Методические материалы по занятию рекомендованному КИБ презентация

Содержание

МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Безопасность предприятия (организации) Физическая безопасность Пожарная безопасность Экономическая безопасность Экологическая безопасность У г р о з ы

Слайд 1Тема занятия Действующие требования по защите информации, типовые нарушения по защите информации,

актуальные угрозы безопасности информации

Слайд 2


Слайд 3МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ





Безопасность предприятия (организации)
Физическая безопасность
Пожарная

безопасность

Экономическая безопасность

Экологическая безопасность

У г р о з ы б е з о п а с н о с ти

Техническая защита конфиденциальной информации


Слайд 4Государственная система ЗИ
“Положение о государственной система защиты информации в Российской Федерации

от иностранных технических разведок и от ее утечки по техническим каналам”
Утверждено постановлением Совета Министров – Правительством Российской Федерации от 15 сентября 1993 г. № 912-51.

Определяет задачи и структуру государственной система защиты информации в Российской Федерации.
Является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, во всех органах власти и прочих организациях независимо от их организационно-правовой формы и формы собственности .
Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ.


Слайд 5Главные направления работ по защите информации
обеспечение эффективного управления системой защиты информации;
определение

сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
разработка организационно-технических мероприятий по защите информации и их реализация;
организация и проведение контроля состояния защиты информации.

Слайд 6Основные организационно-технические мероприятиям по защите информации
лицензирование деятельности предприятий в области защиты

информации;
аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонительной, экономической, политической и научно-технической и других сферах деятельности государства;
обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

Слайд 7оповещение о пролетах космических и других воздушных летательных аппаратов, кораблях и

судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;
применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

Слайд 8Организационная структура Государственной системы защиты информации


Слайд 9Государственная система защиты информации от утечки по техническим каналам
Межведомственная комиссия по

защите ГТ

Создана Указом Президента РФ № 1108 от 8.11.1995 г.
Действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. №912-51.
Основная функция - проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны


Слайд 10Государственная система защиты информации от утечки по техническим каналам
Федеральная служба по

техническому и экспортному контролю

Создана Указом Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» вместо существовавшей Государственной технической комиссии при Президенте РФ
Функции
организация и координация работ в стране по защите информации, обрабатываемой техническими средствами
обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры;
противодействие иностранным техническим разведкам на территории РФ;
обеспечение защиты информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;


Слайд 11Государственная система защиты информации от утечки по техническим каналам
Федеральная служба по

техническому и экспортному контролю

Функции
реализация государственной политики в области обеспечения безопасности информации, противодействия техническим разведкам и технической защиты информации;
осуществление нормативно- правового регулирования обеспечения безопасности информации; технической защиты информации; координации деятельности по подготовке перечней сведений, подлежащих засекречиванию, а также методического руководства этой деятельностью;
обеспечение безопасности информации и противодействие техническим разведкам и техническая защита информации в органах власти и органах власти субъектов РФ, в органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;


Слайд 12Государственная система защиты информации от утечки по техническим каналам
Федеральная служба по

техническому и экспортному контролю
Функции
прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;
противодействие добыванию информации техническими средствами разведки, техническая защита информации;
осуществление контроля деятельности по обеспечению безопасности информации, по противодействию техническим разведкам и по технической защите информации в органах государственной власти и органах местного самоуправления и организациях;
осуществление центральным аппаратом ФСТЭК России организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны.
Нормативные акты и методические документы ФСТЭК России, обязательны для исполнения органами государственной власти и органами власти субъектов РФ, органами исполнительной власти, органами местного самоуправления и организациями.

Слайд 13Целями защиты информации являются:
предотвращение утечки информации по техническим каналам;
предотвращение несанкционированного

уничтожения, искажения, копирования, блокирования информации в системах информатизации;
соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;
сохранение возможности управления процессом обработки и пользования информацией.

Слайд 14Защита информации осуществляется путем:
предотвращения перехвата техническими средствами информации, передаваемой по каналам

связи;
предотвращения утечки обрабатываемой информации за счет ПЭМИН, создаваемых функционирующими техническими средствами, а также электроакустических преобразований;
исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);
предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Слайд 15Законодательные акты
Конституция Российской Федерации (1993 г.).
Закон РФ «О безопасности»

N 390-ФЗ (2010 г.).
Закон РФ «О государственной тайне» (1993, 18.07.2011г.).
Закон РФ «О техническом регулировании» (2002, 2010 г.).
Закон РФ «Об обеспечении единства измерений» (2008, 2011 г.).
ФЗ «Об информации, информационных технологиях и защите информации» (2006, 21.07.2011 г.).
ФЗ «О связи» (2003, 18.07.2011 г.).
ФЗ «О коммерческой тайне» (2004, 2011 г.).
ФЗ «О лицензировании отдельных видов деятельности» (2011 г.)
ФЗ «О персональных данных» (2006, 25.07.2011 г.).


