Скачать презентацию МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ Скачать презентацию МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

2 Законы.ppt

  • Количество слайдов: 43

МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Уровни абстракции • законодательный • административный (приказы и другие действия руководства организаций, связанных с Уровни абстракции • законодательный • административный (приказы и другие действия руководства организаций, связанных с защищаемыми ИС); • процедурный (меры безопасности, ориентированные на людей); • программнотехнический.

информационной безопасности В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для информационной безопасности В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней: • законодательного; • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); • процедурного (меры безопасности, ориентированные на людей); • программно-технического.

Законодательный уровень • К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные Законодательный уровень • К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных стандартов.

Административный уровень • К организационным мерам относятся охрана компьютерных систем, подбор персонала, исключение случаев Административный уровень • К организационным мерам относятся охрана компьютерных систем, подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т. п.

программнотехнический уровни • К процедурным и программнотехническим мерам можно отнести защиту от несанкционированного доступа программнотехнический уровни • К процедурным и программнотехническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и многое другое.

Государственные контролирующие органы РФ Комитет Государственной думы по безопасности; Совет безопасности России Федеральная служба Государственные контролирующие органы РФ Комитет Государственной думы по безопасности; Совет безопасности России Федеральная служба по техническому и экспортному контролю (ФСТЭК) Федеральная служба безопасности Российской Федерации (ФСБ России); Министерство внутренних дел Российской Федерации (МВД России); Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие ЗИ на уровне предприятия Служба экономической безопасности Служба безопасности персонала Отдел кадров Службы, организующие ЗИ на уровне предприятия Служба экономической безопасности Служба безопасности персонала Отдел кадров Служба информационной безопасности • Обеспечение политики экономической безопасности • Определение объекта защиты • Определение режима безопасности • Противодействие инсайдерам • Защита персональных данных сотрудников в ИСПДН • Обеспечение режима безопасности • Организация и координация работ, связанных с защитой информации на предприятии; • Выявление и обезвреживание угроз.

Законодательный уровень информационной безопасности Законодательный уровень информационной безопасности

Структура законодательных мер Законодательный уровень мерами ограничительной направленности УК КОАП направляющие и координирующие меры Структура законодательных мер Законодательный уровень мерами ограничительной направленности УК КОАП направляющие и координирующие меры Руководящие документы ФСТЭК Более 150 законов и подзаконных актов Регламентирующие документы ФСБ

Правовое поле Конституция РФ ГК РФ Доктрина ИБ УК РФ ФЗ № 54851 ФЗ Правовое поле Конституция РФ ГК РФ Доктрина ИБ УК РФ ФЗ № 54851 ФЗ № 149 • Право на доступ к информации (ст. 24, 29, 41, 42) • Право на защиту данных (ст. 23, 24) • Банковская, служебная, коммерческая тайна • совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации • Статьи 138, 272, 273, 274 • О государственной тайне от 21 июля 1993 года в редакции от 18. 07. 2009 • Об информации, информационных технологиях и о защите информации от 27 июля 2006 года

Конституция РФ Право на доступ • Статья 24 o Гарантия права ознакомления с собранными Конституция РФ Право на доступ • Статья 24 o Гарантия права ознакомления с собранными данными, если это не тайна (государственная, следствия) • Статья 29 o Гарантия свободы мысли и слова • Статья 41 o Гарантия доступности информации об обстоятельствах, создающих угрозу для жизни и здоровья людей. Право на защиту данных • Статья 23 o Гарантия тайны коммуникаций гражданина • Статья 42 o Гарантия получения достоверной информации о состоянии окружающей среды.

ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ 149 -ФЗ от 27 июля 2006 ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ 149 -ФЗ от 27 июля 2006 года

Сфера действия регулирует • осуществлении права на поиск, получение, передачу, производство и распространение информации; Сфера действия регулирует • осуществлении права на поиск, получение, передачу, производство и распространение информации; • применении информационных технологий; • обеспечении защиты информации. не распространяется • на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации

Виды информации • информацию, свободно распространяемую; • информацию, предоставляемую по соглашению лиц, участвующих в Виды информации • информацию, свободно распространяемую; • информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; • информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; • информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Права собственника информации • разрешать или ограничивать доступ к информации, определять порядок и условия Права собственника информации • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; • использовать информацию, в том числе распространять ее, по своему усмотрению; • передавать информацию другим лицам по договору или на ином установленном законом основании; • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; • осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обязанности собственника • соблюдать права и законные интересы иных лиц; • принимать меры по Обязанности собственника • соблюдать права и законные интересы иных лиц; • принимать меры по защите информации; • ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

• • • Запрет ограничения доступа нормативным правовым актам, затрагивающим права, свободы и • • • Запрет ограничения доступа нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; информации о состоянии окружающей среды; информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Ограничение доступа • В целях защиты основ конституционного строя, нравственности, здоровья, прав и законных Ограничение доступа • В целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Защита информации • представляет собой принятие правовых, организационных и технических мер, направленных на: o Защита информации • представляет собой принятие правовых, организационных и технических мер, направленных на: o обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; o соблюдение конфиденциальности информации ограниченного доступа; o реализацию права на доступ к информации.

Обязанности по ЗИ • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, Обязанности по ЗИ • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; • своевременное обнаружение фактов несанкционированного доступа к информации; • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; • постоянный контроль за обеспечением уровня защищенности информации.

Федеральный закон о государственной тайне ФЗ № 5485 -1 от 21 июля 1993 года Федеральный закон о государственной тайне ФЗ № 5485 -1 от 21 июля 1993 года

Сфера действия • Исполнение: o органами законодательной, исполнительной и судебной власти, o организациями, наделенными Сфера действия • Исполнение: o органами законодательной, исполнительной и судебной власти, o организациями, наделенными в соответствии с ФЗ полномочиями, o органами местного самоуправления, o предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности o должностными лицами и гражданами РФ, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФ о государственной тайне

Регламентирует • Структурные подразделения в области защиты информации и их полномочии • Перечень сведений Регламентирует • Структурные подразделения в области защиты информации и их полномочии • Перечень сведений относящихся государственной тайне • Порядок засекречивания и определения статуса • Порядок рассекречивания. • Порядок распространения информации • Порядок допуска лиц к сведениям содержащим государственную тайну. • Процедуры контроля.

Государственная тайна • защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной Государственная тайна • защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

Перечень сведений, составляющих государственную тайну • сведения в военной области: o o o о Перечень сведений, составляющих государственную тайну • сведения в военной области: o o o о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных Сил Российской Федерации, других войск, воинских формирований и органов, предусмотренных Федеральным законом "Об обороне", об их боевой и мобилизационной готовности, о создании и об использовании мобилизационных ресурсов; о планах строительства Вооруженных Сил Российской Федерации, других войск Российской Федерации, о направлениях развития вооружения и военной техники, о содержании и результатах выполнения целевых программ, научно-исследовательских и опытноконструкторских работ по созданию и модернизации образцов вооружения и военной техники; о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалов, используемых в ядерных боеприпасах, о технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также о ядерных энергетических и специальных физических установках оборонного значения; о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, о свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения; о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов, об их проектировании, строительстве и эксплуатации, а также об отводе земель, недр и акваторий для этих объектов; о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военнополитической и (или) оперативной обстановке;

Перечень сведений, составляющих государственную тайну • сведения в области экономики, науки и техники: o Перечень сведений, составляющих государственную тайну • сведения в области экономики, науки и техники: o o o • о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям, о мобилизационных мощностях промышленности по изготовлению и ремонту вооружения и военной техники, об объемах производства, поставок, о запасах стратегических видов сырья и материалов, а также о размещении, фактических размерах и об использовании государственных материальных резервов; об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства; о силах и средствах гражданской обороны, о дислокации, предназначении и степени защищенности объектов административного управления, о степени обеспечения безопасности населения, о функционировании транспорта и связи в Российской Федерации в целях обеспечения безопасности государства; об объемах, о планах (заданиях) государственного оборонного заказа, о выпуске и поставках (в денежном или натуральном выражении) вооружения, военной техники и другой оборонной продукции, о наличии и наращивании мощностей по их выпуску, о связях предприятий по кооперации, о разработчиках или об изготовителях указанных вооружения, военной техники и другой оборонной продукции; о достижениях науки и техники, о научно-исследовательских, об опытно-конструкторских, о проектных работах и технологиях, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства; о запасах платины, металлов платиновой группы, природных алмазов в Государственном фонде драгоценных металлов и драгоценных камней Российской Федерации, Центральном банке Российской Федерации, а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых Российской Федерации (по списку, определяемому Правительством Российской Федерации); сведения в области внешней политики и экономики: o o о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства; о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства ;

