Лекция Общие положения нормативных правовых документов в области защиты

иностранных технических разведок и от ее утечки по техническим каналам”

Утверждено постановлением Совета Министров – Правительством Российской Федерации от 15 сентября 1993 г. № 912-51.

Определяет задачи и структуру государственной система защиты информации в Российской Федерации.
Является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, во всех органах власти и прочих организациях независимо от их организационно-правовой формы и формы собственности.
Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ.

информации;
определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков,

раскрывающих эти сведения;
анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
разработка организационно-технических мероприятий по защите информации и их реализация;
организация и проведение контроля состояния защиты информации.

защиты информации;
аттестование объектов по выполнению требований обеспечения защиты информации при

проведении работ со сведениями соответствующей степени секретности;
сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;
категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонительной, экономической, политической и научно-технической и других сферах деятельности государства;
обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных

на территории Российской Федерации;
введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
создание и применение информационных и автоматизированных систем управления в защищенном исполнении;
разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;
разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;
применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

и координация работ по защите информации в оборонной, экономической, политической,

научно-технической и других сферах деятельности;
исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;
принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;
анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;
организация сил, создание средств защиты информации и контроля за ее эффективностью;
контроль состояния защиты информации в органах государственной власти и на предприятиях.

государственной система защиты информации в Российской Федерации от иностранных технических

разведок и от ее утечки по техническим каналам” Утверждено постановлением Совета Министров – Правительством Российской Федерации от 15 сентября 1993 г. № 912-51.
“Положение о Федеральной службе по техническому и экспортному контролю” Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
“Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3.
“Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3.
“Типовое положение об испытательной лаборатории” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 25 ноября 1994 г.
“Положение о Межведомственной комиссии по защите государственной тайны” Утверждено Указом Президента Российской Федерации от 6 октября 2004 г. № 1286

Российской Федерации от 6 октября 2004 г. № 1286
Является коллегиальным

органом, координирующим деятельность федеральных органов государственной власти и органов государственной власти субъектов РФ по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне.
Руководство деятельностью Межведомственной комиссии осуществляет Президент Российской Федерации.
В своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, Законом Российской Федерации "О государственной тайне", иными федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации.

Межведомственной комиссии входят руководители федеральных органов исполнительной власти, Администрации Президента

РФ, Аппарата Правительства РФ и (или) их заместители.
Состав Межведомственной комиссии по должностям утверждается Президентом Российской Федерации, а персональный состав - Правительством Российской Федерации.

В положении рассмотрены:

Вопросы организационно-технического обеспечения деятельности Межведомственной комиссии осуществляемого центральным аппаратом ФСТЭК.
Периодичность заседания Межведомственной комиссии:
На плановой основе в соответствии с Регламентом, утверждаемым председателем Межведомственной комиссии.
В случае необходимости по решению председателя Межведомственной комиссии могут проводиться внеочередные заседания.

по защите информации на подведомственных органу государственной власти предприятиях;
выполняют функции

заказчика по проведению научно-исследовательских и опытно-конструкторских работ по проблемам защиты информации, а также заказчика поисковых научно-исследовательских работ по этим проблемам;
разрабатывают предложения для федеральных программ по защите информации;
организуют аттестование подведомственных органу государственной власти объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности, сертификацию средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам, проведение специальных проверок и специальных исследований технических средств;
готовят рекомендации и указания по лицензированию деятельности предприятий в области защиты информации.

на местах в организации и проведении мероприятий по защите информации;
участвуют

в аттестовании объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;
осуществляют активное противодействие возможному ведению разведки техническими средствами их мест постоянного или временного пребывания иностранных граждан на территории Российской Федерации.

программ,
нормативно-технических и методических документов по защите информации;
Обобщают и анализируют

информацию о силах и средствах технической разведки, прогнозируют ее возможности;
Осуществляют разработку (корректировку) модели иностранной технической разведки и методик оценки ее возможностей;
Проводят научные исследования и работы по созданию технических средств защиты информации и контроля за ее эффективностью.

зависимости от объема работ по защите информации руководителем предприятия создаются

структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам.

Подразделения по ЗИ (штатные специалисты) на предприятиях:
осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне,
определяют совместно с заказчиком работ основные направления комплексной защиты информации,
участвуют в согласовании технических (тактико-технических) заданий на проведение работ,
дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.

основе специализированные предприятия, имеющие лицензии на право проведения работ в

области защиты информации.

