IB

Руководящие документы Гостехкомиссии РФ

Закон №1-ФЗ «Об электронной цифровой подписи»

Оценочные стандарты в области информационной безопасности

Закон «Об информации, информатизации и защите информации»

Правовые акты общего назначения

Закон «Об информации, информатизации и защите информации»

Правовые акты общего назначения

Закон «О лицензировании отдельных видов деятельности»

Меры законодательного уровня ИБ

Правовые акты общего назначения

Классы защищенности автоматизированных систем:

Показатели защищенности средств вычислительной техники (СВТ) от несанкционированного доступа (НСД):

Информационная безопасность

В Гражданском кодексе определяются понятия как банковская, коммерческая и служебная тайна:

Основной закон Российской Федерации – Конституция. Статьи Конституции закрепляют ряд прав граждан на защиту и получение информации:

• Закон №149-ФЗ (принят 19,07,2006) является одним из основополагающих законов в области информационной безопасности.
• В законе юридически определены важные понятия, такие как информация, документированная информация, информационнаяинформации и т.д. система, конфиденциальная информация, пользователь
• В законе выделены следующие цели защиты информации:

Закон №128-ФЗ от 8.08.2001 устанавливает требование к обязательному лицензированию некоторых видов деятельности, в том числе, относящихся к информационной безопасности:

Меры законодательного уровня обеспечивают правовую поддержку мероприятий информационной безопасности. Выделяют две группы мер:

• Закон «Об электронной цифровой подписи» обеспечивает правовые условия использования электронной цифровой подписи в электронных документах. Действие данного закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок.
• ЭЦП равнозначна собственноручной подписи при соблюдении следующих условий:

• Оценочные стандарты направлены на классификацию информационных систем и средств защиты по требованиям безопасности.
• Первым оценочным стандартом, получившим широкое распространение, стал стандарт Министерство обороны США «Критерии оценки доверенных компьютерных систем» («Оранжевая книга») – 1983 г.
• В данном стандарте рассматриваются вопросы управления доступа к данным (т.е. обеспечение конфиденциальности и целостности информации).
• Степень доверия оценивается по двум критериям:

• Деятельность, связанная с защитой государственной тайны;
• Деятельность в области связи;
• Образовательная деятельность.

Юристы

• В законе определены задачи защиты информации (прежде всего конфиденциальности данных):

• В качестве мер по обеспечению защиты информации в законе устанавливаются:

• Ст. 272 – неправомерный доступ
• Ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ
• Ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сетей

• Установлено девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс отвечает совокупностью требований к средствам защиты. В пределах группы соблюдается иерархия классов защищенности АС.
• Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС. В группе два класса – 3Б и 3А.
• Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях разного уровня конфиденциальности. В группе два класса – 2Б и 2А.
• Первая группа включает многопользовательские АС, где одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Различные пользователи имеют различные права. В группе пять классов – 1Д, 1Г, 1В, 1Б, 1А.

В Уголовном кодексе введен раздел, посвященный преступлениям в компьютерной сфере:

Статья 138 УК РФ предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;

Статья 183 УК РФ направлена на обеспечение защиты коммерческой и банковской тайны.

• В соответствии со статьей 1, действие данного закона не распространяется на следующие виды деятельности:

• Основными лицензирующими органами в области защиты информации являются ФАПСИ (сейчас функции переданы ФСБ) и ФСТЭК
• Криптография и связанные с ней мероприятия лицензируются ФСБ.
• ФСТЭК лицензирует деятельность по защите конфиденциальной информации.
• Ввоз и вывоз средств криптографической защиты и нормативно-технической документации к ней осуществляется исключительно на основании лицензии МЭРТ, выданной на основании решения ФАПСИ.

• В руководящих документах ГТК устанавливается классификация СВТ по уровню защищенности от НСД. Показатели защищенности содержат требования защищенности СВТ от НСД к информации. Конкретные перечни показателей определяют классы защищенности и описываются совокупностью требований.
• Установлено семь классов защищенности СВТ от НСД. Самый низкий класс – седьмой, самый высокий – первый.

«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу»

лицензирование организаций, занимающихся проектированием, производством средств защиты информации;

сертификация продуктов и услуг в области защиты информации.

Ст. 139 определяет, что для защиты информации, имеющей коммерческую ценность, ее обладатель имеет законные права по охране ее конфиденциальности.

• Ст. 24 – устанавливает право граждан на ознакомление с документами и нормативными актами, затрагивающими права и свободы;
• Ст. 41 – гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья граждан, ст. 42 – право на получение информации о состоянии окружающей среды
• Ст. 23 – гарантирует право на личную и семейную тайну
• Ст. 29 – право искать, получать, производить и распространять информацию любым законным способом

• Меры, направленные на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности;
• Направляющие и координирующие меры, способствующие повышению уровня знаний в области информационной безопасности, помогающие в разработке и распространении средств обеспечения безопасности;

• Предотвращение утечки, хищения, утраты, искажения информации
• Предотвращения угроз безопасности личности, общества, государства
• Предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации
• Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных
• Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством
• Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем

• Распространение шифровальных (криптографических) средств;
• Техническое обслуживание шифровальных средств;
• Предоставление услуг в области шифрования информации;
• Разработка и производство шифровальных средств, защищенных с их помощью информационных систем и телекоммуникационных систем
• Выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП
• Выявление электронных устройств, предназначенных для негласного получения информации
• Разработка и производство средств защиты конфиденциальной информации
• Техническая защита конфиденциальной информации

Выполнили:

Зверева Алёна,

Долгов Денис,

Харунов Артём,

Иванов Александр

• Политика безопасности – набор правил, определяющих как обрабатывается, защищается и распространяется информация
• Уровень гарантированности – меры доверия, которая может быть оказана архитектуре и реализации ИС.

• Сертификат подписи, относящийся к ЭЦП, не утратил силы на момент подписания документа;
• Подтверждена подлинность ЭЦП в электронном документе;
• ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.

... small

Big and....

Ideas