30529

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов

Доклад

Математика и математический анализ

В то же время согласно статье 55 Конституции права и свободы человека и гражданина в том числе на доступ к информации могут быть ограничены федеральным законом в той мере в какой это необходимо в целях защиты основ конституционного строя нравственности здоровья прав и законных интересов других лиц обеспечения обороны страны и безопасности государства. Наряду с другими актами законодательства регулирует вопросы использования информации содержащей сведения составляющие государственную тайну допуска организаций и должностных лиц к...

Русский

2013-08-24

30.27 KB

0 чел.

67

Использование существующих нормативных актов для создания системы информационной безопасности. Основные положения руководящих правовых документов.

  1.  Часть I (доска)

  1.  Часть II (выступление)

Основные нормативно-правовые документы в области информационной безопасности

Конституция Российской Федерации

Принята всенародным голосованием 12 декабря 1993 г.

Конституция налагает на государство обязанность признавать, соблюдать и защищать права и свободы человека и гражданина как высшую ценность. В соответствии со статьёй 23 Конституции, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. 
В то же время, согласно статье 55 Конституции, права и свободы человека и гражданина, в том числе на доступ к информации, могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Федеральные законы РФ

«О государственной тайне»

Закон Российской Федерации от 21 июля 1993 г. № 5485-1

(в ред. 1 декабря 2007 г.)

Наряду с другими актами законодательства регулирует вопросы использования информации, содержащей сведения, составляющие государственную тайну, допуска организаций и должностных лиц к таким сведениям, накладываемых в связи с этим допуском ограничений, лицензирования деятельности, связанной с использованием персональных данных и другие.
Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации. И при регистрации Устава предприятия, планирующего получать допуск к работам со сведениями, составляющими государственную тайну, этот вид деятельности указывается в числе прочих в обязательном порядке

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 года № 149-ФЗ

В соответствии со статьёй 5 Закона, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. При этом доступ к отдельным категориям сведений не может быть ограничен ни при каких условиях. Это следует учитывать при построении систем защиты информации в информационных системах, предназначенных для обработки информации различных категорий доступа, с тем, чтобы при ограничении доступа к конфиденциальной информации не допустить ограничения доступа к информации, подлежащей опубликованию (информации о состоянии окружающей среды, о деятельности государственных органов и органов местного самоуправления и др.)

«О безопасности»

Закон Российской Федерации от 5 марта 1992 г. № 2446-1

Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Службы обеспечения безопасности средств связи и информации отнесены законом наряду с другими правоохранительными органами к силам обеспечения безопасности Российской Федерации

«О государственной тайне»

Закон Российской Федерации от 21 июня 1993 г. № 5485-I

Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации

«Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27 июля 2006 г. № 149-ФЗ

Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации

«О техническом регулировании»

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (в ред. Федерального закона от 23.07.2008 № 160-ФЗ)

Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.

Имеет важнейшее значение для определения порядка оценки соответствия средств защиты установленным требованиям. Однако, с учетом того, что оценка соответствия может проводиться только согласно техническим регламентам, а в области защиты информации ни одного технического регламента нет, устанавливает, что оценка соответствия средств защиты информации проводится в соответствии с требованиями органов, уполномоченных осуществлять регулирование в области сертификации средств защиты информации – ФСБ России и ФСТЭК России

«О лицензировании отдельных видов деятельности»

Федеральный закон от 8 августа 2001 г. № 128-ФЗ

Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

Законом устанавливаются критерии определения и полный перечень лицензируемых видов деятельности, включая виды деятельности, связанные с защитой информации, лицензирование которых осуществляют ФСБ России и ФСТЭК России

«О персональных данных»

Федеральный закон от 27 июля 2006 г. № 152-ФЗ

Регулирует отношения, связанные с обработкой персональных данных операторами персональных данных. Имеет важнейшее значение практически для каждого юридического и физического лица, использующего или обрабатывающего персональные данные своих сотрудников, клиентов, партнеров и прочих субъектов. Находится в центре уникальной области правового поля информационной безопасности – правового поля персональных данных. Нацелен на защиту конституционных прав граждан на неприкосновенность частной жизни и защиту от ущерба, наносимого компрометацией личных персональных данных. Ставит операторов в жесткие рамки закона, налагает на них ответственность за защиту используемых персональных данных и наделяет уполномоченный орган – Роскомнадзор – законодательно закрепленными правами контроля над деятельностью миллионов операторов персональных данных

