Файл: 4. Правовое регулирование Информационного общества в России 8.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 10.11.2023

Просмотров: 476

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1. Функции и основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

2. Основные функции системы организационного обеспечения информационной безопасности на основе Доктрины информационной безопасности

3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016

4. Правовое регулирование Информационного общества в России

5. Правовое регулирование Информационного общества в Башкортостане

6. Основные положения формирования и развития информационного общества Окинавской Хартии

7. Европейская Конвенция по киберпреступлениям (Будапешт).

8. Конвенция об обеспечении международной информационной безопасности (Россия).

9. Основные НПА регулирующие ИБ в США

10. Оценочные стандарты и технические спецификации

11. "Оранжевая книга" - уровни доверия и классы безопасности

12. Сетевые сервисы безопасности. (Рекомендации X.800).

13. Классы функциональных требований на основе «Общих критериев»

14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)

16. «Инициатива всеобъемлющей национальной кибербезопасности» в США

17. «Международная стратегия для киберпространства» США

18. Правовые аспекты защиты ПД в Европе и США

19. Правовые аспекты защиты персональных данных в России

20. «Великая стена» информационной безопасности Китае

21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО

22. Правовое регулирование политики информационной безопасности

23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)

24. Система сертификации средств защиты информации по требованиям безопасности информации.

25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)

27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)

28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)

29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).

33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).

35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).

36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)

37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)

38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)

42. ФЗ – 63 «Об электронной подписи»

43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)

44. Правовое обеспечение сертификации в России

45. Правовое обеспечение лицензирования в России

46. УК РФ о защите информации

49. Правовое регулирование защиты конфиденциальной информации в России

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)

51. Правовое регулирование политики информационной безопасности в организации

52. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

53. Отнесение сведений к различным видам конфиденциальной информации

54. Отнесение сведений к коммерческой тайне

55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну

56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей

57. Основания и порядок рассекречивания сведений и их носителей

58. Разрешительная система доступа персонала к конфиденциальной информации

59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

61. Организация допуска персонала организации к сведениям, составляющим государственную тайну, и их носителям

62. Основы работы с персоналом организации

63. Методы работы с персоналом

64. Мотивация деятельности персонала

65. Организация охраны предприятия, учреждения

66. Государственная система защиты информации. Нормативные акты и система государственных органов, обеспечивающих защиту информации в РФ.

67. Основные задачи государственной системы защиты информации.

68. Институт государственной тайны в РФ.

69. Порядок засекречивания сведений, документов и продукции в РФ.

70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.

71. Порядок отнесения информации, составляющей коммерческую тайну организации. Законодательные ограничения.

72. Организация внутриобъектового и пропускного режима на предприятии.

73. Системы комплексной защиты объекта

74. Лицензирование в системе защиты информации.

75. Сертификация средств защиты информации.

76. Аттестация объектов информатизации в РФ

77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.

78. Методы работы с персоналом, обладающим конфиденциальной информацией.

79. Принципы, методы и средства обеспечения сохранности информации.

80. Построение комплексной системы защиты информации на предприятии.

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».


  1. Стандарты, содержащие общий обзор и терминологию

ГОСТ Р ИСО/МЭК 27000 «ИТ. МиСОБ. СМИБ. Общий обзор и терминология». Описывает основы СМИБ, которая составляет предмет семейства стандартов СМИБ, и определяет относящиеся к ней термины.

  1. Стандарты, задающие требования

ГОСТ Р ИСО/МЭК 27001-2006 «ИТ. МиСОБ. СМИБ. Требования» Содержит нормативные требования для развертывания и функционирования СМИБ, включая набор средств управления для уменьшения рисков, относящихся к информационным активам, которые организация стремится защитить.

ГОСТ Р ИСО/МЭК 27006-2008 «ИТ. МиСОБ. Требования к органам, осуществляющим аудит и сертификацию СМИБ». Задает требования и является руководством для органов, проводящих аудит и сертификацию СМИБ.

  1. Стандарты, содержащие общие рекомендации

ГОСТ Р ИСО/МЭК 27002-2012 «ИТ. МиСОБ. Свод норм и правил менеджмента информационной безопасности». Стандарт содержит перечень общепринятых целей управления и лучшие методы реализации средств управления для использования в качестве руководства при выборе и внедрении средств управления для достижения ИБ.

ГОСТ Р ИСО/МЭК 27003-2012 «ИТ. МиСОБ. СМИБ. Руководство по реализации СМИБ». Стандарт содержит практическое руководство по внедрению и включает в себя расширенную информацию по созданию, эксплуатации, контролю, анализу, поддержке и улучшению СМИБ в соответствии со стандартом ISO/IEC 27001.

