Основы безопасности информации

Основы безопасности информации

Информационная безопасность – состояние защиты информации от внешних и внутренних угроз.

Защита информации - комплекс мер, направленных на повышение информационной безопасности объекта.

Информационная безопасность государства

 

1. Понятие и виды информационной безопасности. Информационная безопасность в системе безопасности РФ.

2. Виды и источники угроз национальной безопасности РФ.

3. Состояние информационной безопасности (ИБ) РФ. Основные задачи и методы ее обеспечения.

Понятие и виды ИБ

В соответствии с федеральным законом об ИБ («Об информационной безопасности») под безопасностью понимается состояние защищенности личности, общества и государства от внутренних и внешних угроз.

Виды и классификация

Безопасность государства можно классифицировать по четырем основным принципам:

1. По уровням (международный уровень, европейский, стран СНГ, национальная безопасность, региональная безопасность и т.п.)

2. По субъектам (госбезопасность, общественная безопасность, личная безопасность)

3. По сферам жизни (политическая, экономическая, демографическая, радиационная, оборонная и т.п.)

Под ИБ РФ понимается состояние защищенности национальной безопасности в информационной сфере. Для обеспечения безопасности государства используется целый ряд мер экономического, политического, информационного и др. характера, адекватных жизненно важным интересам государства и личности. Для решения вопросов безопасности в государствах создается система безопасности.

Виды и источники угроз безопасности

Четыре вида угроз: 1. Угрозы конституционным правам и свободам человека и гражданина, в области… 2. Угрозы информационному обеспечению СМИ РФ.

Состояние ИБ РФ

В последние годы реализован комплекс мер по совершенствованию ИБ РФ:

· Осуществляется формирование правовой базы ИБ.

· Осуществлены мероприятия по обеспечению ИБ в органах государственной власти.

· Созданы и реализуются: система защиты гос. тайны, системы лицензирования и сертификации.

Информация как объект правового регулирования

 

1. Понятие, виды и классификация информации.

2. Юридические особенности и свойства информации.

3. Правовая основа ИБ и перспективы ее развития.

Понятие, виды и классификация информации

В соответствии с федеральным законом «Об информации и информационных технологиях и о защите информации», под понятием информация понимаются сведения (сообщения, данные), независимо от формы их представления.

В законодательных актах РФ понятие «информация» встречается в различных ее видах:

· Массовая информация (информация, предназначенная для неограниченного круга лиц).

· Персональные данные (любая информация об определяющем ее лице).

· Произведения науки, литературы и искусства, являющиеся результатом творческой деятельности независимо от назначения и достоинства произведения.

· Официальные документы.

· Гос. тайна.

· Реклама (информация, распространенная любым способом в любой форме, направленная на привлечение внимания неопределенного круга лиц к объекту рекламирования и поддержание интереса).

· Электронное сообщение (информация, переданная или полученная пользователем телекоммуникационной сети).

В законах и других правовых документах определены различные организационные формы предоставления информации:

· Документированная информация (информация, зафиксированная на материальном носителе с определенными реквизитами).

· Документ (носитель, с зафиксированной на нем информацией и соответствующими реквизитами).

Информационные ресурсы - отдельные документы и массивы документов, документы и массивы документы в информационных системах.

Информационные продукты – документированная информация, подготовленная в соответствии с потребностями пользователя и предназначенная для удовлетворения его потребностей.

Информационные услуги – действия субъектов по обеспечению пользователей информационными продуктами.

Базы данных – объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Информация в правовой системе может быть классифицирована по трем основным признакам:

1. По видам правовых актов.

2. По степени доступа к информации.

3. По порядку распространения информации.

 

Классификация информации по степени доступа к ней приведена в федеральном законе «Об информации…»

 

Информация ограниченного доступа – составляющая какие-либо виды тайн.

Классификация по степени распространения информации:

· Свободно распространяемая.

· Предоставляемая по соглашению лиц, участвующих в соответствующих отношениях.

· Информация, предназначенная для предоставления или распространению в соответствии с федеральным законом (ФЗ).

· Информация, распространение которой ограничено или запрещено в РФ.

Юридические особенности и свойства информации

К основным свойствам (юридическим) информации можно отнести:

1. Свойство физической не отчуждаемости информации (информация не отчуждаема от носителя (человека), т.е. должны быть юридически закреплены процессы передачи прав на информацию)

2. Свойство обособляемости

3. Свойства информационной вещи

4. Свойство тиражируемости информации

5. Свойство организационной формы

6. Свойство экземплярности информации (связано с п.4, учет распространения информации)

Правовая основа ИБ

  Основные законы РФ, касающиеся информации: · Конституция.

Правовой режим защиты государственной тайны

 

Информационные правоотношения при работе с информацией, составляющей гос. тайну.

