Московский финансово-промышленный университет «Синергия». Литература по теме Тема Нормативноправовые аспекты информационной безопасности и защиты информации Вопрос Основы нормативноправовой защиты информации
Скачать 1.44 Mb.
|
Тема 2. Нормативно-правовые аспекты информационной безопасности и защиты инф Цели и задачи изучения темы: 1. Сформировать представление об уровнях правовой защиты информации и соответствующей нормат 2. Понять возможности применения основных нормативных документов РФ в области защиты информ 3. Понять правовые основы ответственности за несанкционированное получение информации или при 4. Сформировать представления о сведениях, составляющих государственную тайну. 5. Научиться выявлять официальные каналы, через которые может происходить утечка информации, с коммерческую тайну. 6. Научиться выявлять возможные пути утраты интеллектуальной собственности и осуществлять их б 7. Приобрести навыки оценки уязвимости активов компании. Вопросы темы: 1. Основы нормативно-правовой защиты информации. 2. Основные нормативные документы РФ по защите информации. 3. Защита государственной тайны. 4. Защита коммерческой тайны (КТ). 5. Доктрина ИБ РФ. Вопрос 1. Основы нормативно-правовой защиты информации. Требования информационной безопасности включены во все уровни законодательства, в том чи законодательство, основные общие законы, законы по организации государственной системы управлен ведомственные правовые акты и другие как это представлено на рисунке 5 Рис. 5. Уровни правовой защиты информации Такой подход определяет следующую структуру правовых актов, ориентированных на правовую защи Первый блок — конституционное законодательство. Нормы, касающиеся вопросов информатизаци входят в него как составные элементы. Второй блок — общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о г антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационно Третий блок — законы об организации управления, касающиеся отдельных структур хозяйс государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты Четвертый блок – специальные законы, полностью относящиеся к конкретным сферам отноше процессам. Вопрос 2. Основные нормативные документы РФ по ЗИ. Специальное законодательство в области безопасности информационной деятельности мо совокупностью законов. В их составе особое место принадлежит Федеральному закону от 27 июля информации, информационных технологиях и о защите информации», который закладывает основы пр важнейших компонентов информационной деятельности: а) информации и информационных систем; б) субъектов — участников информационных процессов; в) правоотношений производителей — потребителей информационной продукции; г) владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отно при обеспечении гарантий интересов граждан и государства. Этот закон определяет основы защиты информации в системах обработки и при ее использовании с у открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общи ведению информационных систем, включая банки данных государственного назначения, порядка госу лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав учас процесса. Порядок отношений, связанных с обработкой персональных данных, регулируется законом от персональных данных». В частности, согласно п. 1.1 статьи 6 данного закона «Обработка персональных согласия субъекта персональных данных на обработку его персональных данных» в связи с чем орган персональные данные гражданина необходимо для этого получить его письменное согласие кроме сл являются государственной тайной. Вопросы правового режима информации с ограниченным доступом реализуются в двух сам государственной и коммерческой тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ и коммерческая тайна». 1. Информация составляет служебную или коммерческую тайну в случае, когда информация им потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободн основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, кот служебную или коммерческую тайну, определяются законом и иными правовыми актами. 2. Информация, составляющая служебную или коммерческую тайну, защищается способами, преду кодексом и другими законами. Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное по причинение ущерба. Звучит это так: «Лица, незаконными методами получившие информацию, которая с коммерческую тайну, обязаны возместить причиненные убытки». Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую т договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной ин Ответственность за совершение преступлений в сфере информационных технологий, в частности, целостности и конфиденциальности информации, регулируется следующими документами: • Гражданский кодекс РФ (ГК РФ); • Уголовный кодекс (УК РФ); • Кодекс об административных правонарушениях КоАП РФ; • Трудовой кодекс (ТК РФ). При совершении мошенничества в сети Internet статья закона, по которой виновный понесет отв стоимости похищенного и от обстоятельств хищения. Если стоимость похищенного не более 1 тыс. руб., то мошенник подлежит административной от КоАП РФ. В качестве наказания эта норма предусматривает штраф или арест до 15 суток. Если мошенничество в сети Internet совершено на сумму более 1 тыс. рублей, то оно является уголовн закон содержит специальную норму, устанавливающую ответственность за мошеннические действия информации — ст. 159.6 УК РФ. Максимальным наказанием за подобные деяния является арест сроком на 4 отягчающие обстоятельства (совершение мошенничества группой лиц, хищение в крупном или особо кр виновный может быть подвергнут заключению на срок до 10 лет. Если злоумышленник требовал передачи ему денег, угрожая распространением конфиденциальн фотографий), то его действия являются не мошенничеством, а вымогательством - ст. 163 УК РФ. В зависимости от конкретных обстоятельств, помимо ответственности за хищение мошенникам мож наказание за преступление в сфере компьютерной информации (ст. 272–274 УК РФ), то есть за неправомерн распространение вирусов, нарушение правил эксплуатации ЭВМ или информационных сетей. Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракт исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглаш Вопрос 3. Защита государственной тайны. Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента Российской 1995 года N 1203 (последние Выдержки из данного документа представлены в таблице 1. изменения внесе от 18 мая 2009 г. N 565 «О внесении изменения в перечень сведений, отнесенных к государственной тай Президента Российской Федерации от 30 ноября 1995 года N 1203». Выдержки из данного документа предст Основные категории сведений, отнесенных к государственной тайне Сведения, отнесенные к государственной тайне Государственные органы и организации, наделенные полномочиями по распоряжению сведениями, отнесенными к государственной тайне I. Сведения в военной области 1. Сведения, раскрывающие план применения Вооруженных Сил Российской Федерации, оперативные планы применения (планы боевого применения) войск, содержание мероприятий, касающихся военных действий и их обеспечения, боевого управления или перевода с мирного на военное время, а также боевые задачи носителям ядерного оружия МВД России МЧС России Минобороны России ФСБ России ФСО России 2. Сведения, раскрывающие планы применения войск в мирное время в специальных (контртеррористических) операциях или мероприятиях по обеспечению защиты государства, общества и личности от антиконституционных действий и противоправного вооруженного насилия Администрация Президента Российской Федерации МВД России Минобороны России ФСБ России ФСО России II. Сведения в области экономики, науки и техники 42. Сведения о горных выработках, естественных полостях, метрополитенах или других сооружениях, которые могут быть использованы в интересах обороны страны, а также сведения, раскрывающие схемы водоснабжения городов с населением более 300 тыс. человек или железнодорожных узлов, расположение головных сооружений водопровода или водовода, их питающих МЧС России Минобороны России МПР России Минпромэнерго России Минрегион России 66. Сведения о запасах платины, металлов платиновой группы, природных алмазов, хранящихся в Гохране России, Банке России, серебра - в Гохране России Минфин России Центральный Банк России III. Сведения в области внешней политики и экономики 68. Сведения по вопросам внешней политики, внешней торговли, научно-технических связей, раскрывающие стратегию, тактику внешней политики Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства Администрация Президента Российской Федерации МИД России Минобороны России Минобрнауки России Минпромэнерго России Минэкономразвития России ФСТЭК России IV. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности 83. Сведения, раскрывающие силы, средства, источники, методы, планы, результаты разведывательной деятельности, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения МЧС России Минобороны России МПР России Минпромэнерго России Минрегион России 102. Сведения, раскрывающие методы, способы или средства защиты информации, содержащей сведения, составляющие государственную тайну, планируемые и (или) проводимые мероприятия по защите информации от несанкционированного доступа, иностранных технических разведок и утечки по техническим каналам, а также данные о финансировании этой деятельности, если эти данные раскрывают перечисленные сведения. Минобороны России СВР России ФСБ России ФСО России ФСТЭК России ФТС России Вопрос 4. Защита коммерческой тайны (КТ). Согласно Федеральному Закону от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне» Ст.3 п.1: «Ко конфиденциальности информации, позволяющий ее обладателю при существующих или возможных о доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или полу выгоду». По мере развития рыночных отношений и расширения внешнеэкономических связей российск партнеров и конкурентов все чаще появляются устремления к сведениям о планах фирмы, ее финанс управления, рыночной стратегии. Возникновение конкуренции также порождает между ними подобные устремления. Построение системы защиты коммерческой тайны фирмы более чем необходимо при регул иностранными представителями. Построение такой защиты целесообразно начать с определения соответствующих им возможных официальных каналов распространения конфиденциальной информации. С учетом специфики научно-технической и коммерческой деятельности, степенью развития связей хотелось бы выделить перечень официальных каналов передачи информации при таком взаимодействии: • выступления сотрудников фирмы с докладами и в дискуссиях на международных конференциях и с в России и за рубежом; • передача информации в процессе общения с иностранными журналистами; • демонстрация