- Главная
- Информатика
- Правовые основы обеспечения безопасности информационных технологий
Содержание
- 2. Способы нанесения ущерба Раскрытие (утечка) информации Потеря целостности нарушение работоспособности автоматизированной системе Незаконное тиражирование информации
- 3. Меры обеспечения безопасности Морально-этические правовые Организационные Физические, технологические и технические
- 4. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 5. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 6. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 7. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 8. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 9. ФЗ “Об информации, информационных технологиях и о защите информации” ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
- 10. ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I в редакции 19.07.2011 №248-ФЗ Данный закон
- 11. Статья 7: сведения, не подлежащие засекречиванию: ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
- 12. Статья 20 - органы защиты государственной тайны: ФЗ «О государственной тайне» от 21 июня 1993г. №
- 13. осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями
- 14. указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению информационной безопасности Российской
- 15. указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению информационной безопасности Российской
- 16. указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению информационной безопасности Российской
- 17. ФЗ от 27 июля 2006 г.N152 «О персональных данных»; в редакции от 25.07.2011 №261-ФЗ Основные положения
- 18. ФЗ от 27 июля 2006 г.N152 «О персональных данных»; в редакции от 25.07.2011 №261-ФЗ НО Согласие
- 19. ФЗ от 27 июля 2006 г.N152 «О персональных данных»; в редакции от 25.07.2011 №261-ФЗ Персональная информация
- 20. ФЗ от 27 июля 2006 г.N152 «О персональных данных»; в редакции от 25.07.2011 №261-ФЗ Письменная форма
- 21. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 ФЗ регулирует
- 22. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 сведения, которые
- 23. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 “1) определение
- 24. “нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с
- 25. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 Статья 14:
- 26. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 Статья 14:
- 27. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 Статья 14:
- 28. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 Статья 14:
- 29. ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»; в редакции от 11.07.2011 Статья 14:
- 30. Государственная система защиты информации
- 31. Государственная система защиты информации: - совокупность органов - исполнителей - техники защиты информации - объекты защиты
- 32. Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а
- 33. Выше перечисленные подсистемы представляют в совокупности деятельность следующих органов: Федеральная служба технического и экспортного контроля (ФСТЭК
- 34. Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации Предприятия, оказывающие услуги
- 35. Функционирование государственной системы защиты информации осуществляется на основании законности: Конституция Российской Федерации ФЗ «О безопасности» №390-ФЗ
- 36. 6. Главными направлениями работ по защите информации являются: - обеспечение эффективного управления системой защиты информации; -
- 37. ФЗ Об информации, информатизации и защите информации - ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ Статья
- 38. Цели государственной системы информационной безопасности: Обеспечение условий, способствующих реализации политики Российской Федерации в сфере безопасности Государства,
- 39. Решаемые задачи для достижения целей: Проведение единой технической политики, организация и координация работ по защите информации
- 40. Организационная структура системы обеспечения безопасности информационных технологий. Распределение функций. Система нормативно-методических и организационно-распорядительных документов организации по
- 41. целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального,
- 42. Субъекты, влияющие на состояние информационной безопасности
- 43. •сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации; •программистов, осуществляющих
- 44. Распределение функций по ОИБ Реализация подразделениями и отдельными сотрудниками организации функций по ОИБ осуществляется в соответствии
- 45. Распределение функций по ОИБ Служба безопасности (отдел защиты информации) Выполнение различных мероприятий по созданию и поддержанию
- 46. Распределение функций по ОИБ Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций) • по заявкам руководителей подразделений
- 47. Управление автоматизации (фонд алгоритмов и программ – ФАП) • ведет общий перечень задач, решаемых в АС
- 48. Все Управления и отделы (структурные подразделения) организации • определяют функциональные задачи, которые должны решаться в подразделении
- 49. Положение О защите коммерческой тайны некоторого предприятия
- 50. “ПЕРЕЧЕНЬ” – перечень сведений, составляющих коммерческую тайну Коммерческая тайна 4.1 – общие положения: Все что входит
- 51. 4.2 – доступ к информации, составляющей коммерческую тайну: Предприятие Информация Ознакомиться с ПЕРЕЧНЕМ Обязательство о неразглашении
- 52. 4.3 – Передача и предоставление информации: Предприятие Информация Гос. Органы. Суды. Контр. Агент СМИ, правоохранительные органы
- 53. 4.3 – Передача и предоставление информации: Предприятие Информация А Б В виде магнитных носителей. Или запечатанных
- 54. 4.4 – доступ к информации, обрабатываемой в корпоративной сети: Предприятие Информация А Б Заявка Разрешение от
- 55. 4.5 Порядок обращения с документами и носителями информации Регистрация документов Тиражирование и копирование Уничтожение удаление документов
- 56. 5 – Требования по защите информации в помещениях. Предназначенных для проведения совещаний по вопросам. Составляющим коммерческую
- 57. 6 – Требования к серверам и рабочим станциям рабочие станции Содержание Обработка –объект обрабатывает, но не
- 59. Скачать презентацию
Способы нанесения ущерба
Раскрытие (утечка) информации
Потеря целостности
нарушение работоспособности автоматизированной системе
Незаконное тиражирование
Способы нанесения ущерба
Раскрытие (утечка) информации
Потеря целостности
нарушение работоспособности автоматизированной системе
Незаконное тиражирование
Меры обеспечения безопасности
Морально-этические
правовые
Организационные
Физические, технологические и технические
Меры обеспечения безопасности
Морально-этические
правовые
Организационные
Физические, технологические и технические
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
Данный закон является базовым законодательным актом в сфере информатизации и защиты информации, регулирующим “отношения, возникающие при:
осуществлении права на поиск, получение, передачу, производство и распространение информации;
применении информационных технологий;
обеспечении защиты информации”.