Осуществляют:
первичную подготовку специалистов по комплексной защите информации;
переподготовку (повышение квалификации) специалистов по защите информации органов государственной власти и предприятий;
усовершенствование знаний руководителей органов государственной власти и предприятий в области защиты информации.

несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;
соблюдение

правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;
сохранение возможности управления процессом обработки и пользования информацией.

связи;
предотвращения утечки обрабатываемой информации за счет ПЭМИН, создаваемых функционирующими техническими

средствами, а также электроакустических преобразований;
исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);
предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

по защите информации, в результате чего имелась или имеется реальная

возможность её утечки по техническим каналам;
Вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;
Третья - невыполнение других требований по защите информации.

Положение о государственной система защиты информации в РФ от ИТР и от ее утечки по техническим каналам

1993 г. (с изменениями и дополнениями от 9 января 1996

г. № 20; от 10 февраля 1996 г. № 173; от 9 июня 2001 г. № 679; от 25 июля 2003 г. № 841)

Статья 1
1. Российская Федерация - Россия есть демократическое федеративное правовое государство с республиканской формой правления.

Статья 2
Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства.

верховенство на всей территории Российской Федерации.

Статья 8
В РФ признаются и

защищаются равным образом частная, государственная, муниципальная и иные формы собственности.

Статья 23
Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

лица без его согласия не допускаются.
Органы государственной власти и органы

местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 29
Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
Гарантируется свобода массовой информации. Цензура запрещается.

1997 г. № 1300

Система взглядов на обеспечение в Российской Федерации

безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности.
Сформулированы важнейшие направления государственной политики Российской Федерации.
Под национальной безопасностью Российской Федерации понимается безопасность ее многонационального народа как носителя суверенитета и единственного источника власти в Российской Федерации.

граждан в области получения информации и пользования ею;
развитие современных телекоммуникационных

технологий;
защита государственных информационных ресурсов от несанкционированного доступа.

Серьезную опасность представляют:
стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка;
разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира;
нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.

официальных взглядов на цели, задачи, принципы и основные направления обеспечения

информационной безопасности РФ.
Развивает Концепцию национальной безопасности РФ применительно к информационной сфере.

Служит основой для:
формирования государственной политики в области обеспечения информационной безопасности РФ;
подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
разработки целевых программ обеспечения информационной безопасности Российской Федерации.

2446-1
Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет

систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных»
от 23 октября 1992 г. № 3523-1
Регулирует отношения, связанные с созданием, правовой охраной и использованием программ для ЭВМ и баз данных. Программы для ЭВМ и баз данных относятся к объектам авторского права.
Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам.

№ 5485-1
Определяет основные понятия, полномочия органов государственной власти и должностных

лиц в области отнесения сведений к государственной тайне и их защиты.
Дает перечень сведений, которые могут быть отнесены к государственной тайне.
Указывает принципы засекречивания сведений, перечисляет сведения, не подлежащие засекречиванию.
Устанавливает степени секретности сведений и грифы секретности носителей этих сведений.

внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может

нанести ущерб безопасности Российской Федерации;
система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

экономики, науки и техники.
Сведения в области внешней политики и экономики.
Сведения

в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.

совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством

происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их

последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
о фактах нарушения прав и свобод человека и гражданина;
о размерах золотого запаса и государственных валютных резервах Российской Федерации;
о состоянии здоровья высших должностных лиц Российской Федерации;
о фактах нарушения законности органами государственной власти и их должностными лицами.

сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который

может быть нанесен безопасности РФ вследствие распространения указанных сведений.

особой важности
совершенно секретно
секретно

Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

6 марта 1997 г. № 188.
Утверждает перечень сведений конфиденциального характера
Сведения

о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства.
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

№ 1-ФЗ
Обеспечивает правовые условия использования электронной цифровой подписи в электронных

документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

ФЗ «О техническом регулировании»
от 27 декабря 2002 г. № 184-ФЗ
Регулирует отношения, возникающие при:
разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации;
разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг;
оценке соответствия.

