Файл: 4. Правовое регулирование Информационного общества в России 8.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 10.11.2023

Просмотров: 454

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1. Функции и основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

2. Основные функции системы организационного обеспечения информационной безопасности на основе Доктрины информационной безопасности

3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016

4. Правовое регулирование Информационного общества в России

5. Правовое регулирование Информационного общества в Башкортостане

6. Основные положения формирования и развития информационного общества Окинавской Хартии

7. Европейская Конвенция по киберпреступлениям (Будапешт).

8. Конвенция об обеспечении международной информационной безопасности (Россия).

9. Основные НПА регулирующие ИБ в США

10. Оценочные стандарты и технические спецификации

11. "Оранжевая книга" - уровни доверия и классы безопасности

12. Сетевые сервисы безопасности. (Рекомендации X.800).

13. Классы функциональных требований на основе «Общих критериев»

14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)

16. «Инициатива всеобъемлющей национальной кибербезопасности» в США

17. «Международная стратегия для киберпространства» США

18. Правовые аспекты защиты ПД в Европе и США

19. Правовые аспекты защиты персональных данных в России

20. «Великая стена» информационной безопасности Китае

21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО

22. Правовое регулирование политики информационной безопасности

23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)

24. Система сертификации средств защиты информации по требованиям безопасности информации.

25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)

27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)

28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)

29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).

33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).

35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).

36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)

37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)

38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)

42. ФЗ – 63 «Об электронной подписи»

43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)

44. Правовое обеспечение сертификации в России

45. Правовое обеспечение лицензирования в России

46. УК РФ о защите информации

49. Правовое регулирование защиты конфиденциальной информации в России

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)

51. Правовое регулирование политики информационной безопасности в организации

52. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

53. Отнесение сведений к различным видам конфиденциальной информации

54. Отнесение сведений к коммерческой тайне

55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну

56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей

57. Основания и порядок рассекречивания сведений и их носителей

58. Разрешительная система доступа персонала к конфиденциальной информации

59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

61. Организация допуска персонала организации к сведениям, составляющим государственную тайну, и их носителям

62. Основы работы с персоналом организации

63. Методы работы с персоналом

64. Мотивация деятельности персонала

65. Организация охраны предприятия, учреждения

66. Государственная система защиты информации. Нормативные акты и система государственных органов, обеспечивающих защиту информации в РФ.

67. Основные задачи государственной системы защиты информации.

68. Институт государственной тайны в РФ.

69. Порядок засекречивания сведений, документов и продукции в РФ.

70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.

71. Порядок отнесения информации, составляющей коммерческую тайну организации. Законодательные ограничения.

72. Организация внутриобъектового и пропускного режима на предприятии.

73. Системы комплексной защиты объекта

74. Лицензирование в системе защиты информации.

75. Сертификация средств защиты информации.

76. Аттестация объектов информатизации в РФ

77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.

78. Методы работы с персоналом, обладающим конфиденциальной информацией.

79. Принципы, методы и средства обеспечения сохранности информации.

80. Построение комплексной системы защиты информации на предприятии.



2. То же, повлекшее по неостор. тяжк. послед. - наказывается лишением свободы на срок до 4 лет.
47. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (Указ Президента № 803 3 февраля 2012г.).
«Основные направления» разработаны в целях реализации основных положений Стратегии национальной безопасности РФ до 2020 года.

КВО - объект, нарушение функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению экономики страны, субъекта РФ либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок.

Основные направления государственной политики в области обеспечения безопасности АСУ КВО

а) совершенствование нормативно-правовой базы;

б) государственное регулирование;

в) промышленная и научно-техническая политика;

г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности АСУ КВО и критической информационной инфраструктуры;

д) повышение квалификации кадров в области обеспечения безопасности АСУ КВО.

Основные направления реализуются поэтапно.

1. 2012 - 2013 годы необходимо осуществить: подготовку плана мероприятий по реализации; определение необходимых объемов и источников финансовых ресурсов на реализацию программ и планов.

2. 2014 - 2016 годы необходимо осуществить:

  • разработку нормативных правовых актов в области обеспечения безопасности АСУ КВО;

  • реализацию первоочередных мероприятий;

  • разработку комплексных систем защиты и обеспечения безопасности АСУ.

3. 2017 - 2020 годы необходимо осуществить:

  • внедрение комплексных систем защиты и обеспечения безопасности АСУ КВО;

  • реализацию комплекса организационных, правовых, экономических и научно-технических мер;

  • ввод в эксплуатацию единой государственной системы обнаружения и предупреждения компьютерных атак на КИИ и оценки уровня реальной защищенности ее элементов.

4. В период после 2020 года осуществляется комплекс мероприятий по поддержанию готовности РФ к предотвращению угроз безопасности ее КИИ.
48. Требования к обеспечению защиты информации в АСУ производственными и технологическими процессами на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды (Приказ ФСТЭК России 14 марта 2014 г. № 31).
В документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления.

