- •Введение
- •Глава 1. Система организационного и правового обеспечения информационной безопасности
- •1.1. Объект и предмет дисциплины. Основные понятия
- •1.2. Правовое обеспечение зи
- •1.3. Организационное обеспечение зи
- •Раздел II. Система безопасности российской федерации
- •II. Государственная система защиты информации
- •III.Организация защиты информации в системах и средствах информатизации и связи
- •VI. Контроль состояния защиты информации
- •VII. Финансирование мероприятий по защите информации
- •1.4. Функции основных федеральных органов исполнительной власти, уполномоченных в области иб
- •Глава 2. Правовые основы и организация обеспечения защиты гт
- •2.1. Исторические этапы развития законодательства о государственной тайне
- •2.2. Закон «о государственной тайне»
- •Глава 3. Правовое и организационное обеспечение защиты конфиденциальной информации
- •3.1. Понятие и виды конфиденциальной информации
- •3.2. Правовое и организационное обеспечение защиты персональных данных
- •3.3. Правовое и организационное обеспечение защиты служебной тайны
- •3.4. Правовое и организационное обеспечение защиты коммерческой тайны
- •3.5. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры
- •Глава 4. Правовое обеспечение и организация работ по технической защите конфиденциальной информации
- •4.1. Понятие тзи. Правовая база тзи
- •4.2. Требования к наличию документов и контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения видов работ по тзки
- •4.3. Организация работ по аттестации объектов информатизации по требованиям безопасности информации
- •4.4. Административно-правовые нарушения в области связи и информации
- •Глава 5. Техническое регулирование в области информационной безопасности
- •5.1. Правовая база технического регулирования в области информационной безопасности
- •5.2. Организация работ по техническому регулированию
- •5.3. Международная стандартизация в области иб
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации
- •6.1. Общие права на доступ к информации
- •6.2. Организация доступа к информации о деятельности государственных органов и органов местного самоуправления, размещаемой в сети Интернет
- •6) Тексты официальных выступлений и заявлений руководителей и заместителей руководителей государственного органа, его территориальных органов, органа местного самоуправления;
- •6.3. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- •6.4. Критерии выявления запрещенной для распространения в сети Интернет информации
- •6.5. Особенности правового регулирования использования инсадерской информации
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации
- •7.1.Правовые основы и организация деятельности систем лицензирования
- •7.1.1. Общие положения и термины
- •7.1.2. Лицензирование в области защиты государственной тайны
- •1. Осуществление работ, связанных с использованием сведений, составляющих государственную тайну (только для юридических лиц).
- •2. Деятельность, связанная с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну (только для юридических лиц).
- •3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (только для юридических лиц).
- •5. Деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.
- •7.1.3. Лицензирование в области технической защиты конфиденциальной информации
- •7.2. Правовое и организационное обеспечение систем сертификации
- •7.2.1. Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации сзи-гт)
- •7.2.2. Система сертификации средств защиты информации фстэк России
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий
- •8.1. Некоторые правовые нормы по осуществлению оперативно-розыскных мероприятий
- •8.2. О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования
- •8.3. Список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию
- •8.4.Международная классификация компьютерных преступлений и меры по их выявлению
- •1.1. Незаконный доступ
- •1.2 Незаконный перехват
- •1.3 Вмешательство в данные
- •1.4 Вмешательство в систему
- •1.5. Ненадлежащее использование устройств
- •2. Преступления, связанные с компьютерами
- •2.1. Подлог компьютерных данных
- •2.2. Компьютерное мошенничество
- •3. Правонарушения, связанные с содержанием
- •3.1 Преступления, связанные с детской порнографией
- •4. Преступления, связанные с нарушениями авторского права и смежных прав
- •4.1 Нарушения, связанные с нарушениями авторского права и смежных прав
- •5. Дополнительная ответственность и санкции
- •5.2. Коллективная ответственность
- •1. Незамедлительное сохранение компьютерных данных
- •1.1. Незамедлительное сохранение компьютерных данных
- •1.2. Незамедлительное сохранение и частичное предоставление данных трафика
- •2. Предписание о предоставлении информации
- •2.1. Предписание о предоставлении информации
- •3. Поиск и изъятие компьютерных данных
- •3.1. Поиск и изъятие компьютерных данных
- •4. Сбор компьютерных данных в режиме реального времени
- •4.1. Сбор данных трафика в режиме реального времени
- •4.2. Перехват данных содержания
- •Часть 3. Организация и функционирование круглосуточной сети
