2. Федеральные законы в области защиты информации
Закон Российской Федерации от 5 марта 1992 года № 2446-I
«О безопасности» (с изменениями и дополнениями от 1992 года № 4235-I; от 1993
года № 2288; от 2002 года № 116-ФЗ; от 2005 г. №15-ФЗ)
Закон Российской Федерации от 21 июля 1993 года № 5485-I(с
«О государственной тайне» изменениями и дополнениями от 6 октября 1997 г. № 131-ФЗ; от
2003 г. № 86-ФЗ; от 2003 г. № 153-ФЗ; от 2004 г. № 58-ФЗ; от
2004 г. № 122-ФЗ)
Федеральный закон от 8 августа 2001 года № 128-ФЗ
(с изменениями и дополнениями от 2002 г. №28-ФЗ, от 2002
«О лицензировании отдельных видов деятельности»г. №164-ФЗ; от 2003 г. №17-ФЗ; от 2003 г. №29-
№31-ФЗ; от 2002
ФЗ; от 2003 г. №32-ФЗ; от 2003 г. №36-ФЗ; от 2003 г. №185-ФЗ;
от 2004 г. № 127-ФЗ; от 2005 г. № 20-ФЗ)
От 30 декабря 2001 года № 195-ФЗ (выписка в части вопросов
Кодекс Российской Федерации об административных правонарушениях
защиты информации) (с изменениями и дополнениями от 30
июня 2003 г. №86-ФЗ)
От 13 июня 1996 года № 63-ФЗ (выписка в части вопросов
Уголовный кодекс Российской Федерации
защиты информации) (с изменениями и дополнениями от 8
декабря 2003 г. №162-ФЗ)
«Об электронной цифровой подписи» Федеральный закон от 10 января 2002 года № 1-ФЗ
«О техническом регулировании» Федеральный закон от 27 декабря 2002 года № 184-Ф3 (с
изменениями и дополнениями от 9 мая 2005 г. № 45-ФЗ)
«Об информации, информационных технологиях и о защите информации»
Федеральный закон от 27 июля 2006 года № 149-ФЗ
«О персональных данных» Федеральный закон от 27 июля 2006 года № 152-ФЗ
3. Закон РФ «О государственной тайне»
от 21 июля 1993 г. № 5485-1
Определяет основные понятия, полномочия органов
государственной власти и должностных лиц в области
отнесения сведений к государственной тайне и их
защиты.
Дает перечень сведений, которые могут быть отнесены
к государственной тайне.
Указывает принципы засекречивания сведений,
перечисляет сведения, не подлежащие засекречиванию.
Устанавливает степени секретности сведений и грифы
секретности носителей этих сведений.
4. • государственная тайна - защищаемые
государством сведения в области его военной,
внешнеполитической, экономической,
разведывательной, контрразведывательной и
оперативно-розыскной деятельности,
распространение которых может нанести ущерб
безопасности Российской Федерации;
• система защиты государственной тайны -
совокупность органов защиты государственной
тайны, используемых ими средств и методов
защиты сведений, составляющих государственную
тайну, и их носителей, а также мероприятий,
проводимых в этих целях;
5. Степени секретности сведений и грифы
секретности носителей этих сведений
Степень секретности сведений, составляющих
государственную тайну, должна соответствовать степени тяжести
ущерба, который может быть нанесен безопасности РФ вследствие
распространения указанных сведений.
Гриф секретности - реквизиты, свидетельствующие о
степени секретности сведений, содержащихся в их носителе,
проставляемые на самом носителе и (или) в сопроводительной
документации на него;
особой важности
совершенно секретно
секретно
6. • ФЗ “Об информации, информационных технологиях и о
защите информации” от 27 июля 2006 года
Регулирует отношения, возникающие при: осуществлении
права на поиск, получение, передачу, производство и
распространение информации; применении
информационных технологий и обеспечении защиты
информации.
• информация – сведения (сообщения, данные) независимо
от формы их представления;
• обладатель информации - лицо, самостоятельно
создавшее информацию либо получившее на основании
закона или договора право разрешать или ограничивать
доступ к информации, определяемой по каким-либо
признакам;
• доступ к информации - возможность получения
информации и её использования;
7. • Информация может являться объектом публичных,
гражданских и иных правовых отношений.
• Информация может свободно использоваться любым лицом и
передаваться одним лицом другому лицу, если федеральными
законами не установлены ограничения доступа к информации
либо иные требования к порядку ее предоставления или
распространения.
