30529

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов

Доклад

Математика и математический анализ

В то же время согласно статье 55 Конституции права и свободы человека и гражданина в том числе на доступ к информации могут быть ограничены федеральным законом в той мере в какой это необходимо в целях защиты основ конституционного строя нравственности здоровья прав и законных интересов других лиц обеспечения обороны страны и безопасности государства. Наряду с другими актами законодательства регулирует вопросы использования информации содержащей сведения составляющие государственную тайну допуска организаций и должностных лиц к...

Русский

2013-08-24

30.27 KB

0 чел.

67

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов.

  1.  Часть I (доска)

  1.  Часть II (выступление)

Основные нормативно-правовые документы в области информационной безопасности

Конституция Российской Федерации

Принята всенародным голосованием 12 декабря 1993 г.

Конституция налагает на государство обязанность признавать, соблюдать и защищать права и свободы человека и гражданина как высшую ценность. В соответствии со статьёй 23 Конституции, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. 
В то же время, согласно статье 55 Конституции, права и свободы человека и гражданина, в том числе на доступ к информации, могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Федеральные законы РФ

«О государственной тайне»

Закон Российской Федерации от 21 июля 1993 г. № 5485-1

(в ред. 1 декабря 2007 г.)

Наряду с другими актами законодательства регулирует вопросы использования информации, содержащей сведения, составляющие государственную тайну, допуска организаций и должностных лиц к таким сведениям, накладываемых в связи с этим допуском ограничений, лицензирования деятельности, связанной с использованием персональных данных и другие.
Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации. И при регистрации Устава предприятия, планирующего получать допуск к работам со сведениями, составляющими государственную тайну, этот вид деятельности указывается в числе прочих в обязательном порядке

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 года № 149-ФЗ

В соответствии со статьёй 5 Закона, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. При этом доступ к отдельным категориям сведений не может быть ограничен ни при каких условиях. Это следует учитывать при построении систем защиты информации в информационных системах, предназначенных для обработки информации различных категорий доступа, с тем, чтобы при ограничении доступа к конфиденциальной информации не допустить ограничения доступа к информации, подлежащей опубликованию (информации о состоянии окружающей среды, о деятельности государственных органов и органов местного самоуправления и др.)

«О безопасности»

Закон Российской Федерации от 5 марта 1992 г. № 2446-1

Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Службы обеспечения безопасности средств связи и информации отнесены законом наряду с другими правоохранительными органами к силам обеспечения безопасности Российской Федерации

«О государственной тайне»

Закон Российской Федерации от 21 июня 1993 г. № 5485-I

Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 г. № 149-ФЗ

Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации

«О техническом регулировании»

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (в ред. Федерального закона от 23.07.2008 № 160-ФЗ)

Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.

Имеет важнейшее значение для определения порядка оценки соответствия средств защиты установленным требованиям. Однако, с учетом того, что оценка соответствия может проводиться только согласно техническим регламентам, а в области защиты информации ни одного технического регламента нет, устанавливает, что оценка соответствия средств защиты информации проводится в соответствии с требованиями органов, уполномоченных осуществлять регулирование в области сертификации средств защиты информации – ФСБ России и ФСТЭК России

«О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 г. № 128-ФЗ

Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

Законом устанавливаются критерии определения и полный перечень лицензируемых видов деятельности, включая виды деятельности, связанные с защитой информации, лицензирование которых осуществляют ФСБ России и ФСТЭК России

«О персональных данных»

Федеральный закон от 27 июля 2006 г. № 152-ФЗ

Регулирует отношения, связанные с обработкой персональных данных операторами персональных данных. Имеет важнейшее значение практически для каждого юридического и физического лица, использующего или обрабатывающего персональные данные своих сотрудников, клиентов, партнеров и прочих субъектов. Находится в центре уникальной области правового поля информационной безопасности – правового поля персональных данных. Нацелен на защиту конституционных прав граждан на неприкосновенность частной жизни и защиту от ущерба, наносимого компрометацией личных персональных данных. Ставит операторов в жесткие рамки закона, налагает на них ответственность за защиту используемых персональных данных и наделяет уполномоченный орган – Роскомнадзор – законодательно закрепленными правами контроля над деятельностью миллионов операторов персональных данных