Кодекс Российской Федерации об административных правонарушениях

От 30 декабря 2001 г. № 195-ФЗ

Статьи 5.1, 5.13, 5.39, 5.53, 5.54, 5.55, 13.11, 13.12, 13.13, 13.14, 19.7 определяют меры административной ответственности за нарушения прав и свобод личности в информационной сфере, порядка обращения с информацией ограниченного распространения и правил защиты информации, а также непредоставление информации в установленных законодательством случаях

Уголовный кодекс Российской Федерации

От 13 июня 1996 г. № 63-ФЗ

Статьи 137, 140, 171, 272 устанавливают уголовную ответственность за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации, незаконное предпринимательство (например, с нарушением лицензионных требований или условий), а также за неправомерный доступ к компьютерной информации

«Об электронной цифровой подписи»

Федеральный закон от 10 января 2002 г. № 1-ФЗ (в ред. от 08.11.2007 № 258-ФЗ)

Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Планируются отмена данного закона и внесение изменений в некоторые законодательные акты Российской Федерации в связи с рассмотрением в Государственной Думе проекта федерального закона N 305592-5 «Об электронной подписи» (принят в первом чтении 22 января 2010 г.)

Указы и распоряжения Президента Российской Федерации

Доктрина информационной безопасности Российской Федерации

Утверждена Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895

Доктрина формулирует национальные интересы Российской Федерации в информационной сфере и их обеспечение, включающее в себя в том числе защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. Даёт характеристику различных видов угроз информационной безопасности Российской Федерации и их источников. Описывает Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению, а также общие методы обеспечения информационной безопасности Российской Федерации и особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни (экономической, внешнеполитической, научно-технической, духовной, информационно-телекоммуникационной, оборонной, правоохранительной и судебной), а также в условиях чрезвычайных ситуаций. Определяет основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности. Устанавливает основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по её реализации. Создаёт организационную основу Системы обеспечения информационной безопасности Российской Федерации; приводится описание функций и основных элементов Системы

Об утверждении Перечня сведений, отнесенных к государственной тайне

Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (в ред. от 06.09.2008 № 1316)

Утвержденный указом Президента Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. 
В примечаниях к Перечню содержатся правила толкования конструкций с применением союзов «и», «или», «а также», которые требуется адекватно применять при разработке и толковании любых перечней сведений конфиденциального характера:
при перечислении сведений через союз «и» … к государственной тайне относятся все сведения в совокупности;

при перечислении сведений через запятую или союз «или» к государственной тайне относится каждое сведение в отдельности;

сведения, перечисленные после союза «а также», являются новыми, отличными от предыдущих сведениями, которые в отдельности относятся к государственной тайне

Об утверждении Перечня сведений
конфиденциального характера

Указ Президента Российской Федерации от 6 марта 1997 г. № 188

Утверждён перечень сведений конфиденциального характера, включающий в себя шесть групп сведений, в том числе составляющих служебную тайну, коммерческую тайну, тайну следствия и судопроизводства, сведения, связанные с профессиональной деятельностью (в других документах объединяемые понятием «профессиональная тайна), сведения о сущности изобретения, полезной модели или промышленного образца (ноу-хау), а также персональные данные

Постановления Правительства Российской Федерации

Положение о государственном лицензировании деятельности в области защиты информации

Решение Гостехкомиссии России и ФАПСИ России от 27 апреля 1994 г. № 10 (с дополнениями от 24.06.1997 № 60)

