- •Введение
- •Глава 1. Система организационного и правового обеспечения информационной безопасности
- •1.1. Объект и предмет дисциплины. Основные понятия
- •1.2. Правовое обеспечение зи
- •1.3. Организационное обеспечение зи
- •Раздел II. Система безопасности российской федерации
- •II. Государственная система защиты информации
- •III.Организация защиты информации в системах и средствах информатизации и связи
- •VI. Контроль состояния защиты информации
- •VII. Финансирование мероприятий по защите информации
- •1.4. Функции основных федеральных органов исполнительной власти, уполномоченных в области иб
- •Глава 2. Правовые основы и организация обеспечения защиты гт
- •2.1. Исторические этапы развития законодательства о государственной тайне
- •2.2. Закон «о государственной тайне»
- •Глава 3. Правовое и организационное обеспечение защиты конфиденциальной информации
- •3.1. Понятие и виды конфиденциальной информации
- •3.2. Правовое и организационное обеспечение защиты персональных данных
- •3.3. Правовое и организационное обеспечение защиты служебной тайны
- •3.4. Правовое и организационное обеспечение защиты коммерческой тайны
- •3.5. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры
- •Глава 4. Правовое обеспечение и организация работ по технической защите конфиденциальной информации
- •4.1. Понятие тзи. Правовая база тзи
- •4.2. Требования к наличию документов и контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения видов работ по тзки
- •4.3. Организация работ по аттестации объектов информатизации по требованиям безопасности информации
- •4.4. Административно-правовые нарушения в области связи и информации
- •Глава 5. Техническое регулирование в области информационной безопасности
- •5.1. Правовая база технического регулирования в области информационной безопасности
- •5.2. Организация работ по техническому регулированию
- •5.3. Международная стандартизация в области иб
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации
- •6.1. Общие права на доступ к информации
- •6.2. Организация доступа к информации о деятельности государственных органов и органов местного самоуправления, размещаемой в сети Интернет
- •6) Тексты официальных выступлений и заявлений руководителей и заместителей руководителей государственного органа, его территориальных органов, органа местного самоуправления;
- •6.3. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- •6.4. Критерии выявления запрещенной для распространения в сети Интернет информации
- •6.5. Особенности правового регулирования использования инсадерской информации
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации
- •7.1.Правовые основы и организация деятельности систем лицензирования
- •7.1.1. Общие положения и термины
- •7.1.2. Лицензирование в области защиты государственной тайны
- •1. Осуществление работ, связанных с использованием сведений, составляющих государственную тайну (только для юридических лиц).
- •2. Деятельность, связанная с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну (только для юридических лиц).
- •3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (только для юридических лиц).
- •5. Деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.
- •7.1.3. Лицензирование в области технической защиты конфиденциальной информации
- •7.2. Правовое и организационное обеспечение систем сертификации
- •7.2.1. Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации сзи-гт)
- •7.2.2. Система сертификации средств защиты информации фстэк России
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий
- •8.1. Некоторые правовые нормы по осуществлению оперативно-розыскных мероприятий
- •8.2. О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования
- •8.3. Список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию
- •8.4.Международная классификация компьютерных преступлений и меры по их выявлению
- •1.1. Незаконный доступ
- •1.2 Незаконный перехват
- •1.3 Вмешательство в данные
- •1.4 Вмешательство в систему
- •1.5. Ненадлежащее использование устройств
- •2. Преступления, связанные с компьютерами
- •2.1. Подлог компьютерных данных
- •2.2. Компьютерное мошенничество
- •3. Правонарушения, связанные с содержанием
- •3.1 Преступления, связанные с детской порнографией
- •4. Преступления, связанные с нарушениями авторского права и смежных прав
- •4.1 Нарушения, связанные с нарушениями авторского права и смежных прав
- •5. Дополнительная ответственность и санкции
- •5.2. Коллективная ответственность
- •1. Незамедлительное сохранение компьютерных данных
- •1.1. Незамедлительное сохранение компьютерных данных
- •1.2. Незамедлительное сохранение и частичное предоставление данных трафика
- •2. Предписание о предоставлении информации
- •2.1. Предписание о предоставлении информации
- •3. Поиск и изъятие компьютерных данных
- •3.1. Поиск и изъятие компьютерных данных
- •4. Сбор компьютерных данных в режиме реального времени
- •4.1. Сбор данных трафика в режиме реального времени
- •4.2. Перехват данных содержания
- •Часть 3. Организация и функционирование круглосуточной сети
- •8.5. Задачи в рамках криминалистических исследований компьютерной информации
- •Инструментарий для расследования компьютерных преступлений. Deft 6.1
- •Глава 9. Основы законодательства об охране интеллектуальной собственности
- •9.1. Правовые основы охраны интеллектуальной собственности
- •9.2. Особенности защиты прав на программы для эвм и базы данных
- •9.3. Патентные права
- •9.4. Охрана прав на секрет производства (ноу-хау)
