Национальный исследовательский ядерный университет МИФИ Организационно- правовые механизмы

Скачать презентацию Национальный исследовательский ядерный университет МИФИ Организационно- правовые механизмы

ОПМ ОИБ осень 2015 введение.ppt

Количество слайдов: 65

Национальный исследовательский ядерный университет «МИФИ» «Организационно- правовые механизмы обеспечения информационной безопасности» Доцент кафедры «Стратегических информационных исследований» Горбатов Виктор Сергеевич Тел. (495) 788 -56 -99, доб. 90 -87 e-mail: VSGorbatov@mephi. ru

Нормативные требования образовательного стандарта Объект профессиональной деятельности - процессы управления информационной безопасностью защищаемых объектов Вид профессиональной деятельности - организационноуправленческая

типовые задачи осуществление организационно-правового обеспечения информационной безопасности объекта защиты; организация работы коллективов исполнителей с учетом требований защиты информации; совершенствование системы управления информационной безопасностью; изучение и обобщение опыта работы других учреждений, организаций и предприятий в области повышения эффективности защиты информации и сохранения государственной и других видов тайны; контроль эффективности реализации политики информационной безопасности объекта

Философия информационной безопасности ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ комплексная проблема

Место курса ФГОС Практика и итоговая аттестация «Управление информационной безопасностью» "Комплексное обеспечение ИБ автоматизированных систем" «Организационное и правовое обеспечение информационной безопасности» «Основы управленческой деятельности» «Правоведение»

Основы управленческой деятельности наука социального управления или совокупность научных знаний о закономерностях, общих формах и методах, правилах и приемах управления Знать: научные основы, цели, принципы, методы и технологии управленческой деятельности

Понятие «организация» 1. В самом общем виде упорядоченность, согласованность, взаимодействие частей целого (системы), обусловленные его структурой. 2. Объединение людей для совместного достижения поставленной цели, действующих в рамках определенной структуры и на основе правил, установленных для этой организации (нормативная база). 3. Определенного рода деятельность, совокупность процессов или действий, ведущих к образованию организационной структуры управления, совершенствованию взаимосвязей ее элементов. Критерий: эффективность функционирования. 4. Результат функционирования системы управления, отражающий ее состояние, то есть ее организованность.

ОРГАНИЗАЦИОННАЯ СТРУКТУРА УПРАВЛЕНИЯ совокупность системообразующих элементов системы управления и упорядоченных связей между ними, обеспечивающих устойчивость данной системы, ее развитие и функционирование

Субъект управления управляющий элемент (звено) системы управления, который генерирует процесс ее функционирования, оказывая управляющее воздействие на другие элементы данной системы

Объект управления управляемый элемент (звено) данной системы, воспринимающий управляющее воздействие субъекта управления, и, в свою очередь, оказывающий на него воздействие соответствующей реакцией

Каналы связи направления взаимного воздействия субъекта и объекта управления в системе и внешнего воздействия на систему

Ресурсы управления Все то, что обеспечивает передачу и восприятие управляющего воздействия и реакции на него, а также влияния окружающей среды на систему управления Персонал Материальное обеспечение, в том числе финансы Информационные ресурсы Нормативная база

Правоведение Правовые правила поведения(нормы) признаются государством в официальных документах, соблюдаются и защищаются силой государственного принуждения. Совокупность нормативных правовых актов (нормативно-правовая база) в области обеспечения информационной безопасности определяет те или иные ограничения (права и обязанности) всех субъектов (участников) информационных правоотношений

Структура законодательства РФ Законодательный уровень Конституция Международные акты Кодексы законов Подзаконные Иные правовые акты Законы акты Указы Президента Постановления Правительства Иные нормативные акты Федеральных органов государственной власти Органов власти субъектов РФ и местных самоуправлений Акты на местах

«Кольца» защиты информации Информация

Цель настоящего курса изучение механизмов практической реализации базовых концептуально-методологических положений дисциплин «Основы управленческой деятельности» «Правоведение»

Проблематика информационного права (в аспекте ИБ) Информация Права и/или ограничения Информационные ресурсы Органы государственной власти Юридические лица Физические лица Открытая Тайны ИС Разведка Инсайд Гражданская Уголовная Административн ая Дисциплинарная Носители Бумага, пластик Излучения Физ-хим среды Упругие волны Организация Государственные органы Службы безопасности Собственник (обладатель) Категории доступа Источники угроз Виды юридической ответственности Государственное управление Халатность Патентное ведомство Лицензирование, сертификация, аттестация Форс-мажор Рос. АПО (юр. службы)

ПАРАДИГМА Исходная концептуальная схема Теория (модель постановки проблемы) Образец решения исследовательских задач Представление объекта исследования

Парадигма информационной безопасности «Классический» подход решение фундаментальной проблемы информационного права «Бизнес» - подход устойчивость процессов управления качество информации (услуг), в т. ч. обеспечение непрерывности бизнеса

Национальный исследовательский ядерный университет «МИФИ» Парадигма ИБ ( «классический» подход) Доцент кафедры «Стратегических информационных исследований» Горбатов Виктор Сергеевич e-mail: VSGorbatov@mephi. ru

