ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Магнитогорск
1. Основы информационной безопасности 1. 1. Основные понятия и определения в информационной безопасности; 1. 2. Основные виды угроз безопасности. 1. 3. Виды мер обеспечения информационной безопасности.
1. 1. Основные понятия и определения в информационной безопасности l l информация - сведения (сообщения, данные) независимо от формы их представления; документированная информация зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. (ФЗ № 149 от 27. 06. 2006 г. «Об информации, информационных технологиях и о защите информации» )
Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно): l l l источников (поставщиков) информации; пользователей (потребителей) информации; собственников (владельцев, распорядителей) информации; физических и юридических лиц, о которых собирается информация; владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т. д.
Обладатель информации l обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (Ст. 2 № 149 -ФЗ)
Информация как объект правовых отношений Классификация информации по категориям доступа Информация С ограниченным доступом Общедоступная Государственная тайна Коммерческая тайна Конфиденциальная информация Служебная тайна Иные виды тайн Профессиональная тайна Персональные данные
Классификация информации в зависимости от порядка ее предоставления или распространения 1) информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Общедоступная информация 1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. 2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. 3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации (Ст. 7, № 149 -ФЗ).
Запрещается относить к информации с ограниченным доступом (ст. 8, п. 4): Не может быть ограничен доступ к: 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Классификация информации ограниченного доступа Информация с ограниченным доступом Нормативные и законодательные акты Государственная тайна Закон РФ «О государственной тайне» , ст. 275, 276, 283, 284 УК РФ Конфиденциальная информация Ст. 2 ФЗ «Об информации, информационных технологиях и и защите информации» Персональные данные ФЗ № 152 «О персональных данных» Личная и семейная тайна Служебная тайна Ст. 23 Конституции РФ, ст. 150 Гражданского кодекса РФ, ст. 137 УК РФ Ст. 139 Гражданского кодекса РФ, ст. 155, 311 УК РФ
Информация с ограниченным доступом Нормативные и законодательные акты Служебная информация С. 31 ФЗ «о рынке ценных бумаг» Коммерческая тайна Ст. 139 Гражданского кодекса РФ, ст. 183 УК РФ Сведения о сущности изобретения ( «Ноу-хау» ) Указ Президента РФ № 188 от 6. 03. 1997 г. « Об утверждении перечня сведений конфиденциального характера» Тайна следствия и судопроизводства Указ Президента РФ № 188 от 6. 03. 1997 г. « Об утверждении перечня сведений конфиденциального характера» , ст. 310 УК РФ Тайна связи Ст. 63 ФЗ «О связи» , ст. 11 ФЗ «Об информации, информатизации и защите информации» , ст. 138 УК РФ Тайна страхования Ст. 946 Гражданского кодекса РФ Тайна усыновления Ст. 139 Семейного кодекса РФ, ст. 155 УК РФ
Информация с ограниченным доступом Нормативные и законодательные акты Тайна исповеди Ст. ФЗ «О свободе совести и религиозных объединений» Банковская тайна Ст. 857 Гражданского кодекса РФ, ст. 26 ФЗ « О внесении изменений и дополнений в закон РСФСР «О банках и банковской деятельности в РСФСР» , ст. 183 УК РФ Нотариальная тайна Ст. 16, 29 Основ законодательства РФ о нотариате, ст. 202 УК РФ Адвокатская тайна Закон РФ «Об адвокатской деятельности и адвокатуре в РФ» Врачебная тайна Ст. 161 Основ законодательства РФ об охране здоровья граждан, ст. 14 Закона РФ «О трансплантации органов и (или) тканей человека»
Государственная тайна l Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведовательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (Закон РФ «О государственной тайне» )
Система обозначений сведений, составляющих государственную тайну l l l Сведения особой важности – распространение которых может нанести ущерб интересам РФ в одной или нескольких областях; Совершенно секретные сведения - распространение которых может нанести ущерб интересам министерств (ведомств) или отраслям экономики РФ в одной или нескольких областях; Секретные сведения – все иные из числа сведений, составляющих государственную тайну. Ущерб может быть нанесен интересам предприятий, учреждений или организаций.
