Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 502
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
Для обработки информации, необходимость защиты которой определяется законодательством РФ или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ.
В работах по созданию АСЗИ участвуют: заказчик АСЗИ; разработчик АСЗИ; изготовитель технических и программных средств; поставщик технических и программных средств.
Стадии и этапы работ по созданию АСЗИ устанавливаются в техническом задании на АСЗИ с учетом положений настоящего стандарта:
Стадия 1. Формирование требований к АС
Стадия 2. Разработка концепции АС
Стадия 3. Техническое задание
Стадия 4. Эскизный проект
Стадия 5. Технический проект
Стадия 6. Рабочая документация
Стадия 7. Ввод в действие
Стадия 8. Сопровождение АС
Защита информации в АСЗИ обеспечивается системой защиты информации АСЗИ (ЗИ АСЗИ). Создание системы ЗИ АСЗИ:
-
формирование требований к системе ЗИ АСЗИ; -
разработка (проектирование) системы ЗИ АСЗИ; -
внедрение системы ЗИ АСЗИ; -
аттестация АСЗИ и ввод ее в действие; -
сопровождение системы ЗИ в ходе эксплуатации АСЗИ.
Формирование требований к системе ЗИ АСЗИ организуется заказчиком и осуществляется разработчиком на основе требований по предотвращению утечки информации, несанкционированного доступа к ней, обеспечению устойчивости и непрерывности функционирования АСЗИ и др.
24. Система сертификации средств защиты информации по требованиям безопасности информации.
Положение №199 «О сертификации СЗИ по требованиям БИ»
Действие положения распространяется на СЗИ, предназначенные для защиты информации, содержащей государственную тайну, от утечки, НСД, от технической разведки, и средства контроля эффективности защиты информации.
Под сертификацией СЗИ по требованиям безопасности информации понимается деятельность по подтверждению характеристик СЗИ требованиям государственных стандартов по защите информации, утвержденных Гостехкомиссией России.
Организационную структуру системы сертификации образуют:
-
федеральный орган по сертификации СЗИ: определяет перечень СЗИ, подлежащих сертификации; выдает сертификаты и лицензии на применение знака соответствия; приостанавливает, продлевает, отменяет действие сертификатов. -
центральный орган системы сертификации СЗИ: участвует в рассмотрении апелляций; ведет учет выданных и аннулированных сертификатов и лицензий на применение знака соответствия. -
органы по сертификации средств защиты информации: оформляют экспертное заключение по сертификации СЗИ; хранят документацию, подтверждающую сертификацию средств защиты информации. -
испытательные центры (лаборатории): осуществляют сертификационные испытания СЗИ; маркируют сертифицированные СЗИ знаком соответствия. -
Заявители: маркируют производимую сертифицированную технику защиты информации знаком соответствия; приостанавливают или прекращают реализацию средств защиты информации, если они не отвечают требованиям, а также по истечении срока действия сертификата, при приостановке его действия или отмены.
Процедура сертификации включает:
-
подачу и рассмотрение заявки на проведение сертификации; -
сертификационные испытания средств защиты информации; -
оформление и выдачу сертификата и лицензии на использование знака соответствия; -
осуществление государственного контроля и надзора; -
информирование о результатах сертификации СЗИ; -
рассмотрение апелляций.
ГОСТ Р 51583-2014 Порядок создания автоматизированных систем в защищенном исполнении (АСЗИ).
Для обработки информации, необходимость защиты которой определяется законодательством РФ или решением ее обладателя, должны создаваться АСЗИ, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о ЗИ.
Стадии и этапы работ по созданию АСЗИ: 1. Формирование требований к АС; 2. Разработка концепции АС; 3. Техническое задание; 4. Эскизный проект; 5. Технический проект; 6. Рабочая документация; 7. Ввод в действие; 8. Сопровождение АС.
Защита информации в АСЗИ обеспечивается системой ЗИ АСЗИ:
-
формирование требований к системе ЗИ АСЗИ; -
разработка (проектирование) системы ЗИ АСЗИ; -
внедрение системы ЗИ АСЗИ; -
аттестация АСЗИ на соответствие требованиям БИ и ввод ее в действие; -
сопровождение системы ЗИ в ходе эксплуатации АСЗИ.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
ГОСТ Р 50739. СВТ. Защита от НСД к информации
Стандарт устанавливает требования к защите СВТ от НСД к информации. Защищенность обеспечивается тремя группами требований:
-
Требования к разграничению доступа. СВТ должны поддерживать непротиворечивые, однозначно определенные правила разграничения доступа (дискретизационный и мандатный доступ; идентификация и аутентификация и т.д.); -
Требования к учету. Регистрацию событий, имеющих отношение к защищенности информации (регистрация и маркировка документов); -
Требования к гарантиям. Необходимы механизмы, позволяющие получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету. (гарантия проектирования, надежное восстановление; гарантии архитектуры; тестирование)
Требования к документации
Для подтверждения качества защиты СВТ от НСД к информации необходима документация: руководство пользователя; тестовая, конструкторская документация).
ГОСТ Р 50922-2006. Основные термины и определения.
Стандарт устанавливает основные термины с определениями, применяемые при проведении работ по стандартизации в области ЗИ.
-
Термины, относящиеся к видам защиты информации: правовая ЗИ; техническая ЗИ; криптографическая ЗИ; физическая ЗИ. -
Термины, относящиеся к способам защиты информации. -
Термины, относящиеся к замыслу защиты информации. -
Термины, относящиеся к объекту защиты информации -
Термины, относящиеся к угрозам безопасности информации. -
Термины, относящиеся к технике защиты информации. -
Термины, относящиеся к способам оценки соответствия требованиям по ЗИ. -
Термины, относящиеся к эффективности защиты информации.
ГОСТ Р 52069.0-2003 ЗИ. Система стандартов. Основные положения
Стандарт устанавливает цель, задачи и структуру системы стандартов по защите информации, объекты и аспекты стандартизации в данной области.
Целью системы стандартов по ЗИ является достижение упорядоченности организации и содержания работ в области ЗИ, повышение эффективности ЗИ.
Основные объекты стандартизации: ЗИ как область деятельности; Объекты ЗИ; Угрозы безопасности информации и уязвимости; Организация и содержание работ по ЗИ; Методы ЗИ и контроля ее состояния; Техника ЗИ; Услуги по ЗИ.
Система стандартов по ЗИ включает: национальные стандарты РФ; межгосударственные стандарты; рекомендации и правила стандартизации, общероссийские классификаторы технико-экономической и социальной информации; стандарты организаций; предварительные национальные стандарты.
26. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Рекомендации по организации защиты информации (ГОСТ Р 53113)
Противодействие опасным скрытым каналам может осуществляться с помощью следующих средств и методов:
-
построение архитектуры, позволяющей перекрыть скрытые каналы или снизить их пропускную способность; -
использование технических средств, позволяющих перекрывать скрытые каналы или снижать их пропускную способность; -
использование программно-технических средств, позволяющих выявлять работу опасных скрытых каналов при эксплуатации системы; -
применение организационно-технических мер, позволяющих ликвидировать скрытые каналы.
Классификация скрытых каналов
Скрытые каналы по механизму передачи информации подразделяются:
-
Скрытые каналы по памяти. Основаны на наличии памяти, в которую передающий субъект записывает информацию, а принимающий - считывает ее. -
Скрытые каналы по времени. -
Скрытые статистические каналы.