Защита информации
Выбери формат для чтения
Загружаем конспект в формате pptx
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Лекция 1: Защита
информации
Инф ормационная безопасност ь –
практика
предотвращения
несанкционированного
доступа,
использования, раскрытия, искажения,
изменения, исследования, записи или
уничтожения информации.
Основные направления
деятельности
Структурное
подразделение
специалист)
по
администратор
защите
(штатный
информации,
безопасности
информации
осуществляет:
анализ и выявление возможных каналов утечки
информации и воздействия на информационные
ресурсы
и
информатизации;
процессы
на
объектах
Основные направления
деятельности
классификацию информационных систем, информационных
систем персональных данных, автоматизированных систем
(далее – АС) и средств вычислительной техники (далее –
СВТ);
выполнение
организационно-технических
мер
защиты
информации на объектах информатизации и аттестации
объектов
информатизации
требованиям
безопасности
информации;
внедрение и эксплуатация средств защиты информации
систем информатизации и связи;
Основные направления
деятельности
разработку на базе руководящих и
методических документов по технической
защите
информации
внутренних
организационно-распорядительных документов,
определяющих порядок и мероприятия по
защите
информации
на
объектах
информатизации;
контроль выполнения требований по защите
информации при эксплуатации объектов
информатизации;
Основные направления
деятельности
организацию парольной защиты;
организацию учета средств защиты информации,
эксплуатационной и технической документации к
ним;
инструктаж пользователей информационных
систем персональных данных о порядке и правилах
использования
средств
защиты
информации,
включая средства антивирусной защиты;
Основные направления
деятельности
организацию парольной защиты;
организацию учета средств защиты информации,
эксплуатационной и технической документации к
ним;
инструктаж пользователей информационных
систем персональных данных о порядке и правилах
использования
средств
защиты
информации,
включая средства антивирусной защиты;
Основные направления
деятельности
контроль
за
соблюдением
условий
использования средств защиты информации;
администрирование средств и систем защиты
персональных
данных
в
информационных
системах персональных данных, включая средства
антивирусной защиты (за исключением средств
криптографической защиты информации);
учет лиц, допущенных к работе с персональными
данными в информационных системах;
Основные направления
деятельности
учет
носителей
персональных
данных,
используемых
в
информационных
системах
персональных данных (как с использованием средств
автоматизации, так и без их использования);
периодическую (не реже одного раза в квартал)
проверку
электронного
журнала
обращений
пользователей
информационных
систем
к
персональным данным.
Основные ЗА для
руководства
1. Закон Российской Федерации от 21 июля
1993 г. № 5485-1 «О государственной
тайне».
Основные ЗА для
руководства
2. Федеральный закон от 27 июля 2006 г. №
149-ФЗ «Об информации, информационных
технологиях и защите информации».
Основные ЗА для
руководства
3. Федеральный закон от 27 июля 2006 г. №
152-ФЗ
«О
персональных
данных».
Основные ЗА для
руководства
4. Федеральный закон от 26 июля 2017 г.
№ 187-ФЗ «О безопасности критической
информационной
инфраструктуры
Российской Федерации».
Основные ЗА для
руководства
5. Федеральный закон от 26 июля 2017 г. №
193-ФЗ «О внесении изменений в отдельные
законодательные акты Российской Федерации в
связи с принятием Федерального закона «О
безопасности
критической
информационной
инфраструктуры Российской Федерации».
Информационная
безопасность
Требования, которые мы соблюдаем
Законы, регулирующие деятельность облачных провайдеров
в области персональных данных и защиты информации:
Федеральный закон № 152-ФЗ от 27.07.2006 «О персональн
ых данных»
.
Регулирует деятельность по обработке (использованию)
персональных данных и определяет требования по их
защите.
