Лекция Законодательная и нормативноправовая база в области защиты

Зарегистрируйтесь, чтобы просмотреть полный документ!

Лекция Законодательная и нормативноправовая база в области защиты информации

Основные понятия, термины и определения ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149 -ФЗ. § информация - сведения (сообщения, данные) независимо от формы их представления; § информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; § информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

§ информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники; § обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; § доступ к информации - возможность получения информации и её использования; § конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; § предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

§ распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; § электронное сообщение - информация, переданная или полученная пользователем информационнотелекоммуникационной сети; § документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель; § оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

ФЗ «О персональных данных» от 27 июля 2006 г. № 152 -ФЗ. § персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; § оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; § обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

§ распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно - телекоммуникационных сетях или предоставление доступа к персональным данным каким - либо иным способом; § использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

§ блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи; § уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; § обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; § информационная система персональных данных информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

§ конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; § трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; § общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

ФЗ «Об электронной цифровой подписи» от 10 января 2002 года № 1 -ФЗ. § электронный документ - документ, в котором информация представлена в электронно-цифровой форме; § электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе; § информационная система общего пользования - ИС, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано; § корпоративная информационная система - ИС, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

СТР-К Решение Коллегии ГТК России № 7. 2 от 2 марта 2001 г. § Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. § Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц - залы и т. д. ), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т. п. ). § Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т. е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

§ Информационные сети общего пользования - вычислительные (информационно - телекоммуникационные сети) открытые для пользования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано. § Локальная вычислительная сеть - вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации, предоставляемых подключаемым устройствам для кратковременного монопольного использования. § Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

ГОСТ Р 50922 -96. Защита информации. Основные термины и определения. § Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. § Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. § Цель защиты информации - желаемый результат защиты информации. § Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами. § Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.

§ Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационнораспорядительными и нормативными документами по защите информации. § Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. § Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. § Орган защиты информации - административный орган, осуществляющий организацию защиты информации. § Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.

§ Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. § Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него. § Перечень сведений, составляющих государственную тайну – совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. § Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

§ Объект ТСПИ - отдельное техническое средство или группа технических средств, предназначенных для обработки категорированной информации, вместе с помещениями, в которых они размещены, а также выделенные помещения. § Специальные проверки (спецпроверки) - проверки ТСПИ иностранного и совместного производства на наличие возможно внедренных электронных устройств перехвата информации. § Специальные исследования (специсследования) - выявление с помощью контрольно - измерительной аппаратуры возможных каналов утечки категорированной информации, обрабатываемой ТСПИ. § Специальные обследования (спецобследования) – определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно - измерительной аппаратуры.

Структура правовой защиты информации

Основные причины реализации законодательства о персональных данных Требования Организации по экономическому сотрудничеству и развитию (ОЭСР) от 23 сентября 1980 г. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных 28 января 1981 г. Директива 95/46/ЕС Европарламента и Совета Евро. Союза от 24 октября 1995 г. о защите прав частных лиц применительно к личным данным и о свободном движении таких данных Директива 97/66/ЕС Европарламента и Совета Евро. Союза от 15 декабря 1997 г. , касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций ВТО

Типичная иерархия документов Конвенции и иные международные договора Европейская Конвенция Законы ФЗ № 160 от 19. 12. 2005 ФЗ № 152 от 26. 07. 2006 Постановления Правительства № 781 от 17. 11. 2007 № 687 от 15. 09. 2008 Приказы и иные документы «Приказ трех» от 13. 02. 2008 Приказ ФСТЭК от 05. 02. 2010 4 документа ФСТЭК 2 документа ФСБ

Основные подзаконные акты о персональных данных ФСТЭК Приказ ФСТЭК, ФСБ и Мининформсвязи № 55/86/20 от 13 февраля 2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных Приказ ФСТЭК № 58 от 05 февраля 2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

