Главная страница
Навигация по странице:

  • - патентным правом, - правом на средства индивидуализации, - правом на нетрадиционные объекты, в т.ч. на секреты производства

  • Персональные данные

  • субъекту персональных данных

  • операторами персональных данных.

  • Федеральный закон "О персональных данных"

  • Защита персональных данных

  • Цели защиты информации

  • 4.

  • Обеспечение национальной безопасности

  • под информационной безопасностью (ИБ) личности, общества, государства и современных автоматизированных и телекоммуникационных систем

  • вопросы обеспечения ИБ

  • Доктрине информационной безопасности РФ

  • Принцип максимальной дружественности и прозрачности

  • Принцип оптимальности и разумной разнородности.

  • Принцип адекватности и непрерывности.

  • Принцип доказательности и обязательности контроля

  • Принцип самозащиты и конфиденциальности самой системы защиты информации . Принцип многоуровневости и равнопрочности.

  • Принцип простоты применения и апробированности защиты

  • Принцип преемственности и совершенствования.

  • Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней

  • Настоящий Федеральный закон обладает основными принципами, используемыми для определения информационной безопасности и для мер защиты

  • опоиб. Информация как объект правоотношений


    Скачать 0.51 Mb.
    НазваниеИнформация как объект правоотношений
    Дата22.01.2020
    Размер0.51 Mb.
    Формат файлаdocx
    Имя файлаопоиб.docx
    ТипДокументы
    #105341
    страница14 из 14
    1   ...   6   7   8   9   10   11   12   13   14

    27. Право промышленной собственности


    Промышленная собственность – это обобщающее понятие, охватывающее круг объектов интеллектуальной собственности, непосредственно связанных с производством и предпринимательской деятельностью. Право промышленной собственности в свою очередь представляет собой особый институт интеллектуального права.

    В XIV веке в Англии впервые была выдана грамота короля на привилегированное использование новой технологии – patent. В 1883 году была принята Парижская конвенция по охране промышленной собственности.

    Промышленная собственность – это совокупность прав на изобретения, полезные модели, промышленные образцы, товарные знаки (знаки обслуживания), фирменные наименования …, а также прав, относящихся к защите против недобросовестной конкуренции.

    Определение «промышленная» – условность, так как подразумеваются и сферы сельского хозяйства, медицины, образования, досуга и другие.

    В России к объектам промышленной собственности относят: изобретения, полезные модели и промышленные образцы, товарные знаки и знаки обслуживания, фирменные наименования. Отношения их создателей, владельцев и пользователей между собой и с государством регулируются следующими подотраслями промышленного права:

    - патентным правом,

    - правом на средства индивидуализации,

    правом на нетрадиционные объекты, в т.ч. на секреты производства (ноу-хау)

    – и их подзаконными актами (Правилами, Разъяснениями, Инструкциями и др.).

    В Российской Федерации с 2007 года правоотношения в сфере промышленной собственности регулируются Гражданским кодексом Российской Федерации.

    Российская Федерация осуществляет международное сотрудничество в области охраны объектов промышленной собственности в рамках:

    • Парижской конвенции по охране промышленной собственности 1883 года, к которой СССР присоединился в 1965 году.

    • Вашингтонского договора о патентной кооперации (РСТ) 1970 года, который был ратифицирован СССР в 1977 году.

    • Мадридской конвенции о международной регистрации фабричных и товарных знаков 1891 года, участником которой СССР является с 1976 года

    28. Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)


    «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002 №282.

    СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации.

    Требования и рекомендации этого документа распространяются на защиту государственных информационных ресурсов некриптографическими методами (служебная тайна), направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях её уничтожения, искажения и блокирования.

    При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.

    Документ определяет следующие вопросы защиты конфиденциальной информации:

    •  организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

    •  состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

    •  требования и рекомендации по защите речевой информации при ведении переговоров, в том числе с использованием технических средств;

    •  требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

    •  порядок обеспечения защиты информации при эксплуатации объектов информатизации;

    •  особенности защиты информации при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии;

    •  порядок обеспечения защиты информации при взаимодействии абонентов с Сетями.

    Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитооптической и иной основе.

    Объектами защиты при этом являются:

    •  средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

    •  технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

    •  защищаемые помещения.

    Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, программно-технических

    воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств.

    При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны.

    Средства зашиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек СЗИ администратором безопасности информации. Класс защищённости ЛВС определяется в соответствии с требованиями действующих руководящих документов ФСТЭК России.

