- •Введение
- •Глава 1. Система организационного и правового обеспечения информационной безопасности
- •1.1. Объект и предмет дисциплины. Основные понятия
- •1.2. Правовое обеспечение зи
- •1.3. Организационное обеспечение зи
- •Раздел II. Система безопасности российской федерации
- •II. Государственная система защиты информации
- •III.Организация защиты информации в системах и средствах информатизации и связи
- •VI. Контроль состояния защиты информации
- •VII. Финансирование мероприятий по защите информации
- •1.4. Функции основных федеральных органов исполнительной власти, уполномоченных в области иб
- •Глава 2. Правовые основы и организация обеспечения защиты гт
- •2.1. Исторические этапы развития законодательства о государственной тайне
- •2.2. Закон «о государственной тайне»
- •Глава 3. Правовое и организационное обеспечение защиты конфиденциальной информации
- •3.1. Понятие и виды конфиденциальной информации
- •3.2. Правовое и организационное обеспечение защиты персональных данных
- •3.3. Правовое и организационное обеспечение защиты служебной тайны
- •3.4. Правовое и организационное обеспечение защиты коммерческой тайны
- •3.5. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры
- •Глава 4. Правовое обеспечение и организация работ по технической защите конфиденциальной информации
- •4.1. Понятие тзи. Правовая база тзи
- •4.2. Требования к наличию документов и контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения видов работ по тзки
- •4.3. Организация работ по аттестации объектов информатизации по требованиям безопасности информации
- •4.4. Административно-правовые нарушения в области связи и информации
- •Глава 5. Техническое регулирование в области информационной безопасности
- •5.1. Правовая база технического регулирования в области информационной безопасности
- •5.2. Организация работ по техническому регулированию
- •5.3. Международная стандартизация в области иб
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации
- •6.1. Общие права на доступ к информации
- •6.2. Организация доступа к информации о деятельности государственных органов и органов местного самоуправления, размещаемой в сети Интернет
- •6) Тексты официальных выступлений и заявлений руководителей и заместителей руководителей государственного органа, его территориальных органов, органа местного самоуправления;
- •6.3. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- •6.4. Критерии выявления запрещенной для распространения в сети Интернет информации
- •6.5. Особенности правового регулирования использования инсадерской информации
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации
- •7.1.Правовые основы и организация деятельности систем лицензирования
- •7.1.1. Общие положения и термины
- •7.1.2. Лицензирование в области защиты государственной тайны
- •1. Осуществление работ, связанных с использованием сведений, составляющих государственную тайну (только для юридических лиц).
- •2. Деятельность, связанная с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну (только для юридических лиц).
- •3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (только для юридических лиц).
- •5. Деятельность по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.
- •7.1.3. Лицензирование в области технической защиты конфиденциальной информации
- •7.2. Правовое и организационное обеспечение систем сертификации
- •7.2.1. Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации сзи-гт)
- •7.2.2. Система сертификации средств защиты информации фстэк России
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий
- •8.1. Некоторые правовые нормы по осуществлению оперативно-розыскных мероприятий
- •8.2. О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования
- •8.3. Список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию
- •8.4.Международная классификация компьютерных преступлений и меры по их выявлению
- •1.1. Незаконный доступ
- •1.2 Незаконный перехват
- •1.3 Вмешательство в данные
- •1.4 Вмешательство в систему
- •1.5. Ненадлежащее использование устройств
- •2. Преступления, связанные с компьютерами
- •2.1. Подлог компьютерных данных
- •2.2. Компьютерное мошенничество
- •3. Правонарушения, связанные с содержанием
- •3.1 Преступления, связанные с детской порнографией
- •4. Преступления, связанные с нарушениями авторского права и смежных прав
- •4.1 Нарушения, связанные с нарушениями авторского права и смежных прав
- •5. Дополнительная ответственность и санкции
- •5.2. Коллективная ответственность
- •1. Незамедлительное сохранение компьютерных данных
- •1.1. Незамедлительное сохранение компьютерных данных
- •1.2. Незамедлительное сохранение и частичное предоставление данных трафика
- •2. Предписание о предоставлении информации
- •2.1. Предписание о предоставлении информации
- •3. Поиск и изъятие компьютерных данных