Конституция РФ Право на информацию (Д) Право на тайну (Т) СТАТЬЯ 29 п. 4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом Перечень сведений, составляющих государственную тайну, определяется федеральным законом

Конституция РФ Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. (Т) 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. (Т)

Доктрина ИБ Российской Федерации Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства

Виды и категории информации (по доступу) Закон «Об информации, информатизации и защите информации» 1995 – 2006 г. г. . Информационные ресурсы С ограниченным доступом Государственная тайна «С» «СС» Общедоступные (открытые) Промышленная собственность Конфиденциальная информация? ? ? Объекты АП Программы для ЭВМ и БД «ОВ» Другие виды Топология интегральных схем ДСП* Служебная тайна Коммерческая тайна НИР Банковская тайна НОУ-ХАУ Персональные данные *ДСП-Постановление Другие виды Правительства РФ № 1233 от 3. 11. 1994 г.

Гостайна: система определений или признаков 1. Предметные области: ст. 2 (З-н 1993 г. ): Военная (военная тайна), внешнеполитическая, экономическая ( не путать с коммерческой тайной), разведывательная, контрразведывательная и оперативно-розыскная деятельность 2. Тайна: не известные неопределенному неконтролируемому кругу лиц, и представляющие ценность именно в силу такой неизвестности 3. Ущерб государству, в т. ч. отдельным отраслям или госпредпиятиям в целом 4. Специальные меры защиты – ограничение доступа к носителям

Ограничение доступа к информации Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149 -ФЗ Принципы правового регулирования отношений в сфере информации: установление ограничений доступа к информации только федеральными законами. Информация в зависимости от категории доступа к ней подразделяется на: 2)общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация 1) ограниченного доступа)

Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149 -ФЗ Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну? ? и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение

Там же Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом

Конфиденциальность информации (там же) Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. (Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами)

Федеральный закон от 11. 07. 2011 № 200 -ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона «Об информации, информационных технологиях и о защите информации» Слова «Конфиденциальная информация» заменить словами «Информации, в отношении которой установлено требование об обеспечении ее конфиденциальности» - 17 законов. Слова «Конфиденциальная информация" заменить словами «информацией ограниченного доступа» - 5 законов

Указ Президента Российской Федерации от 06. 03. 1997 № 188 «Об утверждении перечня сведений конфиденциального характера» В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента, Правительства РФ и нормативных правовых актов федеральных органов исполнительной власти постановляю утвердить прилагаемый Перечень сведений конфиденциального характера

Постановление Правительства РФ от 03. 02. 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» Конфиденциальная информация = Информация, не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством РФ

Постановление Правительства Российской Федерации от 03. 02. 2012 № 79 • техническая защита конфиденциальной информации комплекс мероприятий и (или) услуг по ее защите от НСД, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней

Статья 138 ГК РФ до 2008 г. Служебная и коммерческая тайны 1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. 2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами. Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Федеральный закон Российской Федерации от 29 июля 2004 г. N 98 -ФЗ О коммерческой тайне Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

Информация, составляющая коммерческую тайну (там же) научно-техническая, технологическая, производственная, финансовоэкономическая или иная информация (в том числе составляющая секреты? ? производства (ноу-хау)…(повтор бывшей ст. 138 ГК РФ)

Служебная тайна • ? ? ?

Основы банковской тайны (ГК РФ) Статья 857. Банковская тайна 1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. (ПДн!) 2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом. 3. В случае разглашения банком сведений составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

Статья 26. Банковская тайна (Закон РФ "О банках и банковской деятельности") (извлечения) • • • Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. Справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией им самим, судам и арбитражным судам (судьям), Счетной палате Российской Федерации, налоговым органам, таможенным органам Российской Федерации в случаях, предусмотренных законодательными актами об их деятельности, а при наличии согласия прокурора - органам предварительного следствия по делам, находящимся в их производстве …органам внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений. Справки по счетам и вкладам физических лиц выдаются кредитной организацией им самим, судам, организации, осуществляющей функции по обязательному страхованию вкладов, при наступлении страховых случаев, предусмотренных федеральным законом о страховании вкладов физических лиц в банках Российской Федерации, а при наличии согласия прокурора - органам предварительного следствия по делам, находящимся в их производстве. Информация…предоставляется кредитными организациями в уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем. За разглашение банковской тайны…должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.

О ПЕРСОНАЛЬНЫХ ДАННЫХ Статья 3. Основные понятия ФЕДЕРАЛЬНЫЙ ЗАКОН от 25 июля 2011 г. N 261 -ФЗ Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Распространение - действия, направленные на раскрытие персональных данных неопределенному кругу лиц Предоставление - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Виды и категории по доступу Информационные ресурсы Ограниченного доступа (конфиденциальность) Государственная тайна «С» «СС» Общедоступные (открытые) Промышленная собственность Иная (тайны) Объекты АП Программы для ЭВМ и БД «ОВ» Другие виды Топология интегральных схем ДСП* Служебная тайна? Коммерческая тайна НИР Банковская тайна НОУ-ХАУ Персональные данные *ДСП-Постановление Другие виды тайн Правительства РФ № 1233 от 3. 11. 1994 г.