    Для управления, контроля защищённости ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

    29. Защита персональных данных


    Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

    В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон "О персональных данных" N 152-ФЗ.

    Фактически, обязательные требования содержатся не только в Законе "О персональных данных", но и в некоторых подзаконных актах. В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

    1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).

    2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).

    3. "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008)

    4. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008)

    5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

    Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

    Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).

    Часть 1 статьи 13.11:

    "Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных...", - штраф от 30 до 50 т.р. На что обратить внимание:

    Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

    1. Есть согласие субъекта (НЕ ОБЯЗАТЕЛЬНО ПИСЬМЕННОЕ, т.е. "галочка" на сайте, вопрос по телефону – подойдут).

    2. Вы заключили или собираетесь заключить договор с субъектом (даже если это оферта на веб-сайте и для заключения не нужна подпись). В таком случае даже согласия не нужно.

    3. Вы обрабатываете персональные данные своих работников (из трудовых отношений). Здесь согласие также не нужно.

    4. В иных специфических случаях, они указаны в Законе о персональных данных и достаточно редки (ст. 6, ч. 1; к примеру: для защиты жизни, здоровья или иных жизненно важных интересов субъекта).

    Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил "галочку" под текстом вроде "Согласен на обработку моих персональных данных". Если данные обрабатываются в целях заключения договора и согласия нет – не обрабатывать нехарактерные для договора персональные данные (к примеру, по договору купли-продажи не стоит обрабатывать данные об образовании, профессии и воинской обязанности лица).

    Этапы работ по защите персональных данных:

    Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

    • Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).

    • Выделить бизнес-процессы, в которых обрабатываются персональные данные.

    • Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

    • Определить круг информационных систем и совокупность обрабатываемых ПДн.

    • Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

    • Выработать меры по снижению категорий обрабатываемых ПДн.

    • Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

    • Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

    • Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

    • Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

    • Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

    • Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

    • Подготовить технический проект по защите ИСПДн и помещений.

    • Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);

    • Спроектировать и внедрить систему защиты персональных данных (СЗПДн);

    • Взять согласия на обработку ПДн с субъектов персональных данных;

    • Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

    Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

    В Российской Федерации защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

    • Создание внутренней документации по работе с персональными данными.

    • Создание организационной системы защиты персональных данных.

    • Внедрение технических мер защиты.

    • Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна.

    • Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации.

    30. Служебная тайна


     служебная тайна - это информация, доступ к которой ограничен органами государственной власти и федеральными законами (сведения об усыновлении, вкладах граждан в различного рода банки, характере заболеваний пациентов и т. д.). Служебная тайна не подлежит разглашению, кроме случаев, когда те или иные сведения запрашиваются правоохранительными органами.

    Согласно Указу Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера», разница между служебной и коммерческой тайной состоит в том, что коммерческая тайна - это сведения, связанные с коммерческой деятельностью, а служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти

    Потенциальными носителями служебной тайны являются, как минимум, все служащие, которые работают в государственных органах, органах законодательной, исполнительной и судебной власти, а также в подведомственных им предприятиях, учреждениях и организациях.

    Информация, являющаяся служебной тайной

    Сведения, составляющие служебную тайну:

    • Данные о руководстве организаций и их работниках (профессиональные качества, судимости, анкетные данные, адреса проживания, опыт работы).

    • Документация о структуре предприятия, методах его управления и обучения персонала.

    • Информация о вложениях капиталов, ценных бумаг, счетах в банках.

    • Сведения об источниках финансирования, сделках и контрактах.

    • Кредитоспособность предприятия, состояние его материально-технической базы.

    31. Коммерческая тайна


    29 июля 2004 года N 98-ФЗ
    коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

    информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны;

    обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;

    доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;

    передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;

    контрагент - сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию;

    предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций;

    разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

     32. Цели защиты информации


    Цели защиты информации

    1.      Соблюдение конфиденциальности информации ограниченного доступа.

    2.      Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к такой информации.

    3.      Предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию и предоставлению информации, а также иных неправомерных действий в отношении такой информации.

    4.      Реализация конституционного права граждан на доступ к информации.

    5.      Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

    33.Электронная подпись


    (п. 3 в ред. Федерального закона от 30.12.2015 N 445-ФЗ)

      1. электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

    Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП), Цифровая подпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в криптовалютной системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.

    ЭЦП — это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

    Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:

    • Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.

    • Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом. Механизм шифрования является общеизвестным.

    • Если электронный документ поддается расшифровке с помощью открытого ключа, то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.

    Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш — небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Шифрованный хеш и является электронной подписью.

    2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

    .3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган);

    (см. текст в предыдущей редакции)

    4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;

    5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

    6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

    7) удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

    8) аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона;

    9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

    10) средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра;

    11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане;

    12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц;

    13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано;

    14) вручение сертификата ключа проверки электронной подписи - передача доверенным лицом удостоверяющего центра, изготовленного этим удостоверяющим центром сертификата ключа проверки электронной подписи его владельцу;

    15) подтверждение владения ключом электронной подписи - получение удостоверяющим центром, уполномоченным федеральным органом доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному таким лицом для получения сертификата.

    34. Роль и место информационной безопасности в составе национальной безопасности.


    Национальная безопасность — способность нации удовлетворять потребности, необходимые для её самосохранения, самовоспроизведения и самосовершенствования с минимальным риском ущерба для базовых ценностей её нынешнего состояния.

    По другому определению, национальная безопасность — совокупность официально принятых взглядов на цели и государственную стратегию в области обеспечения безопасности личности, общества и государства от внешних и внутренних угроз политического, экономического, социального, военного, техногенного, экологического, информационного и иного характера с учётом имеющихся ресурсов и возможностей.

    Национальная безопасность Российской Федерации — состояние защищённости личности, общества и государства от внутренних и внешних угроз, при котором обеспечиваются реализация конституционных прав и свобод граждан Российской Федерации, достойные качество и уровень их жизни, суверенитет, независимость, государственная и территориальная целостность, устойчивое социально-экономическое развитие Российской Федерации. Национальная безопасность включает в себя оборону страны и все виды безопасности, предусмотренные Конституцией Российской Федерации и законодательством Российской Федерации, прежде всего государственную, общественную, информационную, экологическую, экономическую, транспортную, энергетическую безопасность, безопасность личности.

    Национальная безопасность включает в себя:

    • государственную безопасность — понятие, характеризующее уровень защищенности государства от внешних и внутренних угроз;

    • общественную безопасность — понятие, выраженное в уровне защищенности личности и общества, преимущественно, от внутренних угроз общеопасного характера;

    • техногенную безопасность — уровень защищенности от угроз техногенного характера;

    • экологическую безопасность и защита от угроз стихийных бедствий;

    • экономическую безопасность

    • энергетическую безопасность

    • информационную безопасность

    • безопасность личности

    Обеспечение национальной безопасности — комплекс политических, экономических, социальных, здравоохранительных, военных и правовых мероприятий, направленных на обеспечение нормальной жизнедеятельности нации, устранение возможных угроз.

    Обеспечение национальной безопасности включает в себя:

    • формирование улучшенного стабильного экономического состояния гражданина в отношении других граждан, проживающих на территории данного государства.

    • защиту государственного строя;

    • защиту общественного строя;

    • обеспечение территориальной неприкосновенности и суверенитета;

    • обеспечение политической и экономической независимости нации;

    • обеспечение здоровья нации;

    • охрана общественного порядка;

    • борьба с преступностью.

    • обеспечение техногенной безопасности и защита от угроз стихийных бедствий.

    Органы, обеспечивающие национальную безопасность, — армия, авиация, флот, службы разведки и контрразведки, правоохранительные органы, медицинские органы.

    под информационной безопасностью (ИБ) личности, общества, государства и современных автоматизированных и телекоммуникационных систем понимается состояние защищенности информационной среды, соответствующей интересам (потребностям) личности, общества и государства в информационной сфере, при котором обеспечиваются их формирование, использование и возможности развития независимо от наличия внутренних и внешних угроз.

    Информационная безопасность определяется способностью государства (общества, личности):

    – обеспечить с определенной вероятностью достаточные и защищенные информационные ресурсы, и информационные потоки для поддержания своей жизнедеятельности, и жизнеспособности, устойчивого функционирования и развития;

    – противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

    – вырабатывать личностные и групповые навыки и умения безопасного поведения;

    – поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

    Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической и военной мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретное политическое, материальное и стоимостное выражение. На этом фоне все более актуальный характер приобретают вопросы обеспечения ИБ Российской Федерации как неотъемлемого элемента национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.

