Файл: 4. Правовое регулирование Информационного общества в России 8.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 10.11.2023

Просмотров: 495

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1. Функции и основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

2. Основные функции системы организационного обеспечения информационной безопасности на основе Доктрины информационной безопасности

3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016

4. Правовое регулирование Информационного общества в России

5. Правовое регулирование Информационного общества в Башкортостане

6. Основные положения формирования и развития информационного общества Окинавской Хартии

7. Европейская Конвенция по киберпреступлениям (Будапешт).

8. Конвенция об обеспечении международной информационной безопасности (Россия).

9. Основные НПА регулирующие ИБ в США

10. Оценочные стандарты и технические спецификации

11. "Оранжевая книга" - уровни доверия и классы безопасности

12. Сетевые сервисы безопасности. (Рекомендации X.800).

13. Классы функциональных требований на основе «Общих критериев»

14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)

16. «Инициатива всеобъемлющей национальной кибербезопасности» в США

17. «Международная стратегия для киберпространства» США

18. Правовые аспекты защиты ПД в Европе и США

19. Правовые аспекты защиты персональных данных в России

20. «Великая стена» информационной безопасности Китае

21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО

22. Правовое регулирование политики информационной безопасности

23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)

24. Система сертификации средств защиты информации по требованиям безопасности информации.

25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)

27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)

28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)

29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).

33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).

35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).

36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)

37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)

38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)

42. ФЗ – 63 «Об электронной подписи»

43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)

44. Правовое обеспечение сертификации в России

45. Правовое обеспечение лицензирования в России

46. УК РФ о защите информации

49. Правовое регулирование защиты конфиденциальной информации в России

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)

51. Правовое регулирование политики информационной безопасности в организации

52. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

53. Отнесение сведений к различным видам конфиденциальной информации

54. Отнесение сведений к коммерческой тайне

55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну

56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей

57. Основания и порядок рассекречивания сведений и их носителей

58. Разрешительная система доступа персонала к конфиденциальной информации

59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

61. Организация допуска персонала организации к сведениям, составляющим государственную тайну, и их носителям

62. Основы работы с персоналом организации

63. Методы работы с персоналом

64. Мотивация деятельности персонала

65. Организация охраны предприятия, учреждения

66. Государственная система защиты информации. Нормативные акты и система государственных органов, обеспечивающих защиту информации в РФ.

67. Основные задачи государственной системы защиты информации.

68. Институт государственной тайны в РФ.

69. Порядок засекречивания сведений, документов и продукции в РФ.

70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.

71. Порядок отнесения информации, составляющей коммерческую тайну организации. Законодательные ограничения.

72. Организация внутриобъектового и пропускного режима на предприятии.

73. Системы комплексной защиты объекта

74. Лицензирование в системе защиты информации.

75. Сертификация средств защиты информации.

76. Аттестация объектов информатизации в РФ

77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.

78. Методы работы с персоналом, обладающим конфиденциальной информацией.

79. Принципы, методы и средства обеспечения сохранности информации.

80. Построение комплексной системы защиты информации на предприятии.


38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)


Были: 2011, сейчас 2014 (вступил в силу 01.06.2015)

Стандарт предоставляет руководство по менеджменту программы аудита СМИБ и проведению внутренних или внешних аудитов на соответствие 27001, а также руководство по вопросу компетентности и оценки аудиторов СМИБ.

Цели программы аудита должны быть установлены, для того чтобы руководить планированием и проведением аудитов и обеспечивать эффективную реализацию программы аудита.

При принятии решения об уровне владения аудитором соответствующими знаниями и навыками необходимо учитывать:

  • Сложность СМИБ

  • Виды деятельности бизнеса

  • Уровень разнообразия технологий, использованных при реализации различных компонентов СМИБ

  • Количество площадок

  • Стандарты, правовые и иные требования, имеющие отношения к программе аудита.

Определение возможности аудита.

Для начала аудита следует запросить проверяемую организацию о наличии записей СМИБ, недоступных для проверки аудиторской группой, например, содержащих конфиденциальную информацию. Лицо, отвечающее за менеджмент программы аудита, должно определить, возможно ли проведение аудита СМИБ в достаточной мере при отсутствии записей.

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)


Стандарт определяет рекомендации, поддерживающие реализацию менеджмента ИБ в телекоммуникационных организациях.

Применение данного национального стандарта позволит телекоммуникационным организациям выполнять базовые требования менеджмента ИБ в отношении конфиденциальности, целостности, доступности и любых других аспектов безопасности.

