
|
|
Некоторые элементы структуры:
Президент РФ.
Палаты Федерального Собрания РФ.
Правительство РФ.
Органы исполнительной власти субъектов РФ
Органы местного самоуправления.
Правовую базу в области информационной безопасности составляют:
международные договоры РФ;
Конституция РФ;
законы федерального уровня (включая федеральные конституционные законы, кодексы);
указы Президента РФ;
постановления Правительства РФ;
нормативные правовые акты федеральных министерств и ведомств;
нормативные правовые акты субъектов РФ, органов местного самоуправления.
10. Классификация и структура нормативных правовых актов в сфере обеспечения информационной безопасности.
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РФ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Законодательные акты
•Конституция Российской Федерации (1993 г.);
•Закон РФ «О безопасности» (от 5.3.1992 г. № 2446-1);
•ФЗ «Об информации, информационных технологиях и о защите информации» (от 27.07.2006 г. № 149-ФЗ);
•Закон РФ «О государственной тайне» (от 21.7.1993 г. № 5485-1);
•ФЗ «О коммерческой тайне» (от 29 июля 2004 г. № 98 ФЗ);
•ФЗ «О персональных данных» (от 27 июля 2006 г. № 152-ФЗ);
•ФЗ «О техническом регулировании» (от 27.12.2002 г. № 184-ФЗ);
•ФЗ «Об электронной подписи» (от 06.04.2011 № 63-ФЗ);
•ФЗ «О связи» (от 7.07.2003 г. № 126-ФЗ).
Нормативные правовые акты Президента РФ (указы, распоряжения)
•Об утверждении перечня сведений, отнесённых к государственной тайне (от 30.11.1995 г. № 1203 в ред. Указа от 11.2.2006 г. № 90);
•О перечне сведений конфиденциального характера (от 6 марта 1997 г. № 188);
•Вопросы Федеральной службы по техническому и экспортному контролю (от 16.08.2004 г. № 1085);
•Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ 05.12.2016 г. № Пр-646).
Постановления Правительства РФ
•Положение сертификации средств защиты информации (Постановление правительства РФ от 20.06.1995 г. № 608);
•Положение о лицензировании деятельности по технической защите конфиденциальной информации (Постановление правительства РФ от 15.08.06 № 504);
• Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (Постановление правительства РФ от 3 ноября 1994 г. №1233);
11. Право на доступ к информации. (ст. 8 ФЗ-149)
1.Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
2.Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
3.Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
4.Не может быть ограничен доступ к:
1)нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
2)информации о состоянии окружающей среды (экологической информации);
3)информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
4)информации, накапливаемой в открытых фондах библиотек, музеев, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
4.1) информации, содержащейся в архивных документах архивных фондов (за исключением сведений и документов, доступ к которым ограничен законодательством Российской Федерации); 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
12. Государственная система защиты информации. Понятие, цели, задачи.
Государственная система защиты информации представляет собой совокупность органов и исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.
Цели государственной системы защиты информации: обеспечение условий,
способствующих реализации политики Российской Федерации в сфере безопасности
государства, содействие экономическому и научно-техническому прогрессу страны, предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации с использованием методов и средств защиты информации