    В любой стране ИБ придается особое значение. В своем развитии эта задача проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств добывания сведений (в частности, разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

    Интересы личности определены как полное обеспечение конституционных прав и свобод, личной безопасности, повышение качества и уровня жизни, физическое, духовное и интеллектуальное развитие. Интересы общества установлены в упрочении демократии, создании правового государства, достижении и поддержании общественного согласия, духовном обновлении России. Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии международного сотрудничества.

    В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

    35. Основные мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн.


    Мероприятия по обеспечению безопасности персональных данных при их обработке в испд

    Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

    1. определить угрозы безопасности персональных данных при их обработке и построить модель угроз;

    2. разработать на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

    3. проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

    4. установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;

    5. обучить персонал работе со средствами защиты информации;

    6. вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

    7. вести учет лиц, допущенных к работе с персональными данными в информационной системе;

    8. контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

    9. разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

    10. составить описание системы защиты персональных данных.

    3.5. Основные принципы обеспечения безопасности персональных данных

    При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

    1. принцип законности;

    2. принцип максимальной дружественности и прозрачности;

    3. принцип превентивности;

    4. принцип оптимальности и разумной разнородности;

    5. принцип адекватности и непрерывности;

    6. принцип адаптивности;

    7. принцип доказательности и обязательности контроля;

    8. принцип самозащиты и конфиденциальности самой системы защиты информации;

    9. принцип многоуровневости и равнопрочности;

    10. принцип простоты применения и апробированности защиты;

    11. принцип преемственности и совершенствования;

    12. принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

    • Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

    • Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

    • Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

    • Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

    • Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

    • Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

    • Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

    • Принцип самозащиты и конфиденциальности самой системы защиты информации.

    • Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

    • Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

    • Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

    • Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями

    36. Требования федерального закона № 149 "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. к обеспечению безопасности информации


    Закон об информ. безопасности 149 был принят Государственной Думой 8 июля 2006 года, а одобрен Советом Федерации 14 июля 2006 года. Последние изменения в него были внесены 25 ноября 2017 года. ФЗ 149 содержит 18 статей. Он касается правоотношений, возникающих при проведении деятельности по поиску, предоставлении, производстве или передаче материалов, или информации, при использовании системы и развитии мер защиты информации, при использовании или применении полученных сведений.

    Настоящий Федеральный закон обладает основными принципами, используемыми для определения информационной безопасности и для мер защиты:

    • Любое лицо, проживающее на территории России, имеет право на поиск публичной и общедоступной информации, использование найденных сведений для распространения и передачи любыми известными способами;

    • Граждане имеют право применять, распространять или передавать только общедоступные сведения, запрещено запрашивать какие-либо данные, относящиеся к секретным или частным;

    • Ограничения или запрет на доступ к информации может быть осуществлен только в связи с определенными положениями законодательства Российской Федерации;

    • Сведения распространяются и передаются лицам только в случае их запроса на эту информацию;

    • Любая организация, фирма или компания с коммерческой программой обязуется предоставить подробные сведения о собственной деятельности и с описанием характеристик компании в публичном доступе. Исключения могут быть использованы только если они соответствуют условиям и требованиям настоящего ФЗ;

    • Информационная система контролируется и защищается государственными учреждениями;

    • Все системы, эксплуатация информации и данные, оформленные на официальных сайтах или в официальных документах обязаны быть на русском языке.

    Не только граждане (физ. лица), но и юридические лица обладают правами на наличие информации. У физ. и юр. лиц различные полномочия в этой области и права, обязанности и полномочия определяются законодательством, а именно нормативными актами РФ и описываемым Федеральным законом.

    37. Критическая информационная инфраструктура


    26 июля 2017 года N 187-ФЗ

     критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

    объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

    субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

    Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:

    • здравоохранение,

    • наука,

    • транспорт,

    • связь,

    • энергетика,

    • банковский (финансовый) сектор,

    • топливно-энергетический комплекс,

    • атомная энергетика,

    • оборонная промышленность,

    • ракетно-космическая промышленность

    • горнодобывающая промышленность,

    • металлургическая промышленность

    • химическая промышленность

    Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.

    Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры».

    38. Государственные информационные системы


    государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

    Государственная информационная система создается, когда необходимо обеспечить:

    • реализацию полномочий госорганов;

    • информационный обмен между госорганами;

    • достижение иных установленных федеральными законами целей.

    Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

    1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.

    2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.

    3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления.  ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

    Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).
    1   ...   6   7   8   9   10   11   12   13   14


    написать администратору сайта