Файл: 4. Правовое регулирование Информационного общества в России 8.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 10.11.2023

Просмотров: 521

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Оглавление

1. Функции и основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

2. Основные функции системы организационного обеспечения информационной безопасности на основе Доктрины информационной безопасности

3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016

4. Правовое регулирование Информационного общества в России

5. Правовое регулирование Информационного общества в Башкортостане

6. Основные положения формирования и развития информационного общества Окинавской Хартии

7. Европейская Конвенция по киберпреступлениям (Будапешт).

8. Конвенция об обеспечении международной информационной безопасности (Россия).

9. Основные НПА регулирующие ИБ в США

10. Оценочные стандарты и технические спецификации

11. "Оранжевая книга" - уровни доверия и классы безопасности

12. Сетевые сервисы безопасности. (Рекомендации X.800).

13. Классы функциональных требований на основе «Общих критериев»

14. Основные задачи и функции информационных операций (Директива Министерства обороны США D 3600.1 2006 г.)

16. «Инициатива всеобъемлющей национальной кибербезопасности» в США

17. «Международная стратегия для киберпространства» США

18. Правовые аспекты защиты ПД в Европе и США

19. Правовые аспекты защиты персональных данных в России

20. «Великая стена» информационной безопасности Китае

21. Основные направления государственной политики России в области обеспечения безопасности автоматизированных систем управления КВО

22. Правовое регулирование политики информационной безопасности

23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)

24. Система сертификации средств защиты информации по требованиям безопасности информации.

25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)

27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)

28. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа (ГОСТ Р 53115)

29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)

31. Семейство ГОСТ 270ХХ «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

32. Системы менеджмента информационной безопасности. Общий обзор и терминология (ГОСТ ИСО/МЭК 27000).

33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).

34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).

35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).

36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)

37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)

38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)

39. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги (ГОСТ ISO/IEC 27011)

40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)

41. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи (ГОСТ Р 34.10)

42. ФЗ – 63 «Об электронной подписи»

43. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПД при их обработке в ИС ПД (Приказ ФСТЭК РФ от 18.02.2013 №21)

44. Правовое обеспечение сертификации в России

45. Правовое обеспечение лицензирования в России

46. УК РФ о защите информации

49. Правовое регулирование защиты конфиденциальной информации в России

50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)

51. Правовое регулирование политики информационной безопасности в организации

52. Факторы, влияющие на формирование государственной политики в области обеспечения безопасности автоматизированных систем управления КВО, и ее основные принципы

53. Отнесение сведений к различным видам конфиденциальной информации

54. Отнесение сведений к коммерческой тайне

55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну

56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей

57. Основания и порядок рассекречивания сведений и их носителей

58. Разрешительная система доступа персонала к конфиденциальной информации

59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска

60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска

61. Организация допуска персонала организации к сведениям, составляющим государственную тайну, и их носителям

62. Основы работы с персоналом организации

63. Методы работы с персоналом

64. Мотивация деятельности персонала

65. Организация охраны предприятия, учреждения

66. Государственная система защиты информации. Нормативные акты и система государственных органов, обеспечивающих защиту информации в РФ.

67. Основные задачи государственной системы защиты информации.

68. Институт государственной тайны в РФ.

69. Порядок засекречивания сведений, документов и продукции в РФ.

70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.

71. Порядок отнесения информации, составляющей коммерческую тайну организации. Законодательные ограничения.

72. Организация внутриобъектового и пропускного режима на предприятии.

73. Системы комплексной защиты объекта

74. Лицензирование в системе защиты информации.

75. Сертификация средств защиты информации.

76. Аттестация объектов информатизации в РФ

77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.

78. Методы работы с персоналом, обладающим конфиденциальной информацией.

79. Принципы, методы и средства обеспечения сохранности информации.

80. Построение комплексной системы защиты информации на предприятии.


В соответствии с ними лицензиаты обязаны ежегодно представлять сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.

75. Сертификация средств защиты информации.


Положение «О сертификации средств защиты информации» N 608

Системы сертификации создаются ФСТЭК, ФСБ, Министерством обороны РФ, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.

В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Участниками сертификации средств защиты информации являются:

  • федеральный орган по сертификации создает системы сертификации; выдает сертификаты и лицензии на применение знака соответствия; приостанавливает или отменяет действие выданных сертификатов.

  • центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;

  • органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;

  • испытательные лаборатории - лаборатории, проводящие сертификационные испытания определенной продукции;

  • изготовители-продавцы, исполнители продукции. Производят средства защиты информации только при наличии сертификата; маркируют сертифицированные СЗИ знаком соответствия.

Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации.

Основными схемами проведения сертификации средств защиты информации являются:

  • для единичных образцов - проведение испытаний этих образцов на соответствие требованиям по защите информации;

  • для серийного производства - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.


Срок действия сертификата не может превышать пяти лет.

76. Аттестация объектов информатизации в РФ


Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых средств обеспечения объекта информатизации или помещения и объекты, предназначенные для ведения конфиденциальных переговоров

Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Наличие аттестата соответствия дает право обработки информации с уровнем секретности на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации". Аттестация должна проводится до начала обработки информации, подлежащей защите.

Аттестация является обязательной в следующих случаях:

  • государственная тайна;

  • при защите государственного информационного ресурса;

  • управление экологически опасными объектами;

  • ведение секретных переговоров.

Также обязательной аттестации подлежат объекты информатизации, если они эксплуатируются в органах государственной власти РФ и обрабатывают информацию ограниченного доступа, но не содержащую государственной тайны. К таким объектам информатизации относятся:

  1. защищаемые помещения, в которых обсуждается информация ограниченного доступа;

  2. государственные информационные системы.

В структуру системы аттестации входят:

  • федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России;

  • органы по аттестации объектов информатизации;

  • испытательные центры по сертификации продукции;

  • заявители.


Порядок проведения аттестации объектов информатизации:

  1. подача и рассмотрение заявки на аттестацию.

  2. проведение аттестационных испытаний объекта информатизации.

  3. оформление, регистрация и выдача "Аттестата соответствия".

  4. осуществление государственного контроля и надзора;

  5. рассмотрение апелляций.


77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.


Государственные информационные ресурсы — это ресурсы, которые как элемент имущества находятся в собственности государства. Государственные ресурсы делятся на следующие группы:

  1. федеральные ресурсы;

  2. информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов РФ;

  3. информационные ресурсы субъектов РФ.

Информация бывает открытого доступа и ограниченного доступа.

К информации открытого доступа относят информацию:

  • Неограниченную в доступе законодательством, собственником либо уполномоченным лицом;

  • Общедоступную по закону:

    1. законодательные и иные нормативные акты, устанавливающие статус власти, права и свободы граждан;

    2. информация, необходимая для обеспечения безопасности граждан;

    3. о деятельности государственных органов, расходовании государственных ресурсов, состояние экономики;

    4. документы открытых фондов библиотек и архивов, государственных информационных систем.

К информации ограниченного доступа относят сведения, составляющие:

  • Государственную тайну

  • Конфиденциальную информацию:

  • Профессиональная тайна

  • Персональные данные

  • Тайна следствия и судопроизводства

  • Служебные сведения ограниченного доступа

  • Коммерческая тайна

  • Авторское и патентное право (до официального опубликования)


78. Методы работы с персоналом, обладающим конфиденциальной информацией.


Основные методы работы с персоналом, допущенным к конфиденциальной информации:

  • обучение;

  • инструктажи;

  • индивидуальная и воспитательная работа;

  • проверка уровня знаний;

  • контроль.


Метод обучения — начальный этап в приобретении теоретических знаний и практических навыков обеспечения защиты конфиденциальной информации в рамках выполнения должностных обязанностей. Процесс обучения сотрудников должен быть постоянным и планомерным. Используются следующие формы обучения:

  • лекции, семинары и практические занятия по действиям персонала в различных ситуациях;

  • тестирование сотрудников и оценка уровня их подготовленности;

  • решение ситуационных задач, связанных с защитой конфиденциальной информации.

Обучение персонала предприятия по вопросам защиты конфиденциальной информации проводится дифференцированно, по категориям должностных лиц — для руководителей подразделений, их заместителей, сотрудников предприятия.

Метод инструктажей применяется руководством предприятия и руководителями структурных подразделений для информирования сотрудников, работающих с конфиденциальной информацией, о положениях принятых нормативно-методических документов, а также требований вышестоящих органов.

Метод индивидуальной и воспитательной работы заключается в систематическом и целенаправленном воздействии на процесс формирования и развития личности сотрудника в целях наиболее полного использования его профессиональных возможностей и способностей для обеспечения сохранности доверенных по службе сведений конфиденциального характера.

Цель проверки уровня знаний — определить степень подготовленности каждого сотрудника к выполнению практических задач по защите информации.

Метод контроля в работе с персоналом предприятия имеет своей целью оценить эффективность работы каждого сотрудника предприятия по обеспечению защиты конфиденциальной информации, использования совокупности сил и средств предприятия. Контроль может быть периодическим (плановым) и внезапным.

Основными формами контроля сотрудников в области защиты конфиденциальной информации являются:

  • проверки положений нормативно-методических документов по ЗИ;

  • доклады руководителей подразделений о результатах работы подчиненных сотрудников;

  • аттестация сотрудников, допущенных к конфиденциальной информации;

  • самоконтроль сотрудников.