Файл: 4. Правовое регулирование Информационного общества в России 8.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 10.11.2023

Просмотров: 458

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1. Функции и основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

2. Основные функции системы организационного обеспечения информационной безопасности на основе Доктрины информационной безопасности

3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016

4. Правовое регулирование Информационного общества в России

5. Правовое регулирование Информационного общества в Башкортостане

6. Основные положения формирования и развития информационного общества Окинавской Хартии

7. Европейская Конвенция по киберпреступлениям (Будапешт).

8. Конвенция об обеспечении международной информационной безопасности (Россия).

9. Основные НПА регулирующие ИБ в США

10. Оценочные стандарты и технические спецификации

11. "Оранжевая книга" - уровни доверия и классы безопасности

12. Сетевые сервисы безопасности. (Рекомендации X.800).

13. Классы функциональных требований на основе «Общих критериев»

14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)

16. «Инициатива всеобъемлющей национальной кибербезопасности» в США

17. «Международная стратегия для киберпространства» США

18. Правовые аспекты защиты ПД в Европе и США

19. Правовые аспекты защиты персональных данных в России

20. «Великая стена» информационной безопасности Китае

21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО

22. Правовое регулирование политики информационной безопасности

23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)

24. Система сертификации средств защиты информации по требованиям безопасности информации.

25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)

27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)

28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)

29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).

33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).

35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).

36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)

37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)

38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)

42. ФЗ – 63 «Об электронной подписи»

43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)

44. Правовое обеспечение сертификации в России

45. Правовое обеспечение лицензирования в России

46. УК РФ о защите информации

49. Правовое регулирование защиты конфиденциальной информации в России

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)

51. Правовое регулирование политики информационной безопасности в организации

52. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

53. Отнесение сведений к различным видам конфиденциальной информации

54. Отнесение сведений к коммерческой тайне

55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну

56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей

57. Основания и порядок рассекречивания сведений и их носителей

58. Разрешительная система доступа персонала к конфиденциальной информации

59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

61. Организация допуска персонала организации к сведениям, составляющим государственную тайну, и их носителям

62. Основы работы с персоналом организации

63. Методы работы с персоналом

64. Мотивация деятельности персонала

65. Организация охраны предприятия, учреждения

66. Государственная система защиты информации. Нормативные акты и система государственных органов, обеспечивающих защиту информации в РФ.

67. Основные задачи государственной системы защиты информации.

68. Институт государственной тайны в РФ.

69. Порядок засекречивания сведений, документов и продукции в РФ.

70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.

71. Порядок отнесения информации, составляющей коммерческую тайну организации. Законодательные ограничения.

72. Организация внутриобъектового и пропускного режима на предприятии.

73. Системы комплексной защиты объекта

74. Лицензирование в системе защиты информации.

75. Сертификация средств защиты информации.

76. Аттестация объектов информатизации в РФ

77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.

78. Методы работы с персоналом, обладающим конфиденциальной информацией.

79. Принципы, методы и средства обеспечения сохранности информации.

80. Построение комплексной системы защиты информации на предприятии.



Требования доверия. Установление доверия безопасности основывается на активном исследовании объекта оценки. Всего в «Общих критериях» 10 классов, 44 семейства, 93 компонента требований доверия безопасности.

Применительно к требованиям доверия введены оценочные уровни доверия. Степень доверия возрастает от первого к седьмому уровню. Оценочный уровень доверия 1 применяется, когда угрозы не рассматриваются как серьезные, а оценочный уровень 7 применяется к ситуациям чрезвычайно высокого риска.

Техническая спецификация «Рекомендации X.800».

Выделяются следующие сервисы безопасности: аутентификация, управление доступом, конфиденциальность данных и трафика, целостность данных, неотказуемость.

Для их реализации используются следующие механизмы: шифрование, ЭЦП, механизм управления доступом, механизм контроля целостности данных, механизм аутентификации, механизм дополнения трафика, механизм управления маршрутизацией, механизм нотаризации.

11. "Оранжевая книга" - уровни доверия и классы безопасности


Критерии делятся на 4 раздела: D, C, B и A (последний самый высший). Каждый раздел представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1.

D — Минимальная защита. Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.

C — Дискреционная защита

  • C1 — Дискреционное обеспечение секретности.

    • Разделение пользователей и данных

    • Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.

  • C2 — Управление доступом

    • Более чётко оформленное дискреционное управление доступом.

    • Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.

    • Журнал контроля доступа к системе.

    • Изоляция ресурсов.

B — Мандатная защита

  • B1 — Защита с применением мета-безопасности

    • Мандатное управление доступом к выбранными субъектам и объектам.

    • Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.