- •8.5. Задачи в рамках криминалистических исследований компьютерной информации
- •Инструментарий для расследования компьютерных преступлений. Deft 6.1
- •Глава 9. Основы законодательства об охране интеллектуальной собственности
- •9.1. Правовые основы охраны интеллектуальной собственности
- •9.2. Особенности защиты прав на программы для эвм и базы данных
- •9.3. Патентные права
- •9.4. Охрана прав на секрет производства (ноу-хау)
- •9.5. Органы охраны интеллектуальной собственности
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 5. Техническое регулирование в области информационной безопасности 279
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации 311
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации 384
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий 449
- •Глава 9. Основы законодательства об охране интеллектуальной собственности 481
- •394026 Воронеж, Московский просп., 14
Глава 4. Правовое обеспечение и организация работ по технической защите конфиденциальной информации
4.1. Понятие тзи. Правовая база тзи
В юридическом смысле деятельностью по технической защите информации занимается ФСТЭК России: «Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее - техническая защита информации);
Понятие технической защиты здесь используется для разграничения функций ФСБ России (которая занимается криптографическими методами) и ФСТЭК России.
Основными документами по ТЗИ являются:
Положения:
1. Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено приказом ФСТЭК России от 5 февраля 2010г. №58.
2. Положение о лицензировании деятельности по технической защите конфиденциальной информации. Утверждено постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79.
3. Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации. Утверждено постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171.
4. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии. Утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233.
5. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
Правила:
Правила согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю. Утверждены постановлением Правительства Российской Федерации от 18 сентября 2012 г. № 940.
Руководства, инструкции и др.:
1. Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации. Утвержден приказом Федеральной службы по техническому и экспортному контролю от 12 июля 2012 г. № 83.
2. Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств зашиты конфиденциальной информации. Утвержден приказом Федеральной службы по техническому и экспортному контролю от 12 июля 2012 г. № 84
3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 декабря 2008 г.
4. Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
5. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Утверждены постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512.
6. Требования к защите персональных данных при их обработке в информационных системах персональных данных. Утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
Приказы ФОИВ:
1. Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации. Приказ Федеральной службы по техническому и экспортному контролю от 12 июля 2012 г. № 83.
2. Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации. Приказ Федеральной службы по техническому и экспортному контролю от 12 июля 2012 г. № 84.
3. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. № 58.
4. Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования. Приказ Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. № 416/489.
5. Об утверждении порядка проведения классификации информационных систем персональных данных. Приказ Федеральной службы по по техническому и экспортному контролю, Федеральной службы безопасности и Министерства информационных технологий и связи от 13 февраля 2008 г. № 55/86/20.
ГОСТы:
1. ГОСТ Р 52633-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации. Ростехрегулирование.
2. ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Росстандарт.
3. ГОСТ Р ИСО/МЭК 15408-2-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 520 - СТ.
4. ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Приказ руководителя Ростехрегулирования от 8 декабря 2008 г. № 521 - СТ.
5. ГОСТ Р ИСО/МЭК 15446-2008 Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 526 - СТ.
6. ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Методы и средства обеспечения безопасности. Практические правила менеджмента информационной безопасности. Приказ руководителя Ростехрегулирования от 19 декабря 2006 г. № 319-СТ.
7. ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 523 - СТ.
8. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 525 - СТ.
9. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 524 - СТ.
10. ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 527 - СТ.
11. ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 528 - СТ.
12. ГОСТ Р 53111-2008 Устойчивость функционирования сети связи общего пользования. Требования и методы проверки. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 529 - СТ.
13. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Приказ руководителя Ростехрегулирования от 18 декабря 2008 г. № 530 - СТ
14. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Приказ руководителя Ростехрегулирования от 18 декабря 2008 № 532 - СТ.
15. ГОСТ Р 54581-2011/ ISO/IEC TR 15443-1:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 1. Обзор и основы Росстандарт.
16. ГОСТ Р 54582-2011/ ISO/IEC TR 15443-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия. Росстандарт.
17. ГОСТ Р 54582-2011/ ISO/IEC TR 15443-2:2005 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия. Росстандарт.
18. ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности информации сетей электросвязи. Общие положения.
19. ГОСТ Р 52633.1-2009 Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации. Ростехрегулирование. Проект.
20. ГОСТ Р 52633.2-2009 Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации. Ростехрегулирование. Проект.
21. ГОСТ Р 52633.3-2011 Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора. Росстандарт.
22. ГОСТ Р 52633.4-2011 Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия-код доступа. Росстандарт.
23. ГОСТ Р 52633.5-2011 Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа. Росстандарт.
24. ГОСТ Р 52633.6-2012 Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой» Росстандарт.
24. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
25. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
26. ГОСТ Р ИСО/МЭК ТО 13335-5-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
27. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. Проект.
28. ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий.
29. ГОСТ Р ИСО/МЭК 21827-2009 Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса. Ростехрегулирование. Проект.
30. ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. Росстандарт.
31. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (на основе прямого применения международного стандарта ИСО/МЭК 27001:2005). Приказ руководителя Ростехрегулирования от 27 декабря 2006 г. № 375- СТ.
32. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Росстандарт.
33. ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. Росстандарт.
34. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Росстандарт.
35. ГОСТ Р ИСО/МЭК 27005-2009 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Ростехрегулирование. (проект, окончательная редакция)
36. ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002. Росстандарт.
37. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса. Росстандарт.
38. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Росстандарт.
Специальные нормативные документы:
1. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден решением председателя Гостехкомиссии России от 4 июня 1999 г. № 114.
2. Руководящий документ. Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. Сборник руководящих документов по защите информации от несанкционированного доступа. Гостехкомиссии России, 1998 г.
3. Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности. Утвержден заместителем директора ФСТЭК России 10 октября 2007 г.
4. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты. Утвержден заместителем директора ФСТЭК России 11 октября 2007 г.
5. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты. Утвержден заместителем директора ФСТЭК России 16 января 2008 г.
6. Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 2 марта 2001 № 282.
7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
8. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
9. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
11. Временная методика оценки защищенности ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена Первым заместителем Председателя Гостехкомиссии России 8 ноября 2001 г.
12. Временная методика оценки защищенности конфиденциальной информации, обрабатываемой ОТСС, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена Первым заместителем Председателя Гостехкомиссии России 8 ноября 2001 г.
13. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена Первым заместителем Председателя Гостехкомиссии России 8 ноября 2001 г.
14. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена Первым заместителем Председателя Гостехкомиссии России 8 ноября 2001 г.
15. Методический документ ФСТЭК России. Профиль защиты средств обнаружения вторжений уровня узла четвертого класса защиты ИТ.СОВ.У4.ПЗ. Утвержден ФСТЭК России 3 февраля 2012 г.
16. Методический документ ФСТЭК России. Профиль защиты средств обнаружения вторжений уровня узла пятого класса защиты ИТ.СОВ.У5.ПЗ. Утвержден ФСТЭК России 6 марта 2012 г.
17. Методический документ ФСТЭК России. Профиль защиты средств обнаружения вторжений уровня узла шестого класса защиты ИТ.СОВ.У6.ПЗ. Утвержден ФСТЭК России 6 марта 2012 г.
Деятельность по ТЗКИ относится к лицензируемым видам, и лицензирование осуществляет ФСТЭК России.
Ниже приводится перечень документов, которые должны быть в организации для получения лицензий в области ТЗКИ.