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
Статья 2 – основные понятия, определения:
информация - “сведения (сообщения, данные) независимо от формы их представления;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
Инф.
Internet
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
Статья 2 – основные понятия, определения:
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и её использования;
Инф.
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;
Инф.
Я никому ничего не скажу!!!
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
Статья 2 – основные понятия, определения:
предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
Инф.
Список:
Иванов
Петров
Сидоров
Сидоров
Говорухин
распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
Статья 2 – основные понятия, определения:
электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных”.
документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
целесообразней было бы воспользоваться определением документа из Федерального закона № 77-ФЗ «Об обязательном экземпляре документов»: документ-материальный носитель с зафиксированной на нём в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ-149 с изменениями
законодательные и другие нормативные акты;
информации о состоянии окружающей среды;
информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств;
информации, накапливаемой в открытых фондах библиотек, музеев и архивов.
Информация, составляющая государственную тайну
ФЗ «О государственной тайне» от 21 июня 1993г.
№ 5485-I
в редакции 19.07.2011 №248-ФЗ
Информация, соблюдение
конфиденциальности, которой установлено ФЗ
ФЗ от 29 июля 2004 г.№ 98
«О коммерческой тайне»;
в редакции от 11.07.2011
ФЗ от 27 июля 2006 г.N152
«О персональных данных»;
в редакции от 25.07.2011 №261-ФЗ
Указ Президента РФ от 6 марта 1997 года г. № 188
Об утверждении перечня сведений конфиденциального характера с изменениями и дополнениями от 23 сентября 2005 г.
ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в
ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в
Данный закон регулирует сферу, связанную с обработкой и защитой информации, составляющую государственную тайну.
В законе подробно перечисляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты
Закон подробно описывает порядок отнесения сведений к государственной тайне и порядок засекречивания сведений и их носителей.
государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. (статья 2)
Статья 5 содержит совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. “Государственную тайну”
Статья 7: сведения, не подлежащие засекречиванию:
ФЗ «О государственной тайне» от 21
Статья 7: сведения, не подлежащие засекречиванию:
ФЗ «О государственной тайне» от 21
в редакции 19.07.2011 №248-ФЗ
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан,…;
- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах Российской Федерации;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными лицами”
Общедоступные
Статья 20 - органы защиты государственной тайны:
ФЗ «О государственной тайне» от
Статья 20 - органы защиты государственной тайны:
ФЗ «О государственной тайне» от
в редакции 19.07.2011 №248-ФЗ
- межведомственная комиссия по защите государственной тайны;
- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;
- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны
осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий
осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий
ФЗ «О государственной тайне» от 21 июня 1993г. № 5485-I
в редакции 19.07.2011 №248-ФЗ
Допуск предприятий, учреждений и организаций
к
проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны,
средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности
указ Президента от 17 марта 2008 года № 351 “О мерах
указ Президента от 17 марта 2008 года № 351 “О мерах
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
Пункт 1 а) : подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" (далее информационно-телекоммуникационные сети международного информационного обмена), не допускается;
указ Президента от 17 марта 2008 года № 351 “О мерах
указ Президента от 17 марта 2008 года № 351 “О мерах
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
Пункт 1 б) : при необходимости (???) подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники;
НО
нигде не поясняется, что такое эта “необходимость”. Тем более, что данный случай более нигде не упоминается в других руководящих документах. Так что лучше придерживается положения подпункта а).