Данный национальный стандарт имеет структуру, сходную с ИСО/МЭК 27002. В тех случаях, когда определенные в ИСО/МЭК 27002 цели и меры и средства контроля и управления применимы без какой-либо дополнительной информации, дается только ссылка на ИСО/МЭК 27002. Характерная для телекоммуникационного сектора совокупность мер и средств контроля и управления, а также рекомендаций описана в приложении А (обязательном).


В тех случаях, когда меры и средства контроля и управления требуют дополнительной характерной для телекоммуникаций рекомендации по реализации, мера и средство контроля и управления, а также и рекомендация по их реализации повторяются из ИСО/МЭК 27002 без изменений, а за ними следует характерная для телекоммуникаций рекомендация, связанная с этой мерой и средством контроля и управления. Характерные для телекоммуникационного сектора рекомендации и информация включены в следующие разделы:

  • организационные аспекты ИБ;

  • менеджмент активов;

  • безопасность, связанная с персоналом;

  • физическая безопасность и защита от воздействий окружающей среды;

  • менеджмент коммуникаций и работ;

  • управление доступом;

  • приобретение, разработка и эксплуатация информационных систем;

  • менеджмент инцидентов ИБ;

  • менеджмент непрерывности бизнеса.

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)


Стандарт содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту сетевой безопасности.

В дополнение к безопасности информации, передаваемой по линиям связи, сетевая безопасность затрагивает безопасность устройств, безопасность деятельности по менеджменту данных устройств, приложений/услуг, а также безопасность конечных пользователей.

Стандарт включает в себя следующие основные разделы:

1. Идентификация рисков и подготовка к идентификации мер и средств контроля и управления безопасностью.

2. Поддерживающие меры и средства контроля и управления:

1) Менеджмент сетевой безопасности.

2) Менеджмент технических уязвимостей.

3) Идентификация и аутентификация

4) Ведение контрольных журналов и мониторинг сети

5) Обнаружение и предотвращение вторжений

6) Защита от вредоносных программ

7) Услуги, основанные на криптографии

8) Менеджмент непрерывности деятельности.

3. Рекомендации по проектированию и реализации сетевой безопасности.

4. Типовые сетевые сценарии - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления

5. Аспекты «технологии» - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления

6. Разработка и тестирование комплекса программных и технических средств и услуг по обеспечению безопасности
7. Реализация комплекса программных и технических средств и услуг по обеспечению безопасности.
8. Мониторинг и проверка эксплуатации комплекса программных и технических средств и услуг.

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)


Настоящий стандарт содержит описание процессов формирования и проверки ЭЦП, реализуемой с использованием операций в группе точек эллиптической кривой, определенной над конечным простым полем.

Необходимость разработки настоящего стандарта вызвана потребностью в реализации ЭЦП разной степени стойкости в связи с повышением уровня развития вычислительной техники. Стойкость ЭЦП основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11-2012.


Настоящий стандарт определяет схему ЭЦП, процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

Внедрение цифровой подписи на основе настоящего стандарта повышает по сравнению с ранее действовавшей схемой цифровой подписи уровень защищенности передаваемых сообщений от подделок и искажений.

Настоящий стандарт рекомендуется применять при создании, эксплуатации и модернизации систем обработки информации различного назначения.

Общепризнанная схема (модель) цифровой подписи охватывает следующие процессы:

  • генерация ключей (подписи и проверки подписи);

  • формирование подписи;

  • проверка подписи.

В настоящем стандарте процесс генерации ключей (подписи и проверки подписи) не рассмотрен. Характеристики и способы реализации данного процесса определяются вовлеченными в него субъектами, которые устанавливают соответствующие параметры по взаимному согласованию.

Механизм цифровой подписи определяется посредством реализации двух основных процессов: формирование и проверка подписи.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:

      • осуществление контроля целостности передаваемого подписанного сообщения;

      • доказательное подтверждение авторства лица, подписавшего сообщение;

      • защита сообщения от возможной подделки.

42. ФЗ – 63 «Об электронной подписи»


Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

Средства электронной подписи - шифровальные средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;


Принципами использования электронной подписи являются:

1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если это не предусмотрено ФЗми или НПА.

2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии или технических средств для выполнения требований применительно к использованию конкретных видов электронных подписей;

3) недопустимость признания электронной подписи или подписанного ею документа не имеющими юридической силы только потому, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания или автоматической проверки электронных подписей в информационной системе.

Виды электронных подписей

  • простая электронная подпись. Электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

  • усиленная электронная подпись.

    • неквалифицированная электронная подпись. Электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания.

    • квалифицированная электронная подпись. Электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи; ключ проверки электронной подписи указан в квалифицированном сертификате; для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям ФЗ-63.