Слайд 16Нормативные правовые акты Президента РФ (указы, распоряжения)
Об основах государственной политики

в сфере информатизации (от 20.01.1994 г. № 170).
Вопросы межведомственной комиссии по защите государственной тайны (от 26.02.2009 г. № 228).
О перечне сведений конфиденциального характера
(от 6 марта 1997 г. № 188).
Вопросы Федеральной службы по техническому и экспортному контролю (от 16.08.2004 г. № 1085).
О мерах по обеспечению информационной безопасности РФ при использовании информационно- телекоммуникационных сетей международного информационного обмена 17.03.2008 №351 ).
Стратегия национальной безопасности Российской Федерации до 2020 г. (12 мая 2009 года №537).
Доктрина информационной безопасности РФ (2000 г.).
«Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года» (04 авг. 2013 г)


Слайд 17Постановления Правительства РФ
Положение о государственной системе защиты информации в

РФ от иностранных технических разведок и от ее утечки по техническим каналам (Извлечения).
(Постановление СМ - Правительства РФ 15.09.1993 г. № 912–51).
Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (Постановление правительства РФ № 333 от 15 .04.1995 , ред. 2010г.).
Положение о сертификации средств защиты информации (Постановление правительства РФ от 20.06.1995 г.  № 608, 2004).


Слайд 18Постановления Правительства РФ
Положение о лицензировании деятельности по технической защите

конфиденциальной информации (Постановление правительства РФ от 15.08.06 № 504).
Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации (Постановление правительства РФ от 31.08.2006 г. № 532).
Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (Постановление правительства РФ от 3 ноября 1994 г. №1233).
«О предоставлении социальных гарантий гражданам, допущенных к государственной тайне на постоянной основе и сотрудникам структурных подразделений по защите государственной тайны» (Постановление правительства РФ от 18.09.2006 № 573)


Слайд 19Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» от 6

марта 1997 г. № 188.
Утверждает перечень сведений конфиденциального характера
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства.
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Слайд 20


Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации

при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351 .
Субъектам международного информационного обмена в Российской Федерации не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебную информацию ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей "Интернет".

Слайд 21Специальные требования и рекомендации
Специальные требования и рекомендации по защите информации составляющей

государственную тайну от утечки по техническим каналам (СТР-97). Решение ГТК при Президенте РФ 1997 г.
Специальные требования и рекомендации по защите информации, обрабатываемой ТСПИ, в ВС РФ. Приказ МО РФ от 1996 г.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение Коллегии ГТК России № 7.2 от 2 марта 2001г. Приказ ГТК России № 282 от 30 августа 2002 г.

Слайд 22
От 11 февраля 2013 г. № 17
«ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ

ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ»

от 18 февраля 2013 г. N 21
«ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ
ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ»

ПРИКАЗЫ
ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ


Слайд 23Национальные интересы России в информационной сфере:
соблюдение конституционных прав и свобод граждан

в области получения информации и пользования ею;
развитие современных телекоммуникационных технологий;
защита государственных информационных ресурсов от несанкционированного доступа.

Серьезную опасность представляют:
стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;
разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира;
нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Слайд 24Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ
Статья 137.

Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации:
штраф в размере до 200000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года,
либо арест на срок до 4 месяцев.

Слайд 252. Те же деяния, совершенные лицом с использованием своего служебного положения:
штраф

в размере от 150000 до 300000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до 2 лет,
либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет,
либо арест на срок от 4 до 6 месяцев.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан:
штраф в размере до 80000 рублей, или в размере заработной платы или иного дохода осужденного за период до шести месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года.

Слайд 262. То же деяние, совершенное лицом с использованием своего служебного положения

или специальных технических средств, предназначенных для негласного получения информации:
штраф в размере от 150 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет,
либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет,
либо обязательные работы на срок от 180 до 240 часов,
либо арест на срок от 2 до 4 месяцев.

3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации:
штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,
либо ограничение свободы на срок до 3 лет,
либо лишение свободы на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет

Слайд 27


Статья 140. Отказ в предоставлении гражданину информации.
Неправомерный отказ должностного лица

в предоставлении документов и материалов, затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы за период до восемнадцати месяцев либо лишением права занимать определенные должности на срок до пяти лет.





Слайд 28Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или

банковскую тайну
Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом:
штраф в размере до 80 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев,
либо лишение свободы на срок до 2 лет.

Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе:
штраф в размере до 120 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 3 лет.

Слайд 29Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности:
штраф

в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 5 лет.

Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия:
лишение свободы на срок до 10 лет.

