Скачать презентацию Организационные вопросы ИТ МГППУ Я Юрьев Григорий Скачать презентацию Организационные вопросы ИТ МГППУ Я Юрьев Григорий

ИБ_бакалавры_лекция_1_Правовые_основы_ИБ.ppt

  • Количество слайдов: 59

Организационные вопросы ИТ МГППУ Организационные вопросы ИТ МГППУ

Я Юрьев Григорий Александрович Email: Nezdeshni@gmail. com Телефон: +7(916)470 -80 -40 Я Юрьев Григорий Александрович Email: Nezdeshni@gmail. com Телефон: +7(916)470 -80 -40

Правовые основы информационной безопасности ИТ МГППУ Правовые основы информационной безопасности ИТ МГППУ

Определения Существует следующее определение для ИБ – состояние защищенности информации (данных), при котором обеспечены Определения Существует следующее определение для ИБ – состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность. * Под информацией в контексте ИБ понимают обычно понимаются сведения (сообщения, данные) независимо от формы их представления (сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления**) * ГОСТ Р 50922 -2006. Защита информации. Основные термины и определения ** Федеральный Закон «Об информации, информационных технологиях и о защите информации» (Об информации, информатизации и защите информации)

Рекомендации гос стандарта РФ Слова «безопасность» и «безопасный» следует применять только для выражения уверенности Рекомендации гос стандарта РФ Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Рекомендуется всюду, где возможно, слова безопасность и безопасный, заменять признаками предмета, например: «защитный шлем» вместо «безопасный шлем» ; «нескользкое покрытие для пола» вместо «безопасное покрытие» .

Другие определения В Другие определения В "Концепции информационной безопасности сетей связи общего пользования Российской Федерации" даны два определения этого понятия: Информационная безопасность – это свойство сетей связи общего пользования противостоять возможности реализации нарушителем угрозы информационной безопасности. Информационная безопасность – свойство сетей связи общего пользования сохранять неизменными характеристики информационной безопасности в условиях возможных воздействий нарушителя.

Защита информации Согласно ГОСТу 350922 -96 защита информации - это деятельность, направленная на предотвращение Защита информации Согласно ГОСТу 350922 -96 защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Составляющие ИБ Информационная безопасность имеет три основные составляющие: конфиденциальность - защита информации от несанкционированного Составляющие ИБ Информационная безопасность имеет три основные составляющие: конфиденциальность - защита информации от несанкционированного доступа целостность - защита точности и полноты информации и программного обеспечения доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время

Нарушение конфиденциальности В понедельник, 18 июля 2011 года, SMS сообщения, отправленные с сайта оператора Нарушение конфиденциальности В понедельник, 18 июля 2011 года, SMS сообщения, отправленные с сайта оператора мобильной связи Мега. Фон, оказались в общем доступе. Большое количество SMS сообщений с номерами адресатов проиндексировались поисковой системой Яндекс и сохранились в ее кэше, соответственно они стали доступны для свободного просмотра любым человеком, который догадается вбить в поисковой строке Яндекса следующий запрос: url: www. sendsms. megafon. ru* | url: sendsms. megafon. ru*.

Статья Мега. Фона Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), - Статья Мега. Фона Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей.

Определение конфиденциальности Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого Определение конфиденциальности Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.

Нарушение целостности Американское зеркало официального сайта Касперского в течение трёх с половиной часов занималось Нарушение целостности Американское зеркало официального сайта Касперского в течение трёх с половиной часов занималось распространением вирусов. Причиной этого был взлом неизвестными хакерами.

Определение целостности Целостность – гарантия того, что информация сейчас существует в ее исходном виде, Определение целостности Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.

Нарушение доступности DDo. S-атака на сайт избирательной комиссии Свердловской области в день выборов в Нарушение доступности DDo. S-атака на сайт избирательной комиссии Свердловской области в день выборов в Госдуму РФ 4 декабря представляет собой масштабную и спланированную акцию. Такое заявление сделал председатель облизберкома Владимир Мостовщиков. «Чем вызвана эта атака, честно говоря, у меня даже и размышлять времени не было – кому это интересно, кто вообще задумал это. Я понимаю, что стоит это недешево, но у кого-то есть такие средства, чтобы блокировать возможность свободного доступа граждан к информации» , – приводит РИА «Новости» слова Владимира Мостовщикова.

Определение доступности Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за Определение доступности Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.