- •3.1. Поиск и изъятие компьютерных данных
- •4. Сбор компьютерных данных в режиме реального времени
- •4.1. Сбор данных трафика в режиме реального времени
- •4.2. Перехват данных содержания
- •Часть 3. Организация и функционирование круглосуточной сети
- •8.5. Задачи в рамках криминалистических исследований компьютерной информации
- •Инструментарий для расследования компьютерных преступлений. Deft 6.1
- •Глава 9. Основы законодательства об охране интеллектуальной собственности
- •9.1. Правовые основы охраны интеллектуальной собственности
- •9.2. Особенности защиты прав на программы для эвм и базы данных
- •9.3. Патентные права
- •9.4. Охрана прав на секрет производства (ноу-хау)
- •9.5. Органы охраны интеллектуальной собственности
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 5. Техническое регулирование в области информационной безопасности 279
- •Глава 6. Правовые основы и организация реализации прав граждан на доступ к информации 311
- •Глава 7. Правовые основы и организация деятельности систем лицензирования и сертификации 384
- •Глава 8. Правовые основы обеспечения оперативно-розыскных мероприятий 449
- •Глава 9. Основы законодательства об охране интеллектуальной собственности 481
- •394026 Воронеж, Московский просп., 14
5.2. Организация работ по техническому регулированию
Организацию работ по техническому регулированию в области ИБ осуществляют федеральные органы исполнительной власти, которые заказывают разработку документов, содержащих обязательные требования, организуют системы обязательной сертификации и контроль исполнения установленных требований. Государственные заказчики включают обязательные требования в государственные контракты и контролируют их выполнение при приемке продукции и выполненных работ. Организации и предприятия, выпускающие средства ЗИ и выполняющие работу в области ЗИ, А) участвуют в разработке стандартов через членство в ТК по стандартизации; Б) выполняют лицензионные требования и условия; В) выполняют требования к разрабатываемым и эксплуатируемым информационным системам и средствам ЗИ, заданные в нормативных правовых актах, стандартах и государственных контрактах. Разработка нормативных правовых актов федеральных органов исполнительной власти ведется во исполнение федеральных законов, указов Президента и постановлений Правительства. Разработку стандартов ведут технические комитеты по стандартизации, которые создает национальный орган по стандартизации - Федеральное агентство по техническому регулированию и метрологии (Росстандарт) http://www.gost.ru/wps/portal/ Росстандарт утверждает национальные стандарты и предварительные национальные стандарты. Стандарты по защите информации разрабатывает ТК -362 «Защита информации». ТК-362 имеет подкомитеты:
ПК 1 Общеметодологический
ПК 2 Защита информации на объектах информатизации и в ключевых системах информационной инфраструктуры
ПК 3 Средства и методы защиты информации
ПК 4 Международное сотрудничество в области защиты информации
Помимо ТК-362 стандарты по ЗИ разрабатывает ТК-22 «Информационные технологии». Например, один из первых стандартов в области ИБ -ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Он является одним из комплекса стандартов, устанавливающих хорошо известную «Базовую эталонную модель». Именно ТК-022 является участником подкомитета ИСО JTC 1/SC 27 Методы защиты ИТ, который разрабатывает международные стандарты в области ИБ. В последние годы большинство национальных стандартов разрабатывается на основе международных.
5.3. Международная стандартизация в области иб
Основной международной организацией, стандарты которой берутся при разработке национальных стандартов, является ИСО (ISO – в переводе Международная организация по стандартизации), http://www.iso.org/iso/ru/. ИСО является одной из самых крупных и значимых организаций, занимающейся разработкой международных стандартов. Стандарт ИСО разрабатывается группой экспертов, в рамках технического комитета. Как только потребность в стандарте установлена, эксперты встречаются, чтобы обсудить и согласовать проект стандарта. Как только проект разработан он направляется членам ИСО на голосование, где есть возможно прокомментировать проект. Если консенсус достигнут проект становится стандартом ИСО, если нет, то возвращается техническому комитету для дальнейшего редактирования. В рамках ИСО действует объединенный комитет № 1 двух организаций – ИСО и МЭК ISO/IEC JTC 1 «Информационные технологии». В составе этого комитета есть подкомитет № 27 ISO/IEC JTC 1/SC 27 «Методы и средства обеспечения безопасности информационных технологий» Количество опубликованных стандартов ИСО под прямой ответственностью ISO/IEC JTC 1/SC 27-127 (11.11.2013). Ниже приведена таблица с наименованиями стандартов ИСО, разработанных 27 подкомитетом.