27 июля 2006 года
Регулирует отношения, возникающие при: осуществлении права

на поиск, получение, передачу, производство и распространение информации; применении информационных технологий и обеспечении защиты информации.
информация – сведения (сообщения, данные) независимо от формы их представления;
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и её использования;

Информация может свободно использоваться любым лицом и передаваться одним лицом

другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Классификация информации по категории доступа

информации - действия, направленные на получение информации определенным кругом лиц

или передачу информации определенному кругу лиц;
распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

условия такого доступа;
использовать информацию, в том числе распространять ее, по

своему усмотрению;
передавать информацию другим лицам по договору или на ином установленном законом основании;
защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
осуществлять иные действия с информацией или разрешать осуществление таких действий.
Обязанности:
соблюдать права и законные интересы иных лиц;
принимать меры по защите информации;
ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

152-ФЗ
Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами

государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, . . . физическими лицами с использованием средств автоматизации или без использования таких средств, . . .
Целью настоящего ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

данных при их обработке в информационных системах персональных данных” от

17 ноября 2007 г. N 781

В соответствии со статьей 19 ФЗ "О персональных данных”:
Вводит в действие Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
Постановляет ФСБ и ФСТЭК в пределах своей компетенции в 3-месячный срок разработать нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.

информационных системах персональных данных.
Устанавливает требования к обеспечению безопасности персональных данных

при их обработке в информационных системах персональных данных.
Информационная система персональных данных - совокупность персональных данных, содержащихся в базах данных, а также информационных и технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г.

№ 55/86/20

По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

в информационных системах персональных данных.
Приводится порядок определения актуальных угроз безопасности

персональных данных в информационных системах персональных данных

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Является методическим документом, определяет мероприятия по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПДн

информационных системах персональных данных.
Содержит систематизированный перечень угроз безопасности персональных данных

при их обработке в информационных системах персональных данных (ИСПДн).

4. Угрозы утечки информации по техническим каналам:
4.1. Угрозы утечки акустической (речевой)информации
4.2. Угрозы утечки видовой информации
4.3. Угрозы утечки информации по каналам ПЭМИН

НСД в ИСПД
5.2. Характеристика уязвимостей ИСПД
5.2.1. Характеристика уязвимостей системного ПО.

5.2.2. Характеристика уязвимостей прикладного ПО
5.3. Характеристика угроз непосредственного доступа в операционную среду ИСПД

5.4 Характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия
5.5. Характеристика угроз программно-математических воздействий
5.6. Характеристика нетрадиционных информационных каналов
5.7. Характеристика результатов несанкционированного или случайного доступа

системах:
6.1. Типовая модель угроз безопасности персональных данных, обрабатываемых в

автоматизированных рабочих местах, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена
6.2. Типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена
6.3. Типовая модель угроз безопасности персональных данных, обрабатываемых в локальных информационных' системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена

информационных системах персональных данных, имеющих подключение к сетям связи общего

пользования и (или) сетям международного информационного обмена
6.5. Типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, не имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена
6.6. Типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена

информационных системах персональных данных.
Понятие информационной системы персональных данных. Классификация систем

по уровням защищенности с учетом важности персональных данных.
Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных.
Краткая характеристика мероприятий по обеспечении безопасности персональных данных в информационных системах персональных данных:
3.1 Рекомендации по применению программных и программно-аппаратных мер и средств обеспечения безопасности персональных данных в информационных системах персональных данных от несанкционированного доступа, реализуемого с использованием программно-аппаратных и программных средств
3.2. Рекомендации по обеспечению безопасности персональных данных и программно-аппаратной среды ИСПДн от программно-математических воздействий
3.3. Рекомендации по межсетевому экранированию
3.4. Рекомендации по применению средств защиты персональных данных от утечки по техническим каналам

98-ФЗ.
Регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей

такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

2007.
Основные понятия и сокращения.
Понятие коммерческой тайны.
Порядок определения сведений, составляющих КТ.
Категорирование

объектов информатизации по уровням защищенности и группам коммерческой ценности информации.
Методические рекомендации по общему порядку организации ЗИ, составляющей КТ, на ОИ.
Методические рекомендации по порядку выявления актуальных угроз безопасности информации, составляющей коммерческую тайну.

коммерческую тайну.
7.1. Общие рекомендации.

"О мерах по обеспечению информационной безопасности Российской Федерации при использовании

информационно-телекоммуникационных сетей международного информационного обмена"

Подключение информационных систем, информационно-телекоммуникационных сетей и СВТ, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие ГТ, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" (далее - информационно-телекоммуникационные сети международного информационного обмена), не допускается;

сетей и СВТ, указанных в подпункте

"а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) СВТ;

создания автоматизированных систем в защищённом исполнении. Общие положения.