    • Маркировка данных

  • B2 — Структурированная защита

    • Чётко определённая и документированная модель правил безопасности.

    • Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.

    • Скрытые каналы хранения.

  • B3 — Домены безопасности

    • Соответствие требованиям монитора обращений.

    • Структурирование для исключения кода, не отвечающего требованиям обязательной политики безопасности.

    • Поддержка администратора системы безопасности.

  • A — Проверенная защита

    • A1 — Проверенный дизайн.

    • По функциям идентично B3.

    • Формализованный дизайн и проверенные техники, включающие высокоуровневую спецификацию.

    • Формализованные процедуры управления и распространения.

12. Сетевые сервисы безопасности. (Рекомендации X.800).


Сервис безопасности представляет собой совокупность механизмов, процедур и других средств управления для снижения рисков, связанных с угрозой утраты или раскрытия данных

Рекомендации X.800 выделяют следующие сервисы безопасности:

  • Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.

  • Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.

  • Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно выделяется конфиденциальность трафика — это защита информации, которую можно получить, анализируя сетевые потоки данных.

  • Целостность данных.

  • Неотказуемость (невозможность отказаться от совершенных действий).

Для реализации сервисов безопасности могут использоваться следующие механизмы и их комбинации:

  • Шифрование.

  • Электронная цифровая подпись.

  • Механизм управления доступом. Могут использоваться следующие виды и источники информации: базы данных управления доступом, пароли, токены, билеты, метки безопасности, время запрашиваемого доступа и т.д.

  • Механизм контроля целостности данных. Базируется на использовании контрольных сумм. Для проверки целостности потока сообщений используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы.

  • Механизм аутентификации. Аутентификация может достигаться за счет использования паролей, личных карточек, криптографических методов и анализа биометрических характеристик;

  • Механизм дополнения трафика.

  • Механизм управления маршрутизацией. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования;

  • Механизм нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.

13. Классы функциональных требований на основе «Общих критериев»


Функциональные требования

Эта часть ОК содержит функциональные компоненты безопасности, являющиеся основой для функциональных требований безопасности информационных технологий (ИТ) объекта оценки (ОО), излагаемых в профиле защиты (ПЗ) или в задании по безопасности (ЗБ). Требования описывают желательный безопасный режим функционирования ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Требования описывают также свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ОО (т.е. при входе и выходе) или при реакции ОО на запросы.

Все функциональные требования объединены в группы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это гораздо больше, чем число аналогичных понятий в «Оранжевой книге».

«Общие критерии» включают следующие классы функциональных требований:

  1. идентификация и аутентификация;

  2. защита данных пользователя;

  3. защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);

  4. управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);

  5. аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);

  6. доступ к объекту оценки;

  7. приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);

  8. использование ресурсов (требования к доступности информации);

  9. криптографическая поддержка (управление ключами);

  10. связь (аутентификация сторон, участвующих в обмене данными);

  11. доверенный маршрут/канал (для связи с сервисами безопасности).


14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)


Директива Министерства обороны D 3600.1, введенная в действие 14 августа 2006 г., впервые четко определила основные задачи и функции информационных операций, в целом означающие комплексное применение средств радиоэлектронной борьбы, операций в информационно-коммуникационных сетях, психологических операций, военной дезинформации и оперативной безопасности.

В документе отмечалось, что информационные операции проводятся «в целях информационного воздействия, введения в заблуждение, нарушения работы компьютерных систем, искажения информации, дезорганизации баз данных и лишения противника возможности их использования, извлечения информации из компьютерных систем и баз данных противника при одновременном обеспечении защиты своей информации и информационной инфраструктуры».

Документ вводил в действие принцип разделения информационных операций на три категории:

  1. атака на компьютерные сети,

  2. защита компьютерных сетей,

  3. обеспечение доступа к компьютерным сетям противника и их использование в своих интересах.

Аналогичные директивы были изданы всеми видами вооруженных сил.
15. Директивы, позволяющие Пентагону разрабатывать планы проведения кибернетических атак на информационные сети противников США, усиление контроля за компьютерными сетями, используемыми американскими федеральными структурами (Директивы США - № 54 (по национальной безопасности) и № 23 (по внутренней безопасности)).
Начало комплексу мероприятий по защите киберпространства США, проводимых нынешней администрацией Вашингтона, было положено предыдущим главой Америки Джорджем Бушем, который 8 января 2008 года издал директиву по обеспечению национальной безопасности № 54 и директиву по обеспечению внутренней безопасности № 23. Именно тогда это начинание бывшего президента и получило наименование Комплексной национальной инициативы обеспечения кибернетической безопасности.

Смотрите также файлы