Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.
Законодательные меры защиты информации
Loading...
En provenance du cours de National Research University Higher School of Economics
Методы и средства защиты информации
13 notes
À partir de la leçon
ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ
Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь более подробно с организационными мерами защиты информации. Узнаете законодательную базу ЗИ в Российской Федерации, а также более детально изучите административные и организационно-технические меры. Желаем успехов в изучении!
Rencontrer les enseignants
Сорокин Александр ВладимировичСтарший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ
Добрый день, уважаемые слушатели!
Наша сегодняшняя лекция будет посвящена организационным мерам защиты
информации как одному из больших классов меры защиты информации,
которые мы перечислили на предыдущей лекции.
Содержание нашей сегодняшней лекции будет следующим: мы поговорим о законодательных
мерах защиты информации; подробно рассмотрим административные
меры защиты информации; уделим внимание управлению рисками; политике безопасности
организации; управлению персоналом; и планированию действий в чрезвычайных
ситуациях.
И затем рассмотрим организационно-технические меры защиты
информации, а конкретно остановимся на физической защите объекта информатизации и
на защите поддерживающей инфраструктуры.
Прежде всего, рассмотрим законодательные меры защиты информации,
о которых мы уже начали говорить в прошлый раз.
Основным источником законодательных мер защиты информации
является практически одноименный закон – Федеральный закон об информации,
информационных технологиях и о защите информации, с которым мы уже знакомы,
но в нем явным образом содержится словосочетание «защита информации», это
основной нормативный акт, регламентирующий действия в области защиты информации.
Сегодня нас с вам будет более всего интересовать статья 16 и
последующие статьи, посвященные именно защите информации.
16-я статья данного закона так и называется: «Защита информации»,
и она утверждает, что защита информации представляет собой совокупность правовых,
организационных и технических мер защиты информации.
Часть из них входит в ту терминологию,
которую мы с вами рассмотрели в прошлый раз.
Правовые – это аналог законодательных.
Организационные – включают в себя в широком смысле все организационные меры.
А технические, соответственно, – аналог категории програмно-технических мер,
то есть различных мер, включающих использование различных программных,
програмно-аппаратных или чисто технических устройств специальных средств.
Данная статья утверждает, что перечисленные меры направлены на
достижение следующих задач: 1) обеспечение защиты информации от неправомерных
действий в отношении такой информации, то есть, по сути, обеспечения ее целостности;
2) соблюдение конфиденциальности информации ограниченного доступа, то есть,
явно соблюдение конфиденциальности информации; 3) реализацию права на
доступ к информации, то есть, по сути, обеспечение ее доступности.
Также данная статья утверждает,
что государственное регулирование отношений в сфере защиты информации
осуществляется путем установления требований о защите информации,
а также ответственности за нарушение законодательства Российской Федерации об
информации, информационных технологиях и о защите информации.
По сути, данная статья утверждает то деление законодательных мер на две части,
о которых мы говорили в прошлый раз.
Часть из них – так называемая конструктивная – утверждает что требуется
делать в области защиты информации и это соответствует словосочетанию «установление
требований о защите информации», а вторая часть устанавливает ответственность за
нарушение требований по защите информации, и, по сути, в данной статье
утверждается словосочетанием «установление ответственности за
нарушение законодательства в области защиты информации».
Данная статья устанавливает обязательства обладателя информации
или оператора информационной системы в ряде случаев, установленных
законодательством Российской Федерации, например в случае обработки персональных
данных в информационной системе какого-то объекта, какой-то организации.
Некоторые из таких обязательств перечислены на слайде.
Так, обладатель информации обязан осуществить предотвращение
несанкционированного доступа к информации или передачи ее лицам, не имеющим права на
доступ к информации, то есть, по сути, обеспечить ее конфиденциальность.
Обязан он также своевременно обнаруживать факты несанкционированного доступа
к информации, то есть предпринимать усилия для того,
чтобы нарушение ее конфиденциальности не оставалось незамеченным.
Не допускать воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование,
то есть обеспечить доступность информации путем корректного функционирования
объекта информатизации и его информационной системы.
Обязан он также обеспечить возможность незамедлительного
восстановления информации, модифицированной или уничтоженной
вследствие несанкционированного доступа к ней,
то есть принять меры для восстановления ее целостности и, возможно, доступности.
И наконец, обязан он обеспечить постоянный контроль за обеспечением уровня
защищенности информации, то есть обязан постоянно следить за тем,
насколько обеспечивается защита информации,
предпринимать для этого соответствующие меры, и, так сказать,
держать руку на пульсе, быть в курсе ситуации.
Требования о защите информации,
содержащейся в государственных информационных системах, устанавливаются
специальными уполномоченными федеральными органами государственной власти,
которых в данном законе указано два: федеральная служба по техническому
экспортному контролю и федеральная служба безопасности.
При создании эксплуатации государственных информационных систем,
используемые в целях защиты информации методы и способы ее защиты
должны соответствовать указанным требованиям.
В частности, такие требования содержатся в приказе федеральной службы по техническому
экспортному контролю России, ФСТЭК России.
Статья 17 того же закона устанавливает принципы ответственности за
нарушение требований по защите информации.
Так, она утверждает, что за нарушение требований настоящего
Федерального закона может следовать дисциплинарная, гражданско-правовая,
административная или даже уголовная ответственность в соответствии с
законодательством Российской Федерации.
На этом слайде вы видите ряд примеров деяний,
являющихся уголовнонаказуемыми и относящихся к категории нарушения
различных аспектов информационной безопасности.
Это, например, нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений, то есть, по сути,
реализация несанкционированного доступа к информации при определенных условиях.
Следующее деяние – незаконный оборот специальных технических средств –
предназначено для негласного получения информации, то есть использования средств
технической разведки, по сути.- Нарушение изобретательских и патентных прав.
- Мошенничество в сфере компьютерной информации.- Неправомерный оборот средств
платежей.
Некоторые из данных деяний не напрямую связаны, именно с, например,
информационной безопасностью, с компьютерной безопасностью, но включают
различные неправомерные действия с информацией как составную часть.
Еще ряд примеров это:- разглашение государственной тайны;- неправомерный
доступ к компьютерной информации; - создание, использование,
распространение вредоносных компьютерных программ; а также- нарушение
правил эксплуатации средств хранения, обработки
или передачи компьютерной информации и информационно-телекоммуникационных сетей.
Ну и отдельно еще можно упомянуть, что многие статьи Уголовного кодекса
Российской Федерации включают различные деяния,
включающие нарушение безопасности информации, как составную часть,
например мошенничество, различные виды незаконного обогащения, различные прочие
уголовные преступления, в которых неправомерный доступ к информации,
например, является просто инструментом достижения конечной цели нарушителя.
Законодательные меры защиты информации, как мы увидим в дальнейшем,
являются достаточно мощной опорой для административных мер защиты информации,
то есть тем источником, с одной стороны – требований, с другой стороны – санкций,
на которые можно ссылаться, разрабатывая различные решения
в рамках уже конкретной организации, о которых мы далее и поговорим.
[МУЗЫКА]
Explorer notre catalogue
Rejoignez-nous gratuitement et obtenez des recommendations, des mises à jour et des offres personnalisées.
Coursera propose un accès universel à la meilleure formation au monde,
en partenariat avec des universités et des organisations du plus haut niveau, pour proposer des cours en ligne.
© 2018 Coursera Inc. Tous droits réservés.