Информационная
безопасность
Требования, которые мы соблюдаем
Законы,
регулирующие
деятельность
облачных
провайдеров в области персональных данных и защиты
информации:
Федеральный
закон «О внесении изменений в отдельные законодател
ьные акты Российской Федерации в части уточнения пор
ядка обработки персональных данных в информационн
о-телекоммуникационных сетях» от 21.07.2014 № 242-Ф
З
.
Определяет требования к хранению и отдельным
процессам обработки персональных данных российских
граждан на территории России.
Информационная
безопасность
Постановление Правительства РФ от 01.11.2012 № 1119 «Об ут
верждении требований к защите персональных данных при их о
бработке в информационных системах персональных данных»
.
Определяет требования к защите и уровни защищенности
персональных данных.
Федеральный закон «Об информации, информационных техноло
гиях и о защите информации» от 27.07.2006 № 149-ФЗ
.
Регулирует отношения в сфере информации, информационных
технологий и защиты информации.
Приказ ФСТЭК «Об утверждении состава и содержания организ
ационных и технических мер по обеспечению безопасности перс
ональных данных при их обработке в информационных системах
персональных данных» от 18 февраля 2013 г. № 21
.
Определяет организационно-технические меры и средства,
Информационная
безопасность
6. Федеральный закон от 26 июля 2017 г. №
194-ФЗ «О внесении изменений в Уголовный
кодекс Российской Федерации и статью 151
Уголовно-процессуального кодекса Российской
Федерации в связи с принятием Федерального
закона
«О
безопасности
критической
информационной инфраструктуры Российской
Федерации».
7. Указ Президента Российской Федерации от
31 декабря 2015 г. № 683 «Стратегия
национальной
безопасности
Российской
Федерации».
8. Указ Президента Российской Федерации от 5
декабря
2016
г.
№
646
«Доктрина
информационной безопасности Российской
Информационная
безопасность
10. Указ Президента Российской Федерации от 22 октября 2015 г.
«Положение о федеральной системе оповещения о ведении технической
разведки
иностранными
государствами».
11. Указа Президента Российской Федерации от 6 марта 1997 г. № 188
«Перечень
сведений
конфиденциального
характера».
12. «Основные направления государственной политики в области
обеспечения
безопасности
автоматизированных
систем
управления
производственными и технологическими процессами критически важным
объектов инфраструктуры Российской Федерации», утвержденные
Президентом Российской Федерации 3 февраля 2012 г. № 803.
Информационная
безопасность
13. Указа Президента Российской Федерации от 2 марта
2018 г. № 98 «О внесении изменений в Перечень
сведений,
отнесенных
к
государственной
тайне,
утвержденный Указом Президента Российской Федерации
от
30
ноября
1995
г.
№
1203».
14. Постановление Совета Министров – Правительства
Российской Федерации от 15 сентября 1993 г. № 912-51
(Положение
о
государственной
системе
защиты
информации в Российской Федерации от иностранных
технических разведок и от ее утечки по техническим
каналам).
15. Постановление Правительства Российской Федерации
от 5 января 2004 г. № 3-1 «Об утверждении «Инструкции
по обеспечению режима секретности в Российской
Федерации».
Информационная
безопасность
16. Постановление Правительства Российской Федерации
от 24 мая 2010 г. № 365 «О координации мероприятий по
использованию
информационно-коммуникационных
технологий в деятельности государственных органов».
17. Постановление Правительства Российской Федерации
от 1 ноября 2012 г. № 1119 «Об утверждении Требований
к защите персональных данных при их обработке в
информационных системах персональных данных».
18. Постановление Правительства Российской Федерации
от 22 ноября 2012 г. № 1205 «Об утверждении Правил
организации
и
осуществления
федерального
государственного контроля за обеспечением защиты
государственной тайны».
Информационная
безопасность
19. Постановление Правительства Российской Федерации от 6
мая 2016 г. № 399 «Об организации повышения квалификации
специалистов по защите информации и должностных лиц,
ответственных за организацию защиты информации в органах
государственной власти, органах местного самоуправления,
организациях с государственным участием и организациях
оборонно-промышленного
комплекса».