1. Понятие правового режима гос. тайны.

2. Полномочия госорганов и гос. лиц по отнесению сведений к гос. тайне.

3. Принципы и механизм отнесения сведений к гос. тайне.

Понятие правового режима гос. тайны.

Основным документом, регулирующим правоотношения в сфере гос. тайны является федеральный закон РФ «О государственной тайне». В соответствии с законом, гос. тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

Полномочия гос. органов и гос. лиц по отнесению сведений к гос. тайне

1. Палаты федерального собрания. 2. Президент РФ. Утверждение и развитие гос. программ в области … 3. Правительство РФ. Осуществляет выполнение законов, планов, программ и представляет президенту.

Правовые аспекты защиты гос. тайны

1. Органы защиты гос. тайны и их полномочия.

2. Порядок допуска к гос. тайне и доступа к сведениям, составляющих гос. тайну.

3. Система контроля над состоянием защиты и юридическая ответственность за нарушение правового режима защиты.

Органы защиты и их полномочия

К органам защиты относятся:

1. Межведомственная комиссия по защите гос. тайны

2. Федеральные органы исполнительной власти (ФСБ, федеральная служба по техническому и экспортному контролю (ФСТЭК), МО РФ, служба внешней разведки и их территориальные органы)

3. Органы гос. власти, предприятия, учреждения, организации и их структурные подразделения по защите гос. тайн.

Порядок допуска к гос. тайне и доступа к сведениям, составляющих гос. тайну

  Допуск должностных лиц к гос. тайне осуществляется на основе «Инструкции о… · принятие обязательств перед государством по нераспространению сведений, составляющих гос. тайну.

Система контроля над состоянием защиты и юридическая ответственность за нарушение правового режима защиты

Основными видами посягательств на гос. тайну являются: 1. Шпионаж (275,276 ст. УК РФ) 2. Выдача гос. тайны иностранному государству, организации и их представителям (275 ст. УК РФ)

Правовые режимы защиты информации, не составляющие гос. тайну

 

1. Виды информации, не составляющей гос. тайну

2. Правовое регулирование отношений в области коммерческой тайны

Виды информации, не составляющей гос. тайну

(уже рассмотрено выше)

Правовое регулирование отношений в области коммерческой тайны

1. Персональные данные. 2. Информация, составляющая коммерческую тайну. 3. Информация, составляющая служебную тайну.

Правовое регулирование отношений в области персональных данных

1. Правовые основы защиты персональных данных (ПДн).

2. Понятие и классификация информационных систем персональных данных (ИСПДн).

3. Основные мероприятия по обеспечению безопасности персональных данных.

 

Правовые основы защиты персональных данных (ПДн).

ПДн – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… Обработка ПДн – это действия с ПДн включая сбор, систематизацию, накопление,… Обработка ПДн может осуществляться с письменного согласия субъекта. Согласие не требуется в следующих случаях:

Понятие и классификация информационных систем персональных данных (ИСПДн).

/*Согласно постановлению от 01.11.2012 данная классификация заменена уровнями*/

Под ИСПДн понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, информационных технологий и технических средств, позволяющих осуществлять обработку ПДн. Для обеспечения защиты в ИСПДн осуществляется классификация ПДн:

· класс 1 (К1) - ИС, для которых нарушение безопасности ПДн может привести к значительным негативным последствиям.

· Класс 2 (К2) – ИС, для которых нарушение безопасности ПДн может привести к негативным последствиям.

· Класс 3 (К3) – ИС, для которых нарушение безопасности ПДн может привести к незначительным негативным последствиям.

· Класс 4 (К4) – ИС, для которых нарушение безопасности ПДн не приводит кнегативным последствиям.

Основные мероприятия по обеспечению безопасности персональных данных.

Для защиты ПДн может назначаться специальное структурное подразделение или должностное лицо. Тех. средства защиты информации должны быть сертифицированы.

Для К3 достаточно декларирование соответствия, но по решению оператора может быть проведена аттестация.

Для К4 оценка соответствия проводится по решению оператора.

 

 

Введены уровни, зависящие от вида ПДн, от типа угроз, от количества обрабатываемой информации и от того, обрабатываются ли в этой системе данные о сотрудниках-операторах. Постановление Правительства РФ от 01.11.12 №1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн»

Правовые аспекты защиты интеллектуальной собственности

 

1. Классификация законодательства об интеллектуальной собственности.

2. Законодательство РФ об авторском праве и смежных правах.

3. Особенности регулирования информационных отношений институтом патентного права.

Классификация законодательства об интеллектуальной собственности.

В соответствии с конвенцией к интеллектуальной собственности относятся:

1. Права на научные, художественные произведения

2. Звукозаписи.

