Правовые основы обеспечения безопасности информационных технологий презентация

информации

от 21.07.2011 № 252-ФЗ

Данный закон является базовым законодательным актом в сфере информатизации и защиты информации, регулирующим “отношения, возникающие при:
осуществлении права на поиск, получение, передачу, производство и распространение информации;
применении информационных технологий;
обеспечении защиты информации”.

от 21.07.2011 № 252-ФЗ

Статья 2 – основные понятия, определения:

информация - “сведения (сообщения, данные) независимо от формы их представления;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

Инф.

Internet

от 21.07.2011 № 252-ФЗ

Статья 2 – основные понятия, определения:

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

доступ к информации - возможность получения информации и её использования;

Инф.

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;

Инф.

Я никому ничего не скажу!!!

от 21.07.2011 № 252-ФЗ

Статья 2 – основные понятия, определения:

предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

Инф.

Список:
Иванов
Петров
Сидоров

Сидоров

Говорухин

распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

от 21.07.2011 № 252-ФЗ

Статья 2 – основные понятия, определения:

электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных”.

документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

целесообразней было бы воспользоваться определением документа из Федерального закона № 77-ФЗ «Об обязательном экземпляре документов»: документ-материальный носитель с зафиксированной на нём в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.

от 21.07.2011 № 252-ФЗ

законодательные и другие нормативные акты;

информации о состоянии окружающей среды;

информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств;

информации, накапливаемой в открытых фондах библиотек, музеев и архивов.

Информация, составляющая государственную тайну

ФЗ «О государственной тайне» от 21 июня 1993г.
№ 5485-I
в редакции 19.07.2011 №248-ФЗ

Информация, соблюдение конфиденциальности, которой установлено ФЗ

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011

ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ

Указ Президента РФ от 6 марта 1997 года г. № 188
Об утверждении перечня сведений конфиденциального характера с изменениями и дополнениями от 23 сентября 2005 г.

редакции 19.07.2011 №248-ФЗ

Данный закон регулирует сферу, связанную с обработкой и защитой информации, составляющую государственную тайну.
В законе подробно перечисляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты
Закон подробно описывает порядок отнесения сведений к государственной тайне и порядок засекречивания сведений и их носителей.

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. (статья 2)

Статья 5 содержит совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. “Государственную тайну”

июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ

- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан,…; - о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; - о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; - о фактах нарушения прав и свобод человека и гражданина; - о размерах золотого запаса и государственных валютных резервах Российской Федерации; - о состоянии здоровья высших должностных лиц Российской Федерации; - о фактах нарушения законности органами государственной власти и их должностными лицами”

Общедоступные

21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ

- межведомственная комиссия по защите государственной тайны; - федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны

на проведение работ со сведениями соответствующей степени секретности.

ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ

Допуск предприятий, учреждений и организаций

к

проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны,

средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности

по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38

Пункт 1 а) : подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" (далее информационно-телекоммуникационные сети международного информационного обмена), не допускается;

по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38

Пункт 1 б) : при необходимости (???) подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;

НО

нигде не поясняется, что такое эта “необходимость”. Тем более, что данный случай более нигде не упоминается в других руководящих документах. Так что лучше придерживается положения подпункта а).

по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38

Пункт 1 г) : государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;

НО

Internet

Государственные органы

25.07.2011 №261-ФЗ

Основные положения данного закона, регулируют отношения, связанные с обработкой персональных данных, осуществляемой органами власти всех уровней, “юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации”.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Особо важным условием обработки персональных данных следует считать обязательное согласие на это самого субъекта!!!

Закон подробно определяет также условия доступа субъекта к обрабатываемым оператором данным, взаимоотношения оператора и субъекта, и что особенно важно, даёт субъекту право в любой момент отозвать согласие на обработку его персональных данных.