20. Постановление Правительства Российской Федерации от
11 мая 2017 г. № 555 «О внесении изменений в требования к
порядку создания, развития, ввода в эксплуатацию,
эксплуатации и вывода из эксплуатации государственных
информационных
систем
и
дальнейшего
хранения
содержащейся
в
их
базах данных
информации».
Информационная
безопасность
21. Постановление Правительства Российской Федерации
от 8 февраля 2018 г. № 127 «Об утверждении Правил
категорирования объектов критической информационной
инфраструктуры Российской Федерации, а также перечня
показателей критериев значимости объектов критической
информационной инфраструктуры Российской Федерации
и
их
значений».
22. Постановление Правительства Российской Федерации
от 17 февраля 2018 г. № 162 «Об утверждении Правил
осуществления государственного контроля в области
обеспечения
безопасности
значимых
объектов
критической
информационной
инфраструктуры».
Информационная
безопасность
23. Постановление Правительства Российской
Федерации от 13 апреля 2019 г. № 452 «О внесении
изменений в Постановление Правительства
Российской Федерации от 8 февраля 2018 г. № 127».
24. Типовое положение о Совете (Технической
комиссии) министерства, ведомства, органа
государственной власти субъекта Российской
Федерации по защите информации от ИТР и от ее
утечки по техническим каналам, утвержденное
решением Гостехкомиссии России от 14 марта 1995
г.
№
32.
Информационная
безопасность
25. Типовые требования к содержанию и
порядку разработки Руководства по защите
информации от ИТР и от ее утечки по
техническим каналам на объекте защиты,
утвержденные
решением
Гостехкомиссии
России от 3 октября 1995 г. № 42.
26. Положение о постоянно действующих
технических
комиссиях
по
защите
государственной
тайны,
утвержденное
совместным приказом Гостехкомиссии России и
ФСБ России от 28 июня 2001 г. № 309/405.
Информационная
безопасность
27. Решение заседания коллегии ФСТЭК России от 18
октября 2011
г.
№
11
«О состоянии
и
совершенствовании системы подготовки специалистов
по противодействию иностранным техническим
разведкам, технической защите информации и
обеспечению безопасности информации в ключевых
системах информационной инфраструктуры» от 25
ноября
2011
г.
№
240/11/4416.
28. Приказ Минкомсвязи России от 3 июля 2013 г. №
155 «Об утверждении Методических указаний по
осуществлению учета информационных систем и
компонентов информационно-телекоммуникационной
инфраструктуры».
Информационная
безопасность
29. Приказ ФСТЭК России от 25 февраля 2009 г. № 07 «Об
утверждении Положения по защите информации при
использовании оборудования с числовым программным
управлением, предназначенного для обработки информации,
содержащей сведения, составляющие государственную
тайну».
30. Приказ ФСТЭК России от 29 мая 2009 г. № 191 «Об
утверждении Положения по защите информации при
использовании оборудования с числовым программным
управлением, предназначенного для обработки информации
ограниченного
доступа,
не
содержащей
сведения,
составляющие государственную тайну».
Информационная
безопасность
31. Приказ ФСТЭК России от 11 февраля 2013
г. № 17 «Об утверждении Требований о защите
информации,
не
составляющей
государственную тайну, содержащейся в
государственных информационных системах».
32. Приказ ФСТЭК России от 18 февраля 2013
г. № 21 «Об утверждении Состава и
содержания организационных и технических
мер
по
обеспечению
безопасности
персональных данных при их обработке в
информационных
системах
персональных
данных».
Информационная
безопасность
33. Приказ ФСТЭК России от 14 марта 2014 г. №
31 «Об утверждении Требований к обеспечению
защиты информации в автоматизированных
системах
управления
производственными
и
технологическими процессами на критически
важных
объектах,
потенциально
опасных
объектах, а также объектах, представляющих
повышенную опасность для жизни и здоровья
людей и для окружающей природной среды».