указ Президента от 17 марта 2008 года № 351 “О мерах
указ Президента от 17 марта 2008 года № 351 “О мерах
в ред. Указов Президента РФ от 21.10.2008 N 1510, от 14.01.2011 N 38
Пункт 1 г) : государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю;
НО
Internet
Государственные органы
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
Основные положения данного закона, регулируют отношения, связанные с обработкой персональных данных, осуществляемой органами власти всех уровней, “юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации”.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Особо важным условием обработки персональных данных следует считать обязательное согласие на это самого субъекта!!!
Закон подробно определяет также условия доступа субъекта к обрабатываемым оператором данным, взаимоотношения оператора и субъекта, и что особенно важно, даёт субъекту право в любой момент отозвать согласие на обработку его персональных данных.
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
НО
Согласие не требуется в случаях:
обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (очень размытая формулировка)
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
Персональная информация
Имеется согласие субъекта
Особые случаи, когда согласие субъекта не требуется
Обязательным условием обработки персональных данных является конфиденциальность
“ не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания ”
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
ФЗ от 27 июля 2006 г.N152 «О персональных данных»;
в редакции от
Письменная форма согласия субъекта на обработку его данных:
1) ФИО, адрес, номер документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем его органе;
2) наименование (ФИО) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).
“коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду”. То есть как режим конфиденциальности информации.
Информация составляющую коммерческую тайну (секрет производства), - “сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны”.
“право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации ”
НО
>>
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
сведения, которые не могут составлять коммерческую тайну: (статья 5)
1) содержащиеся “в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры”;
2) содержащиеся “в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами”.
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
“1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)”.
Режим коммерческой тайны считается установленным, если обладателем информации выполнены следующие условия:
“нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или
“нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции от 11.07.2011
Статья 14:
Кодекс РФ об административных нарушениях 195-ФЗ
Уголовный кодекс РФ 63-ФЗ
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
Статья 14: административное наказание:
Кодекс РФ об административных нарушениях 195-ФЗ
Статья 13.14
Разглашение информации с ограниченным доступом
13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 (недобросовестная конкуренция) настоящего Кодекса
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
ФЗ от 29 июля 2004 г.№ 98 «О коммерческой тайне»;
в редакции
Статья 14: уголовное наказание:
Уголовный кодекс РФ 63-ФЗ
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)
Государственная система защиты информации
Государственная система защиты информации
Государственная система защиты информации:
- совокупность органов
- исполнителей
- техники защиты информации
- объекты
Государственная система защиты информации:
- совокупность органов
- исполнителей
- техники защиты информации
- объекты
организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации.
Является составной частью системы обеспечения национальной безопасности Российской Федерации и призвана защищать безопасность государства от внешних и внутренних угроз в информационной сфере.
Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном,
Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном,
Государственная система защиты информации как сложная система включает в себя:
подсистемы лицензирования деятельности предприятий в области защиты информации
сертификации средств защиты информации
аттестации объектов информатизации по требованиям безопасности информации
Выше перечисленные подсистемы представляют в совокупности деятельность следующих органов:
Федеральная служба технического
Выше перечисленные подсистемы представляют в совокупности деятельность следующих органов:
Федеральная служба технического
Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)
Структурные подразделения по защите информации федеральных органов исполнительной власти, других органов государственной власти и организаций Российской Федерации
Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации
Научно-исследовательские организации по проблемам защиты информации
Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности
Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности
Предприятия, оказывающие услуги в области защиты информации
Организации Федерального агентства по техническому регулированию и метрологии (бывшего Госстандарта России), выполняющие работы по стандартизации в области защиты информации
Органы системы лицензирования деятельности в области защиты информации
Органы системы сертификации средств защиты информации
Органы системы аттестации объектов защиты по требованиям безопасности информации
>> продолжение
Функционирование государственной системы защиты информации осуществляется на основании законности:
Конституция Российской Федерации
ФЗ
Функционирование государственной системы защиты информации осуществляется на основании законности:
Конституция Российской Федерации
ФЗ
ФЗ «О государственной тайне» 21 июля 1993, в редакции 19.07.2011 №248-ФЗ
ФЗ «Об информации, информатизации и защите информации» ФЗ-149 с изменениями от 21.07.2011 № 252-ФЗ
ФЗ «Об участии в международном информационном обмене»
Доктрина информационной безопасности Российской Федерации утв. Президентом РФ 09.09.2000 N Пр-1895 с изменениями от 2003 г
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51)
Указы президента Российской Федерации (№1085 от 16.8.2004 г.)