Основные подзаконные акты о персональных данных ФСБ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации 21 февраля 2008 г. , № 149/5 -144 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в персональных системах персональных данных 21 февраля 2008 г. , № 149/6/6 -622

Работы по выполнению требований защиты персональных данных n Получение лицензии на деятельность по ТЗКИ (1, 2 класс ИСПДн и 3 класс с распределенной структурой). • аттестация АС; • аттестация ЗП. (отменено) n n Создание СЗПДн в ИСПДн. (без шифрования) Аттестация ИСПДн (1 и 2 класса) (остается обязательной для государственных ИСПДн, в коммерческих - только рекомендуется)

Аттестация ИСПДн (1 и 2 класса) n n 1. В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется. 2. В соответствии с Указом Президента РФ от 06. 03. 1997 № 188 персональные данные (кроме общедоступных и обезличенных) относятся к сведениям конфиденциального характера. Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)» . Однако, для коммерческих организаций СТР-К носит рекомендательный характер. Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).

Нормативно-правовая база в области защиты информации Нормативные правовые акты Закон РФ от 5 марта 1992 г. № 2446 -1 «О безопасности» Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Закон РФ от 23 октября 1992 г. № 3523 -1 «О правовой охране программ для электронных вычислительных машин и баз данных» Этот закон регулирует отношения, связанные с созданием, правовой охраной и использованием программ для ЭВМ и баз данных. Программы для ЭВМ и базы данных относятся к объектам авторского права. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам. Закон РФ от 21 июля 1993 г. № 5485 -1 «О государственной тайне» Определяет основные понятия, полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты. Дает перечень сведений, которые могут быть отнесены к государственной тайне. Указывает принципы засекречивания сведений, перечисляет сведения, не подлежащие засекречиванию, устанавливает степени секретности сведений и грифы секретности носителей этих сведений. Описывает порядок отнесения сведений к государственной тайне, порядок рассекречивания сведений.

ФЗ «Об участии в международном информационном обмене» от 4 июля 1996 г. № 85 -ФЗ Определяет условия для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защиту интересов РФ, ее субъектов и муниципальных объединений, а также физических и юридических лиц при международном информационном обмене. ФЗ «Об электронной цифровой подписи» от 10 января 2002 г. № 1 -ФЗ Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. ФЗ «О техническом регулировании» от 27 декабря 2002 г. № 184 -ФЗ Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.

ФЗ «Об информации, информационных технологиях и о защите и информации» от 27 июля 2006 г. № 149 -ФЗ Регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. ФЗ «О персональных данных» от 27 июля 2006 г. № 152 -ФЗ Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

ФЗ «О коммерческой тайне» от 29 июля 2004 г. № 98 -ФЗ. Регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну. Постановление Совета Министров Правительства РФ № 912 -51 от 15 сентября 1993 г. Вводит соответствующее Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» . Указ Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» от 16 августа 2004 г. № 1085. Вводит в действие Положение «О Федеральной службе по техническому и экспортному контролю» , в котором определяются полномочия и организация деятельности ФСТЭК России. Постановление Правительства РФ «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 3 ноября 1994 г. № 1233.

Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» от 12 мая 2004 г. № 611. Постановляет: Субъектам международного информационного обмена в Российской Федерации не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебную информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей "Интернет" (далее – сеть "Интернет"). Владельцам открытых и общедоступных государственных информационных ресурсов осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации. Владельцам и пользователям указанных ресурсов осуществлять размещение технических средств, подключаемых к открытым информационным системам, сетям и сетям связи, используемым при международном информационном обмене, включая сеть "Интернет", вне помещений, предназначенных для ведения закрытых переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну.