Стандарты в области ИБ, разработанные 27 подкомитетом 1 комитета ИСО/МЭК:
ISO/IEC 27000:2012 Информационные технологии. Методы обеспечения защиты. Системы менеджмента защиты информации. Обзор и словарь |
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements |
ISO/IEC 9798-2:2008 Информационные технологии. Методы защиты. Аутентификация объектов. Часть 2. Механизмы с применением алгоритмов симметричного шифрования |
ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls |
ISO/IEC 27003:2010 Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению системы менеджмента информационной безопасности |
ISO/IEC 27004:2009 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения |
ISO/IEC 27005:2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности |
ISO/IEC 27006:2011 Информационные технологии. Методы и средства обеспечения безопасности. Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности |
ISO/IEC 27007:2011 Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по аудиту систем менеджмента систем информационной безопасности |
ISO/IEC TR 27008:2011 Информационные технологии. Методы обеспечения защиты. Руководящие указания для аудиторов по оценке органов управления |
ISO/IEC 27010:2012 Информационные технологии. Методы обеспечения защиты. Менеджмент обеспечения защиты информации между секторами и организациями |
ISO/IEC 27011:2008 Информационные технологии. Методы защиты. Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002 |
ISO/IEC 27013:2012 Информационные технологии. Методы обеспечения безопасности. Руководство по интегрированному внедрению ISO/IEC 27001 и ISO/IEC 20000-1 |
ISO/IEC 27014:2013 Информационные технологии. Техника безопасности. Руководство по информационной безопасности |
ISO/IEC TR 27015:2012 Информационная технология. Техника обеспечения защиты. Структура обеспечения защиты. Руководящие указания по менеджменту защиты информации для финансовых операций |
ISO/IEC TR 27019:2013 Information technology - Security techniques - Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry |
ISO/IEC 27031:2011 Информационные технологии. Методы обеспечения защиты. Руководящие указания по готовности информационно-коммуникационных технологий для ведения бизнеса |
ISO/IEC 27032:2012 Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности |
ISO/IEC 27033-1:2009 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции |
ISO/IEC 27033-2:2012 Информационные технологии. Методы и средства обеспечения защиты. Защита сети. Часть 2. Руководящие указания по проектированию и внедрению защиты сети |
ISO/IEC 27033-3:2010 Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления |
ISO/IEC 27033-5:2013 Information technology - Security techniques - network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) |
ISO/IEC 27034-1:2011 Информационные технологии. Методы обеспечения безопасности. Безопасность применения. Часть 1. Обзор и понятия |
ISO/IEC 15408-1:2009 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 1. Введение и общая модель |
ISO/IEC 15408-2:2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные требования безопасности |
ISO/IEC 15408-3:2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты |
В составе ИСО действует также комитет, который разрабатывает самостоятельную серию стандартов ISO 31000 «Управление рисками». К основным стандартам этой серии относятся следующие:
- ИСО 31000:2009 «Менеджмент рисков. Принципы и руководящие указания» - содержит принципы, структуру и процесс управления рисками. Может быть использован любой организацией независимо от ее размера, вида деятельности или отрасли. Использование ИСО 31000 может помочь организациям повысить вероятность достижения целей, улучшить выявление возможностей и угроз, эффективно распределить и использовать ресурсы для обработки рисков. ИСО 31000 не может быть использован в целях сертификации, но служит руководством для внутренних или внешних программ аудита. Организации, использующие его, могут сравнить их методы управления рисками с международно-признанным эталоном, предоставляя обоснованные принципы эффективного менеджмента и корпоративного управления;
- Руководство ИСО 73:2009 «Менеджмент рисков. Словарь» - дополняет ИСО 31000. Содержит набор терминов и определений, связанных с менеджментом рисков;
- ИСО/МЭК 31010:2009 «Менеджмент рисков. Методы оценки рисков» - сосредоточен на оценке рисков, фокусируется на понятиях, процессах и выборе метода оценки рисков.
Еще одна международная организация, которая разрабатывает стандарты в области безопасности информации ИТ - Международный консультационный комитет по телефонии и телеграфии, МККТТ (http://www.itu-t.org/) (фр. Comité Consultatif International Téléphonique et Télégraphique, CCITT) — подразделение Международного союза электросвязи (ITU). С 1995 года этот комитет официально называется ITU-T - (англ. International Telecommunication Union - Telecommunication sector) сектор стандартизации электросвязи Международного союза электросвязи.