Слайд 30Статья 272. Неправомерный доступ к компьютерной информации.
Неправомерный доступ к охраняемой законом

компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации:
штраф до 200 000 рублей или в размере заработной платы за период до 18 месяцев,
либо исправительными работами на срок до 1 года,
либо ограничением свободы на срок до 2 лет,
либо принудительными работами на срок до 2 лет,
либо лишением свободы на срок до 2 лет.

Слайд 31То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности.

штраф

в размере от 100 000 до 300 000 рублей или в размере заработной платы за период от 1 года до 2 лет,
исправительные работы на срок от 1 года до 2 лет,
ограничение свободы на срок до 4 лет,
принудительные работы на срок до 4 лет,
арест на срок до 6 месяцев,
лишение свободы на срок до 6 месяцев.

Слайд 32 3. То же деяние, совершенное группой лиц по предварительному сговору или

организованной группой либо лицом с использованием своего служебного положения.

штраф в размере 500 000 рублей, в размере заработной платы или иного дохода осужденного за период до 3 лет.
ограничение свободы на срок до 4 лет.
принудительные работы до 5 лет.
лишение свободы на срок до 5 лет.

4. Те же деяния, если они повлекли тяжкие последствия или создали угрозу их наступления (более 1 млн. руб).

лишение свободы на срок до 7 лет.


Слайд 33Статья 273. Создание, использование и распространение вредоносных компьютерных программ.

Создание, распространение или

использование компьютерных программ …, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
лишение свободы на срок до 4 лет со штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.


Слайд 34Те же деяния, совершенные группой лиц по предварительному сговору или организованной

группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности.
лишение свободы на срок до 4 лет
принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового,
лишение свободы на срок до 5 лет со штрафом в размере от 100 000 до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период от 2 до 3 лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового..
3. Те же деяния, повлекшие тяжкие последствия.
лишение свободы на срок до 7 лет.


Слайд 35Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной

информации и информационно-телекоммуникационных сетей.
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационных сетей, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный
штраф в размере до 500 000 рублей или в размере заработной платы или иного дохода за период до 18 мес
либо исправительные работы на срок от 6 мес. до 1 года,
либо ограничение свободы на срок до 2 лет.

То же деяние, повлекшее по неосторожности тяжкие последствия.
лишение свободы на срок до 5 лет.

Слайд 36

Статья 293. Халатность
… если это повлекло причинение крупного ущерба или существенное

нарушение прав и законных интересов граждан … -
Наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до трех месяцев.




Слайд 37Кодекс АП
Статья 5.39. Отказ в предоставлении информации.
Неправомерный отказ в предоставлении

гражданину и (или) организации информации, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации, влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.




Слайд 38Кодекс АП
Статья 13.12. Нарушение правил защиты информации
Штраф на граждан в

размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.


Статья 13.14. Разглашение информации с ограниченным доступом
Штраф на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.




Слайд 39Кодекс АП
Статья 19.7. Непредставление сведений (информации)
Непредставление или несвоевременное представление в

государственный орган (должностному лицу) сведений (информации) … влечет предупреждение или наложение штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч






Слайд 40Трудовой кодекс
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту

персональных данных работника
… привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой,  административной и уголовной  ответственности…






Слайд 41ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (1)
права

и обязанности субъектов правоотношений в области
информатизации и защиты информации;
разделение информации на категории открытого и ограниченного
доступа, при этом информация ограниченного доступа по условиям её
правового режима подразделяется на отнесенную к государственной
тайне и конфиденциальную;
отнесение ряда сведений (служебной и коммерческой тайн,
персональных данных и др.) к сведениям конфиденциального характера;
введение правового режима защиты информации, неправомерное
обращение с которой может нанести ущерб ее собственнику, владельцу или пользователю, устанавливаемого в отношении информации с ограниченным доступом собственником информационных ресурсов или уполномоченным лицом;
порядок организации работ по защите информации, структуру и
основные функции государственной системы защиты информации от
ее утечки по техническим каналам;



Слайд 42ОСНОВНЫЕ ПОЛОЖЕНИЯ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ (2)
порядок

лицензирования деятельности предприятий в области технической защиты конфиденциальной информации, разработки и производства средств защиты конфиденциальной информации и сертификации средств защиты информации на соответствие требованиям безопасности информации;
возложение ответственности за организацию деятельности систем
лицензирования и сертификации на федеральные органы исполнительной власти и разграничение сфер их компетенции;
необходимость создания специальных служб (подразделений), обеспечивающих защиту информации с ограниченным доступом, которая является обственностью государства, а также необходимость контроля защищенности информации и права запрещать или приостанавливать обработку информации в случае невыполнения требований по защите информации;
введение ответственности за обеспечение требований по технической
защите информации, которая возлагается на руководителей учреждений
и предприятий, эксплуатирующих объекты информатизации;
порядок организации и проведения контроля эффективности мероприятий по защите информации ограниченного доступа и др. каналам;



Слайд 43Актуальные угрозы безопасности информации

Угроза информационной безопасности автоматизированной системы – это возможность

реализации воздействия на информацию, обрабатываемую в автоматизированной      системе, приводящего  к  нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты автоматизированной системы, приводящего к их утрате, уничтожению или сбою функционирования.