Перечень сведений, составляющих государственную тайну • сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности: Перечень сведений, составляющих государственную тайну • сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности: o o o o o о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность; об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения; о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи, о шифрах, о разработке, об изготовлении шифров и обеспечении ими, о методах и средствах анализа шифровальных средств и средств специальной защиты, об информационно-аналитических системах специального назначения; о методах и средствах защиты секретной информации; об организации и о фактическом состоянии защиты государственной тайны; о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации; о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации; о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства.

• • Не подлежат засекречиванию чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью • • Не подлежат засекречиванию чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; о фактах нарушения прав и свобод человека и гражданина; о размерах золотого запаса и государственных валютных резервах Российской Федерации; о состоянии здоровья высших должностных лиц Российской Федерации; о фактах нарушения законности органами государственной власти и их должностными лицами.

Степени секретности • Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, Степени секретности • Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений. • Устанавливаются три степени: o "особой важности" o "совершенно секретно" o "секретно". • Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Доктрина ИБ РФ Доктрина ИБ РФ

Доктрина ИБ РФ • Состав: o совокупность официальных взглядов на цели, задачи, принципы и Доктрина ИБ РФ • Состав: o совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации • Цели: o формирование государственной политики в области обеспечения информационной безопасности РФ; o подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; o разработки целевых программ обеспечения информационной безопасности; o развивает Концепцию национальной РФ применительно к информационной сфере.

Информационная безопасность • Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в Информационная безопасность • Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. o Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. o Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России. o Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Основные составляющие национальных интересов защита информационных ресурсов и ТС соблюдение конституционных прав и свобод Основные составляющие национальных интересов защита информационных ресурсов и ТС соблюдение конституционных прав и свобод человека развитие современных ИТ, отечественной индустрии информационное обеспечение государственной политики

Виды угроз информационной безопасности РФ • угрозы конституционным правам и свободам человека и гражданина Виды угроз информационной безопасности РФ • угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; • угрозы информационному обеспечению государственной политики Российской Федерации; • угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; • угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозы конституционным правам и свободам человека (I) • принятие федеральными органами государственной власти, органами Угрозы конституционным правам и свободам человека (I) • принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности; • создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем; • противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений; • нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;

Угрозы конституционным правам и свободам человека (II) • противоправное применение специальных средств воздействия на Угрозы конституционным правам и свободам человека (II) • противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное сознание; • неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере; • неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации;

Угрозы конституционным правам и свободам человека (III) • • • дезорганизация и разрушение системы Угрозы конституционным правам и свободам человека (III) • • • дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы; нарушение конституционных прав и свобод человека и гражданина в области массовой информации; вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур; девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе; снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе информационных; манипулирование информацией (дезинформация, сокрытие или искажение информации).

Угрозы информационному обеспечению государственной политики • монополизация информационного рынка России, его отдельных секторов отечественными Угрозы информационному обеспечению государственной политики • монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами; • блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории; • низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года): глава 28 «Преступления в Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года): глава 28 «Преступления в сфере компьютерной информации» - содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информации; • «…штрафом в размере от • статья 272. Неправомерный доступ к компьютерной информации; • «…штрафом в размере от пятисот до восьмисот минимальных размеров платы труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет»

• статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; • «…лишением • статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; • «…лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. 2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет»

• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. «…лишением • статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. «…лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет»