Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 521
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
В соответствии с ними лицензиаты обязаны ежегодно представлять сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.
75. Сертификация средств защиты информации.
Положение «О сертификации средств защиты информации» N 608
Системы сертификации создаются ФСТЭК, ФСБ, Министерством обороны РФ, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Участниками сертификации средств защиты информации являются:
-
федеральный орган по сертификации создает системы сертификации; выдает сертификаты и лицензии на применение знака соответствия; приостанавливает или отменяет действие выданных сертификатов. -
центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции; -
органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции; -
испытательные лаборатории - лаборатории, проводящие сертификационные испытания определенной продукции; -
изготовители-продавцы, исполнители продукции. Производят средства защиты информации только при наличии сертификата; маркируют сертифицированные СЗИ знаком соответствия.
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации.
Основными схемами проведения сертификации средств защиты информации являются:
-
для единичных образцов - проведение испытаний этих образцов на соответствие требованиям по защите информации; -
для серийного производства - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.
Срок действия сертификата не может превышать пяти лет.
76. Аттестация объектов информатизации в РФ
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых средств обеспечения объекта информатизации или помещения и объекты, предназначенные для ведения конфиденциальных переговоров
Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.
Наличие аттестата соответствия дает право обработки информации с уровнем секретности на период времени, установленный в аттестате.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации по требованиям безопасности информации". Аттестация должна проводится до начала обработки информации, подлежащей защите.
Аттестация является обязательной в следующих случаях:
-
государственная тайна; -
при защите государственного информационного ресурса; -
управление экологически опасными объектами; -
ведение секретных переговоров.
Также обязательной аттестации подлежат объекты информатизации, если они эксплуатируются в органах государственной власти РФ и обрабатывают информацию ограниченного доступа, но не содержащую государственной тайны. К таким объектам информатизации относятся:
-
защищаемые помещения, в которых обсуждается информация ограниченного доступа; -
государственные информационные системы.
В структуру системы аттестации входят:
-
федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России; -
органы по аттестации объектов информатизации; -
испытательные центры по сертификации продукции; -
заявители.
Порядок проведения аттестации объектов информатизации:
-
подача и рассмотрение заявки на аттестацию. -
проведение аттестационных испытаний объекта информатизации. -
оформление, регистрация и выдача "Аттестата соответствия". -
осуществление государственного контроля и надзора; -
рассмотрение апелляций.
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
Государственные информационные ресурсы — это ресурсы, которые как элемент имущества находятся в собственности государства. Государственные ресурсы делятся на следующие группы:
-
федеральные ресурсы; -
информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов РФ; -
информационные ресурсы субъектов РФ.
Информация бывает открытого доступа и ограниченного доступа.
К информации открытого доступа относят информацию:
-
Неограниченную в доступе законодательством, собственником либо уполномоченным лицом; -
Общедоступную по закону:
-
законодательные и иные нормативные акты, устанавливающие статус власти, права и свободы граждан; -
информация, необходимая для обеспечения безопасности граждан; -
о деятельности государственных органов, расходовании государственных ресурсов, состояние экономики; -
документы открытых фондов библиотек и архивов, государственных информационных систем.
К информации ограниченного доступа относят сведения, составляющие:
-
Государственную тайну -
Конфиденциальную информацию:
-
Профессиональная тайна -
Персональные данные -
Тайна следствия и судопроизводства -
Служебные сведения ограниченного доступа -
Коммерческая тайна -
Авторское и патентное право (до официального опубликования)
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
Основные методы работы с персоналом, допущенным к конфиденциальной информации:
-
обучение; -
инструктажи; -
индивидуальная и воспитательная работа; -
проверка уровня знаний; -
контроль.
Метод обучения — начальный этап в приобретении теоретических знаний и практических навыков обеспечения защиты конфиденциальной информации в рамках выполнения должностных обязанностей. Процесс обучения сотрудников должен быть постоянным и планомерным. Используются следующие формы обучения:
-
лекции, семинары и практические занятия по действиям персонала в различных ситуациях; -
тестирование сотрудников и оценка уровня их подготовленности; -
решение ситуационных задач, связанных с защитой конфиденциальной информации.
Обучение персонала предприятия по вопросам защиты конфиденциальной информации проводится дифференцированно, по категориям должностных лиц — для руководителей подразделений, их заместителей, сотрудников предприятия.
Метод инструктажей применяется руководством предприятия и руководителями структурных подразделений для информирования сотрудников, работающих с конфиденциальной информацией, о положениях принятых нормативно-методических документов, а также требований вышестоящих органов.
Метод индивидуальной и воспитательной работы заключается в систематическом и целенаправленном воздействии на процесс формирования и развития личности сотрудника в целях наиболее полного использования его профессиональных возможностей и способностей для обеспечения сохранности доверенных по службе сведений конфиденциального характера.
Цель проверки уровня знаний — определить степень подготовленности каждого сотрудника к выполнению практических задач по защите информации.
Метод контроля в работе с персоналом предприятия имеет своей целью оценить эффективность работы каждого сотрудника предприятия по обеспечению защиты конфиденциальной информации, использования совокупности сил и средств предприятия. Контроль может быть периодическим (плановым) и внезапным.
Основными формами контроля сотрудников в области защиты конфиденциальной информации являются:
-
проверки положений нормативно-методических документов по ЗИ; -
доклады руководителей подразделений о результатах работы подчиненных сотрудников; -
аттестация сотрудников, допущенных к конфиденциальной информации; -
самоконтроль сотрудников.