Комплексность информационной безопасности Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в Комплексность информационной безопасности Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

Уровни формирования режима информационной безопасности законодательно-правовой; административный (организационный); программно-технический. Уровни формирования режима информационной безопасности законодательно-правовой; административный (организационный); программно-технический.

Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус.

Группы документов Законы Российской Федерации Указы Президента Российской Федерации и утверждаемые этими указами нормативные Группы документов Законы Российской Федерации Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т. п. ) Государственные и отраслевые стандарты Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (ФСТЭК, ФСБ).

Основные документы Об информации, информационных технологиях и о защите информации О лицензировании отдельных видов Основные документы Об информации, информационных технологиях и о защите информации О лицензировании отдельных видов деятельности Закон о гос. тайне Конституция российской федерации Доктрина информационной безопасности

ФСТЭК обеспечение безопасности информации (некриптографическими методами) противодействие иностранным техническим разведкам защита информации при разработке, ФСТЭК обеспечение безопасности информации (некриптографическими методами) противодействие иностранным техническим разведкам защита информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств осуществление экспортного контроля

ФСБ участие в разработке и реализации мер по защите сведений, составляющих государственную тайну осуществление ФСБ участие в разработке и реализации мер по защите сведений, составляющих государственную тайну осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в государственных органах, воинских формированиях, на предприятиях, в учреждениях и организациях независимо от форм собственности осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну

Доктрина информационной безопасности РФ Совокупность официальных взглядов на цели, задачи, принципы и основные направления Доктрина информационной безопасности РФ Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ Цели формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации; разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Доктрина информационной безопасности РФ Не является нормативно-правовым актом, обязательным к непосредственному исполнению Не оформлена Доктрина информационной безопасности РФ Не является нормативно-правовым актом, обязательным к непосредственному исполнению Не оформлена путем издания Указа Президента Подразумевает скорее не защиту информации, а контроль за её влиянием на общество Обоснованно критикуется за чрезмерную сложность изложения и пункты сомнительного содержания

Критика доктрины России следует опасаться: И девальвации духовных ценностей, пропаганды образцов массовой культуры, основанных Критика доктрины России следует опасаться: И девальвации духовных ценностей, пропаганды образцов массовой культуры, основанных на культе насилия, на духовных и нравственных ценностях, противоречащих ценностям, принятым в российском обществе; монополизации информационного рынка России, его отдельных секторов зарубежными информационными структурами; прочее, вызывающее коннотации с распространённой при предыдущих режимах цензурой

Значение в нашем курсе Доктрина в прямую признаётся в качестве важнейшей своей составляющей(всего их Значение в нашем курсе Доктрина в прямую признаётся в качестве важнейшей своей составляющей(всего их четыре) - соблюдение конституционных прав и свобод человека и гражданина в информационной сфере Любые правовые акты противоречащие этим принципам, противоречат официально заявленной государственной политике в сфере ИБ Доктрина устанавливает необходимость обеспечения права человека и гражданина свободно передавать, производить и распространять информацию любым законным способом, гарантирует свободу массовой информации и запрет цензуры

Конституция Основной документ РФ Содержит ряд общих пунктов связанных с Вашими правами в сфере Конституция Основной документ РФ Содержит ряд общих пунктов связанных с Вашими правами в сфере информации Именно на них базируются частные нормативноправовые акты постулирующие защиту Ваших прав, а так же запреты на ряд действий Интерес для нашего курса представляют первые две главы.

Статья 15 2. Органы государственной власти, органы местного самоуправления, должностные лица, граждане и их Статья 15 2. Органы государственной власти, органы местного самоуправления, должностные лица, граждане и их объединения обязаны соблюдать Конституцию Российской Федерации и законы. 3. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.

Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Статья 29 4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию Статья 29 4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Статья 44 1. Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, Статья 44 1. Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом.

Статья 45 1. Государственная защита прав и свобод человека и гражданина в Российской Федерации Статья 45 1. Государственная защита прав и свобод человека и гражданина в Российской Федерации гарантируется. 2. Каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом.

Статья 55 3. Права и свободы человека и гражданина могут быть ограничены федеральным законом Статья 55 3. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Статья 56 1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного Статья 56 1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия. 2. Чрезвычайное положение на всей территории Российской Федерации и в ее отдельных местностях может вводиться при наличии обстоятельств и в порядке, установленных федеральным конституционным законом. 3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 - 54 Конституции Российской Федерации.