ГОСТ Р ИСО/МЭК 27004-2011 «ИТ. МиСОБ. МИБ. Измерения». Руководство и рекомендации по совершенствованию и использованию измерений для оценки эффективности СМИБ в соответствии со стандартом ISO/IEC 27001.


ГОСТ Р ИСО/МЭК 27005-2010 «ИТ. МиСОБ. Менеджмент риска ИБ». Стандарт включает в себя рекомендации для менеджмента рисков ИБ.

ГОСТ Р ИСО/МЭК 27007-2014 «ИТ. МиСОБ. Руководства по аудиту СМИБ». Руководство по проведению аудита СМИБ, а также руководство по оценке компетентности аудиторов СМИБ.

  1. Стандарты, описывающие рекомендации для специальной области

ГОСТ Р ИСО/МЭК 27011-2012 «ИТ. МиСОБ. Руководства по менеджменту ИБ для телекоммуникационных организаций на основе ИСО/МЭК 27002». Стандарт содержит руководящие указания по реализации управления защитой информации в телекоммуникационных организациях.

ISO 27799 «Информатика в здравоохранении. МИБ по стандарту ISO/IEC 27002». Стандарт содержит руководящие указания по реализации управления защитой информации в организациях здравоохранения.

ГОСТ Р ИСО/МЭК 27033-2011 «ИТ. МиСОБ. Безопасность сетей». Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту ИБ.

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).


Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Настоящий стандарт содержит:

  • обзор семейства стандартов СМИБ;

  • введение в систему менеджмента ИБ (СМИБ);

  • краткое описание процесса "План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA);

  • термины и определения для использования в семействе стандартов СМИБ.

Настоящий стандарт применим ко всем типам организаций.

Семейство стандартов СМИБ содержит стандарты, которые:

  • определяют требования к СМИБ и к сертификации таких систем;

  • содержат прямую поддержку, детальное руководство и интерпретацию полных процессов "План - Осуществление - Проверка - Действие" и требования;

  • включают в себя специальные руководящие принципы для СМИБ;

  • руководят проведением оценки соответствия СМИБ.


Термины, относящиеся к ИБ

  1. подотчетность (accountability): Ответственность субъекта за его действия и решения.

  2. аутентификация (authentication): Обеспечение гарантии того, что заявленные характеристики объекта правильны.

  3. подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

  4. доступность (availability): Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.

  5. конфиденциальность (confidentiality): Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.

  6. информационная безопасность (information security): сохранение конфиденциальности, целостности и доступности информации.

  7. целостность (integrity): Свойство сохранения правильности и полноты активов.

  8. неотказуемость (non-repudiation): Способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение.

  9. достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.



33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).


Стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие сторон.

В стандарте представлена модель "Планирование - Осуществление - Проверка - Действие", которая может быть применена при структурировании процессов СМИБ.

Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях. Исключение любого из требований, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.

Планирование (разработка СМИБ)

Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению ИБ, для достижения результатов, соответствующих общей политике и целям организации

Осуществление (внедрение и обеспечение функционирования СМИБ)

Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ

Проверка (проведение мониторинга и анализа СМИБ)

Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа

Действие (поддержка и улучшение СМИБ)

Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ


Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

В стандарте приводятся требования к документации, которая в частности должна включать положения политики СМИБ, отчет об оценке рисков, план обработки рисков, документирование связанных процедур. Также должен быть определен процесс управления документами СМИБ.

Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести учетные записи. В качестве примеров называются журналы регистрации посетителей, отчеты о результатах аудита и т.п.

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).


Стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента ИБ в организации.

Стандарт содержит перечень общепринятых целей управления и лучшие методы реализации средств управления для использования в качестве руководства при выборе и внедрении средств управления для достижения информационной безопасности.

Стандарт состоит из 11 разделов, которые посвящены мерам и средствам контроля и управления безопасностью: политика безопасности; организационные аспекты ИБ; менеджмент активов; безопасность, связанная с персоналом; физическая защита и защита от воздействия окружающей среды; менеджмент коммуникаций и работ; управление доступом; приобретение, разработка и эксплуатация информационных систем; менеджмент инцидентов ИБ; менеджмент непрерывности бизнеса; соответствие.

В каждом разделе содержится несколько основных категорий безопасности. Каждая основная категория безопасности включает в себя цель управления и одну или более мер и средств контроля и управления для достижения этой цели.

Согласно стандарту, мера и средство контроля и управления – это средство менеджмента риска, которое включает в себя политики