Билеты для Экзамена по Защите информации. ЗИ. 1Государственная политика обеспечения информационной безопасности Российской Федерации. 2
 Скачать 477 Kb.
|
Преступления в сфере информационных систем и технологийПреступления в сфере информационных технологий включают как распространение вредоносных программ, взлом паролей, кражу номеров банковских карт и других банковских реквизитов, фишинг, так и распространение противоправной информации (клеветы, материалов порнографического характера, материалов, возбуждающих межнациональную и межрелигиозную вражду, и т. п.) через Интернет, а также вредоносное вмешательство через компьютерные сети в работу различных систем. Кроме того, одним из наиболее опасных и распространенных преступлений, совершаемых с использованием Интернета, является мошенничество. Так, в письме Федеральной комиссии по рынку ценных бумаг от 20 января 2000 г. №ИБ-02/229 указывается, что инвестирование денежных средств на иностранных фондовых рынках с использованием сети Интернет сопряжено с риском быть вовлечёнными в различного рода мошеннические схемы. Другой пример мошенничества — интернет-аукционы, в которых сами продавцы делают ставки, чтобы поднять цену выставленного на аукцион товара. В различных государствах, в частности США, получили распространение аферы, связанные с продажей доменных имён: производится массовая рассылка электронных сообщений, в которых, например, сообщают о попытках неизвестных лиц зарегистрировать доменные имена, похожие на адреса принадлежавших адресатам сайтов, и владельцам сайтов предлагается зарегистрировать ненужное им доменное имя, чтобы опередить этих лиц. Так, вскоре после 11 сентября 2001 года Федеральная торговая комиссия США отметила факт массовой продажи доменных имён зоны «usa». Кто несет ответственность за организацию защиты сведений, в органах государственной власти и в организацияхОсновные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 152-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как: Роскомнадзор; ФСТЭК; ФСБ. Роскомнадзор Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках. Основываясь на законе о персональных данных, ведомство вправе: запрашивать у граждан и организаций любую информацию, которая нужна ему для исполнения своих функций, и получать такие данные на безвозмездной основе; проверять всю информацию, которую компания направила в государственный орган, сообщая о начале осуществления деятельности по обработке персональных данных. Контроль проводится как непосредственно ведомством, так и с привлечением иных государственных структур, которые имеют полномочия на проверку указанных сведений; при получении заявления гражданина или по иным причинам требовать от оператора блокировать, стереть или уточнить данные, не отвечающие требованиям достоверности или полученные нелегитимным способом; в случае если обработка персональных данных не соответствует нормам и правилам, установленным для таких операций, самостоятельно, без переноса вопроса на решение суда, принимать решение о приостановке или запрете в дальнейшем заниматься обработкой персональных данных; подавать в суды иски, предметом которых будет защита информационных и личных прав субъектов – носителей персональных данных, представлять в суде интересы таких граждан; направлять запрос в ведомство, выдавшее лицензию оператору на осуществление предпринимательской деятельности, связанной с обслуживанием персональных данных, с просьбой приостановить ее действие или прекратить его, если одним из условий лицензирования был запрет на распространение или передачу персональных данных, не заручившись подписанным их носителем разрешением; писать официальные уведомления в прокуратуру и в органы следствия, направляя материалы, позволяющие решить вопрос о возбуждении уголовного дела, если были зафиксированы признаки деяния, предусмотренного УК РФ и имеющего отношение к неправомерному обращению с персональными данными; принимать обоснованные решения о привлечении операторов и иных лиц, некорректно использующих персональные данные или совершающих иные правонарушения, к ответственности в рамках КоАП РФ. ФСТЭК и его полномочия ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий: запрос у оператора отчета по контролируемым видам деятельности и его проверка; требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение; запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных; выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных. Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК. Существует 2 типа проверок: документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке; выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии. Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений. ФСБ и ее полномочия Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются: запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий; запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности; проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации. Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные: состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов; данные о проверяемом объекте; параметры проверки, ее цели и задачи, предмет; правовые нормы, на которые опиралось ведомство, назначая проверку; перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений); период проведения проверки. Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе: проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся; проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством; требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов; распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой; затягивать проверку без вынесения мотивированного решения; проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом. В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это: наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ; выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ. Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это: наличие в организации модели угроз с указанием потенциальных нарушителей; релевантность этой модели, соответствие ее ранее представленным вводным; соответствие применяемых средств защиты угрозам, освещенным в модели; существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору. К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это: проверка существования лицензий, необходимых для использования СКЗИ; наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных; наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы; проверка соблюдения правил учета СКЗИ; выявление средств, не имеющих необходимых сертификатов. К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это: наличие должностных инструкций; порядок кадрового учета; наличие сотрудников на всех предусмотренных штатным расписанием должностях; порядок проведения обучения персонала, работающего с СКЗИ. К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это: оценка технического состояния; правильность их ввода в эксплуатацию; оценка правильности выбора применяемого программного обеспечения. К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это: наличие инструкций; наличие криптоключей; режимные меры. Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами. |