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 г. № 195-ФЗ

Статьи 5.1, 5.13, 5.39, 5.53, 5.54, 5.55, 13.11, 13.12, 13.13, 13.14, 19.7 определяют меры административной ответственности за нарушения прав и свобод личности в информационной сфере, порядка обращения с информацией ограниченного распространения и правил защиты информации, а также непредоставление информации в установленных законодательством случаях

Уголовный кодекс Российской Федерации

От 13 июня 1996 г. № 63-ФЗ

Статьи 137, 140, 171, 272 устанавливают уголовную ответственность за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации, незаконное предпринимательство (например, с нарушением лицензионных требований или условий), а также за неправомерный доступ к компьютерной информации

«Об электронной цифровой подписи»

Федеральный закон от 10 января 2002 г. № 1-ФЗ (в ред. от 08.11.2007 № 258-ФЗ)

Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Планируются отмена данного закона и внесение изменений в некоторые законодательные акты Российской Федерации в связи с рассмотрением в Государственной Думе проекта федерального закона N 305592-5 «Об электронной подписи» (принят в первом чтении 22 января 2010 г.)

Указы и распоряжения Президента Российской Федерации

Доктрина информационной безопасности Российской Федерации

Утверждена Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895

Доктрина формулирует национальные интересы Российской Федерации в информационной сфере и их обеспечение, включающее в себя в том числе защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. Даёт характеристику различных видов угроз информационной безопасности Российской Федерации и их источников. Описывает Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению, а также общие методы обеспечения информационной безопасности Российской Федерации и особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни (экономической, внешнеполитической, научно-технической, духовной, информационно-телекоммуникационной, оборонной, правоохранительной и судебной), а также в условиях чрезвычайных ситуаций. Определяет основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности. Устанавливает основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по её реализации. Создаёт организационную основу Системы обеспечения информационной безопасности Российской Федерации; приводится описание функций и основных элементов Системы

Об утверждении Перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (в ред. от 06.09.2008 № 1316)

Утвержденный указом Президента Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. 
В примечаниях к Перечню содержатся правила толкования конструкций с применением союзов «и», «или», «а также», которые требуется адекватно применять при разработке и толковании любых перечней сведений конфиденциального характера:
при перечислении сведений через союз «и» … к государственной тайне относятся все сведения в совокупности;

при перечислении сведений через запятую или союз «или» к государственной тайне относится каждое сведение в отдельности;

сведения, перечисленные после союза «а также», являются новыми, отличными от предыдущих сведениями, которые в отдельности относятся к государственной тайне

Об утверждении Перечня сведений
конфиденциального характера

Указ Президента Российской Федерации от 6 марта 1997 г. № 188

Утверждён перечень сведений конфиденциального характера, включающий в себя шесть групп сведений, в том числе составляющих служебную тайну, коммерческую тайну, тайну следствия и судопроизводства, сведения, связанные с профессиональной деятельностью (в других документах объединяемые понятием «профессиональная тайна), сведения о сущности изобретения, полезной модели или промышленного образца (ноу-хау), а также персональные данные

Постановления Правительства Российской Федерации

Положение о государственном лицензировании деятельности в области защиты информации

Решение Гостехкомиссии России и ФАПСИ России от 27 апреля 1994 г. № 10 (с дополнениями от 24.06.1997 № 60)

Данное Положение – один из первых документов в области сертификации средств защиты информации, в котором использованы такие понятия, как лицензирование в области защиты информации, аттестование объекта в защищенном исполнении и другие. Определяет систему государственного лицензирования деятельности предприятий в области защиты информации как составную часть государственной системы защиты информации. Разделяет виды деятельности в области защиты информации на подлежащие лицензированию Гостехкомиссией России и подлежащие лицензированию ФАПСИ России. Несмотря на то, что в связи с принятием ряда других правовых актов в области лицензирования данное Положение устарело, оно до сих пор используется в ФСТЭК России как действующий документ 

О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны

Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 (в ред. от 22.05.2008 № 384)