25.07.2011 №261-ФЗ

НО

Согласие не требуется в случаях:

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (очень размытая формулировка)
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

25.07.2011 №261-ФЗ

Персональная информация

Имеется согласие субъекта

Особые случаи, когда согласие субъекта не требуется

Обязательным условием обработки персональных данных является конфиденциальность
“ не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания ”

25.07.2011 №261-ФЗ

Письменная форма согласия субъекта на обработку его данных:

1) ФИО, адрес, номер документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем его органе; 2) наименование (ФИО) и адрес оператора, получающего согласие субъекта персональных данных; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 6) срок, в течение которого действует согласие, а также порядок его отзыва.

от 11.07.2011

ФЗ регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).

“коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду”. То есть как режим конфиденциальности информации.

Информация составляющую коммерческую тайну (секрет производства), - “сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны”.

“право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации ”

НО

>>

от 11.07.2011

сведения, которые не могут составлять коммерческую тайну: (статья 5)

1) содержащиеся “в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры”; 2) содержащиеся “в документах, дающих право на осуществление предпринимательской деятельности; 3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; 4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; 5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест; 6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; 7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; 8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; 9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации; 10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; 11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами”.

от 11.07.2011

“1) определение перечня информации, составляющей коммерческую тайну; 2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)”.

Режим коммерческой тайны считается установленным, если обладателем информации выполнены следующие условия:

уголовную ответственность в соответствии с законодательством Российской Федерации”

ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011

Статья 14:

Кодекс РФ об административных нарушениях 195-ФЗ

Уголовный кодекс РФ 63-ФЗ

от 11.07.2011

Статья 14: административное наказание:

Кодекс РФ об административных нарушениях 195-ФЗ
Статья 13.14
Разглашение информации с ограниченным доступом

13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 (недобросовестная конкуренция) настоящего Кодекса
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

от 11.07.2011

Статья 14: уголовное наказание:

Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

от 11.07.2011

Статья 14: уголовное наказание:

Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

от 11.07.2011

Статья 14: уголовное наказание:

Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

от 11.07.2011

Статья 14: уголовное наказание:

Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

защиты
организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.
Является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.

отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России (Федеральная служба по техническому и экспортному контролю).

Государственная система защиты информации как сложная система включает в себя:
подсистемы лицензирования деятельности предприятий в области защиты информации
сертификации средств защиты информации
аттестации объектов информатизации по требованиям безопасности информации

и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)
Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)
Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации
Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации
Научно-исследовательские организации по проблемам защиты информации

защиты информации
Предприятия, оказывающие услуги в области защиты информации
Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации
Органы системы лицензирования деятельности в области защиты информации
Органы системы сертификации средств защиты информации
Органы системы аттестации объектов защиты по требованиям безопасности информации

>> продолжение

«О безопасности» №390-ФЗ от 28.12.2010г.
ФЗ «О государственной тайне» 21 июля 1993, в редакции 19.07.2011 №248-ФЗ
ФЗ «Об информации, информатизации и защите информации» ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
ФЗ «Об участии в международном информационном обмене»
Доктрина информационной безопасности Российской Федерации утв. Президентом РФ 09.09.2000 N Пр-1895 с изменениями от 2003 г
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51)
Указы президента Российской Федерации (№1085 от 16.8.2004 г.)
Постановления правительства Российской Федерации
Другие правовые акты федеральных органов власти в области защиты информации

системой защиты информации;
- определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
- анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
- разработка организационно-технических мероприятий по защите информации и их реализация;
- организация и проведение контроля состояния защиты информации.
7. Основными организационно-техническими мероприятиями по защите информации являются:
- лицензирование деятельности предприятий в области защиты информации;
- аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
- сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
- категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;
- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
- оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;
- введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
- создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
- разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
- разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;
- применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51)

от 21.07.2011 № 252-ФЗ

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Статья 13.12. Нарушение правил защиты информации
 1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)
(см. текст в предыдущей редакции)
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
. . .

КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ (N 195-ФЗ 30.12.2001)

в сфере безопасности Государства,
Содействие экономическому и научно - техническому прогрессу страны,
Предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации с использованием методов и средств защиты информации

работ по защите информации в военной, экономической, научно-технической и других сферах деятельности
Исключение или существенное затруднение добывания информации техническими средствами разведки
Принятие правовых актов, регулирующих отношения в области защиты информации
Организация сил, создание средств защиты информации и контроля их эффективности
Контроль состояния защиты информации в органах государственной власти и на предприятиях
Анализ состояния государственной системы, выявление ключевых проблем в области защиты информации
Определение приоритетных направления государственной системы защиты информации
Нормативно-методическое и информационное обеспечение работ по защите информации

документов организации по обеспечению безопасности информационных технологий.

ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.

применением средств автоматизации;
•программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
•сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);
•сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;
•системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
•сотрудников подразделения защиты информации, оценивающих состояние информационной безопасности, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);
•руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.
на информационную безопасность организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

Субъекты, влияющие на состояние информационной безопасности

по ОИБ осуществляется в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами и т.п.)

Служба безопасности (отдел защиты информации)
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
Управление автоматизации (фонд алгоритмов и программ – ФАП)
Все Управления и отделы (структурные подразделения) организации

По некоторому абстрактному предприятию для обеспечения безопасности:

созданию и поддержанию работоспособности системы защиты должно быть возложено на специальную службу - службу компьютерной безопасности.
Служба обеспечения безопасности информации должна представлять собой систему штатных подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.
• определяет критерии, по которым различные АРМ относятся к той или иной категории по требуемой степени защищенности, и оформляет их в виде «Положения об определении требований по защите (категорировании) ресурсов»;
• определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной группе по степени защищенности;
• совместно с отделом технического обслуживания Управления автоматизации проводит работы по установке на АРМ программно-аппаратных средств защиты информации;
• согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;
• обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;
• определяет организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования АС.

заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения указанных задач на конкретных АРМ и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств АРМ;
• на основе утвержденных заявок начальников подразделений установленным порядком производит:
• установку (развертывание, обновление версий) программных средств, необходимых для решения на АРМ конкретных задач (используя полученные в ФАП дистрибутивы и формуляры задач);
• удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
• установку (развертывание) новых АРМ (ПЭВМ) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на АРМ конкретных задач;
• изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков), необходимость в использовании которых отпала, предварительно осуществляя установленным порядком затирание остаточной информации на изымаемых машинных носителях;
• принимает участие в заполнении (корректировке сведений) формуляров АРМ и выдаче предписаний к эксплуатации АРМ;

задач, решаемых в АС организации;
• по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;
• совместно с отделами разработки и сопровождения Управления автоматизации и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;
• хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;
• осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.

Распределение функций по ОИБ

должны решаться в подразделении с использованием АРМ АС организации;
• все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации";
• заполняют формуляры АРМ и представляют их на утверждение в отдел технической защиты Управления безопасности;
• обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты информации.

Распределение функций по ОИБ

положения:

Все что входит в ПЕРЕЧЕНЬ – коммерческая тайна!!!

Изменение ПЕРЕЧНЯ

А) Что является коммерческой

Б) Изменение списка коммерческой тайны

Формирование списков информации содержащей коммерческую тайну

подразделения

Генеральный директор

неразглашении (прил1)

Обязательство о неразглашении (прил2)

Спец отдел

2. Копия обязательства
3. Отчет о пребывании на территории (прил3)

Сторонние лица –гос. Служащие при посещении предприятия

органы

Только по разрешению генерального директора

Договор – прил 4. Перечень, Обязательства, Ответсвенность

Передача курьером. нарочным

пакетах,
Кроме п 4.3.7 – гражданскко-правовые договора идр информационных систем >> cлед слайд >

со спец отделом
Ознакомление с требованиями нормативных документов, устанавливающих режим коммерческой тайны

удаление документов
Учет документов
Выдача документов для исполнителей
Рассылка документов внутри организации

совещаний по вопросам. Составляющим коммерческую тайну

но не содержит информацию

Составляется перечень рабочих станций
В структурном подразделении

Предоставляется в спец отдел

Замки, опечатывающие устройства, сигнализация

пребывание посторонних лиц, только под наблюдением ответственного лица, и уборка.