- •9.5. Органы охраны интеллектуальной собственности
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 5. Техническое регулирование в области информационной безопасности 279
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации 311
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации 384
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий 449
- •Глава 9. Основы законодательства об охране интеллектуальной собственности 481
- •394026 Воронеж, Московский просп., 14
Глава 5. Техническое регулирование в области информационной безопасности
5.1. Правовая база технического регулирования в области информационной безопасности
Правовую базу составляют:
Федеральный закон от 27.12.2002 № 184-ФЗ О техническом регулировании
Постановления правительства, утверждающие обязательные требования к защищаемым информационным системам и процессам их создания
Нормативные правовые акты (приказы, положения) федеральных органов исполнительной власти (ФСТЭК России, ФСБ России, утверждающие обязательные требования к информационным системам, процессам защиты информации и средствам защиты информации
Основные правовые нормы в области технического регулирования, распространяющиеся в том числе на область ИБ, содержатся в ФЗ «О техническом регулировании».
Техническое регулирование - правовое регулирование отношений в области:
- установления, применения и исполнения обязательных требований к продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, - установления и применения на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг - правовое регулирование отношений в области оценки соответствия. Основными видами документов, в которых устанавливаются требования, являются: - технический регламент - документ, который принят международным договором Российской Федерации, подлежащим ратификации в порядке, установленном законодательством Российской Федерации, или в соответствии с международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации); - стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Таким образом, в общем случае обязательные требования могут устанавливаться только в техническом регламенте. Технические регламенты с учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие: - безопасность излучений; - биологическую безопасность; - взрывобезопасность; - механическую безопасность; - пожарную безопасность; - безопасность продукции (технических устройств, применяемых на опасном производственном объекте); - термическую безопасность; - химическую безопасность; - электрическую безопасность; - радиационную безопасность населения; - электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования; - единство измерений; - другие виды безопасности. (Риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда;) В этом перечне информационная безопасность не значится. Для области ИБ введено исключение в отношении видов документов, устанавливающих обязательные требования. Оно сформулировано следующим образом. «В отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу; продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа; продукции (работ, услуг), сведения о которой составляют государственную тайну; …. Требования, устанавливаются: - государственными заказчиками, - федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, … Обязательные требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, и (или) государственными контрактами (договорами) могут быть определены через условие выполнения требований нормативных технических документов - документов по стандартизации. К документам в области стандартизации, используемым на территории Российской Федерации, относятся: национальные стандарты; военные национальные стандарты; правила стандартизации, нормы и рекомендации в области стандартизации; применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации; стандарты организаций; своды правил; международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, зарегистрированные в Федеральном информационном фонде технических регламентов и стандартов; надлежащим образом заверенные переводы на русский язык международных стандартов, региональных стандартов, региональных сводов правил, стандартов иностранных государств и сводов правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации; предварительные национальные стандарты. Обязательные требования к продукции и работам в области ИБ устанавливаются в основном в национальных и в военных стандартах. Обозначения стандартов имеют следующий смысл. ГОСТ Р — стандарт российский. ГОСТ – стандарт межгосударственный (ранее – СССР, потом - принятый объединенным органом некоторых бывших республик –Белоруссии, Армении и др.). ГОСТ В — военный. ГОСТ РВ — российский военный. Далее следует его регистрационный номер и год введения в действие. Регистрационный номер может быть простым или содержать номер комплекса стандартов с точкой? Который определяет номер стандарта в серии. Например, серия стандартов в области защиты информации имеет номер 52633.0-2006 в области информационных технологий - 34. Годы утверждения до 2000 обозначаются двумя цифрами (-99), после – четырьмя (-2001). Обозначения стандартов, идентичных международным, включают обозначение ГОСТ Р и обозначение международного стандарта, в том числе наименование международной организации (организаций) по стандартизации и номер: ГОСТ Р ИСО/МЭК 15408. Далее — год утверждения Росстандартом. ИСО (ISO) – Международная организация по стандартизации. МЭК (IEC) – Международная электротехническая комиссия. К основным национальным стандартам в области ИБ относятся: - стандарты в области ЗИ (табл. 5.1), стандарты в области ИТ. Таблица 5.1 Стандарты в области ЗИ, действующие на конец 2013 года (разработанные ТК-362 «Защита информации»)