Закон Российской Федерации от 21 июля 1993 года № 5485 -1 Закон Российской Федерации от 21 июля 1993 года № 5485 -1 "О государственной тайне" Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Основные понятия государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, Основные понятия государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Основные понятия носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические Основные понятия носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Основные понятия система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими Основные понятия система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.

Основные понятия доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление Основные понятия доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

Основные понятия гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их Основные понятия гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Основные понятия средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для Основные понятия средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Дополнительна информация Законом определено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие Дополнительна информация Законом определено, что средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Федеральную службу технического и экспортного контроля, Федеральную службу безопасности, Министерство обороны в соответствии с функциями, возложенными на них законодательством Российской Федерации.

Об информации, информационных технологиях и о защите информации от 21. 07. 2011 N 252 Об информации, информационных технологиях и о защите информации от 21. 07. 2011 N 252 -ФЗ Один из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

Разделение информационных ресурсов В соответствии с законом: Информационные системы делятся на государственные, муниципальные и Разделение информационных ресурсов В соответствии с законом: Информационные системы делятся на государственные, муниципальные и иные (ст. 13, ч. 1); Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации.

Ответственность за нарушения в сфере информационной безопасности(УК РФ) Статья 138. Нарушение тайны переписки, телефонных Ответственность за нарушения в сфере информационной безопасности(УК РФ) Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Статья 140. Отказ в предоставлении гражданину информации. Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну. Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей. Статья 283. Разглашение государственной тайны. Статья 284. Утрата документов, содержащих государственную тайну.

Ответственность за нарушения в сфере информационной безопасности(УК РФ) Статья 272. Неправомерный доступ к компьютерной Ответственность за нарушения в сфере информационной безопасности(УК РФ) Статья 272. Неправомерный доступ к компьютерной информации. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

Ответственность за нарушения в сфере информационной безопасности(КОАП РФ) Статья 13. 11. Нарушение установленного законом Ответственность за нарушения в сфере информационной безопасности(КОАП РФ) Статья 13. 11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Статья 13. 12. Нарушение правил защиты информации Статья 13. Незаконная деятельность в области защиты информации Статья 13. 14. Разглашение информации с ограниченным доступом Статья 13. 15. Злоупотребление свободой массовой информации

Административный уровень обеспечения информационной безопасности Задачей административного уровня является разработка и реализация практических мероприятий Административный уровень обеспечения информационной безопасности Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем. Содержанием административного уровня являются следующие мероприятия: Разработка политики безопасности. Проведение анализа угроз и расчета рисков.

Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Основные направления разработки политики безопасности: определение объема и требуемого уровня защиты данных; определение ролей субъектов информационных отношений.

Состав автоматизированной информационной системы При описании области применения политики безопасности перечисляются компоненты автоматизированной системы Состав автоматизированной информационной системы При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите. В состав автоматизированной информационной системы входят следующие компоненты: аппаратные средства программное обеспечение данные персонал

Классификация угроз Классификация угроз "информационной безопасности" Угроза информационной безопасности – это потенциальная возможность нарушения режима информационной безопасности. Преднамеренная реализация угрозы называется атакой на информационную систему. Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

Угрозы ИБ Угрозы информационной безопасности классифицируются по нескольким признакам: по составляющим информационной безопасности (доступность, Угрозы ИБ Угрозы информационной безопасности классифицируются по нескольким признакам: по составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых, в первую очередь, направлены угрозы; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, персонал); по характеру воздействия (случайные или преднамеренные, действия природного или техногенного характера); по расположению источника угроз (внутри или вне рассматриваемой информационной системы).

К вопросу о политике безопасности К вопросу о политике безопасности

К вопросу о политике безопасности К вопросу о политике безопасности

К вопросу о политике безопасности К вопросу о политике безопасности

К вопросу о политике безопасности К вопросу о политике безопасности

Задание Провести анализ Закон «О государственной тайне» «О лицензировании отдельных видов деятельности» Знать сферы Задание Провести анализ Закон «О государственной тайне» «О лицензировании отдельных видов деятельности» Знать сферы ответственности ФСБ, ФСТЭК в области защиты информации Ознакомиться с содержанием Доктрины ИБ и закона об информации (“Об информации, информационных технологиях и о защите информации”) Знать составляющие ИБ, уровни обеспечения ИБ, классификацию угроз ИБ по признакам, определения понятий конфиденциальность, целостность, доступность, гриф секретности, государственная тайна.