Система защиты сведений, составляющих государственную тайну l l За нарушение законодательства РФ о государственной тайне Закон предусматривает уголовную, административную, гражданско-правовую или дисциплинарную ответственность. Уголовно-правовая ответственность за разглашение информации, содержащей государственную тайну, определяется Уголовным кодексом РФ - ст. 275, 276, 283, 284.
Коммерческая тайна l l Коммерческая тайна - не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и др. деятельностью, разглашение, утечка и несанкционированный доступ к которым может нанести ущерб их владельцам. Перечень сведений, составляющих КТ, утверждается приказом директора фирмы.
Классификация коммерческих секретов : l l l по природе коммерческой тайны (технологические, производственные, организационные, маркетинговые, интеллектуальные, рекламные); по принадлежности собственнику (собственность предприятия, группы предприятий, отдельного лица, группы лиц и т. д. ); по назначению коммерческих секретов. Документы, содержащие коммерческие секреты, могут иметь гриф: "конфиденциально", "строго конфиденциально", "конфиденциально, только адресату", "КТ", "секрет предприятия", "тайна предприятия".
К КТ относят следующие три группы сведений: 1. Деловая информация: l l l l финансовые сведения; данные о цене (стоимости) продукции и услуг, технологии; деловые планы и планы производства новой продукции; списки клиентов и продавцов, контракты, преференции (льготные пошлины ввоза) и планы; информация о маркетинге; соглашения, предложения, квоты; списки персонала, организационные схемы и информация о сотрудниках (их характеристики).
2. Техническая информация: • научно-исследовательские проекты; • конструкторские разработки по производству какой-либо продукции и ее технические параметры; • заявки на патенты; • дизайн, эффективность и возможности производственных методов, оборудования и систем; • информационный процесс; • химические формулы; • программное обеспечение ЭВМ. 3. Информация о клиентах и конкурентах
Сведения, которые не могут составлять коммерческую тайну: Согласно Постановлению Правительства РФ № 35 от 5. 12. 91 г. "О перечне сведений, которые не могут составлять КТ" l l l l учредительные документы и устав организации; регистрационные удостоверения, лицензии, патенты и др. документы, дающие право заниматься предпринимательской деятельностью; сведения о финансово-хозяйственной деятельности, другие данные, необходимые для проверки правильности начисления и уплаты налогов, и других обязательных платежей; документы о платежеспособности, с которыми вправе ознакомиться все заинтересованные организации; сведения о численности, составе работающих, их заработной плате и условиях труда, о наличии свободных рабочих мест; сведения о загрязнении окружающей среды, о нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также о других нарушениях законодательства и размерах причиненного при этом ущерба; информация об участии должностных лиц предприятий в кооперативах, товариществах, объединениях и других организациях, занимающихся предпринимательской деятельностью; а также некоторые другие сведения, например, о деятельности товарных бирж, сведения о приватизируемом предприятии и т. д.
Понятие информационной безопасности l l l Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства (ФЗ РФ «Об участии в международном информационном обмене» ) ; Информационная безопасность РФ – состояние защищенности национальных интересов РФ в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства ( «Доктрина информационной безопасности РФ» ); Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре (Материалы Гостехкомиссии* РФ) * Указом Президента РФ Государственная техническая комиссия при Президенте Российской Федерации (www. infotecs. ru/gtc/) преобразована в Федеральную службу по техническому и экспортному контролю (ФСТЭК, www. fstec. ru)
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. Ст. 16 закона РФ «Об информации, информационных технологиях и защите информации»
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации. Ст. 16 п. 4 закона РФ «Об информации, информационных технологиях и защите информации»
l информационная безопасность человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и часто имеет информацию в качестве предмета деятельности; l информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям; l информационная безопасность государства заключается в невозможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступает информация и информационная инфраструктура общества.
Свойства информации с точки зрения ИБ: l l l доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость; целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности; конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
Вопросы и ответы
Скачать презентацию ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Магнитогорск 1 Основы информационной безопасности
ИБ 1-2011-12.ppt