34. Приказ ФСТЭК России от 1 декабря 2015 г. №
047 «Модель иностранных технических разведок
на
период
до
2025
года».
Информационная
безопасность
35. Приказ ФСТЭК России от 9 февраля 2016 г. №
9дсп
«Требования
к
межсетевым
экранам».
36. Приказ ФСТЭК России от 19 августа 2016 г. № 018
«Требования к средствам уничтожения информации
на машинных магнитных носителях информации
способом
магнитно-силового
воздействия».
37. Приказ ФСТЭК России от 19 августа 2016 г. № 119
«Требования
безопасности
информации
к
операционным
системам».
38. Приказ ФСТЭК России от 20 октября 2016 г. №
025
«Требования
по
технической
защите
информации, содержащей сведения, составляющие
государственную тайну.
Информационная
безопасность
39. Приказ ФСБ России и ФСТЭК России от 31
августа 2010 г. № 416/489 «Требования о
защите
информации,
содержащейся
в
информационных
системах
общего
пользования».
40. Приказ ФСТЭК России от 15 февраля 2017
г. № 27 «О внесении изменений в Требования о
защите
информации,
не
составляющей
государственную тайну, содержащейся в
государственных информационных системах,
утвержденные приказом ФСТЭК России от 11
февраля 2013 г. № 17».
Информационная
безопасность
41. Приказ ФСТЭК России от 23 марта 2017 г. № 49 «О
внесении
изменений
в
состав
и
содержание
организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в
информационных
системах
персональных
данных,
утвержденные приказом ФСТЭК России от 18 февраля
2013 г. № 21, и в требования по обеспечению защиты
информации в автоматизированных системах управления
производственными и технологическими процессами на
критически важных объектах, потенциально опасных
объектах, а также объектах, представляющих повышенную
опасность для жизни и здоровья людей и для окружающей
природной среды, утвержденные приказом ФСТЭК России
от 14 марта 2014 г. № 31».
42. Приказ ФСТЭК России от 27 ноября 2017 г.
№ 043 «Методика оценки эффективности
защиты
информации,
обрабатываемой
объектами вычислительной техники, от утечки
за счет побочных электромагнитных излучений
и
наводок».
43. Приказ ФСТЭК России от 6 декабря 2017 г.
№ 227 «Об утверждении Порядка ведения
реестра
значимых
объектов
критической
информационно инфраструктуры Российской
Федерации».
44. Приказ ФСТЭК России от 11 декабря 2017 г. №
229 «Об утверждении формы акта проверки,
составляемого
по
итогам
проведения
государственного контроля в области обеспечения
безопасности значимых объектов критической
информационной инфраструктуры Российской
Федерации».
45. Приказ ФСТЭК России от 21 декабря 2017 г. №
235 «Об утверждении Требований к созданию
систем
безопасности
значимых
объектов
критической информационной инфраструктуры
Российской Федерации и обеспечению их
функционирования».
Информационная
безопасность
46. Приказ ФСТЭК России от 22 декабря 2017 г.
№ 236 «Об утверждении формы направления
сведений о результатах присвоения объекту
критической информационной инфраструктуры
одной из категорий значимости либо об
отсутствии необходимости присвоения ему
одной
из
таких
категорий».
47. Приказ ФСТЭК России от 25 декабря 2017 г.
№ 239 «Об утверждении Требований по
обеспечению безопасности значимых объектов
критической информационной инфраструктуры
Российской Федерации».
Информационная
безопасность
48. Приказ ФСТЭК России от 9 августа 2018 г. № 138
«О внесении изменений в Требования к обеспечению
защиты информации в автоматизированных системах
управления производственными и технологическими
процессами
на
критически
важных
объектах,
потенциально опасных объектах, а также объектах,
представляющих повышенную опасность для жизни и
здоровья людей и для окружающей природной среды,
утвержденные приказом ФСТЭК России от 14 марта
2014 г. № 31 и в Требования по обеспечению
безопасности
значимых
объектов
критической
информационной
инфраструктуры
Российской
Федерации, утвержденные ФСТЭК России от 25
декабря 2017 г. № 239».