Слайд 44УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Угроза – любое обстоятельство или событие, способное причинить

информационной системе вред в виде разрушения, раскрытия, искажения информации или вызывающее отказ в обслуживании

Угроза безопасности информации - потенциальная возможность нарушения основных качественных характеристик (свойств) информации при ее обработке техническими средствами: конфиденциальности, целостности, доступности.

Примерная структура возможных источников угроз
конфиденциальной информации

82% - собственные сотрудники организаций

17% - технические средства разведки; конкурирующие фирмы, клиенты, контрагенты; криминальные структуры, террористы

1% - случайные люди


Слайд 45Структура основных причин утраты и модификации информации
По данным исследовательского центра

Data Pro Research (США)

15% - пожары

52% - неумышленные действия персонала

10% - умышленные действия персонала

10% - отказ оборудования

10% - затопление водой


Слайд 46Структура основных целей (мотивов) умышленных действий персонала, приведших к утрате и

модификации информации

По данным исследовательского центра Data Pro Research (США)

16% - повреждение ПО

44% - кража денег с электронных счетов

10% - заказ услуг за чужой счёт

12% - фальсификация информации

16% - хищение конфиденциальной информации

2% - другие мотивы


Слайд 47ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Организационно-
технические
Правовые
Экономические


Слайд 48При ведении переговоров и использовании технических средств для обработки и передачи

информации возможны следующие каналы утечки и источники угроз безопасности информации:

акустическое излучение информативного речевого сигнала;
электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;
виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;
несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;
воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;


Слайд 49побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию,

и линий передачи этой информации;
наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;
радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;
радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
прослушивание ведущихся телефонных и радиопереговоров;
просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

Слайд 51составляет основу для планирования и осуществления мероприятий, направленных на защиту информации

на объекте информатизации

Выявление и учет факторов воздействующих или могущих воздействовать

на

защищаемую информацию

угроз безопасности информации

в конкретных условиях


!

с учетом реальных возможностей ее перехвата и раскрытия ее содержания

Перечень необходимых мер защиты информации

определяется

по результатам обследования объекта информатизации

с учетом соотношения затрат на защиту информации с возможным ущербом для нее


Слайд 52Основное внимание должно быть уделено защите информации, в отношении которой угрозы

безопасности информации реализуются без применения сложных технических средств перехвата информации

Разработка мер и обеспечение защиты информации осуществляются

отдельными специалистами

подразделениями по защите информации (службами безопасности)

Для защиты информации необходимо использовать сертифицированные технические средства

Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации

речевой информации, циркулирующей в защищаемых помещениях;
информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;
информации, выводимой на экраны видеомониторов;
информации, передаваемой по каналам связи, выходящим за пределы КЗ.

сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК и/или ФСБ на право оказания услуг в области защиты информации


Слайд 53Организация работ по защите информации
возлагается
на руководителей подразделений
Методическое руководство и

контроль за эффективностью предусмотренных мер защиты информации

на руководителей подразделений по защите информации
(служб безопасности)

осуществляющих разработку проектов объектов информатизации и их эксплуатацию


Слайд 54Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники


Слайд 55Общие требования и рекомендации
при необходимости, криптографических
Система (подсистема) защиты информации, обрабатываемой

в АС различного уровня и назначения

должна предусматривать

комплекс средств и мер

по защите информации при её

организационных

технических

автоматизированной обработке

хранении

передаче по каналам связи

программных


Слайд 56Основными направлениями защиты информации являются:
2. обеспечение защиты информации от
1.

обеспечение защиты информации от

за счет НСД и специальных воздействий

хищения

утраты

утечки

уничтожения

искажения

передаче по каналам связи

утечки

по техническим каналам

при

обработке

хранении



Слайд 57Применяемые средства защиты информации должны быть сертифицированы
Для передачи информации по

каналам связи,
выходящим за пределы КЗ

необходимо использовать

защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи

криптографические средства защиты информации

должны
учитываться,
храниться,
уничтожаться

носители информации

на магнитной (магнитно-оптической) и бумажной основе

в подразделениях учреждений …

в соответствии с разрешительной системой …

доступ к информации

исполнителей (пользователей, обслуживающего персонала)

осуществляется


Слайд 58УГРОЗЫ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ
Угрозы утечки акустической (речевой) информации
Угрозы утечки

видовой информации

Угрозы утечки информации по каналам ПЭМИН


Слайд 59УГРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ


Слайд 60УГРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ


Слайд 61УГРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика