Главная страница
Навигация по странице:

  • Примерный алгоритм расчета ущерба и стоимости информации

  • Уголовный кодекс о защите информации. Стать 272, 273, 274.

  • Направления защиты информации. Краткая характеристика

  • Перечень защищаемой информации. Виды защищаемой информации

  • Классификация угроз информационной безопасности

  • Классификация компьютерных преступлений по Интерполу

  • Модель злоумышленника. Составные части. Примеры

  • билеты по инф без. билеты ИБ. Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)


    Скачать 61.61 Kb.
    НазваниеРоссийское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)
    Анкорбилеты по инф без
    Дата12.01.2023
    Размер61.61 Kb.
    Формат файлаdocx
    Имя файлабилеты ИБ.docx
    ТипЗакон
    #883348
    страница1 из 3
      1   2   3

    1. Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)

    Функционирование информации обеспечивается следующими основными законами:

     Конституция РФ (Конституция РФ гарантирует права граждан свободно искать,

    получать, передавать, производить и распространять информацию

    любым законным способом - ст. 29 ч.4. А также гарантирует

    гражданам право на охрану личной тайны.

    Она же определяет обязанности государства по обеспечению

    возможности ознакомления гражданина с документами и

    материалами, непосредственно затрагивающими его права и

    свободы.

     Федеральный Закон «О безопасности» ( Настоящий Федеральный закон определяет основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности)

     Федеральный Закон «О государственной тайне» (Закон РФ «О государственной тайне» -безопасность Российской Федерации в информационной сфере. В законе определяются сведения, относящиеся к понятию государственная тайна.

     Федеральный Закон «О безопасности критической информационной инфраструктуры Российской Федерации» (Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.)

     Федеральный закон «Об информации, информатизации и защите информации» (Нормативный документ Российской Федерации, юридически описывающий понятия и определения в области технологии правового регулирования в сфере информации, информационных технологий, а также регулирующий отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации при применении информационных технологий.)

    1. Примерный алгоритм расчета ущерба и стоимости информации

    Количественный анализ

    1.  Определить ценность информационных активов в денежном выражении. 

    2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

    3. Определить вероятность реализации каждой из угроз ИБ.

    Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

    4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

    Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

    5. Провести анализ полученных данных по ущербу для каждой угрозы.

    Качественный анализ

    1. Определить ценность информационных активов.

    Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

    2. Определить вероятность реализации угрозы по отношению к информационному активу.

    Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

    3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

    Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

    4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

    Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу.

    5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

    6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

    1. Уголовный кодекс о защите информации. Стать 272, 273, 274.

    УК РФ Статья 272. Неправомерный доступ к компьютерной информации

    1. неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, - наказывается штрафом в размере до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18месяцев, либо исправительными работами на срок до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.

    2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, - наказывается штрафом в размере от 100 тыс до 300 тыс рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо исправительными работами на срок от 1 года до 2 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.

    3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного поведения, - наказываются штрафом в размере до 500 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 5 лет, либо лишением свободы на тот же срок.

    4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, - наказываются лишением свободы на срок до 7 лет.

    Примечания.

    1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

    2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает 1 млн руб.

    УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

    1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, - наказываются ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок со штрафом в размере до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

    2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, - наказываются ограничением свободы на срок до 4лет, либо принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишением свободы на срок до 5 лет со штрафом в размере от 100 тыс до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период от 2 до 3 лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

    3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -наказываются лишением свободы на срок до 7 лет.

    УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

    1.Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации причинившее крупный ущерб, - наказывается штрафом в размере до 500 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.

    2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, - наказывается принудительными работами на срок до 5 лет либо лишением свободы на тот же срок.

    1. Направления защиты информации. Краткая характеристика

    Направления защиты информации рассматриваются в качестве нормативно-правовых категорий, которые определяют комплексные мероприятия по защите информации на уровне отдельной личности, на уровне предприятия, а также на уровне государства в целом.

