Главная страница
Навигация по странице:

  • Нормативные правовые акты

  • ваыдорполждрваплжавти. Практическая работа №1. Федеральная служба исполнения наказания


    Скачать 67.92 Kb.
    НазваниеФедеральная служба исполнения наказания
    Анкорваыдорполждрваплжавти
    Дата07.05.2022
    Размер67.92 Kb.
    Формат файлаdocx
    Имя файлаПрактическая работа №1.docx
    ТипДокументы
    #516260

    ФЕДЕРАЛЬНАЯ СЛУЖБА ИСПОЛНЕНИЯ НАКАЗАНИЯ

    Федеральное казенное образовательное учреждение высшего образования

    Академии права и управления

    (Академия ФСИН России)

    Институт подготовки государственных и муниципальных служащих

    Кафедра Математики и информационных технологий управления

    WORD

    Выполнили:

    Студент 1 курса 143 группы

    40.03.01 Юриспруденция

    Лебедев Виктор

    Проверил:

    Преподаватель

    Кафедры Математики и

    информационных технологий управления

    А. В. Подъяблонский
    Рязань, 2021

    Задание 1

    Нормативные правовые акты

    1. Об информации, информационных технологиях и о защите информации :федер. закон [от 27 июля 2006 г. № 149-ФЗ] (с изм. от 27 июля 2010 г., 6 апреля 2011 г.) // Собрание законодательства Рос. Федерации.




    1. О государственной тайне :федер. закон [от 21 июля 1993 г. № 5485-I ] // Собр. законодательства Рос. Федерации. – 1997. – № 41. – Ст. 8220 – 8235.



    1. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"



    1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) "О персональных данных"



    1. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи" (с изм. и доп., вступ. в силу с 31.12.2017)

    Задание 2

    Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

    3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

    4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

    1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

    2) своевременное обнаружение фактов несанкционированного доступа к информации;

    3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

    4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

    5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

    6) постоянный контроль за обеспечением уровня защищенности информации;

    7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

    (п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

    5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

    6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

    Задание 3



    Задание 4

    Безопасность обработки персональных данных с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных, и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в информационной системе персональных данных с использованием криптосредств.

    Обеспечение безопасности персональных данных с использованием криптосредств должно осуществляться в соответствии с:

    1) Приказом ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";

    2) Постановлением Правительства РФ от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами";

    3) Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (N 149/54-144, 2008, ФСБ России);

    4) Настоящими Требованиями.

    2.2. Операторы несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности обработки с использованием криптосредств персональных данных лицензионным требованиям и условиям, эксплуатационной и технической документации к криптосредствам, а также настоящим Требованиям.

    При этом операторы должны обеспечивать комплексность защиты персональных данных, в том числе посредством применения некриптографических средств защиты.

    2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:

    - разработку для каждой информационной системы персональных данных модели угроз безопасности персональных данных при их обработке;

    - разработку на основе модели угроз системы безопасности персональных данных, обеспечивающей нейтрализацию всех перечисленных в модели угроз;

    - определение необходимости использования криптосредств для обеспечения безопасности персональных данных и, в случае положительного решения, определение на основе модели угроз цели использования криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке;

    - установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам;

    - проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;

    - обучение лиц, использующих криптосредства, работе с ними;

    - поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;

    - учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователи криптосредств);

    - контроль за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;

    - разбирательство и составление заключений по фактам нарушения условий хранения носителей персональных данных, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

    - описание организационных и технических мер, которые оператор обязуется осуществлять при обеспечении безопасности персональных данных с использованием криптосредств при их обработке в информационных системах, с указанием в частности:

    а) индекса, условного наименования и регистрационных номеров используемых криптосредств;

    б) соответствия размещения и монтажа аппаратуры и оборудования, входящего в состав криптосредств, требованиям нормативной документации и правилам пользования криптосредствами;

    в) соответствия помещений, в котором размещены криптосредства и хранится ключевая документация к ним, настоящим Требованиям с описанием основных средств защиты;

    г) выполнения Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

    Описание принятых мер должно быть включено в уведомление, предусмотренное частью 1 статьи 22 Федерального закона "О персональных данных".

    2.4. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.

    2.5. Пользователи криптосредств обязаны:

    - не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты;

    - соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности криптосредств и ключевых документов к ним;

    - сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним;

    - немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных;

    - сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящими Требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.

    2.6. Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее - ответственный пользователь криптосредств).

    Допускается возложение функций ответственного пользователя криптосредств на:

    - одного из пользователей криптосредств;

    - на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором;

    - на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.

    2.7. Ответственные пользователи криптосредств должны иметь функциональные обязанности, разработанные в соответствии с настоящими Требованиями.

    2.8. При определении обязанностей пользователя криптосредств необходимо учитывать, что безопасность обработки с использованием криптосредств персональных данных обеспечивается:

    - соблюдением пользователями криптосредств конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых криптосредств и ключевых документах к ним;

    - точным выполнением пользователями криптосредств требований к обеспечению безопасности персональных данных;

    - надежным хранением эксплуатационной и технической документации к криптосредствам, ключевых документов, носителей информации ограниченного распространения;

    - обеспечением принятых в соответствии с Требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных мер;

    - своевременным выявлением попыток посторонних лиц получить сведения о защищаемых персональных данных, об используемых криптосредствах или ключевых документах к ним;

    - немедленным принятием мер по предупреждению разглашения защищаемых персональных данных, а также возможной их утечки при выявлении фактов утраты или недостачи криптосредств, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.

    2.9. Лица, оформляемые на работу в качестве пользователей (ответственных пользователей) криптосредств, должны быть ознакомлены с настоящими Требованиями и другими документами, регламентирующими организацию и обеспечение безопасности персональных данных при их обработке в информационных системах, под расписку и несут ответственность за несоблюдение ими требований указанных документов в соответствии с законодательством Российской Федерации.

    2.10. Текущий контроль за организацией и обеспечением функционирования криптосредств возлагается на оператора и ответственного пользователя криптосредств в пределах их служебных полномочий.

    2.11. Контроль за организацией, обеспечением функционирования и безопасности криптосредств, предназначенных для защиты персональных данных при их обработке в информационных системах персональных данных, осуществляется в соответствии с действующим законодательством Российской Федерации.

    2.12. В случае необходимости взаимодействия операторов информационных систем при использовании криптосредств для обеспечения безопасности обработки персональных данных для организации взаимодействия криптосредств по решению операторов персональных данных выделяется координирующий орган, ответственный за обеспечение безопасности персональных данных, указания которого являются обязательными для всех пользователей криптосредств.

    Компания по разработке ПО для сторонних организаций


    написать администратору сайта