научно-технических фильмов; • демонстрация действующих объектов научно-технических достижений (оборудования, изделий, тех • демонстрация научно-технических достижений на выставках, проводимых в России и за рубежом; • все виды рекламы экспортной продукции в форме печатных изданий — брошюр, стендовой литерат ярмарок; • обмен с зарубежными научными учреждениями, предприятиями и фирмами отчетами о НИОКР в с соглашениями о научно-техническом сотрудничестве или о совместном выполнении исследования и разрабо • публикация научных, технических и других материалов в зарубежных и международных изданиях; • передача информации при переписке с зарубежными научными учреждениями и специалистами; • передача сведений представителям иностранных фирм в процессе переговоров или при заключении импортных соглашений; • прием иностранных специалистов на территории фирмы; • проведение совместных разработок (проектов, экспериментов) в рамках осуществления научно-тех Каждый из вышеуказанных каналов характеризуется весьма значительными объемами передачи и партнерами. Анализ, поступающих по открытым каналам сведений позволяет иностранным экспертам получать с фирмы, ее достижениях и другую ценную информацию. Для сбора интересующей информации зарубежные фирмы активно используют различные приемы особенно на международных выставках. Путем опроса и анкетированная российских специалист информацию об их месте работы, тематике проводимых ими исследований и разработок. Основным «производителем» и «держателем» информации является человек. Это первичный канал утраты любого объекта интеллектуальной собственности Исходя из этого основное внимание должно б фирмы, начиная от момента их поступления на работу. Миграция специалистов, особенно имевших дело с конфиденциальной информацией, — сам контролируемый канал утечки информации. Так, получившая у нас в последнее время широкое распрост рода совместительства сотрудников, прежде всего научно-исследовательских организаций, где профессиональные знания, опыт и навыки, приобретенные по основному месту работы, т. е. фактически и организации, только должным образом не оформленный в ее собственность, является одним из наиболее в информации. По опыту зарубежных стран и после увольнения сотрудника (по крайней мере, в течен дальнейшей деятельности не должно ослабевать. Особыми каналами утраты интеллектуальной собственности или, по крайней мере, ее коммерч совместные работы с другими фирмами, контакты с клиентами и инвесторами, где особое место зан например, в целях сбора интересующей их информации инофирмы нередко идут на создание совместных пр Не следует упускать из виду также технические средства недобросовестной конкуренции (промышлен все чаще проникают и на наш внутренний рынок. Тем более, что многие производственные процессы со имеющими физическую, химическую, биологическую и иную природу, в результате которых переносится т Анализ и обобщение возможных путей утраты интеллектуальной собственности (следовательн перекрытию) должны вестись по следующим основным направлениям: 1. Люди. 2. Документы. 3. Изделия — процессы. Учитывая большое количество и разнообразие конкретных каналов утечки информации, наиболее построение работы именно исходя из перечисленных направлений. Разработку мероприятий по сохране предприятия следует осуществлять, соблюдая принцип комплексного перекрытия возможных канало обеспечения равнозначной надежности защиты всех ее носителей. Защита от утечки конфиденциальной информации полностью ложится на саму фирму. Необходимо са заботу о защите собственных передовых технологий, новых научных идей и результатов перспективных р задерживать публикации о полученных научных результатах, выхолащивать из них сведения, представляю общественности, ограничивать доступ к ней широкого круга лиц. В процессе проведения совместных встреч, где обстановка общения, характеризующаяся сравнитель участников, присутствием посторонних лиц, необходимостью придать огласке конфиденциальную и контроля за поведением участников и т. п., объективно создают условия повышенной уязвимости информац Следовательно, все это ставит организацию перед необходимостью принятия мер по защите собст ресурсов, в процессе реализации которых решаются задачи в совокупности по следующим направлениям: • отбор и группировка информации, подлежащей оглашению; • разработка и реализация правил проведения совещаний и переговоров, приема посетителей; • организация работы с персоналом, т. е. лицами, которым поручена организация и проведение совещ ответственными за прием посетителей; • проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводят переговоры; их охрана. Вопрос 5. Доктрина ИБ РФ. Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ Пр-1895) представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные информационной безопасности Российской Федерации. Особую значимость представляют следующие положения Доктрины: 1. Информационная безопасность Российской Федерации понимается в Доктрине как состояние защ интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбал личности, общества и государства. Определяется содержание интересов личности, общества игосударства При этом в качестве составляющей части этих интересов называется обеспечение права на доступ к инфо информации в интересах осуществления не запрещенной законом деятельности (п. 1 разд. I). 2. В Доктрине выделяются четыре основные составляющие национальных интересов Ро информационной сфере: 1) соблюдение конституционных прав и свобод человека и гражданина в области получения информа 2) информационное обеспечение государственной политики Российской Федерации, связанное с дов международной общественности достоверной информации о государственной политике Российской Фе позиции по социально значимым событиям российской и международной жизни, с обеспечением дост государственным информационным ресурсам; 3) развитие современных информационных технологий, отечественной индустрии информации и т.п. 4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасн телекоммуникационных систем. 3. Доктрина называет в числе угроз информационной безопасности Российской Федерации угрозы к свободам человека и гражданина в области духовной жизни и информационной деятельности, сред выделяются: 1) создание монополий на формирование, получение и распространение информации в Российской Ф 2) нерациональное, чрезмерное ограничение доступа к общественно необходимой информации; 3) неисполнение требований федерального законодательства, регулирующего отношения в информац 4) неправомерное ограничение доступа граждан к открытым информационным ресурсам органов органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значим 5) манипулирование информацией (дезинформация, сокрытие или искажение информации) и др. информационной безопасности называется и отставание России от ведущих стран мира по уровню инфо органов государственной власти и других органов и сфер деятельности. 4. Особое место в Доктрине отводится особенностям обеспечения информационной безопасно играющей ключевую роль в обеспечении национальной безопасности Российской Федерации. 5. В Доктрине определяются и некоторые особенности обеспечения информационной безопасност разд. II). К наиболее важным объектам обеспечения такой безопасности относятся информационные ре содержащие специальные сведения и оперативные данные служебного характера. 6. В Доктрине сформулированы основные положения государственной политики обеспечения инфо Российской Федерации (п. 8 разд. III). В качестве приоритетного направления такой политики называе информационной безопасности, которое должно базироваться прежде всего на соблюдении принцип интересов граждан, общества и государства в информационной сфере. 7. Органы судебной власти, как это предусмотрено в Доктрине, являются одним из основных эл основы системы обеспечения информационной безопасности Российской Федерации. В их задачи входит о и обеспечение судебной защиты граждан и общественных объединений, чьи права были нарушены пообеспечению информационной безопасности Российской Федерации (п. 11 разд. III). Вопросы для самопроверки: 1. Какие выделяют уровни правовой защиты информации? 2. Какой нормативный документ РФ закладывает основы правового определения всех важнейших ком информационной деятельности? 3. Какой нормативный документ РФ определяет правовые основы ответственности за несанкциониро информации или причинение ущерба? 4. Какие основные сведения относятся к категории государственной тайны? 5. Какая информация относится к категории коммерческой тайны? 6. Какие официальные каналы передачи информации могут стать источником доступа к информации коммерческой тайной? 7. Что является самым основным и трудно контролируемым каналом утечки информации, являющей 8. Что является самым основным каналом утраты интеллектуальной собственности? 9. Какие существуют основные направления утраты интеллектуальной собственности? 10. Какие задачи решаются в процессе защиты собственных информационных ресурсов? 11. В чем заключаются основные положения Доктрины информационной безопасности Российской Ф Литература по теме: Основная литература: 1. Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: учебн Директ-Медиа, 2015. – 253 с. http://biblioclub.ru Дополнительная литература: 1. Аверченков В.И. Аудит информационной безопасности: учебное пособие. – 3-е изд., стер. – М.: Фли http://biblioclub.ru 2. Аверченков В.И. Служба защиты информации: организация и управление: учебное пособие / В.И. А – 3-е изд., стер. – М.: Флинта, 2016. –186 с. http://biblioclub.ru 3. Кияев В. Безопасность информационных систем: курс / В. Кияев, О. Граничин. – М.: Национальный «ИНТУИТ», 2016. – 192 с. http://biblioclub.ru 4. Системы защиты информации в ведущих зарубежных странах: учебное пособие / В.И. Аверченков, Кондрашин, М.В. Рудановский. – 4-е изд., стер. – М.: Флинта, 2016. http://biblioclub.ru Нормативно-правовые акты: 1. Гражданский кодекс Российской Федерации часть первая от 30 ноября 1994 г. N 51-ФЗ,часть втора 14-ФЗ, часть третья от 26 ноября 2001 г. N 146-ФЗ и часть четвертая от 18 декабря 2006 г. N 230-ФЗ. 2. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентяб 3. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195 4. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ (ТК РФ). 5. Уголовный кодекс Российской Федерации от 13 июня 1996 г. N 63-ФЗ. 6. Указ Президента РФ от 30.11.1995 N 1203 « Об утверждении Перечня сведений, отнесенных к госуд редакции от 27.06.2014). 7. Указ Президента РФ от 06.03.1997 N 188 « Об утверждении Перечня сведений конфиденциального х 23.09.2005). 8. Федеральный закон от 29.07.2004 N 98-ФЗ « О коммерческой тайне » (в редакции от 11.07.2011). |