Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 522
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)
Рассматриваются организационно-технические меры защиты информации в информационной системе персональных данных, при этом не рассматривается вопрос криптографической защиты и государственной тайны.
В состав мер по обеспечению безопасности персональных данных, входят:
-
идентификация и аутентификация субъектов доступа и объектов доступа; -
управление доступом субъектов доступа к объектам доступа; -
обеспечение запуска только разрешенного ПО; -
защита машинных носителей информации от НСД; -
регистрация событий безопасности; -
антивирусная защита; -
обнаружение вторжений; -
контроль защищенности персональных данных; -
обеспечение целостности информационной системы и ПД -
обеспечение доступности персональных данных; -
защита технических средств; -
выявление инцидентов и реагирование на них; -
управление конфигурацией.
Выбор мер по обеспечению безопасности персональных данных включает:
-
определение базового набора мер для установленного уровня защищенности персональных данных; -
адаптацию базового набора мер с учетом структурно-функциональных характеристик информационной системы; -
уточнение адаптированного базового набора мер с учетом не выбранных ранее мер для нейтрализации всех актуальных угроз безопасности персональных данных для конкретной информационной системы; -
дополнение уточненного адаптированного базового набора мер мерами по выполнению требований к защите персональных данных, установленных иными НПА в области обеспечения безопасности персональных данных и защиты информации.
При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных и с учетом экономической целесообразности могут разрабатываться иные меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. Должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
44. Правовое обеспечение сертификации в России
Сертификация – специальная процедура подтверждения соответствия продукции установленным требованиям.
ФЗ-149. Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, является ФСТЭК России
Положение «О сертификации средств защиты информации» N 608
Системы сертификации создаются ФСТЭК, ФСБ, Министерством обороны РФ, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Участниками сертификации средств защиты информации являются:
-
федеральный орган по сертификации. -
центральный орган системы сертификации; -
органы по сертификации средств защиты информации; -
испытательные лаборатории; -
изготовители-продавцы, исполнители продукции..
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации.
Срок действия сертификата не может превышать пяти лет.
Положение «О сертификации средств защиты информации по требованиям безопасности информации» от 27 октября 1995 г. N 199
Действие положения распространяется на средства защиты информации, предназначенные для защиты информации, содержащей сведения, составляющие государственную тайну, от утечки, несанкционированных и непреднамеренных воздействий, несанкционированного доступа и от технической разведки, а также средства контроля эффективности защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России.
Перечень средств защиты информации, подлежащей обязательной сертификации, приведен в Приложении. В остальных случаях сертификация носит добровольный характер.
45. Правовое обеспечение лицензирования в России
Лицензированием в области ЗИ называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области ЗИ.
Постановление Правительства РФ от 24.12.1994 № 1418 «О лицензировании отдельных видов деятельности».
Организационная структура системы лицензирования:
-
государственные органы по лицензированию; -
лицензионные центры; -
предприятия-заявители.
Лицензированию ФСТЭК России подлежат:
-
сертификация, сертификационные испытания защищенных средств обработки информации, средств защиты, средств контроля эффективности мер ЗИ; -
аттестация; -
проведение специальных исследований на ПЭМИН; -
проектирование объектов в защищенном исполнении.
В соответствии с 128-ФЗ «О лицензировании отдельных видов деятельности» от 08.08.2001 лицензированию подлежат:
-
деятельность по распространению криптографических средств; -
деятельность по техническому обслуживанию криптографических средств; -
предоставление услуг в области шифрования информации; -
разработка, производство шифровальных средств; -
деятельность по разработке и производству средств защиты конфиденциальной информации; -
деятельность по технической защите конфиденциальной информации; -
деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах.
Были выпущены отдельные постановления Правительства РФ, разъясняющие порядок лицензирования. Среди них:
-
ПП РФ № 45 «Об организации лицензирования отдельных видов деятельности»; -
ПП РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; -
ПП РФ № 532 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»; -
ПП РФ № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными средствами».
В соответствии с ними лицензиаты обязаны ежегодно представлять сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.
46. УК РФ о защите информации
Глава 28 УК РФ. Преступления в сфере комп. информации
Статья 272. Неправомерный доступ к комп. информации
1.Неправомерный доступ к охраняемой законом комп. инф., т.е. информации на маш. носителе, в ЭВМ, системе ЭВМ или их сети, если это повлекло уничтож., блокир., модиф. либо копир. инф., нарушение работы ЭВМ, системы ЭВМ или их сети, наказ. штрафом в размере до 200 тыс. руб. или в размере зар.платы или иного дохода осужденного за период до 18 мес., либо исправит. работами на срок от 6 мес. до 1 года, либо лишением свободы на срок до 2 лет.
2. То же деяние, совершенное группой лиц по предв. сговору или организованной группой либо лицом с исп. своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от 100 до 300 тыс. руб. или в размере зар.платы или иного дохода осужденного за период от 1 до 2 лет, либо исправительными работами на срок от 1 до 2 лет, либо арестом на срок от 3 до 6 мес., либо лишением свободы на срок до 5 лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказываются лишением свободы на срок до 3 лет со штрафом в размере до 200 тыс. руб. или в размере зар. платы или иного дохода, осужденного за период до 18 мес.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок от 3 до 7 лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существ. вред, наказывается лишением права занимать опред. должности или заниматься опред. деят-ю на срок до 5 лет, либо обязат. работами на срок от 180-240 ч., либо ограничением свободы на срок до 2 лет.