Номер |
Наименование |
|---|---|
1 |
2 |
ГОСТ Р 50922-96 |
Защита информации. Основные термины и определения |
ГОСТ Р ИСО/МЭК 15408-1-2002 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р ИСО/МЭК 15408-3-2002 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности |
ГОСТ Р ИСО/МЭК 15408-2-2002 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности |
ГОСТ Р 52069.0-2003 |
Защита информации. Система стандартов. Основные положения |
ГОСТ Р 51189-98 |
Средства программные систем вооружения. Порядок разработки |
ГОСТ Р 51188-98 |
Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство |
ГОСТ Р 51275-99 |
Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
ГОСТ Р 52447-2005 |
Защита информации. Техника защиты информации. Номенклатура показателей качества |
ГОСТ Р 52448-2005 |
Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения |
ГОСТ Р ИСО/МЭК 17799-2005 |
Информационная технология. Практические правила управления информационной безопасностью |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р 52633.0-2006 |
Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации |
ГОСТ Р 50922-2006 |
Защита информации. Основные термины и определения |
ГОСТ Р 51275-2006 |
Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения |
ГОСТ Р ИСО/МЭК 27001-2006 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования |
ГОСТ Р 52863-2007 |
Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования |
ГОСТ Р ИСО/ТО 13569-2007 |
Финансовые услуги. Рекомендации по информационной безопасности |
ГОСТ Р ИСО/МЭК ТО 18044-2007 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности |
ГОСТ Р ИСО/МЭК 18045-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р ИСО/МЭК 15408-3-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности |
ГОСТ Р ИСО/МЭК 15408-2-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности |
ГОСТ Р ИСО/МЭК 15408-1-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
ГОСТ Р 53110-2008 |
Система обеспечения информационной безопасности сети связи общего пользования. Общие положения |
ГОСТ Р 53111-2008 |
Устойчивость функционирования сети связи общего пользования. Требования и методы проверки |
ГОСТ Р 53109-2008 |
Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности |
ГОСТ Р ИСО/МЭК ТО 15446-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р 53114-2008 |
Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения |
ГОСТ Р 53113.1-2008 |
Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения |
ГОСТ Р 53112-2008 |
Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний |
ГОСТ Р 53115-2008 |
Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средств |
ГОСТ Р 53113.2-2009 |
Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов |
ГОСТ Р ИСО/МЭК ТО 19791-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р ИСО/МЭК 27006-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности |
ГОСТ Р 52633.1-2009 |
Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
ГОСТ Р 52633.2-2010 |
Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации |
ГОСТ Р ИСО/МЭК 21827-2010 |
Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса |
ГОСТ Р ИСО/МЭК 18028-1-2008 |
Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности |
ГОСТ Р 53131-2008 |
Защита информации. Рекомендации по ус-лугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р ИСО/МЭК 27005-2010 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности |
ГОСТ Р 52633.3-2011 |
Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора |
ГОСТ Р 52633.5-2011 |
Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа |
ГОСТ Р ИСО/МЭК 27004-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения |
ГОСТ Р ИСО/МЭК 27033-1-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции |
ГОСТ Р 54581-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы |
ГОСТ Р 52633.4-2011 |
Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа |
Продолжение табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р 54583-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия |
ГОСТ Р 54582-2011 |
Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия |
ГОСТ Р 52633.6-2012 |
Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой» |
ГОСТ Р ИСО/МЭК 15408-1-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель |
ГОСТ Р 52069.0-2013 |
Защита информации. Система стандартов. Основные положения |
ГОСТ Р ИСО/МЭК 27000-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология |
ГОСТ Р ИСО/МЭК 18045-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий |
Окончание табл. 5.1
1 |
2 |
|---|---|
ГОСТ Р ИСО/МЭК 27003-2012 |
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности |
ГОСТ Р ИСО/МЭК 15408-3-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности |
ГОСТ Р ИСО/МЭК 15408-2-2013 |
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности |
Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту. Подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров; В области ИБ подтверждение соответствия осуществляется в процессе лицензирования разрешенных видов деятельности (который предусматривает аттестацию объектов информатизации), а также в процессе обязательной сертификации. Правовые основы и организация деятельности по лицензированию и сертификации рассмотрены в главе.