Утверждённое настоящим Постановлением Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Органами, уполномоченными на ведение лицензионной деятельности, по соответствующим их полномочиям направлениям деятельности, являются ФСБ России, СВР России, Минобороны России и ФСТЭК России. Положением установлены состав документов, представляемых соискателем лицензии, порядок и сроки рассмотрения заявлений, лицензионные требования к соискателям лицензий, а также обязательные условия осуществления лицензируемых видов деятельности. К числу обязательных условий отнесены проведение специальной экспертизы предприятия – соискателя лицензии и государственная аттестация руководителя

Об утверждении Положения о сертификации средств защиты информации

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (в ред. от 17.12.2004 № 808)

Утверждённое настоящим Постановлением Положение устанавливает порядок сертификации в Российской Федерации и ее учреждениях за рубежом средств защиты информации, к каковым отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Федеральными органами по сертификации, уполномоченными создавать соответствующие системы сертификации, определены те же ФСТЭК России, ФСБ России, СВР России и Минобороны России. Срок действия сертификата установлен не более 5 лет

Положение о сертификации средств защиты информации по требованиям безопасности информации

Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 г. № 199

Устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (зарегистрирована в Госстандарте за номеров РОСС RU.0001.01БИ00), функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и др.

Об организации лицензирования отдельных видов деятельности

Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 (в ред. от 27.01.2009 № 50)

В дополнение к перечню лицензируемых видов деятельности, введённому федеральным законом «О лицензировании отдельных видов деятельности», данным постановлением утверждены Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, с перечислением лицензируемых ими видов деятельности, а также Перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности

О лицензировании деятельности по технической защите конфиденциальной информации

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации. Под такой деятельностью понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, что фактически означает необходимость получения лицензии не только предприятиями, оказывающими услуги в данной области, но и осуществляющими мероприятия по технической защите конфиденциальной информации исключительно во внутренних целях

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Определяет ФСТЭК России как орган, компетентный осуществлять лицензирование в данной области, за исключением производства средств защиты, которые устанавливаются на объектах исключительной сферы компетенции ФСБ России. В пункте 2 Положения дан перечень этих объектов

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957

Постановлением выделены четыре группы видов деятельности, связанных с шифровальными (криптографическими) средствами, и утверждены соответствующие Положения:
о лицензировании деятельности по распространению шифровальных (криптографических) средств;
о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств;
о лицензировании предоставления услуг в области шифрования информации;
о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

  1.  Часть III (дополнительно)

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  1.  Международные договоры РФ;
  2.  Конституция РФ;
  3.  Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  4.  Указы Президента РФ;
  5.  Постановления правительства РФ;
  6.  Нормативные правовые акты федеральных министерств и ведомств;
  7.  Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  1.  Методические документы государственных органов России:
  2.  Доктрина информационной безопасности РФ;
  3.  Руководящие документы ФСТЭК (Гостехкомиссии России);
  4.  Приказы ФСБ;
  5.  Стандарты информационной безопасности, из которых выделяют:
  6.  Международные стандарты
  7.  Национальные
  8.  Рекомендации по стандартизации
  9.  Методические указания

Система государственного надзора и контроля в области персональных данных состоит из трех регуляторов, ответственных за определенные области деятельности. Основным регулятором, осуществляющим контроль порядка обработки персональных данных оператором, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых

коммуникаций (Роскомнадзор), территориальные управления которой присутствуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора - организационные мероприятия: (все до акта классификации информационных систем персональных данных включительно) и меры по защите персональных данных, обрабатываемых без использования средств автоматизации.

Официальный сайт регулятора - http://www.rsoc.ru.

Вторым регулятором, осуществляющим контроль мер по технической защите информационных систем обработки персональных данных, являются уполномоченные органы Федеральной службы по техническому и экспортному контролю (ФСТЭК). Управления ФСТЭК присутствуют во всех федеральных округах РФ. Зона ответственности и область проверок - технические средства защиты информации, использующие не криптографические методы.

Официальный сайт регулятора - http://www.fstec.ru.

