30529

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов

Доклад

Математика и математический анализ

В то же время согласно статье 55 Конституции права и свободы человека и гражданина в том числе на доступ к информации могут быть ограничены федеральным законом в той мере в какой это необходимо в целях защиты основ конституционного строя нравственности здоровья прав и законных интересов других лиц обеспечения обороны страны и безопасности государства. Наряду с другими актами законодательства регулирует вопросы использования информации содержащей сведения составляющие государственную тайну допуска организаций и должностных лиц к...

Русский

2013-08-24

30.27 KB

0 чел.

67

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов.

  1.  Часть I (доска)

  1.  Часть II (выступление)

Основные нормативно-правовые документы в области информационной безопасности

Конституция Российской Федерации

Принята всенародным голосованием 12 декабря 1993 г.

Конституция налагает на государство обязанность признавать, соблюдать и защищать права и свободы человека и гражданина как высшую ценность. В соответствии со статьёй 23 Конституции, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. 
В то же время, согласно статье 55 Конституции, права и свободы человека и гражданина, в том числе на доступ к информации, могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Федеральные законы РФ

«О государственной тайне»

Закон Российской Федерации от 21 июля 1993 г. № 5485-1

(в ред. 1 декабря 2007 г.)

Наряду с другими актами законодательства регулирует вопросы использования информации, содержащей сведения, составляющие государственную тайну, допуска организаций и должностных лиц к таким сведениям, накладываемых в связи с этим допуском ограничений, лицензирования деятельности, связанной с использованием персональных данных и другие.
Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации. И при регистрации Устава предприятия, планирующего получать допуск к работам со сведениями, составляющими государственную тайну, этот вид деятельности указывается в числе прочих в обязательном порядке

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 года № 149-ФЗ

В соответствии со статьёй 5 Закона, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. При этом доступ к отдельным категориям сведений не может быть ограничен ни при каких условиях. Это следует учитывать при построении систем защиты информации в информационных системах, предназначенных для обработки информации различных категорий доступа, с тем, чтобы при ограничении доступа к конфиденциальной информации не допустить ограничения доступа к информации, подлежащей опубликованию (информации о состоянии окружающей среды, о деятельности государственных органов и органов местного самоуправления и др.)

«О безопасности»

Закон Российской Федерации от 5 марта 1992 г. № 2446-1

Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Службы обеспечения безопасности средств связи и информации отнесены законом наряду с другими правоохранительными органами к силам обеспечения безопасности Российской Федерации

«О государственной тайне»

Закон Российской Федерации от 21 июня 1993 г. № 5485-I

Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 г. № 149-ФЗ

Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации

«О техническом регулировании»

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (в ред. Федерального закона от 23.07.2008 № 160-ФЗ)

Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.

Имеет важнейшее значение для определения порядка оценки соответствия средств защиты установленным требованиям. Однако, с учетом того, что оценка соответствия может проводиться только согласно техническим регламентам, а в области защиты информации ни одного технического регламента нет, устанавливает, что оценка соответствия средств защиты информации проводится в соответствии с требованиями органов, уполномоченных осуществлять регулирование в области сертификации средств защиты информации – ФСБ России и ФСТЭК России

«О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 г. № 128-ФЗ

Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

Законом устанавливаются критерии определения и полный перечень лицензируемых видов деятельности, включая виды деятельности, связанные с защитой информации, лицензирование которых осуществляют ФСБ России и ФСТЭК России

«О персональных данных»

Федеральный закон от 27 июля 2006 г. № 152-ФЗ

Регулирует отношения, связанные с обработкой персональных данных операторами персональных данных. Имеет важнейшее значение практически для каждого юридического и физического лица, использующего или обрабатывающего персональные данные своих сотрудников, клиентов, партнеров и прочих субъектов. Находится в центре уникальной области правового поля информационной безопасности – правового поля персональных данных. Нацелен на защиту конституционных прав граждан на неприкосновенность частной жизни и защиту от ущерба, наносимого компрометацией личных персональных данных. Ставит операторов в жесткие рамки закона, налагает на них ответственность за защиту используемых персональных данных и наделяет уполномоченный орган – Роскомнадзор – законодательно закрепленными правами контроля над деятельностью миллионов операторов персональных данных

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 г. № 195-ФЗ

Статьи 5.1, 5.13, 5.39, 5.53, 5.54, 5.55, 13.11, 13.12, 13.13, 13.14, 19.7 определяют меры административной ответственности за нарушения прав и свобод личности в информационной сфере, порядка обращения с информацией ограниченного распространения и правил защиты информации, а также непредоставление информации в установленных законодательством случаях

Уголовный кодекс Российской Федерации

От 13 июня 1996 г. № 63-ФЗ

Статьи 137, 140, 171, 272 устанавливают уголовную ответственность за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации, незаконное предпринимательство (например, с нарушением лицензионных требований или условий), а также за неправомерный доступ к компьютерной информации

«Об электронной цифровой подписи»

Федеральный закон от 10 января 2002 г. № 1-ФЗ (в ред. от 08.11.2007 № 258-ФЗ)

Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Планируются отмена данного закона и внесение изменений в некоторые законодательные акты Российской Федерации в связи с рассмотрением в Государственной Думе проекта федерального закона N 305592-5 «Об электронной подписи» (принят в первом чтении 22 января 2010 г.)