3. Радио и телевизионные передачи.

4. Права на исполнительскую деятельность.

5. Изобретения (во всех отраслях деятельности)

6. Научные открытия.

7. Промышленные образцы.

8. Товарные знаки

9. Знаки обслуживания

10. Фирменные наименования

11. Коммерческие обозначения.

12. Защиту против недобросовестной конкуренции и другие права, относящиеся к интеллектуальной собственности.

Следовательно, интеллектуальная собственность – это материально выраженный результат умственной (интеллектуальной деятельности), дающий его создателю (автору) исключительное право на него, защищаемое либо официально выданными документами (патентами), либо законодательно установленными нормами авторского права.

Формами охраны интеллектуальной собственностями являются патенты, регистрации, факт выпуска в свет.

Основными правовыми документами, регламентирующими правоотношения в сфере интеллектуальной собственности являются:

· Патентный закон РФ (от 1992 г.)

· Закон о правовой охране товарных знаков, знаков обслуживания и наименований мест происхождения товаров.

· Закон о правовой охране программ для ЭВМ и БД

· Закон о правовой охране топологий интегральных полупроводниковых микросхем

· ФЗ об авторском праве и смежных правах

Авторское право распространяется на произведения науки, литературы и искусства, являющиеся результатом творческой деятельности. Авторское право распространяется как на обнародованные, так и не обнародованные произведения, существующие в какой-либо форме: письменной (рукопись, машинопись, нотная запись и т.п.), устной (публичное произнесение/исполнение), звуко/видеозапись, изображения, объемно-пространственной (макет, сооружение) и другие.

Литературные произведения, ПО, хареографические произведения и пантамимы, музыкальные произведения, видео-звуковые произведения, произведения декоративно-прикладного и стенографического искусства, произведения архитектурного и садово-паркового искусства, фотографические и им подобные произведения, географические, геологические и другие карты, планы, искизы и пластические произведения, относящиеся к картографии, топографии и другие.

Производные интеллектуальные продукты: переводы, рефераты, сборники, энциклопедии.

Авторское право возникает в силу факта создания объекта защиты.

Автором произведения считается лицо, указанное на экземпляре этого произведения (при отсутствии доказательства иного).

Произведение, созданное совместным авторским трудом, принадлежит авторам совместно.

Права авторства на произведение, созданное в порядке выполнения служебных обязанностей или служебного задания работодателя, принадлежит автору служебного произведения. А исключительные права на использование произведения принадлежат работодателю, если между не было предусмотрено иное.

Личные (не имущественные права). Автору в отношении произведения принадлежат следующие не имущественные права:

· право признаваться автором произведения

· право использовать и разрешать использовать под подлинным именем автора, псевдонимом или анонимно

· право обнародовать или разрешать обнародовать произведения в любой форме.

· право на защиту произведений

Авторское право действует в течении всей жизни автора и 70 лет после его смерти, а право авторства действует бессрочно.

 

(XXX__17 ноября 2012__XXX)

 

Патентообладателю принадлежит исключительное право на рассматриваемые объекты. Никто не в праве использовать запатентованные объекты без разрешения патентообладателя. Право авторства является не отчуждаемым и охраняется. Приоритет выдачи патентов распределяется по дате подачи заявления.

Лицензирование и сертификация в сфере защиты информации

 

1. Правовая регламентация лицензионной деятельности в области ЗИ

2. Сертификация продукции и услуг в области ЗИ.

Правовая регламентация лицензионной деятельности в области ЗИ

Лицензия – специальное разрешение на осуществление конкретного вида деятельности при соблюдении лицензионных требований и условий, выданное… С целью обеспечения деятельности по лицензированию, создана система…  

Сертификация продукции и услуг в области ЗИ

Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя… Сертификация может иметь обязательный и добровольных характер.  

Организация службы безопасности объекта и работы с кадрами

Основы организации службы безопасности объекта

1. Цели, задачи и функции СБ объекта.

2. Типовая структура СБ объекта и ее особенности.

3. Права, обязанности и ответственность сотрудников СБ объекта.

Цели, задачи и функции СБ объекта.

Основными целями являются: обеспечение безопасности предприятия в целом, процесса производства продукции, самой продукции, а также информации ограниченного доступа.

Основными задачами СБ являются:

1. обеспечение защиты производственно-торговой деятельности и защиты сведений ограниченного доступа,

2. организация специального делопроизводства, исключающего несанкционированное получение сведений,

3. предотвращение необоснованного допуска на объекты предприятия и доступа к сведениям конфиденциального характера.