    Учитывая сложившуюся практику обеспечения информационной безопасности, можно выделить следующие направления защиты информации:

    Правовая защита. Она содержит специальные законы, нормативно-правовые акты, мероприятия, процедуры и правила, которые обеспечивают защиту информацию на правовом уровне.

    Организационная защита. Данное направление защиты информации подразумевает регламентацию производственной деятельности и взаимных отношений исполнителей на нормативно-правовой основе, которая ослабляет или полностью исключает нанесение возможного ущерба исполнителям.

    Инженерно-техническая защита. Это направление информационной защиты включает использование различных технических средств, которые препятствуют нанесению ущерба деятельности.

    1. Перечень защищаемой информации. Виды защищаемой информации

    К защищаемой информации относят:

    • секретные сведения, содержащие государственную тайну;

    • конфиденциальную информацию, содержащую коммерческую тайну;

    • персональные данные о личной жизни или деятельности граждан.

    Виды защищаемой информации:

    • государственная тайна

    • персональные данный

    • коммерческая тайна

    • интеллектуальная собственность

    1. Классификация угроз информационной безопасности

    Классификация угроз:

    • Разглашение инф-ции (болтливый сотрудник) – действие, приводящее к незаконному разглашению конфиденциальной инф-ции

    • Несанкционированный доступ путём подкупа сотрудников

    • Бесконтрольное использование информационных систем

    • Отсутствие трудовой дисциплины

    • Традиционный обмен опытом

    • Отсутствие на фирме системы защиты инф-ции

    Угроза – это потенциально возможное событие, действие, процесс или явление, кот может привести к ущербу.

    Ущерб – это фактические расходы, понесённые субъектом в рез-те нарушения его прав, утратой имущ-ва, а также усилия на восстановление. Попытка реализации угрозы – это атака.

    Угрозы:

    1. Стихийное бедствие

    2. Сбои и отказы оборудования

    3. Последствия ошибок проектирования информационной системы предприятия

    4. Ошибки эксплуатации данных

    5. Преднамереннные действия нарушителей и злоумышленников

    Главные угрозы:

    • Действия инсайдеров (сотрудник, имеющий доступ к конфиденциальной инф-ции)

    Виды инсайдеров

    • преступники

    • нарушители

    • послушные

    • предатели

    • Вредоносные программы (халатность сотрудников)

    • Хакерская атака



    Внутренние угрозы:

    • Неавторизованный доступ в систему с целью поиска и просмотра конфиденциальных данных

    • Скрытое изменение, уничтожение или отказ доступа к информации

    • Сохранение или обработка конфиденциальной инф-ции для этого непредназначенной

    • Попытка обойти или взломать систему безопасности

    Естественная угроза – угроза, вызванная объективными причинами, не зависящими от чел-ка

    Искусственные угрозы:

    • непреднамеренная – вызвана ошибками в проектировании системы и другими ошибками

    • преднамеренная

    Случайные угрозы:

    • Воздействие сильных магнитных полей на информации или воздействие приборов

    • Небрежное хранение носителей инф-ции

    • Случайная программа пользователей, которая содержит ошибки

    • Ошибка ввода данных

    • Сбой у аппаратуры при скачке напряжения

    • Неумышленная порча оборудования

    • Несанкционированное изменение режимов работы устройства и программ

    • Неумышленная порча носителей инф-ции

    • Запуск программ, которые могут вызвать случайное выключение компьютеров

    • Нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей

    • Разглашение и передача данных

    • Загрузка операционной системы с внешнего носителя

    • Ошибки при настройке службы информационной безопасности

    • Пересылка конфиденциальной информации по некорректному адресу

    Атаки злоумышленников:

    • Отключение или вывод из строя систем

    • Дезорганизация функционирования компании

    • НСД в обход ограничения доступа

    • Вывод из строя всех или наиболее важных компонентов

    • Незаконное подключение специальной регистрирующей аппаратуры к каналу связи

    • Хакерские атаки

    • Утечка обрабатываемой инф-ции за счет наблюдения

    • Несанкционированное копирование информации

    • Хищение производственных отходов

    • Вскрытие шифров

    1. Классификация компьютерных преступлений по Интерполу

    В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен подразделениям Национальных центральных бюро Международной уголовной полиции "Интерпол" более чем 120 стран мира.