Указы и распоряжения Президента Российской Федерации

Доктрина информационной безопасности Российской Федерации

Утверждена Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895

Доктрина формулирует национальные интересы Российской Федерации в информационной сфере и их обеспечение, включающее в себя в том числе защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. Даёт характеристику различных видов угроз информационной безопасности Российской Федерации и их источников. Описывает Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению, а также общие методы обеспечения информационной безопасности Российской Федерации и особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни (экономической, внешнеполитической, научно-технической, духовной, информационно-телекоммуникационной, оборонной, правоохранительной и судебной), а также в условиях чрезвычайных ситуаций. Определяет основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности. Устанавливает основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по её реализации. Создаёт организационную основу Системы обеспечения информационной безопасности Российской Федерации; приводится описание функций и основных элементов Системы

Об утверждении Перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (в ред. от 06.09.2008 № 1316)

Утвержденный указом Президента Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. 
В примечаниях к Перечню содержатся правила толкования конструкций с применением союзов «и», «или», «а также», которые требуется адекватно применять при разработке и толковании любых перечней сведений конфиденциального характера:
при перечислении сведений через союз «и» … к государственной тайне относятся все сведения в совокупности;

при перечислении сведений через запятую или союз «или» к государственной тайне относится каждое сведение в отдельности;

сведения, перечисленные после союза «а также», являются новыми, отличными от предыдущих сведениями, которые в отдельности относятся к государственной тайне

Об утверждении Перечня сведений
конфиденциального характера

Указ Президента Российской Федерации от 6 марта 1997 г. № 188

Утверждён перечень сведений конфиденциального характера, включающий в себя шесть групп сведений, в том числе составляющих служебную тайну, коммерческую тайну, тайну следствия и судопроизводства, сведения, связанные с профессиональной деятельностью (в других документах объединяемые понятием «профессиональная тайна), сведения о сущности изобретения, полезной модели или промышленного образца (ноу-хау), а также персональные данные

Постановления Правительства Российской Федерации

Положение о государственном лицензировании деятельности в области защиты информации

Решение Гостехкомиссии России и ФАПСИ России от 27 апреля 1994 г. № 10 (с дополнениями от 24.06.1997 № 60)

Данное Положение – один из первых документов в области сертификации средств защиты информации, в котором использованы такие понятия, как лицензирование в области защиты информации, аттестование объекта в защищенном исполнении и другие. Определяет систему государственного лицензирования деятельности предприятий в области защиты информации как составную часть государственной системы защиты информации. Разделяет виды деятельности в области защиты информации на подлежащие лицензированию Гостехкомиссией России и подлежащие лицензированию ФАПСИ России. Несмотря на то, что в связи с принятием ряда других правовых актов в области лицензирования данное Положение устарело, оно до сих пор используется в ФСТЭК России как действующий документ 

О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны

Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 (в ред. от 22.05.2008 № 384)

Утверждённое настоящим Постановлением Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Органами, уполномоченными на ведение лицензионной деятельности, по соответствующим их полномочиям направлениям деятельности, являются ФСБ России, СВР России, Минобороны России и ФСТЭК России. Положением установлены состав документов, представляемых соискателем лицензии, порядок и сроки рассмотрения заявлений, лицензионные требования к соискателям лицензий, а также обязательные условия осуществления лицензируемых видов деятельности. К числу обязательных условий отнесены проведение специальной экспертизы предприятия – соискателя лицензии и государственная аттестация руководителя

Об утверждении Положения о сертификации средств защиты информации

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (в ред. от 17.12.2004 № 808)

Утверждённое настоящим Постановлением Положение устанавливает порядок сертификации в Российской Федерации и ее учреждениях за рубежом средств защиты информации, к каковым отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Федеральными органами по сертификации, уполномоченными создавать соответствующие системы сертификации, определены те же ФСТЭК России, ФСБ России, СВР России и Минобороны России. Срок действия сертификата установлен не более 5 лет

Положение о сертификации средств защиты информации по требованиям безопасности информации

Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 г. № 199

Устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (зарегистрирована в Госстандарте за номеров РОСС RU.0001.01БИ00), функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и др.

Об организации лицензирования отдельных видов деятельности

Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 (в ред. от 27.01.2009 № 50)

В дополнение к перечню лицензируемых видов деятельности, введённому федеральным законом «О лицензировании отдельных видов деятельности», данным постановлением утверждены Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, с перечислением лицензируемых ими видов деятельности, а также Перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности

О лицензировании деятельности по технической защите конфиденциальной информации

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации. Под такой деятельностью понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, что фактически означает необходимость получения лицензии не только предприятиями, оказывающими услуги в данной области, но и осуществляющими мероприятия по технической защите конфиденциальной информации исключительно во внутренних целях

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Определяет ФСТЭК России как орган, компетентный осуществлять лицензирование в данной области, за исключением производства средств защиты, которые устанавливаются на объектах исключительной сферы компетенции ФСБ России. В пункте 2 Положения дан перечень этих объектов

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957

Постановлением выделены четыре группы видов деятельности, связанных с шифровальными (криптографическими) средствами, и утверждены соответствующие Положения:
о лицензировании деятельности по распространению шифровальных (криптографических) средств;
о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств;
о лицензировании предоставления услуг в области шифрования информации;
о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

  1.  Часть III (дополнительно)

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  1.  Международные договоры РФ;
  2.  Конституция РФ;
  3.  Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  4.  Указы Президента РФ;
  5.  Постановления правительства РФ;
  6.  Нормативные правовые акты федеральных министерств и ведомств;
  7.  Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  1.  Методические документы государственных органов России:
  2.  Доктрина информационной безопасности РФ;
  3.  Руководящие документы ФСТЭК (Гостехкомиссии России);
  4.  Приказы ФСБ;
  5.  Стандарты информационной безопасности, из которых выделяют:
  6.  Международные стандарты
  7.  Национальные
  8.  Рекомендации по стандартизации
  9.  Методические указания

Система государственного надзора и контроля в области персональных данных состоит из трех регуляторов, ответственных за определенные области деятельности. Основным регулятором, осуществляющим контроль порядка обработки персональных данных оператором, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых

коммуникаций (Роскомнадзор), территориальные управления которой присутствуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора - организационные мероприятия: (все до акта классификации информационных систем персональных данных включительно) и меры по защите персональных данных, обрабатываемых без использования средств автоматизации.

Официальный сайт регулятора - http://www.rsoc.ru.

Вторым регулятором, осуществляющим контроль мер по технической защите информационных систем обработки персональных данных, являются уполномоченные органы Федеральной службы по техническому и экспортному контролю (ФСТЭК). Управления ФСТЭК присутствуют во всех федеральных округах РФ. Зона ответственности и область проверок - технические средства защиты информации, использующие не криптографические методы.

Официальный сайт регулятора - http://www.fstec.ru.

Третьим регулятором, осуществляющим контроль порядка использования криптографических средств защиты, являются уполномоченные органы Федеральной службы безопасности РФ. Официальный сайт регулятора - http://www.fsb.ru.

Законодательство РФ в области защиты персональных данных состоит более чем из 20 документов. Следует отметить, что ряд документов, определяющих требования к технической защите персональных данных, разработанных ФСТЭК в 2008 году и в последствие подвергавшиеся корректировке, на сегодняшний момент не являются актуальными. Именно поэтому многие операторы заняли «выжидающую» позицию и предпочитают смотреть на происходящее со стороны.

Тем не менее, документы, регламентирующие организационные меры защиты персональных данных остаются практически неизменными с момента их издания, а это значит, что организационные мероприятия являются основополагающими в построении системы защиты персональных данных, и проводить их все-таки нужно.


 

А также другие работы, которые могут Вас заинтересовать

62983. Вечір золотого романсу 1.29 MB
  Мета: поглибити знання учнів з теми «Лірична поезія»; розвивати творчі здібності, навички виразного читання; виховувати естетичні смаки, найкращі людські якості: любов до прекрасного, патріотизм, людяність.
62985. Курение 21.39 KB
  Инвентарь: зубная щётка сигарета слайд с вопросами про курильщика и собаку распечатанная таблица Менделеева слайды с веществами средство для мытья окон мышка батарейка механическое устройство для курения...
62989. Географія світового транспорту 35.5 KB
  Можна виділити два типи формування сухопутної транспортної мережі країни і регіону. Цей тип розміщення повязаний з тим що країниметрополії прагнули отримати доступ до ресурсів підкореної країни будуючи наприклад...
62990. Виховний захід на тему Зоряний час 19.63 KB
  Шановні учасники гри Багато знаменитих математиків світу на протязі ХХ віків старалися вирішити велику проблему: Скільки прямих паралельних даній можна провести через задану точку Хто вирішив цю проблему...