Постановления правительства Российской Федерации
Другие правовые акты федеральных органов власти в области защиты информации
6. Главными направлениями работ по защите информации являются:
- обеспечение эффективного управления
6. Главными направлениями работ по защите информации являются:
- обеспечение эффективного управления
- определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
- анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
- разработка организационно-технических мероприятий по защите информации и их реализация;
- организация и проведение контроля состояния защиты информации.
7. Основными организационно-техническими мероприятиями по защите информации являются:
- лицензирование деятельности предприятий в области защиты информации;
- аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
- сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
- категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;
- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
- оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;
- введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
- создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
- разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
- разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;
- применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.
Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим (утверждено Постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. №912–51)
ФЗ Об информации, информатизации и защите информации - ФЗ-149 с изменениями
ФЗ Об информации, информатизации и защите информации - ФЗ-149 с изменениями
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)
(см. текст в предыдущей редакции)
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
. . .
КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ (N 195-ФЗ 30.12.2001)
Цели государственной системы информационной безопасности:
Обеспечение условий, способствующих реализации политики Российской Федерации
Цели государственной системы информационной безопасности:
Обеспечение условий, способствующих реализации политики Российской Федерации
Содействие экономическому и научно - техническому прогрессу страны,
Предотвращение или существенное снижение ущерба национальной безопасности Российской Федерации с использованием методов и средств защиты информации
Решаемые задачи для достижения целей:
Проведение единой технической политики, организация и координация
Решаемые задачи для достижения целей:
Проведение единой технической политики, организация и координация
Исключение или существенное затруднение добывания информации техническими средствами разведки
Принятие правовых актов, регулирующих отношения в области защиты информации
Организация сил, создание средств защиты информации и контроля их эффективности
Контроль состояния защиты информации в органах государственной власти и на предприятиях
Анализ состояния государственной системы, выявление ключевых проблем в области защиты информации
Определение приоритетных направления государственной системы защиты информации
Нормативно-методическое и информационное обеспечение работ по защите информации
Организационная структура системы обеспечения безопасности информационных технологий.
Распределение функций.
Система нормативно-методических и организационно-распорядительных
Организационная структура системы обеспечения безопасности информационных технологий.
Распределение функций.
Система нормативно-методических и организационно-распорядительных
целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация
целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация
задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Субъекты, влияющие на состояние информационной безопасности
Субъекты, влияющие на состояние информационной безопасности
•сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с
•сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с
•программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
•сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);
•сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;
•системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
•сотрудников подразделения защиты информации, оценивающих состояние информационной безопасности, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);
•руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.
на информационную безопасность организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.
Субъекты, влияющие на состояние информационной безопасности
Распределение функций по ОИБ
Реализация подразделениями и отдельными сотрудниками организации функций
Распределение функций по ОИБ
Реализация подразделениями и отдельными сотрудниками организации функций
Служба безопасности (отдел защиты информации)
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
Управление автоматизации (фонд алгоритмов и программ – ФАП)
Все Управления и отделы (структурные подразделения) организации
По некоторому абстрактному предприятию для обеспечения безопасности:
Распределение функций по ОИБ
Служба безопасности (отдел защиты информации)
Выполнение различных мероприятий по
Распределение функций по ОИБ
Служба безопасности (отдел защиты информации)
Выполнение различных мероприятий по
Служба обеспечения безопасности информации должна представлять собой систему штатных подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.
• определяет критерии, по которым различные АРМ относятся к той или иной категории по требуемой степени защищенности, и оформляет их в виде «Положения об определении требований по защите (категорировании) ресурсов»;
• определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);
• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной группе по степени защищенности;
• совместно с отделом технического обслуживания Управления автоматизации проводит работы по установке на АРМ программно-аппаратных средств защиты информации;
• согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;
• обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;
• определяет организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования АС.