Указ Президента РФ «Об утверждении Перечня конфиденциального характера» от 6 марта 1997 г. № 188. сведений Утверждает перечень сведений конфиденциального характера 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Статьи закона о персональных данных n n Обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных (ст. 9). Специальная категория персональных данных, т. е. данных о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Если иное не установлено другими федеральными законами, то обработка данной информации на предприятиях не допускается (ст. 10). Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Статьи закона о персональных данных n Предприятия без уведомления Федеральной службы по надзору в сфере связи и массовых коммуникаций вправе осуществлять обработку следующих персональных данных (п. 2 ст. 22): относящихся к субъектам персональных данных, которых связывают с предприятием трудовые отношения; n необходимых в целях однократного пропуска на территорию, на которой находится предприятие, или в иных аналогичных целях. n Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Статьи закона о персональных данных n Информационные системы персональных данных, созданные на предприятиях до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года (п. 3 ст. 25). 1 января 2011 года (ст. 1, п. 2 ФЗ 363) Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Обеспечение безопасности персональных данных n Ст. 4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утв. Постановлением Правительства РФ от 17 ноября 2007 года № 781 Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Обеспечение безопасности персональных данных n Ст. 2. «Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации…» . Технические и программные средства должны удовлетворять установленным в соответствии с законодательством Российской федерации требованиям, обеспечивающим защиту информации. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утв. постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Обеспечение безопасности персональных данных n Ст. 10. Безопасность персональных данных при их обработке в информационных системах обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 Корнилов Г. С. , кафедра СИБ, Тел. (843) 231 -00 -56, e-mail: kegork@mail. ru

Нормативно-методические и методические документы Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ 9 сентября 2000 г. № Пр-1895. Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Служит основой для: формирования государственной политики в области обеспечения информационной безопасности РФ; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; разработки целевых программ обеспечения информационной безопасности Российской Федерации. Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено председателем Гостехкомиссии России 25 ноября 1994 г. Устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. утверждено председателем Гостехкомиссии России 25 ноября 1994 г.

РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992. РД Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992. РД Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992. РД Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.

РД Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997. РД Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997. РД Защита от несанкционированного доступа. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114. РД Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3). «Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации» , Гостехкомиссия России, Москва, 2002. *

«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации» , Гостехкомиссия России, Москва, 2002. * «Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам» , Гостехкомиссия России, Москва, 2002. * «Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах» , Гостехкомиссия России, Москва, 2002. * НМД «Специальные требования и рекомендации по технической защите конфиденциальной информации» . Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282. * - Документ ограниченного распространения

Приказ Минэнерго России «Об утверждении Правил технической эксплуатации электроустановок потребителей» от 13 января 2003 г. № 6, (зарегистрирован Минюстом России 22 января 2003 г. , регистрационный № 4145, введен в действие с 1 июля 2003 г. ) Приказ ФСТЭК России «Об утверждении форм документов, используемых ФСТЭК России в процессе лицензирования деятельности по технической защите конфиденциальной информации и деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 7 июля 2006 г. № 222, (зарегистрирован Минюстом России 27 июля 2006 г. , регистрационный № 8114).

Стандарты ГОСТ 12. 1. 003 -83. Система стандартов безопасности труда. Шум. Общие требования безопасности. ГОСТ 21552 -84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение. ГОСТ 12. 1. 050 -86. ССБТ. Методы измерения шума на рабочих местах. ГОСТ 27296 -87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерений. ГОСТ 27201 -87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования. ГОСТ 34. 201 -89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

ГОСТ 34. 602 -89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ 28806 -90. Качество программных средств. Термины и определения. ГОСТ 34. 003 -90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. ГОСТ 2. 503 -90. ЕСКД. Правила внесения изменений. ГОСТ 34. 601 -90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. ГОСТ 29216 -91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний. ГОСТ 34. 603 -92. Информационная автоматизированных систем. технология. Виды испытаний

ГОСТ Р ИСО 9127 -94. Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов. ГОСТ 30373 -95/ГОСТ Р 50414 -92. Совместимость технических средств электромагнитная. Оборудование для испытаний. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний. ГОСТ Р 50739 -95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. ГОСТ Р 50752 -95. Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний. ГОСТ Р 50922 -96. Защита информации. Основные термины и определения. ГОСТ Р ИСО 9001 -96. Системы качества. Модель обеспечения качества при проектировании, разработке, производстве, монтаже и обслуживании. ГОСТ Р ИСО 9002 -96. Системы качества. Модель обеспечения качества при производстве, монтаже и обслуживании.