ГОСТ Р 51624-2000.

Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.

ГОСТ ИСО/МЭК 15408-1-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ ИСО/МЭК 15408-2-2002. Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности.

безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

BS 7799-1

– (Code of Practice for Information Security Management) Практические правила управления информационной безопасностью.

BS 7799-2 - Information Security management – specification for information security management systems (Спецификация системы управления информационной безопасностью). Системы управления информационной безопасностью. Спецификация и руководство по применению.

ISO/IEC 27001:2005 - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.

безопасности организаций банковской системы РФ. Общие положения» Акты Сарбейниса -

Оксли (SOX, Sarbanes-Oxley Act of 2002), GLBA (Gramm-Leach-Bliley Act), ISO 17799 и 13335, «Общие критерии» (ГОСТ Р ИСО\МЭК 15408).

ISO 27002 Практические правила управления информационной безопасностью. Выпуск стандарта запланирован на 2006-2007 г.

ISO 27003 Руководство по внедрению системы управления ИБ. Выпуск стандарта запланирован на 2007 г.

ISO 27004 Измерение эффективности системы управления ИБ. Выпуск стандарта запланирован на 2007 г.

ISO 27005 Управление рисками ИБ.
Выпуск стандарта запланирован на 2007 г.

составляющей государственную тайну от утечки по техническим каналам (СТР-97). Решение

ГТК при Президенте РФ 1997 г.
Специальные требования и рекомендации по защите информации, обрабатываемой ТСПИ, в ВС РФ. Приказ МО РФ от 1996 г.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение Коллегии ГТК России № 7.2 от 2 марта 2001г. Приказ ГТК России № 282 от 30 августа 2002 г.

причинить информационной системе вред в виде разрушения, раскрытия, искажения информации

или вызывающее отказ в обслуживании

Угроза безопасности информации - потенциальная возможность нарушения основных качественных характеристик (свойств) информации при ее обработке техническими средствами: конфиденциальности, целостности, доступности.

Примерная структура возможных источников угроз
конфиденциальной информации

82% - собственные сотрудники организаций

17% - технические средства разведки; конкурирующие фирмы, клиенты, контрагенты; криминальные структуры, террористы

1% - случайные люди

центра DataPro Research (США)
15% - пожары
52% - неумышленные действия персонала
10%

- умышленные действия персонала

10% - отказ оборудования

10% - затопление водой

и модификации информации
По данным исследовательского центра DataPro Research (США)
16% -

повреждение ПО

44% - кража денег с электронных счетов

10% - заказ услуг за чужой счёт

12% - фальсификация информации

16% - хищение конфиденциальной информации

2% - другие мотивы

№ 195-ФЗ
Статья 13.11. Нарушение порядка сбора, хранения, использования или распространения

информации о гражданах (персональных данных).
предупреждение
на граждан в размере от 300 до 500 рублей;
для должностных лиц от 500 до 1 000 рублей;
для юридических лиц от 5 000 до 10 000 рублей.

Статья 13.12. Нарушение правил защиты информации.
Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
на граждан в размере от 300 до 500 рублей;
на должностных лиц - от 500 до 1 000 рублей;
на юридических лиц - от 5 000 до 10 000 рублей.

несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за

исключением средств защиты информации, составляющей государственную тайну).

Административный штраф:
на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой;
на должностных лиц - от 1 000 до 2 000 рублей;
на юридических лиц - от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

и защитой информации, составляющей ГТ, созданием средств, предназначенных для ЗИ,

составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей ГТ.

Административный штраф:
на должностных лиц в размере от 2 000 до 3 000 рублей;
на юридических лиц - от 15 000 до 20 000 рублей.

Использование несертифицированных средств, предназначенных для ЗИ, составляющей ГТ.

Административный штраф:
на должностных лиц в размере от 3 000 до 4 000 рублей;
на юридических лиц - от 20 000 до 30 000 рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

защиты информации (за исключением информации, составляющей государственную тайну)
Административный штраф
на лиц,

осуществляющих предпринимательскую деятельность без образования юридического лица от 1 000 до 1 500 рублей или административное приостановление деятельности на срок до девяноста суток;
на должностных лиц - от 1 000 до 1 500 рублей;
на юридических лиц - от 10 000 до 15 000 рублей или административное приостановление деятельности на срок до девяноста суток.

Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

в области ЗИ (за исключением информации, составляющей ГТ) без получения

в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна).