Распределение функций по ОИБ
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
• по
Распределение функций по ОИБ
Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций)
• по
• на основе утвержденных заявок начальников подразделений установленным порядком производит:
• установку (развертывание, обновление версий) программных средств, необходимых для решения на АРМ конкретных задач (используя полученные в ФАП дистрибутивы и формуляры задач);
• удаление (затирание) программных пакетов, необходимость в использовании которых отпала;
• установку (развертывание) новых АРМ (ПЭВМ) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на АРМ конкретных задач;
• изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков), необходимость в использовании которых отпала, предварительно осуществляя установленным порядком затирание остаточной информации на изымаемых машинных носителях;
• принимает участие в заполнении (корректировке сведений) формуляров АРМ и выдаче предписаний к эксплуатации АРМ;
Управление автоматизации (фонд алгоритмов и программ – ФАП)
• ведет общий перечень
Управление автоматизации (фонд алгоритмов и программ – ФАП)
• ведет общий перечень
• по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;
• совместно с отделами разработки и сопровождения Управления автоматизации и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;
• хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;
• осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.
Распределение функций по ОИБ
Все Управления и отделы (структурные подразделения) организации
• определяют функциональные задачи, которые
Все Управления и отделы (структурные подразделения) организации
• определяют функциональные задачи, которые
• все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации";
• заполняют формуляры АРМ и представляют их на утверждение в отдел технической защиты Управления безопасности;
• обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты информации.
Распределение функций по ОИБ
Положение
О защите коммерческой тайны некоторого предприятия
Положение
О защите коммерческой тайны некоторого предприятия
“ПЕРЕЧЕНЬ” – перечень сведений, составляющих коммерческую тайну
Коммерческая тайна 4.1 – общие
“ПЕРЕЧЕНЬ” – перечень сведений, составляющих коммерческую тайну
Коммерческая тайна 4.1 – общие
Все что входит в ПЕРЕЧЕНЬ – коммерческая тайна!!!
Изменение ПЕРЕЧНЯ
А) Что является коммерческой
Б) Изменение списка коммерческой тайны
Формирование списков информации содержащей коммерческую тайну
подразделения
Генеральный директор
4.2 – доступ к информации, составляющей коммерческую тайну:
Предприятие
Информация
Ознакомиться с ПЕРЕЧНЕМ
Обязательство о
4.2 – доступ к информации, составляющей коммерческую тайну:
Предприятие
Информация
Ознакомиться с ПЕРЕЧНЕМ
Обязательство о
Обязательство о неразглашении (прил2)
Спец отдел
2. Копия обязательства
3. Отчет о пребывании на территории (прил3)
Сторонние лица –гос. Служащие при посещении предприятия
4.3 – Передача и предоставление информации:
Предприятие
Информация
Гос. Органы. Суды.
Контр. Агент
СМИ, правоохранительные
4.3 – Передача и предоставление информации:
Предприятие
Информация
Гос. Органы. Суды.
Контр. Агент
СМИ, правоохранительные
Только по разрешению генерального директора
Договор – прил 4. Перечень, Обязательства, Ответсвенность
Передача курьером. нарочным
4.3 – Передача и предоставление информации:
Предприятие
Информация
А
Б
В виде магнитных носителей. Или запечатанных
4.3 – Передача и предоставление информации:
Предприятие
Информация
А
Б
В виде магнитных носителей. Или запечатанных
Кроме п 4.3.7 – гражданскко-правовые договора идр информационных систем >> cлед слайд >
4.4 – доступ к информации, обрабатываемой в корпоративной сети:
Предприятие
Информация
А
Б
Заявка
Разрешение от правообладателя
Согласование
4.4 – доступ к информации, обрабатываемой в корпоративной сети:
Предприятие
Информация
А
Б
Заявка
Разрешение от правообладателя
Согласование
Ознакомление с требованиями нормативных документов, устанавливающих режим коммерческой тайны
4.5 Порядок обращения с документами и носителями информации
Регистрация документов
Тиражирование и копирование
Уничтожение
4.5 Порядок обращения с документами и носителями информации
Регистрация документов
Тиражирование и копирование
Уничтожение
Учет документов
Выдача документов для исполнителей
Рассылка документов внутри организации
5 – Требования по защите информации в помещениях. Предназначенных для проведения
5 – Требования по защите информации в помещениях. Предназначенных для проведения
6 – Требования к серверам и рабочим станциям
рабочие станции
Содержание
Обработка –объект обрабатывает,
6 – Требования к серверам и рабочим станциям
рабочие станции
Содержание
Обработка –объект обрабатывает,
Составляется перечень рабочих станций
В структурном подразделении
Предоставляется в спец отдел
Замки, опечатывающие устройства, сигнализация
пребывание посторонних лиц, только под наблюдением ответственного лица, и уборка.