Классификация информации по категории доступа
ИНФОРМАЦИЯ
Общедоступная Доступ к которой ограничен
федеральными законами
(информация ограниченного
доступа)
8. Обладатель информации
Права:
• разрешать или ограничивать доступ к информации, определять
порядок и условия такого доступа;
• использовать информацию, в том числе распространять ее, по
своему усмотрению;
• передавать информацию другим лицам по договору или на
ином установленном законом основании;
• защищать установленными законом способами свои права в
случае незаконного получения информации или ее незаконного
использования иными лицами;
• осуществлять иные действия с информацией или разрешать
осуществление таких действий.
Обязанности:
• соблюдать права и законные интересы иных лиц;
• принимать меры по защите информации;
• ограничивать доступ к информации, если такая обязанность
установлена федеральными законами.
9. Указы и распоряжения Президента Российской Федерации
Указ Президента Российской Федерации от 1997 года № 1300
Об утверждении Концепции национальной безопасности Российской Федерации
(с изменениями и дополнениями от 10 января 2000 года № 24)
Указ Президента Российской Федерации от 16 августа 2004
Вопросы Федеральной службы по техническому
года № 1085 (с изменениями и дополнениями от 2005 г. №
иэкспортному контролю
330; от 2005 г. №846; от 2006 г. № 1321)
Вопросы Межведомственной комиссии по защите государственной тайны
Указ Президента Российской Федерации от 2004 г. № 1286
Указ Президента Российской Федерации от 1995 года № 1203
(с изменениями и дополнениями от 1998 года № 61; от 2001
Об утверждении Перечня сведений, отнесенных к государственной тайне
года № 659; от 2001 года № 1114; от 2002 года № 518; от 2005
г. № 243; от 2006 г. № 90)
Распоряжение Президента Российской Федерации от 2005 г. №
Об утверждении Перечня должностных лиц органов государственной власти Российской Федерации, наделенных по
151-рп
Об утверждении Перечня сведенийконфиденциального характера
Указ Президента Российской Федерации от 1997 года № 188
Распоряжение Президента Российской Федерации от 2005 г.
О составе межведомственного коллегиального органа - коллегии Федеральной службы по техническому и экспортно
№ 298-рп
Об учреждении флага Федеральной службы по техническому и экспортному контролю
Указ Президента Российской Федерации от 2005 г. № 1364
О реестре должностей федеральной государственнойУказ Президента Российской Федерации от 2005 г. № 1574
гражданской службы
10. Положения по защите информации
Положение о Федеральной службе по техническому иэкспортному контролюавгуста 2004 Российской
Утверждено Указом Президента
Федерации от 16 года № 1085
Утверждено Указом Президента Российской
Положение о Межведомственной комиссии по защитегосударственной тайныоктября 2004 г. № 1286
Федерации от 6
Утверждено постановлением Правительства
Российской Федерации от 15 апреля 1995 года
Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению ра
№ 333 (с изменениями и дополнениями от 23
защите государственной тайны апреля 1996 г. № 509; от 30 апреля 1997 г. №
513; от 29 июля 1998 г. № 854; от 3 октября
2002 г. № 731; от 17 декабря 2004 г. № 807)
Утверждено постановлением Правительства
Положение о лицензировании образовательной деятельности (с изменениями и 18 октября 2000 года
Российской Федерации от
№ 796 дополнениями от 3
октября 2002 г. №731)
Решение Гостехкомиссии России и ФАПСИ
Положение о государственном лицензировании деятельности апреля 1994 года № 10 (с дополнениями
от 27 в области защиты информации
от 24 июня 1997 года № 60)
Утверждено постановлением Правительства
Положение о лицензировании разработки авиационной техники, изменениями иот 27 мая 2002 годадвой
Российской Федерации
346 (с в том числе авиационной техники3
дополнениями от
№
октября 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании производства авиационной техники, вФедерации авиационной техники дв
Российской том числе от 27 мая 2002 года №
346 (с изменениями и дополнениями от 3
октября 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании ремонта авиационной техники, в том числе авиационной техникиот 3 №
Российской Федерации от 27 мая 2002 года
346 (с изменениями и дополнениями двойног
октября 2002 года № 731)
11. Положения по защите информации
Утверждено постановлением Правительства
Положение о лицензировании производства оружия Российской Федерации от 2002 года № 455 (с
и основных частей огнестрельного оружия
изменениями и дополнениями от 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании деятельности в области
вооружения и военной техники Российской Федерации от 2002 года № 456 (с
изменениями и дополнениями от 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании разработки ипроизводства боеприпасов
Российской Федерации от 2002 года № 467 (с
изменениями и дополнениями от 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании утилизации боеприпасов
Российской Федерации от 2002 года № 467 (с
изменениями и дополнениями от 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании производствапиротехнических изделий
Российской Федерации от 2002 года № 467 (с
изменениями и дополнениями 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании деятельности по распространению пиротехнических изделий 467и V класс
Российской Федерации от 2002 года № IV (с
изменениями и дополнениями от 2002 года № 731)
Утверждено постановлением Правительства
Положение о лицензировании деятельности по технической защите конфиденциальной2006 г. № 504
Российской Федерации от 15 августа информации
Положение о лицензировании деятельности по разработке и (или)постановлением Правительстваконфид
Утверждено производству средств защиты
Российской Федерации от 31 августа 2006 г. № 532
Утверждено постановлением Правительства
Положение о лицензировании деятельности по международномуФедерации от 1998 года № 564 (с
Российской информационному обмену
изменениями и дополнениями от 2002 года № 731)
12. На сайте Федерального агентства по техническому регулированию и
метрологии размещены
ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура
показателей качества
ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи.