Постановление Правительства РФ от 03. 11. 1994 № 1233 (ред. от 20. 07. 2012) «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии» Установить, что служебная информация, содержащаяся в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов, не подлежит разглашению (распространению).

Парадигма обеспечения информационной безопасности организаций банковской системы РФ (СТО БР ИББС 1. 0 -2010) Противоборство собственника и злоумышленника за контроль над информационными активами (и другие, незлоумышленные действия) Собственник - субъект хозяйственной деятельности Злоумышленник - адаптация ст. 27 УК РФ

Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании» ) «информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» Достоинства нового определения: • Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408 -12002, 27001, 17799) и прежнего научно-технического задела. • Получение метрик информационной безопасности.

И. Б. Шубинский, А. А. Тарасов Современная парадигма безопасности критически важных систем информационной инфраструктуры. Безопасность информационных технологий. 2005. № 3, с. 7 – 13 Информационная безопасность + надежность = функциональная безопасность

Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149 -ФЗ Статья 16. Защита информации 3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи 1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации 3) реализация права на доступ к информации

Национальный исследовательский ядерный университет «МИФИ» Парадигма ИБ ( «бизнес» - подход) Доцент кафедры «Стратегических информационных исследований» Горбатов Виктор Сергеевич e-mail: VSGorbatov@mephi. ru

Гражданский кодекс РФ, статья 128 Объекты гражданских прав Вещи (в том числе деньги и ценные бумаги) Работы и услуги Нематериальные блага Интеллектуальная собственность Информация

Право собственности Правомочия Пользование Распоряжение Владение

Закон «Об информации, информатизации и защите информации» 1995 – 2006 г. г. Информационные ресурсы, как элементы состава имущества, находятся в собственности: • граждан; • органов государственной власти; • органов местного самоуправления; • организаций и общественных объединений.

Герасименко Владимир Андреевич Основы информационной грамоты. – М. : Энергоатомиздат, 1996. – 320 с. Кибернетика - управление качество информации=безопасность = = (доступность, целостность, конфиденциальность)

КИБЕРНЕТИКА Формулировка общих законов управления Содержание общих законов управления 1. Всякое управление есть целенаправленный процесс Управляющее воздействие 2. Всякое управление есть информационный процесс 3. Всякое управление осуществляется в замкнутом контуре Управляющий субъект 1) Сбор информации о текущем состоянии Прямая линия управляемых объектов связи ( процессов ) 2) Оценка текущего состояния управляемых объектов (процессов): сравнение текущего Идеальная состояния с желаемым траектория (соответствующим цели) 3) Выработка управляющего воздействия 4) Передача управляющего Обратная Реальная линия связи воздействия траектория 5) Исполнение Управляемый управляющего объект воздействия Исходное состояние Цель . .

Уровень развития информации Виды информации Знания, документы Техническая документация Сигналы Зафиксированная структура Неживой природы Биологические Технические Социальные ВИД СИСТЕМ ОБЪЕКТНОГО МИРА

Закон «Об информации, информатизации и защите информации» 1995 г. (не действует с 2006 г. ) Основные понятия: • Информация • Информационные ресурсы • Документированная информация

Закон «Об информации, информатизации и защите информации» • Статья 4. Основы правового режима информационных ресурсов • 1. Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами • Статья 5. Документирование информации • 1. Документирование информации является обязательным условием включения информации в информационные ресурсы.

Закон «Об информации, информатизации и защите информации» ДОКУМЕНТИРОВАНИЕ ИНФОРМАЦИЯ ИНФОРМАЦИОННЫЙ РЕСУРС Информационные ресурсы, как элементы состава имущества, находятся в собственности: • граждан; • органов государственной власти; • органов местного самоуправления; • организаций и общественных объединений.

Документ зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель (Закон «Об информации, информационных технологиях и защите информации» 2006 г. )

Правовой статус информационных ресурсов определяется на основе • Гражданского кодекса РФ • Закона «Об информации, информационных технологиях и защите информации» • Закона «Об электронной подписи» • Закона «О лицензировании отдельных видов деятельности» • Закона «О техническом регулировании»

Парадигма ИБ ( «бизнес» - подход) Информационная безопасность – необходимое условие эффективности любой системы управления Управление невозможно без информационных ресурсов (активов), которые защищаются законом наряду с другими ресурсами Документирование является необходимым условием включения информации в информационные ресурсы

Суть «бизнес» - подхода Способность предотвращать или минимизировать последствия нарушений устойчивости процессов управления из-за деструктивных воздействий на информационные системы

Информационная безопасность = = Кибербезопасность Компьютерная безопасность Охрана тайн (конфиденциальности) ИС? Документоведение

Состав организационно-правовых методов и средств защиты информации – – – законодательные акты; нормативная база; структуры и персонал служб безопасности; делопроизводство, документооборот; оценка эффективности мероприятий по защите информации; – управление персоналом; – порядок разбора конфликтных ситуаций; – юридическая ответственность.