CCITT (ITU-T) разрабатывает технические стандарты, известные как «Recommendations» (рекомендации) по всем международным аспектам цифровых и аналоговых коммуникаций. Часто эти рекомендации используются в качестве основы для разработки стандартов ИСО
В составе рекомендаций серии ITU-T-X имеются комплексы, относящиеся к ИБ. Наименования рекомендаций ITU-T, относящихся к ИБ:
Security |
X.800-X.849 |
|
OSI applications |
X.850-X.899 |
|
Commitment, concurrency and recovery |
X.850-X.859 |
|
Transaction processing |
X.860-X.879 |
|
Remote operations |
X.880-X.889 |
|
Generic applications of ASN.1 |
X.890-X.899 |
|
Open distributed processing |
X.900-X.999 |
|
Information and Network security |
X.1000-X.1099 |
|
General security aspects |
X.1000-X.1029 |
|
Network security |
X.1030-X.1049 |
|
Security management |
X.1050-X.1069 |
|
Telebiometrics |
X.1080-X.1099 |
|
Secure applications and services |
X.1100-X.1199 |
|
Multicast security |
X.1100-X.1109 |
|
Home network security |
X.1110-X.1119 |
|
Mobile security |
X.1120-X.1139 |
|
Web security |
X.1140-X.1149 |
|
Security protocols |
X.1150-X.1159 |
|
Peer-to-peer security |
X.1160-X.1169 |
|
Networked ID security |
X.1170-X.1179 |
|
IPTV security |
X.1180-X.1199 |
|
Cyberspace security |
X.1200-X.1299 |
|
Cybersecurity |
X.1200-X.1229 |
|
Countering spam |
X.1230-X.1249 |
|
Identity management |
X.1250-X.1279 |
|
Secure applications and services |
X.1300-X.1399 |
|
Emergency communications |
X.1300-X.1309 |
|
Ubiquitous sensor network security |
X.1310-X.1339 |
|
Cybersecurity information exchange |
X.1500-X.1599 |
|
Overview of cybersecurity |
X.1500-X.1519 |
|
Vulnerability/state exchange |
X.1520-X.1539 |
|
Event/incident/heuristics exchange |
X.1540-X.1549 |
|
Exchange of policies |
X.1550-X.1559 |
|
Heuristics and information request |
X.1560-X.1569 |
|
Identification and discovery |
X.1570-X.1579 |
|
Assured exchange |
X.1580-X.1589 |
|
Обзор некоторых стандартов по ИБ ITU приведен в http://www.itu.int/itudoc/itu-t/85097-ru.pdf-. Для обеспечения Интернета разрабатываются документы серии RFC, которые являются стандартами де-факто. Рабочее предложение (англ. Request for Comments, RFC) — документ из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты, широко применяемые во всемирной сети. Название «Request for Comments» ещё переводится как «заявка (запрос) на отзывы» или «тема для обсуждения». В настоящее время первичной публикацией документов RFC занимается IETF под эгидой открытой организации Общество Интернета (англ. Internet Society, ISOC). Правами на RFC обладает именно Общество Интернета.
Формат RFC появился в 1969 году при обсуждении проекта ARPANET. RFC 1 был опубликован 7 апреля 1969 г. и назывался «Host Software». Первые RFC распространялись в печатном виде на бумаге в виде обычных писем, но уже с декабря 1969 г., когда заработали первые сегменты ARPANET, документы начали распространяться в электронном виде.
Большинство ранних RFC были созданы в Калифорнийском университете Лос-Анджелеса и Стэнфордском исследовательском институте.
С 1969 по 1998 гг. бессменным и единственным редактором RFC был Джон Постел. После его смерти Общество Интернета (ISOC) поручило редактирование и публикацию RFC Институту информационных наук Университета Южной Калифорнии.
В составе множества rfc имеются документы по безопасности.
В последнее время особую роль приобрели американские стандарты, устанавливающие обозначения и описания угроз и атак, разрабатываемые корпорацией MITRE (http://www.mitre.org/). Так, например, методы компьютерных атак подразделяются в этой классификации на следующие категории:
Data Leakage Attacks - (118)
Resource Depletion - (119)
Injection (Injecting Control Plane content through the Data Plane) - (152)
Spoofing - (156)
Time and State Attacks - (172)
Abuse of Functionality - (210)
Probabilistic Techniques - (223)
Exploitation of Authentication - (225)
Exploitation of Privilege/Trust - (232)
Data Structure Attacks - (255)
Resource Manipulation - (262)
Physical Security Attacks - (436)
Network Reconnaissance - (286)
Social Engineering Attacks - (403)
Supply Chain Attacks - (437)
Помимо классификации атак Mitre разработала языки и стандарты описания следующих важных для области ИБ объектов:
- признаков атак Cyber Observables (CybOX);
Угроз Structured Threat Information (STIX)
Вредоносных средств Malware (MAEC)
Формата данных по угрозам Threat Information Exchange (TAXII)
Уязвимостей Vulnerabilities (CVE)
Cлабостей ПО Software Weakness Types (CWE)
Аналогичные документы постепенно разрабатываются и в рамках процесса технического регулирования в России.