Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Тема № 11(30.03.2015). Контрольные вопросы Что такое информация ограниченного использования


Скачать 1.41 Mb.
НазваниеКонтрольные вопросы Что такое информация ограниченного использования
Дата31.03.2022
Размер1.41 Mb.
Формат файлаpptx
Имя файлаТема № 11(30.03.2015).pptx
ТипРеферат
#432447
страница1 из 3
  1   2   3

Тема 11

Информационная безопасность предприятия.

Защита персональных данных, а также сведений, составляющих государственную, коммерческую, налоговую и банковскую тайны.

Содержание темы:


  • Введение
  • Тайна персональных данных
  • Коммерческая тайна
  • Банковская тайна
  • Налоговая тайна
  • Государственная тайна
  • Обязанности субъектов конфиденциальной информации
  • Ответственность за нарушение режимов обеспечения информационной безопасности


Контрольные вопросы:


  • Что такое информация ограниченного использования?
  • Какие существуют виды информации ограниченного использования?
  • Как осуществляется защита персональных данных?
  • Почему в отдельных случаях бизнес отвечает за защиту сведений, составляющих государственную тайну?
  • Что включает себя система мер по защите конфиденциальной информации?
  • Кто и в каких случаях может получать информацию, составляющую банковскую тайну?
  • Какие меры предусмотрены в трудовом, таможенном, банковском, гражданско-правовом, административном и уголовном законодательстве для защиты информации ограниченного использования?

На протяжении тысяч лет под обеспечением безопасности информации понималась исключительно задача обеспечения ее конфиденциальности. Были испробованы разные способы обеспечения конфиденциальности – от тайнописи и использования незнакомого иностранного языка для скрытия информации от недруга до отрезания языка носителю информации, что было, видимо, эффективно в условиях, когда письменностью владели единицы людей и онемевший носитель не мог передать никому свое знание секрета. В итоге конкуренции методов победила криптография, в котором работали и работают выдающиеся математики как прошлого, так и настоящего. Радио представило новую возможность передачи информации. Сразу возникла возможность передавать в эфире значительные объемы конфиденциальной информации. Это породило сразу два направления деятельности: по созданию эффективных шифров и алгоритмов их взломов.

Изучение проблем создания, хранения, обработки и передачи информации показало, что функция защиты информации на всех стадиях методологически может быть представлена тремя этапами:
  • Начальный;
  • Развитый;
  • Комплексный.

    • Первые два этапа характеризуются экстенсивными подходами к решению проблем защиты информации, основное содержание которых связано с осмыслением важности и необходимости проблемы, накоплением и анализом статистической информации, внедрением в практику более эффективным методов и средств защиты. Последний, современный этап, характеризуется разработкой и внедрением принципиально новых научных подходов, реализующих системные принципы.

Введение

Экскурс в теорию информации

Слово «информация» латинского происхождения, что в переводе означает сообщение о каком-либо факте, событии. В широком смысле слова – любые сведения, дающие представление о той или иной стороне материального мира и происходящих в нем процессах.

В философском смысле, информация – есть отражение реального мира.

В практическом смысле, информация – есть все сведения, являющиеся объектом хранения, передачи и преобразования.

Основные признаки информации:

Качественный – позволяет расчленить информацию по отраслям знаний и функциям.

Количественный – позволяет определить единицу измерения информации.

Количественным описанием процессов информации и математическими закономерностями занимается теория информации.

Информация есть характеристика не сообщения, а соотношения между сообщением и его потребителем.

Без наличия потребителя говорить об информации так же бессмысленно, как и без наличия сообщения.

Схема передачи информации

Помехи и шумы

Канал связи

ИИ

ПрдС

К

ДК

ПрИ

ПрмС

Защита от помех

ПрдС – передатчик сообщения

К - кодер

ИИ – источник информации

ПрмС – приемник сообщения

ДК - декодер

ПрИ – приемник информации

Белов В.М., Новиков С.Н., Солонская О.И. Теория информации. 2012. М. Телеком

ЗНАНИЯ

ИНФОРМАЦИЯ

ДАННЫЕ

ТРЕБОВАНИЯ:

полезность

доступность

объективность

актуальность

полнота

согласованность

достоверность

релевантность

понятность

защищенность

Топ-менеджмент

Менеджмент бизнес-направлений

Руководство служб, подразделений

Персонал

Качество и уровни информации

Информационное поле бизнеса и его информационная сфера образуются из:
  • Правовой среды (законодательных и нормативных актов, прочих документов);
  • Отчетности по нормам правовой среды;
  • Специфичной информации бизнеса, состоящей из:
    • Субъектов, объектов и процессов бизнеса, представленных в информационном виде;
    • Нормативной, организационно-распорядительной и иной документационной базы организации;
    • Данных мониторинга бизнес среды и собственной среды;
    • Аналитических данных (обзоров) и прогнозов состояния внешних и внутренних факторов влияния;
    • Стратегических и оперативных планов организации и решений по ним.

Информационные характеристики бизнеса

Противоборствующая сторона

Противоборствующая сторона

Стремление сохранить собственную информацию

Стремление получить чужую информацию

Стремление навязать заведомо ложную информацию

Информационное противоборство

Формализация угроз, уязвимостей и рисков

Первый этап

Царегородцев А.В., Тараскин М.М., Дербин Е.А. Один из подходов к формализации описания угроз, уязвимостей и рисков системы защиты информации на предприятии, 2012, М., ж. Национальная безопасность

Второй этап

Что охранять?

От кого охранять?