Третьим регулятором, осуществляющим контроль порядка использования криптографических средств защиты, являются уполномоченные органы Федеральной службы безопасности РФ. Официальный сайт регулятора - http://www.fsb.ru.

Законодательство РФ в области защиты персональных данных состоит более чем из 20 документов. Следует отметить, что ряд документов, определяющих требования к технической защите персональных данных, разработанных ФСТЭК в 2008 году и в последствие подвергавшиеся корректировке, на сегодняшний момент не являются актуальными. Именно поэтому многие операторы заняли «выжидающую» позицию и предпочитают смотреть на происходящее со стороны.

Тем не менее, документы, регламентирующие организационные меры защиты персональных данных остаются практически неизменными с момента их издания, а это значит, что организационные мероприятия являются основополагающими в построении системы защиты персональных данных, и проводить их все-таки нужно.


 

А также другие работы, которые могут Вас заинтересовать

51159. Дослідження текстового та графічного режимів роботи EPSON-сумісних матричних принтерів 26.69 KB
  Специальные функции передаются на ПУ сериями Escpe Серия Escpe состоит из кода Escpe 1B и буквенноцифровых знаков или символов. Виды шрифтов SO выход из основного набора ИСО включение широкого шрифта ESC SO включение широкого шрифта SI вход в основной набор ИСО включение уплотненного шрифта ESC SI включение уплотненного шрифта DC2 выключение уплотненного шрифта DC4 выключение широкого шрифта ESC E включение жирного шрифта ESC F выключение жирного шрифта ESC G включение двойной печати ESC H выключение двойной...
51161. ОПЕРАЦИОННЫЙ БЛОК МИКРОПРОГРАММИРУЕМОГО ПРОЦЕССОРА 127.5 KB
  Определить количество нулей в коде числа. Используемые регистры R0=Число в котором будет определяться колво нулейC000 h R2=10 h R3=0 Тесты: R0=C000 R2=000E; R0=FFFF R2=0000; R0=0000 R2=0010; R0=FBE R2=0004; Выводы: В данной работе был изучен операционного блока на уровне структурной схемы так же я ознакомился с составом микрокоманд и порядком их выполнения с составлением и отладкой микропрограммы. Был разработан и реализован алгоритм позволяющий определить количество нулей в коде числа и в соответствии с ним написана микропрограмма.
51162. Исследование параметров воздуха рабочей зоны и защиты от тепловых излучений 42.9 MB
  Холодный период года период года характеризуемый среднесуточной температурой наружного воздуха равной 10 С и ниже. Теплый период года период года характеризуемый среднесуточной температурой наружного воздуха выше 10 С. Среднесуточная температура средняя величина температуры наружного воздуха измеренная в определенные часы суток через одинаковые интервалы времени.
51163. Розвязування задач теорії прийняття рішень за допомогою дерев рішень 1.39 MB
  Мета: навчитися розвязувати задачі теорії прийняття рішень за допомогою дерев рішень Теоретичні відомості Дерево рішень це граф що представляє правила в ієрархічній послідовній структурі де кожному обєкту відповідає єдиний вузол який дає розвязок. Для генерації різних варіантів рішень і їх оцінки найбільше поширення знайшли дерева рішень що містять два типи вершин: вершини в яких рішення приймає експерт ОПР і вершини де рішення приймає випадок виходящі з вершини дуги задають визначені імовірності напрямків прийняття...
51164. ФЛЭШ-ПЯМЯТЬ 362 KB
  В схемах флэш-памяти не предусмотрено стирание отдельных слов, стирание информации осуществляется либо для всей памяти одновременно, либо для достаточно больших блоков. Это позволяет упростить схему ЗУ и позволяет повысить степень интеграции и быстродействия.
51165. Введение в лингвистику 2.86 MB
  Лингвистика как наука о языке возникла лишь в XIX веке, но интерес людей к языку насчитывает уже более двух тысячелетий. Почему столько веков человек пытается познать природу языка. Ведь в отличие от медицины, генетики, химии и других наук успехи лингвистики лишь косвенно связаны с проблемами выживания человеческого рода. Да и научились ли мы лучше понимать друг друга, изучая основное средство общения - язык...