Защита информации

Лекция 1: Защита информации  Инф ормационная безопасност ь – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Основные направления деятельности  Структурное подразделение специалист) по администратор защите (штатный информации, безопасности информации осуществляет:   анализ и выявление возможных каналов утечки информации и воздействия на информационные ресурсы и информатизации; процессы на объектах Основные направления деятельности   классификацию информационных систем, информационных систем персональных данных, автоматизированных систем (далее – АС) и средств вычислительной техники (далее – СВТ);   выполнение организационно-технических мер защиты информации на объектах информатизации и аттестации объектов информатизации требованиям безопасности информации;   внедрение и эксплуатация средств защиты информации систем информатизации и связи; Основные направления деятельности   разработку на базе руководящих и методических документов по технической защите информации внутренних организационно-распорядительных документов, определяющих порядок и мероприятия по защите информации на объектах информатизации;   контроль выполнения требований по защите информации при эксплуатации объектов информатизации; Основные направления деятельности   организацию парольной защиты;   организацию учета средств защиты информации, эксплуатационной и технической документации к ним;   инструктаж пользователей информационных систем персональных данных о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты; Основные направления деятельности   организацию парольной защиты;   организацию учета средств защиты информации, эксплуатационной и технической документации к ним;   инструктаж пользователей информационных систем персональных данных о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты; Основные направления деятельности   контроль за соблюдением условий использования средств защиты информации;   администрирование средств и систем защиты персональных данных в информационных системах персональных данных, включая средства антивирусной защиты (за исключением средств криптографической защиты информации);   учет лиц, допущенных к работе с персональными данными в информационных системах; Основные направления деятельности   учет носителей персональных данных, используемых в информационных системах персональных данных (как с использованием средств автоматизации, так и без их использования);   периодическую (не реже одного раза в квартал) проверку электронного журнала обращений пользователей информационных систем к персональным данным. Основные ЗА для руководства  1. Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне». Основные ЗА для руководства  2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации». Основные ЗА для руководства  3. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Основные ЗА для руководства  4. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Основные ЗА для руководства  5. Федеральный закон от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Информационная безопасность  Требования, которые мы соблюдаем  Законы, регулирующие деятельность облачных провайдеров в области персональных данных и защиты информации:  Федеральный закон № 152-ФЗ от 27.07.2006 «О персональн ых данных» . Регулирует деятельность по обработке (использованию) персональных данных и определяет требования по их защите. Информационная безопасность  Требования, которые мы соблюдаем  Законы, регулирующие деятельность облачных провайдеров в области персональных данных и защиты информации:  Федеральный закон «О внесении изменений в отдельные законодател ьные акты Российской Федерации в части уточнения пор ядка обработки персональных данных в информационн о-телекоммуникационных сетях» от 21.07.2014 № 242-Ф З . Определяет требования к хранению и отдельным процессам обработки персональных данных российских граждан на территории России. Информационная безопасность  Постановление Правительства РФ от 01.11.2012 № 1119 «Об ут верждении требований к защите персональных данных при их о бработке в информационных системах персональных данных» . Определяет требования к защите и уровни защищенности персональных данных.  Федеральный закон «Об информации, информационных техноло гиях и о защите информации» от 27.07.2006 № 149-ФЗ . Регулирует отношения в сфере информации, информационных технологий и защиты информации.  Приказ ФСТЭК «Об утверждении состава и содержания организ ационных и технических мер по обеспечению безопасности перс ональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 г. № 21 . Определяет организационно-технические меры и средства, Информационная безопасность  6. Федеральный закон от 26 июля 2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». 7. Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 «Стратегия национальной безопасности Российской Федерации». 8. Указ Президента Российской Федерации от 5 декабря 2016 г. № 646 «Доктрина информационной безопасности Российской Информационная безопасность  10. Указ Президента Российской Федерации от 22 октября 2015 г. «Положение о федеральной системе оповещения о ведении технической разведки иностранными государствами». 11. Указа Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера». 12. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важным объектов инфраструктуры Российской Федерации», утвержденные Президентом Российской Федерации 3 февраля 2012 г. № 803. Информационная безопасность  13. Указа Президента Российской Федерации от 2 марта 2018 г. № 98 «О внесении изменений в Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203». 14. Постановление Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 (Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам). 15. Постановление Правительства Российской Федерации от 5 января 2004 г. № 3-1 «Об утверждении «Инструкции по обеспечению режима секретности в Российской Федерации». Информационная безопасность  16. Постановление Правительства Российской Федерации от 24 мая 2010 г. № 365 «О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов». 17. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных». 