Модель угроз

Модель нарушителя

Третий этап

Идентификация и оценка информационных активов организации

Источники проблем обеспечения безопасности информации

См. далее

См. темы №№ 3, 7, 12, 15

Идентификация и оценка информационных активов организации

Идентификация

Оценка
  • Тайна персональных данных
  • Коммерческая тайна (собственная)
  • Коммерческая тайна (по договору)
  • Налоговая тайна
  • Банковская тайна
  • Ведомственная тайна
  • Государственная тайна

Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива.
  • Разглашение персональных данных клиентов или работников приведет к реализованным правовым рискам
  • Разглашение коммерческой тайны (собственной) может привести к потере важных позиций на рынке и финансовым потерям
  • Разглашение коммерческой тайны (по договору) может привести к правовым, финансовым и репутационным рискам
  • Разглашение налоговой и банковской тайны может привести к правовым, финансовым и репутационным рискам
  • Разглашение ведомственной тайны (для служебного пользования) может привести к репутационным рискам
  • Разглашение государственной тайны может привести к правовым рискам (привлечение к уголовной ответственности)

?

2

1

Модель нарушителя

Цели

Квалификация

Пространственно-временные характеристики проникновения

Пути проникновения в АС

Осведомленность

Техническая оснащенность

Случайные, непреднамеренные действия / хулиганство / промышленный шпионаж / продажа информации

Любопытство / кража информации / преодоление средств защиты / нарушение работы программ / заражение вирусами / разрушение

Начинающий / специалист / профессионал / сотрудники предприятия

Последовательное (рубеж за рубежом) / один рубеж / комбинированное / во время функционирования АС / вне времени функционирования АС

Из глобальной сети / из внутренней сети АС

Неосведомленный нарушитель / общая осведомленность / осведомленность о конкретной АС / о назначении АС / полная осведомленность

Домашняя ЭВМ / сетевая ЭВМ в АС / ЭВМ последнего поколения в сети АС / ЭВМ последнего поколения в сети АС, со специальной техникой и ПО для преодоления системы защиты

Мотивация

Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ

«Об информации, информационных технологиях и о защите информации»

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие основные понятия:
  • информация – сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
  • обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • доступ к информации – возможность получения информации и ее использования;
  • конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
  • предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
  • распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
  • электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
  • документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель…

Статья 16. Защита информации

  • Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
    • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
    • соблюдение конфиденциальности информации ограниченного доступа;
    • реализация права на доступ к информации.
  • Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и защите информации.
  • Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
  • Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
    • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
    • своевременное обнаружение фактов несанкционированного доступа к информации;
    • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
    • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
    • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
    • постоянный контроль за обеспечением уровня защищенности информации…

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
  • Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации;
  • Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлось обязанностями данного лица.
  • В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
    • либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
    • либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения такой информации.

Научно-технический прогресс приводит к ускорению изменений. Поэтому при обеспечении безопасности сложной социально-экономической системы возникает дефицит информации. Не зная реального положения дел, ее руководство не в состоянии блокировать возникающие опасности и риски.

Например, мэр города не имеет полной информации об угрозах местному бизнесу со стороны внешних конкурентов. В региональном управлении применяются местнические подходы, наносящие вред государству. Федеральные власти не владеют ситуацией в регионах, управляемых ими же предложенными руководителями. Мировое сообщество не имеет полной информации о распространении оружия массового поражения, пределах роста, обусловленных ограничениями ноосферы и т.д. Все чаще возникают кризисы, обусловленные приближением необходимых скоростей принятия решений в реальных, жизненно важных областях к предельно возможной для руководителя скорости обучения и реагирования. С ними растут риски и угрозы безопасности социально-экономических систем.

Глобализация приводит к социально-политической и экономической прозрачности государств, размыванию барьеров между странами. Глобальная безопасность связана с миграцией не только населения (человеческого капитала), но и финансового капитала, созданием новых его центров. В этих условиях выживают и развиваются организации, в максимальной степени использующие возможности быстрых перемен для укрепления собственной безопасности. При этом необходимо учитывать, что наиболее полную информацию об угрозах и рисках имеют руководители, непосредственно работающие на местах, в городе или регионе. Они же располагают оперативными возможностями для последовательной минимизации рисков и устранения угроз. В результате выигрывают организации, которые обеспечивают максимальное использование возможностей своих сотрудников на местах для повышения безопасности в условиях быстрых перемен. Для этого применяются прогрессивные адаптивные механизмы безопасности, разработкой которых занимаются исследователи.

Проблема дефицита информации

Условия быстрых перемен

Эффект

глобализации

Напоминание о теме № 1

Изучение среды защиты

Построение механизмов защиты

Определение требований к защите

Анализ уязвимости информации

4

3

2

1

Организация защиты информации на этапе эмпирического подхода

Структура унифицированной концепции защиты информации

Среда защиты

Концепция информатизации

Методология оценки уязвимости и защиты

Система, функции, задачи и средства защиты

Условия повышения эффективности защиты

Требования к концептуальным решениям
  • Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса
  • Может без изменения применяться в ЛЮБОЙ организации

    • Меняться будет только наполнение ее ключевых элементов – стейкхолдеры,

    информационная сфера, интересы

ЧТО ТАКОЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?

СТЕЙКХОЛДЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Тайна персональных данных

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Статья 3. Основные понятия


  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)…
  • Персональные данные человека конфиденциальны
  • Только он распоряжается ими
  • Человек может дать согласие на обработку своих персональных данных
  • Человек может отказаться от обработки своих данных
  • Человек может отозвать свое согласие на обработку своих данных
  • В случае смерти человека, согласие на обработку его персональных данных могут дать его наследники

Согласие

Отзыв согласия

ОПЕРАТОР

Персональные данные

СУБЪЕКТ

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Отказ в согласии

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением специально предусмотренных случаев.
  1   2   3

написать администратору сайта