Административный штраф:
на граждан в размере от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой;
на должностных лиц - от 2 000 до 3 000 рублей с конфискацией средств защиты информации или без таковой;
на юридических лиц - от 10 000 до 20 000 рублей с конфискацией средств защиты информации или без таковой.

созданием средств, предназначенных для ЗИ, составляющей ГТ, осуществлением мероприятий и

(или) оказанием услуг по ЗИ, составляющей ГТ без лицензии.
Административный штраф:
на должностных лиц в размере от 4 000 до 5 000 рублей;
на юридических лиц - от 30 000 до 40 000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей ГТ, или без таковой.


Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
Административный штраф:
на граждан в размере от 500 до 1 000 рублей;
на должностное лицо - от 4 000 до 5 000 рублей.

137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений

о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации:
штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года,
либо арест на срок до 4 месяцев.

положения:
штраф в размере от 150 000 до 300 000 рублей

или в размере заработной платы или иного дохода осужденного за период от одного года до 2 лет,
либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет,
либо арест на срок от 4 до 6 месяцев.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан:
штраф в размере до 80 000 рублей, или в размере заработной платы или иного дохода осужденного за период до 6 месяцев,
либо обязательные работы на срок от 120 до 180 часов,
либо исправительные работы на срок до 1 года.

положения или специальных технических средств, предназначенных для негласного получения информации:
штраф

в размере от 150 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет,
либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет,
либо обязательные работы на срок от ста восьмидесяти до 240 часов,
либо арест на срок от 2 до 4 месяцев.

3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации:
штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,
либо ограничение свободы на срок до 3 лет,
либо лишение свободы на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет

или банковскую тайну
Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну,

путем похищения документов, подкупа или угроз, а равно иным незаконным способом:
штраф в размере до 80 000 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев,
либо лишение свободы на срок до 2 лет.

Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе:
штраф в размере до 120 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 3 лет.

заинтересованности:
штраф в размере до 200 000 рублей или в размере

заработной платы или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет,
либо лишение свободы на срок до 5 лет.

Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия:
лишение свободы на срок до 10 лет.

законом компьютерной информации, то есть информации на машинном носителе, в

электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
штраф до 200 000 рублей
или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,
либо исправительными работами на срок от 6 месяцев до 1 года,
либо лишением свободы на срок до 2 лет

организованной группой либо лицом с использованием своего служебного положения, а

равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

штраф от 100 000 до 300 000 рублей
или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет,
либо исправительными работами на срок от 1 года до 2 лет,
либо арестом на срок от 3 до 6 месяцев,
либо лишением свободы на срок до 5 лет.

программ для ЭВМ или внесение изменений в существующие программы, заведомо

приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.
лишение свободы на срок до 3 лет со штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

Те же деяния, повлекшие по неосторожности тяжкие последствия.
лишение свободы на срок от 3 до 7 лет.

сети.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,

имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред
лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет,
либо обязательные работы на срок от 180 до 240 часов,
либо ограничение свободы на срок до 2 лет.

То же деяние, повлекшее по неосторожности тяжкие последствия.
лишение свободы на срок до 4 лет.

№ 90-ФЗ
Приравнял разглашение персональных данных другого работника, ставших известными в

связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. Возможно увольнение сотрудника. Раздел «Прекращение трудового договора» ТК.
Установленный ст. 391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Раздел «Рассмотрение и разрешение индивидуальных трудовых споров».
Работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании.
Работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала.

лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в

случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании;

ФЗ О лицензировании отдельных видов деятельности
от 8 августа 2001 г. № 128-ФЗ

юридического лица выполнять работы в определенной области оценки соответствия.
Сертификация -

форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров.

ФЗ О техническом регулировании
от 27.12.02 № 184-ФЗ

посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует

требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.        
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

РД Положение по аттестации объектов информатизации по требованиям безопасности информации,
Утверждено Председателем Гостехкомиссии России 25.11.94 г.

производства на наличие возможно внедренных электронных устройств перехвата информации.
Специальные исследования

(специсследования) - выявление с помощью контрольно - измерительной аппаратуры возможных каналов утечки категорированной информации, обрабатываемой ТСПИ.
Специальные обследования (спецобследования) – определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно - измерительной аппаратуры.

ГОСТ Р 50922-96.
Защита информации. Основные термины и определения.