Данное Положение – один из первых документов в области сертификации средств защиты информации, в котором использованы такие понятия, как лицензирование в области защиты информации, аттестование объекта в защищенном исполнении и другие. Определяет систему государственного лицензирования деятельности предприятий в области защиты информации как составную часть государственной системы защиты информации. Разделяет виды деятельности в области защиты информации на подлежащие лицензированию Гостехкомиссией России и подлежащие лицензированию ФАПСИ России. Несмотря на то, что в связи с принятием ряда других правовых актов в области лицензирования данное Положение устарело, оно до сих пор используется в ФСТЭК России как действующий документ 

О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны

Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 (в ред. от 22.05.2008 № 384)

Утверждённое настоящим Постановлением Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Органами, уполномоченными на ведение лицензионной деятельности, по соответствующим их полномочиям направлениям деятельности, являются ФСБ России, СВР России, Минобороны России и ФСТЭК России. Положением установлены состав документов, представляемых соискателем лицензии, порядок и сроки рассмотрения заявлений, лицензионные требования к соискателям лицензий, а также обязательные условия осуществления лицензируемых видов деятельности. К числу обязательных условий отнесены проведение специальной экспертизы предприятия – соискателя лицензии и государственная аттестация руководителя

Об утверждении Положения о сертификации средств защиты информации

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (в ред. от 17.12.2004 № 808)

Утверждённое настоящим Постановлением Положение устанавливает порядок сертификации в Российской Федерации и ее учреждениях за рубежом средств защиты информации, к каковым отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Федеральными органами по сертификации, уполномоченными создавать соответствующие системы сертификации, определены те же ФСТЭК России, ФСБ России, СВР России и Минобороны России. Срок действия сертификата установлен не более 5 лет

Положение о сертификации средств защиты информации по требованиям безопасности информации

Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 г. № 199

Устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (зарегистрирована в Госстандарте за номеров РОСС RU.0001.01БИ00), функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и др.

Об организации лицензирования отдельных видов деятельности

Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 (в ред. от 27.01.2009 № 50)

В дополнение к перечню лицензируемых видов деятельности, введённому федеральным законом «О лицензировании отдельных видов деятельности», данным постановлением утверждены Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, с перечислением лицензируемых ими видов деятельности, а также Перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности

О лицензировании деятельности по технической защите конфиденциальной информации

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации. Под такой деятельностью понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, что фактически означает необходимость получения лицензии не только предприятиями, оказывающими услуги в данной области, но и осуществляющими мероприятия по технической защите конфиденциальной информации исключительно во внутренних целях

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532

Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Определяет ФСТЭК России как орган, компетентный осуществлять лицензирование в данной области, за исключением производства средств защиты, которые устанавливаются на объектах исключительной сферы компетенции ФСБ России. В пункте 2 Положения дан перечень этих объектов

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957

Постановлением выделены четыре группы видов деятельности, связанных с шифровальными (криптографическими) средствами, и утверждены соответствующие Положения:
о лицензировании деятельности по распространению шифровальных (криптографических) средств;
о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств;
о лицензировании предоставления услуг в области шифрования информации;
о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

  1.  Часть III (дополнительно)

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  1.  Международные договоры РФ;
  2.  Конституция РФ;
  3.  Законы федерального уровня (включая федеральные конституционные законы, кодексы);
  4.  Указы Президента РФ;
  5.  Постановления правительства РФ;
  6.  Нормативные правовые акты федеральных министерств и ведомств;
  7.  Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  1.  Методические документы государственных органов России:
  2.  Доктрина информационной безопасности РФ;
  3.  Руководящие документы ФСТЭК (Гостехкомиссии России);
  4.  Приказы ФСБ;
  5.  Стандарты информационной безопасности, из которых выделяют:
  6.  Международные стандарты
  7.  Национальные
  8.  Рекомендации по стандартизации
  9.  Методические указания

Система государственного надзора и контроля в области персональных данных состоит из трех регуляторов, ответственных за определенные области деятельности. Основным регулятором, осуществляющим контроль порядка обработки персональных данных оператором, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых

коммуникаций (Роскомнадзор), территориальные управления которой присутствуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора - организационные мероприятия: (все до акта классификации информационных систем персональных данных включительно) и меры по защите персональных данных, обрабатываемых без использования средств автоматизации.

Официальный сайт регулятора - http://www.rsoc.ru.

Вторым регулятором, осуществляющим контроль мер по технической защите информационных систем обработки персональных данных, являются уполномоченные органы Федеральной службы по техническому и экспортному контролю (ФСТЭК). Управления ФСТЭК присутствуют во всех федеральных округах РФ. Зона ответственности и область проверок - технические средства защиты информации, использующие не криптографические методы.

Официальный сайт регулятора - http://www.fstec.ru.

Третьим регулятором, осуществляющим контроль порядка использования криптографических средств защиты, являются уполномоченные органы Федеральной службы безопасности РФ. Официальный сайт регулятора - http://www.fsb.ru.

Законодательство РФ в области защиты персональных данных состоит более чем из 20 документов. Следует отметить, что ряд документов, определяющих требования к технической защите персональных данных, разработанных ФСТЭК в 2008 году и в последствие подвергавшиеся корректировке, на сегодняшний момент не являются актуальными. Именно поэтому многие операторы заняли «выжидающую» позицию и предпочитают смотреть на происходящее со стороны.

Тем не менее, документы, регламентирующие организационные меры защиты персональных данных остаются практически неизменными с момента их издания, а это значит, что организационные мероприятия являются основополагающими в построении системы защиты персональных данных, и проводить их все-таки нужно.


 

А также другие работы, которые могут Вас заинтересовать

502. Токсикология как наука 239.5 KB
  Химические вещества, используемые в промышленности и сельском хозяйстве, которые при определенных ситуациях могут вызывать массовые отравления. Стойкие отравляющие вещества. Нервно-паралитические яды. Качества характеризующие боевую эффективность ипритов.
503. Анализ хозяйственной деятельности предприятия интегрированных компьютерных систем Ростовский ИВЦ 323.5 KB
  Сущность и содержание Анализа Хозяйственной Деятельности. Факторы, определяющие результаты хозяйственной деятельности их классификации. Анализ использования основных производственных фондов. Анализ финансовых результатов.
504. Разработка приложений в среде VBA IDE 155.5 KB
  Составление программы обработки табличных данных. Программа может работать по принципу меню. Меню может содержать следующие пункты: ввод данных, корректировка данных, расчет таблицы, запись данных на магнитный диск, чтение данных с магнитного диска, построение диаграммы, выход.
505. Создание базы данных футбольной команды с помощью СУБД Microsoft Access 251 KB
  Создание базы данных футбольной команды. Нахождение самого результативного футболиста в этом сезоне. Создание формы в виде сводной таблицы. Диаграмма с данными о забитых голах защитниками и нападающими.
506. Основы теории систем управления 194.29 KB
  Математическое описание системы. Передаточная функция. Переходные процессы в системе. Качество управления. Временные динамические характеристики.
507. Разработка финансового плана предприятия в сфере строительства Бетон – 35 277.5 KB
  Методические основы составления текущего финансового планирования организации. Расчет объема реализации и себестоимости реализованной продукции организации. Расчет оптимального размера прибыли на основе эффекта операционного рычага. Баланс денежных поступлений и расходов организации.
508. Моделювання потоку маршрутних транспортних засобів 1.76 MB
  Модель розподілу пасажиропотоку між маршрутами міського пасажирського транспорту. Задача оптимізації інтенсивності міського пасажирського транспорту з урахуванням втрат системи місто. Узагальнення задачі для розгалуженої маршрутної мережі міського пасажирського транспорту.
509. Общественное здание. Гостиница 125 KB
  Проект Гостиница разработан на основе задания по архитектурному проектированию. Категория и класс в зависимости от вида предоставляемых услуг в соответствии с принятой в стране системной стандартов. Благоустроенные площадки перед входами в помещения общественного и жилого назначения.
510. Особенности налоговой политики в современной России 131.5 KB
  Понятие, сущность и основные виды налоговой политики. Изучение теоретических аспектов налоговой политики, а также определение основных направлений и механизма реализации налоговой политики в Российской Федерации.