Общие положения
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения
ГОСТ Р 52633-2006 Защита информации. Техника защиты информации. Требования к
средствам высоконадежной биометрической аутентификации
Защита информации. Автоматизированные системы в защищенном
ГОСТ Р 52863-2007 исполнении испытания на устойчивость к преднамеренным
силовым электромагнитным воздействиям. Общие требования
Информационная технология. Криптографическая защита
ГОСТ Р 34.10-2001 информации. Процессы формирования и проверки электронной
цифровой подписи
ГОСТ 34.311-95 Информационная технология. Криптографическая защита
информации. Функция хэширования
ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита
информации. Функция хэширования
ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие
компьютерных вирусов. Типовое руководство
13. Угрозы безопасности информации
По фактору
Природные Техногенные Антропогенные
возникновения
По виду Угрозы
Угрозы доступности Угрозы целостности
нарушения конфиденциальности
По деструктивному
Модификация Хищение Уничтожение Блокирование Разглашение
воздействию
По способу Угрозы воздействия по С использованием
Угрозы НСД
реализации физическим полям технических средств
перехвата информации
По используемым средствам доступа
Без использования С использованием
программного обеспечения программного обеспечения
Кража носителя,
Угрозы удаленного доступа
элементов оборудования
Физическое разрушение носителя, Угрозы непосредственного доступа,
элементов оборудования с использованием средств ОС,
или специальных программ
14. Анализ способов несанкционированного получения информации
Другие способы
Внешний
12 % нарушитель
26 %
Кража (утеря) 28 %
оборудования
34 %
Внутренний
нарушитель
15. Типовые недостатки в области технической защиты
информации
Проведение мероприятий закрытого характера в помещениях, не предназначенных
для этих целей
Использование аппаратов правительственной связи в неаттестованных помещениях
Подключение автоматизированных систем, обрабатывающих информацию ограниченного
доступа, к сети «Интернет»
Подключение к автоматизированным системам, обрабатывающих информацию ограниченного
доступа , неучтенных носителей на основе «Flash-памяти»
Размещение в помещениях, где обсуждаются закрытые вопросы, технических средств,
подключенных к сети «Интернет»
Самовольное изменение состава оборудования и программного обеспечения, аттестованных
по требованиям безопасности информации объектов вычислительной техники
Несоответствие настроек средств защиты информации от несанкционированного доступа
установленным требованиям, отключение средств защиты информации
Недостаточный уровень знаний руководителей всех уровней и исполнителей по вопросам
технической защиты информации
16. Причины:
- разрушена система подготовки студентов в высшей школе по вопросам
государственной тайны;
- недостаточное внимание руководителей всех уровней к вопросам ТЗИ;
- невыполнение отдельными сотрудниками приказов, распоряжений
руководителей;
- несоответствие количества объектов информатизации, аттестованных
по требованиям безопасности информации, объему обрабатываемой
информации ограниченного доступа;
- недостаточно налаженная система контроля за исполнением
собственных приказов по вопросам корпоративной безопасности;
- отсутствие структурных подразделений по ТЗИ и недостаточный
уровень подготовленности по вопросам ТЗИ специалистов;
- плохая оснащенность техническими средствами контроля;
- недостаточность мер по приведению корпоративных нормативных
правовых актов в соответствие с требованиями законов Российской
Федерации в области защиты информации ограниченного доступа,
составляющих государственную тайну и не содержащей сведений,
составляющих государственную тайну.
17. ПОСЛЕДСТВИЯ
- Проблемы со специальным службами
(расследования по фактам разглашения
государственной тайны);
- Уголовная и административная
ответственность согласно законам
Российской Федерации;
- WikiLeaks (потеря деловой репутации,
распространение компромата на
собственника информации);
- Проблема уволенного менеджера (потеря
критически важной информации).