Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 460
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
19. Правовые аспекты защиты персональных данных в России
Конституция РФ. Ч.1 ст. 24 запрещает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Сфера отношений, касающаяся персональных данных работника регулируется гл.14 Трудового кодекса РФ. Где установлен порядок работы с персональными данными работника и закрепляется ответственность работодателя за нарушение соответствующих норм.
В Уголовно-процессуальном кодексе РФ от 5.12.2001 г. также затрагивается сфера персональных данных. В ст. 13 говорится о тайне переписки, телефонных и иных переговоров, почтовых и иных сообщений.
2.02.2010 года вышел приказ ФСТЭК N 58 Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Данное положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в ИСПДн.
Основным Законом, регулирующим защиту персональных данных в РФ, является Федеральный Закон «О персональных данных». Закон «О персональных данных» устанавливает шесть принципов обработки ПДн:
-
ПД должны собираться и использоваться законно и добросовестно. -
Заранее определенные цели использования ПД не должны изменяться. -
Объем, характер и способы обрабатываемых ПД должны соответствовать целям обработки ПД. -
Персональные данные должны быть достоверными. -
Закон запрещает объединение ПД в единую ИСПДн, которые были собраны операторами персональных данных для разных целей. -
Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки.
Постановление Правительства №1119 - Требования к защите ПДн при их обработке в ИС. Установлены категории персональных данных:
-
Специальные. Касающиеся расовой, национальной принадлежности, взглядов, убеждений, здоровья, интимной жизни; -
Биометрические; -
Общедоступные; -
Иные.
Типы актуальных угроз: НДВ в системном ПО; в прикладном ПО; и не связанные с НДВ в прикладном и системном ПО.
Установлено 4 уровня защищенности.
20. «Великая стена» информационной безопасности Китае
В 2004 г. правительство Китая одобрило проект "S219", именуемый специалистами "Великой стеной", главной задачей которого является обеспечение стопроцентной безопасности китайских глобальных компьютерных сетей.
Проект "S219" разработан Министерством науки и технологии Китая, разработка была начата в феврале 2000 года. Он должен обеспечить информационную безопасность правительственных, финансовых и медийных компьютерных сетей.
В Китае в 2004 г было закрыто 12 575 нелегальных интернет-кафе. По мнению Министерства образования Китая, интернет-кафе мешают нормальной работе школ. МГБ КНР приступило к выплате денежных вознаграждений гражданам за информацию о порносайтах в Интернете. С июля 2004 года, когда в Китае развернулась массовая кампания по борьбе с порнографией в Интернете.
В Китае поощряется использование Интернета для образования и бизнеса. Размещение информации сексуального характера на китайских сайтах запрещено, а доступ пользователей к зарубежным узлам, которые, по мнению властей, носят порнографический или подрывной характер, блокируется. МГБ Китая совместно с Министерством образования и Министерством информационной индустрии объявили о начале совместной кампании, призванной положить конец спаму в стране, как рекламному, так и "реакционному" - направленному на дискредитацию существующего строя. Согласно заявлению МГБ, более половины сообщений электронной почты, получаемых китайскими пользователями интернета, являются спамом. Сейчас борьба со спамом в стране ограничивается тем, что специальная организация публикует "черный список" местных и зарубежных серверов, используемых для рассылки нежелательной почты, призывая провайдеров блокировать доступ к этим серверам.
Власти Китая намереваются в ближайшее время закрыть интернет-сайты, которые не прошли специальную процедуру регистрации в государственных органах.
Официальный Пекин в 2005 г. объявил о том, что поддерживающие какие-либо интернет-сайты граждане Китая должны зарегистрироваться в органах власти и предоставить информацию об ответственных за содержание сайта лицах. Как известно, сайты в Китае не должны содержать сведения, противоречащие политике компартии, а также порнографию, азартные игры и другие аналогичные материалы.
21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО
Целью государственной политики в области обеспечения безопасности АСУ КВО является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства.
Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО:
-
совершенствование нормативно-правовой базы; -
государственное регулирование;
-
развитие механизмов государственного управления и контроля; -
выделение необходимых объемов и источников финансовых ресурсов на реализацию программ; -
развитие международного сотрудничества в области ИБ -
создание единой государственной системы обнаружения и предупреждения компьютерных атак.
-
промышленная и научно-техническая политика;
-
проведение комплекса мероприятий по развитию систем, средств и методов технической оценки уровня реальной защищенности АСУ КВО; -
создание хранилища эталонного программного обеспечения; -
разработка и внедрение импортозамещающих технологий.
-
фундаментальная и прикладная наука, технологии и средства обеспечения безопасности АСУ КВО и критической информационной инфраструктуры;
-
разработка методов и средств своевременного выявления угроз и оценки их опасности для АСУ КВО; -
разработка и внедрение комплексных систем защиты и обеспечения безопасности АСУ КВО; -
разработка и внедрение специализированных информационно-аналитических систем, комплексных систем защиты АСУ КВО.
-
повышение квалификации кадров в области обеспечения безопасности АСУ КВО.
-
совершенствование системы подготовки, повышение общего уровня культуры ИБ граждан; -
повышение общего уровня культуры информационной безопасности граждан; -
формирование в общественном сознании нетерпимости к лицам, совершающим противоправные деяния с использованием информационных технологий.
22. Правовое регулирование политики информационной безопасности
Согласно ISO 17799 документированная политика ИБ должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие ИБ, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.
Согласно ISO 27001 политика ИБ является подмножеством более общего документа - политики СМИБ, включающей в себя основные положения для определения целей СМИБ и устанавливающей общее направление и принципы деятельности по отношению к ИБ, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливающей критерии для оценивания рисков и т.д.
Политика ИБ должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.
ГОСТ 27003. Структура политики
Содержание политики основано на контексте, в котором работает организация. Нужно учитывать:
1) цели и задачи организации;
2) стратегии, адаптированные для достижения этих целей;
3) структуру и процессы, адаптированные организацией;
4) цели и задачи, связанные с предметом политики;
5) требования связанных политик более высокого уровня.
Политики могут иметь следующую структуру:
-
Краткое изложение политики -
Введение - краткое объяснение предмета политики. -
Область действия -
Цели - описание назначения политики. -
Принципы - описание правил, касающихся действий и решений для достижения целей. -
Сферы ответственности -
Ключевые результаты -
Связанные политики.