Информационная
безопасность
49. Приказ ФСТЭК России от 14 мая 2019 г. №
012
«Методика
оценки
эффективности
противодействия
иностранной
гиперспектральной
разведке».
50. Приказ ФСТЭК России от 6 августа 2019 г.
№ 021 «О внесении изменений в Методику
оценки
защищенности
информации,
обрабатываемой объектами вычислительной
техники, от утечки за счет побочных
электромагнитных
излучений
и
наводок,
утвержденного приказом ФСТЭК России от 27
ноября 2017 г. № 043».
Информационная
безопасность
51. Приказ ФСТЭК России от 28 мая 2019 г. № 106 «О
внесении изменений в Требования о защите
информации, не составляющей государственную
тайну,
содержащейся
в
государственных
информационных системах, утвержденные приказом
ФСТЭК России от 11 февраля 2013 г. № 17».
52. Выписка из Системы признаков критически
важных
объектов
и
критерием
отнесения,
функционирующих в их составе информационнотелекоммуникационных систем к числу защищаемых
от деструктивных информационных воздействий,
утвержденная заместителем директора ФСТЭК
России 18 мая 2007 г.
Информационная
безопасность
53.
Временный
порядок
обеспечения
органов
государственной власти Российской Федерации,
органов государственной власти субъектов Российской
Федерации, органов местного самоуправления и
организаций
документами
ФСТЭК
России,
утвержденный директором ФСТЭК России 22 августа
2008 г. (с изменениями от 2 августа 2010 г. и
уточнениями
от
18
августа
2011
г.).
54. Методика категорирования объектов управления
органов государственной власти, органов местного
самоуправления и организаций по важности защиты от
иностранных технических разведок, утвержденная
первым заместителем директора ФСТЭК России 25
декабря 2014 г.
Информационная
безопасность
55. Меры защиты информации в государственных
информационных
системах,
утвержденные
ФСТЭК
России
11
февраля
2014
г.
56. Информационное сообщение ФСТЭК России
от 19 июля 2016 г. № 240/24/1649 «Об
уязвимостях в сертифицированных средствах
защиты информации SECRET NET и мерах по их
нейтрализации».
57. Информационное сообщение ФСТЭК России
от 19 июля 2016 г. № 240/24/3246 «Об
уязвимостях в сертифицированных средствах
защиты Dallas Lock 8.0».
Информационная
безопасность
58. Информационное сообщение ФСТЭК России
от 20 июля 2016 г. № 240/24/3271 «О
применении сертифицированных по требованиям
безопасности информации средств антивирусной
защиты «Антивирус Касперского 6.0 для Windows
Workstation» в условиях прекращения их
поддержки
разработчиком».
59. Информационное сообщение ФСТЭК России
от 12 сентября 2016 г. № 240/24/4278 «Об
утверждении
методических
документов,
содержащих профили защиты межсетевых
экранов».
Информационная
безопасность
60. Информационное сообщение ФСТЭК России от 2 июля
2017 г. № 240/22/3171 «О мерах по защите информации,
направленных на нейтрализацию угроз безопасности
информации,
связанных
с
проникновением
и
распространением вредоносного программного обеспечения
WannaCry,
Petya,
Misha
и
их
модификаций».
61. Информационное сообщение ФСТЭК России от 22 июня
2017 г. № 240/22/3031
«О порядке рассмотрения и
согласования моделей угроз безопасности информации и
технических заданий на создание государственных
информационных
систем».
62. Информационное сообщение ФСТЭК России от 25
октября 2017 г. № 240/22/4900 «Об уязвимости
микропрограммного обеспечения Intel Management Engine».
Internet Marketing