    Все коды характеризующие компьютерные преступления имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.

    QA – Несанкционированный доступ или перехват (неправомерный доступ к компьютерной системе или сети путем нарушения охранных мер; неправомерный и осуществленный с помощью технических средств перехват сообщений, приходящих в компьютерную систему или сеть, исходящих из компьютерной системы или сети и передаваемых в рамках компьютерной системы или сети)

    QD – Изменение компьютерных данных (неправомерное изменение компьютерных данных)

    QF – Компьютерное мошенничество (введение, изменение, стирание или подавление компьютерных данных или компьютерных программ или иное вмешательство в процесс обработки данных, которое влияет на результат обработки данных, что причиняет экономический ущерб или приводит к утрате собственности другого лица, с намерением получить незаконным путем экономическую выгоду для себя или для другого лица)

    QR – Незаконное копирование ("пиратство")

    QS – компьютерный саботаж (введение, изменение, стирание или подавление компьютерных данных или компьютерных программ или создание помех компьютерным системам с намерением воспрепятствовать работе компьютера или телекоммуникационной системы)

    QZ – прочие компьютерные преступления

    1. Модель злоумышленника. Составные части. Примеры

    Модели злоумышленника – набор предположений об одном или нескольких возможных нарушителей информационной безопасности, их квалификации, их технических и специальных средств

    Злоумышленник – тот, кто совершил ранее задуманное преступление или замыслил преступление

    1) Цель злоумышленника

    2) Предположение о его квалификации и кто он

    3) Какими путями пользуется злоумышленник

    4) Инструмент, с помощью которого он это делает

    Информация для построения модели злоумышленника

    1) Информация об имеющихся случаях нарушения иб

    2) Данные о существующих средствах доступа информации и способах её обработки

    3) Информация, полученная от служб безопасности

    4) Сведения о конкурентах

    Нарушители

    • Внутренние (опаснее) – любое лицо организации (пользователи и операторы информационной системы, системные программисты, руководители, администраторы, сотрудники служб безопасности)

    • Внешние – это клиенты, посетители (приглашенные), представители конкурирующих организаций, хакеры, бывшие сотрудники, технический персонал (обслуживающий здание), шпионы



    Характеристики личности злоумышленников

    1. Хакеры (их привлекает вызов, преодоление трудностей)

    2. Хакеры вандалы – ломают систему (не очень богатые, поэтому не очень опасные, опасна групп хакеров)

    3. Кракеры – серьёзные преступники

    4. Взломщики – взлом защиты лицензионных программ

    5. Кибер-террористы

    6. Вермейкеры – вирусописатели

    7. Кардеры – используют пластиковые карточки, выпущенные банками для совершения преступленй

    8. Коллекционеры

    Уровень знаний

    1) Нарушитель сам сделал систему безопасности

    2) Нарушитель знает некоторые сведения о системе защиты информации на вашем предприятии

    3) Нарушитель просто хорошие знает программирование

    4) У нарушителя стоит стандартный набор программ

    Типичные приёмы атак:

    • Сканирование файловой системы

    • Кража информации

    • Сборка мусора

    • Пытается превысить полномочия, которые ему даны

    • Программные закладки

    • Отказ в обслуживании

    Особенности совершения компьютерных преступлений

    1) Преступник и сообщники имеют доступ к данным

    2) НСД

    3) Внедряется заранее разработанная программа и происходит модификация информации
    1.   1   2   3


    написать администратору сайта