4. выявление и локализация возможных каналов утечки информации,

5. обеспечение режима безопасности при проведении всех видов деятельности

6. обеспечение охраной зданий, помещений, оборудования, продукции

7. обеспечение личной безопасности руководства и ведущих специалистов

8. оценка маркетинговых операций и неправомерных действий злоумышленников и конкурентов.

Типовая структура СБ объекта и ее особенности.

СБ является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия. Возглавляет СБ начальник СБ и, как правило, в должности зам. руководителя предприятия.

 

Права, обязанности и ответственность сотрудников СБ объекта.

Сотрудники СБ имеют право:

· требовать от всех сотрудников, партнеров, клиентов, посетителей строгого выполнения требований. Эти требования могут определяться внутребъектовым режимом (распорядок дня, пожарная безопасность и т.п.).

· Вносить предложения по совершенствованию мер защиты.

Сотрудники СБ обязаны:

· осуществлять контроль за соблюдением мер безопасности;

· вести разработку и доработку мероприятий по защите;

· докладывать руководству о фактах нарушения требований по защите;

· не допускать неправомерного ознакомления с документами и материалами;

· и т.п.

Сотрудники СБ несут ответственность за:

· личное нарушение безопасности;

· неиспользование своих прав при выполнении своих функциональных обязанностей.

Подбор сотрудников и работа с кадрами

1. Персонал как источник угрозы ИБ

2. Особенности приема сотрудников на работу с информацией ограниченного доступа

3. Работа с персоналом, владеющим информацией ограниченного доступа

Персонал как источник угрозы ИБ

Источником безопасности информации на предприятии могут быть:

· сотрудники предприятия,

· сотрудники взаимодействующих с предприятием организаций,

· сотрудники гос. учреждений, к которым организация обращается в соответствии с законом (налоговые органы, гос. власти, правоохранительные органы и т.п.),

· сотрудники СМИ,

· посетители,

· работники коммунальных служб, работники экстренных служб, почтовые службы

· посторонние лица, работающие или проживающие рядом с предприятием, уличные прохожие,

· ближний круг общения персонала.

Основными методами получения информации через персонал являются т.н. осознанное и не осознанное сотрудничество.

Особенности приема сотрудников на работу с информацией ограниченного доступа

Процессу приема сотрудника на работу предшествует ряд подготовительных этапов:

· предварительная формулировка функций, задач и требований к кандидату,

· составление перечня сведений, с которыми будет работать специалист,

· составление описания должности (модель специалиста),

· подбор кандидатов,

· изучение кандидата,

· оформление допуска к сведениям ограниченного доступа

Далее, после приема на работу, необходимо проводить постоянную работу с персоналом (текущая работа с персоналом). Эта работа включает:

· обучение и систематическое инструктирование сотрудника,

· проведение регулярной воспитательной работы,

· постоянный контроль проведения воспитательной работы,

· работу по изучению осведомленности персонала,

· проведение служебных расследований по фактам нарушений,

· и д.р.

 

Работа с персоналом, владеющим информацией ограниченного доступа

(XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX)

 

 

Создание или получение конфиденциальных документов.

Конф. док-ты могут создаваться на предприятии или получаться от каких-то внешних источников (вышестоящие организации, соисполнители работ, федеральные органы гос. власти и другие).

Поступление или доставка документов осуществляется организациями специальной связи или нарочными.

Поступающие документы подлежат обязательному учету.

Кроме того, документ может быть разработан на самом предприятии. Разработка таких документом должна предусматривать следующие этапы:

1. Установление грифа конфиденциальности сведений.

2. Оформление и учет носителя.

3. Составление текста документа

4. Подписание (утверждение) документа

Обработка

Доступ к документам дается только тем лицам, которым они необходимы для работы. Доступ может быть реализован в любой (письменной) форме (список лиц, виза на документе и т.п.).

Хранение конфиденциальной информации

Хранение информации должно быть организованно отдельно от общедоступной информации. Для хранения оборудуются спец. хранилища (библиотеки), сейфы, металлические шкафы. Конфиденциальная информация может храниться на рабочих местах: в столах, шкафах.

Передача конфиденциальной информации осуществляется с разрешения полномочных лиц (первый руководитель, назначенное доверенное лицо).

Уничтожение документов, содержащих конфиденциальную информацию

Осуществляется коллегиально, для чего создается спец. комиссия, которая осуществляет уничтожение документов установленным порядком (сжигание, измельчение и т.п.). Составляется акт уничтожения, в котором перечисляется вся уничтоженная документация и подписывается всеми членами комиссии, после чего вносятся соответствующие изменения в книгу учета документов.

Организация работы с документами ограниченного доступа.

· Знакомиться только с теми документами, к которым получено письменное разрешение на доступ в силу должностных обязанностей. · Вести учет находящихся у исполнителя документов · Предъявлять документы для проверки полномочным лицам