ГОСТ Р ИСО 9003 -96. Системы качества. Модель обеспечения качества при окончательном контроле и испытаниях. ГОСТ Р 50922 -96. Защита информации. Основные термины и определения. ГОСТ Р 50923 -96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения. ГОСТ 22505 -97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний. ГОСТ Р 51188 -98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51171 -98. Качество служебной информации. Правила предъявления информационных технологий на сертификацию. ГОСТ Р 51275 -99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р 51320 -99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств источников индустриальных радиопомех. ГОСТ Р 51319 -99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний. ГОСТ Р 51583 -2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения, (дсп). ГОСТ Р 51624 -2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования, (дсп). ГОСТ Р 50628 -2000. Совместимость -технических средств электромагнитная. Устойчивость машин электронных вычислительных персональных к электромагнитным помехам. Требования и методы испытаний. ГОСТ Р ИСО 9000 -2001. Системы менеджмента качества. Основные положения и словарь. ГОСТ Р ИСО 9001 -2001. Системы менеджмента качества. Общие требования.

ГОСТ Р ИСО 9004 -2001. Системы менеджмента качества. Рекомендации по улучшению качества. ГОСТ Р 50948 -2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности. ГОСТ Р 50949 -2001. Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности. ГОСТ ИСО/МЭК 15408 -1 -2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ ИСО/МЭК 15408 -2 -2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности. ГОСТ ИСО/МЭК 15408 -3 -2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. РД 50 -682 -89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.

РД 50 -34. 698 -90. Методические указания. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов. РД 50 -680 -88. Методические указания. Автоматизированные системы. Основные положения. Р 50 -34. 119 -90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения. МИ 2377 -98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений. МИ 1317 -86. Методические указания. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроля их параметров. СНи. П 23 -03 -2003. Защита от шума. Сан. Пи. Н 2. 2. 2. 542 -96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.

Ответственность за несоблюдение законодательства в области персональных данных Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность Ст. 24 ФЗ-152

Административная ответственность: КОАП Статья 13. 11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц -от пятисот до одной тысячи рублей; на юридических лиц -от пяти тысяч до десяти тысяч рублей Статья 13. 12. Нарушение правил защиты информации влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц -от пятисот до одной тысячи рублей; на юридических лиц -от пяти тысяч до десяти тысяч рублей. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц -от одной тысячи до двух тысяч рублей; на юридических лиц -от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Административная ответственность: Статья 13. 12. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц -от одной тысячи до одной тысячи пятисот рублей; на юридических лиц от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток. Статья 13. 14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц -от четырех тысяч до пяти тысяч рублей

Административная ответственность: КОАП Статья 5. 27. Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, -от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц -от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток. Нарушение законодательства о труде и об охране труда должностным лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение влечет дисквалификацию на срок от одного года до трех лет.

Административная ответственность: КОАП Статья 19. 4. Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц от пяти тысяч до десяти тысяч рублей Статья 19. 6. Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения влечет наложение административного штрафа на должностных лиц в размере от трехсот до пятисот рублей

Административная ответственность: КОАП Статья 19. 5. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц -от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц -от десяти тысяч до двадцати тысяч рублей Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц -от двухсот тысяч до пятисот тысяч рублей

Уголовная ответственность: ü Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом - наказывается штрафом в размере до 80000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев либо лишением свободы на срок до двух лет. ü Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, наказываются штрафом в размере до 120000 рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо лишением свободы на срок до 3 лет.

Уголовная ответственность: ü Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, наказываются штрафом в размере до 200 000 р. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет. ü Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, наказываются лишением свободы на срок до 10 лет.

Скачать презентацию Лекция Законодательная и нормативноправовая база в области защиты

Норма_Право.pptx

Количество слайдов: 54