Защита информации достигается путем принятия совокупности организационных и технических мер защиты информации. Организационные и технические меры защиты информации:

  • должны обеспечивать доступность, целостность, и, при необходимости, конфиденциальность информации;

  • должны соотноситься с иными мерами по обеспечению безопасности;

  • не должны оказывать отрицательного влияния на штатный режим.

Для обеспечения защиты информации проводят:

  • формирование требований к защите информации

  • разработка системы защиты АСУ;

  • внедрение системы защиты АСУ и ввод ее в действие;

  • обеспечение защиты информации в ходе эксплуатации АСУ;

  • обеспечение защиты информации при выводе из эксплуатации АСУ.

Выбор мер защиты информации для их реализации в автоматизированной системе управления включает:

  • определение базового набора мер защиты информации;

  • адаптацию базового набора мер защиты информации;

  • уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации;

  • дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение иных требований к ЗИ.

Выбранные и реализованные меры ЗИ, как минимум, должны обеспечивать:

  • в АСУ 1 класса защищенности - нейтрализацию угроз безопасности информации при действиях нарушителя с высоким потенциалом;

  • в АСУ 2 класса защищенности - с потенциалом не ниже среднего;

  • в АСУ 3 класса защищенности - с низким потенциалом.

Устанавливаются три класса защищенности АСУ: первый класс (К1), второй класс (К2), третий класс (К3). Самый высокий - первый.


Уровень значимости информации определяется степенью возможного ущерба от нарушения ее целостности, доступности или конфиденциальности и может быть высокой; средней; низкой. Информация имеет:

  • высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации определена высокая степень ущерба.

  • средний (УЗ 2), если хотя бы для одного из свойств определена средняя степень ущерба и нет свойства, для которого определена высокая степень ущерба.

  • низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации определены низкие степени ущерба.

49. Правовое регулирование защиты конфиденциальной информации в России


Закон РФ от 5 марта 1992 г. № 2446-1 "О безопасности" - данный закон призван защитить интересы личности, общества и государства от возможных внешних и внутренних угроз, посягающих на права, свободу, материальные и духовные интересы.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите и информации"

Федеральным законом № 152-ФЗ от 27 июля 2006 "О персональных данных" регулируются отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами.

Федеральный закон "О коммерческой тайне" № 98-ФЗ, принятый 29 июля 2004 года.

Федеральные законы № 63-ФЗ "Об электронной подписи" и № 1-ФЗ "Об электронной цифровой подписи" - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.

Указ Президента РФ № 188 установил перечень сведений конфиденциального характера.

Постановление Правительства РФ № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" - данное постановление регламентирует порядок обращения и работы с конфиденциальной информацией федеральными органами исполнительной власти с целью предотвращения угрозы утечки информации и обеспечения ЗИ.

Постановления: Постановление Правительства РФ от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" и Постановление Правительства РФ от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" призваны обеспечить защиту конфиденциальной информации путем обязательного лицензирования технических средств защиты.

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)


Система менеджмента информационной безопасности – часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.


Цель системы менеджмента информационной безопасности – создание, реализация, эксплуатация, мониторинг, поддержка и повышение информационной безопасности.

Принятие СМИБ позволяет организации:

  • повысить гарантии защиты информационных активов от угроз ИБ;

  • поддерживать структурированную систему для идентификации и оценки угроз ИБ, выбора и применения соответствующих средств управления и измерения и улучшения их эффективности;

  • непрерывно улучшать ее среду контроля;

  • соответствовать юридическим и регулирующим требованиям.

Основные задачи, которые организация ставит при внедрении СМИБ:

  • Повышение уровня безопасности.

  • Управление. Построение циклического и управляемого процесса обеспечения ИБ.

  • Оптимизация расходов. Система управления информационной безопасностью позволяет оптимизировать и обосновать затраты на информационную безопасность.

  • Риски. Снижение уровня финансовых рисков, связанных с информационной безопасностью, путем их идентификации, оценки и принятия адекватных защитных мер.

  • Доверие. Повышение доверия со стороны акционеров, клиентов, партнеров и контрагентов.

  • Репутация. Повышение уровня репутации путем сертификации системы менеджмента информационной безопасности.

Нормативная база по созданию СМИБ:

  • ISO/IEC 27000:2009 Словарь и определения.

  • ISO/IEC 27001:2005 Общие требования к СМИБ.

  • ISO/IEC 27002:2005 Практическое руководство по управлению информационной безопасностью.

  • ISO/IEC 27003:2010 Практическое руководство по внедрению СМИБ.

  • ISO/IEC 27004:2009 Метрики (Измерения) ИБ.

  • ISO/IEC 27005:2011 Руководство по менеджменту рисков ИБ.

  • ISO/IEC 27006. Рекомендации для аудиторов и органов сертификации.

Смотрите также файлы