18. Постановление Правительства Российской Федерации от 22 ноября 2012 г. № 1205 «Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны». Информационная безопасность  19. Постановление Правительства Российской Федерации от 6 мая 2016 г. № 399 «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса». 20. Постановление Правительства Российской Федерации от 11 мая 2017 г. № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Информационная безопасность  21. Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». 22. Постановление Правительства Российской Федерации от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры». Информационная безопасность  23. Постановление Правительства Российской Федерации от 13 апреля 2019 г. № 452 «О внесении изменений в Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127». 24. Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от ИТР и от ее утечки по техническим каналам, утвержденное решением Гостехкомиссии России от 14 марта 1995 г. № 32. Информационная безопасность  25. Типовые требования к содержанию и порядку разработки Руководства по защите информации от ИТР и от ее утечки по техническим каналам на объекте защиты, утвержденные решением Гостехкомиссии России от 3 октября 1995 г. № 42. 26. Положение о постоянно действующих технических комиссиях по защите государственной тайны, утвержденное совместным приказом Гостехкомиссии России и ФСБ России от 28 июня 2001 г. № 309/405. Информационная безопасность  27. Решение заседания коллегии ФСТЭК России от 18 октября 2011 г. № 11 «О состоянии и совершенствовании системы подготовки специалистов по противодействию иностранным техническим разведкам, технической защите информации и обеспечению безопасности информации в ключевых системах информационной инфраструктуры» от 25 ноября 2011 г. № 240/11/4416. 28. Приказ Минкомсвязи России от 3 июля 2013 г. № 155 «Об утверждении Методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры». Информационная безопасность  29. Приказ ФСТЭК России от 25 февраля 2009 г. № 07 «Об утверждении Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну». 30. Приказ ФСТЭК России от 29 мая 2009 г. № 191 «Об утверждении Положения по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Информационная безопасность  31. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». 32. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Информационная безопасность  33. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». 34. Приказ ФСТЭК России от 1 декабря 2015 г. № 047 «Модель иностранных технических разведок на период до 2025 года». Информационная безопасность  35. Приказ ФСТЭК России от 9 февраля 2016 г. № 9дсп «Требования к межсетевым экранам». 36. Приказ ФСТЭК России от 19 августа 2016 г. № 018 «Требования к средствам уничтожения информации на машинных магнитных носителях информации способом магнитно-силового воздействия». 37. Приказ ФСТЭК России от 19 августа 2016 г. № 119 «Требования безопасности информации к операционным системам». 38. Приказ ФСТЭК России от 20 октября 2016 г. № 025 «Требования по технической защите информации, содержащей сведения, составляющие государственную тайну. Информационная безопасность  39. Приказ ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489 «Требования о защите информации, содержащейся в информационных системах общего пользования». 40. Приказ ФСТЭК России от 15 февраля 2017 г. № 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17». Информационная безопасность  41. Приказ ФСТЭК России от 23 марта 2017 г. № 49 «О внесении изменений в состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, и в требования по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31».  42. Приказ ФСТЭК России от 27 ноября 2017 г. № 043 «Методика оценки эффективности защиты информации, обрабатываемой объектами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок». 43. Приказ ФСТЭК России от 6 декабря 2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационно инфраструктуры Российской Федерации».  44. Приказ ФСТЭК России от 11 декабря 2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». 45. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». Информационная безопасность  46. Приказ ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий». 47. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Информационная безопасность  48. Приказ ФСТЭК России от 9 августа 2018 г. № 138 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31 и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные ФСТЭК России от 25 декабря 2017 г. № 239». Информационная безопасность  49. Приказ ФСТЭК России от 14 мая 2019 г. № 012 «Методика оценки эффективности противодействия иностранной гиперспектральной разведке». 50. Приказ ФСТЭК России от 6 августа 2019 г. № 021 «О внесении изменений в Методику оценки защищенности информации, обрабатываемой объектами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок, утвержденного приказом ФСТЭК России от 27 ноября 2017 г. № 043». Информационная безопасность  51. Приказ ФСТЭК России от 28 мая 2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17». 52. Выписка из Системы признаков критически важных объектов и критерием отнесения, функционирующих в их составе информационнотелекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий, утвержденная заместителем директора ФСТЭК России 18 мая 2007 г. Информационная безопасность  53. Временный порядок обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, утвержденный директором ФСТЭК России 22 августа 2008 г. (с изменениями от 2 августа 2010 г. и уточнениями от 18 августа 2011 г.). 54. Методика категорирования объектов управления органов государственной власти, органов местного самоуправления и организаций по важности защиты от иностранных технических разведок, утвержденная первым заместителем директора ФСТЭК России 25 декабря 2014 г. Информационная безопасность  55. Меры защиты информации в государственных информационных системах, утвержденные ФСТЭК России 11 февраля 2014 г. 56. Информационное сообщение ФСТЭК России от 19 июля 2016 г. № 240/24/1649 «Об уязвимостях в сертифицированных средствах защиты информации SECRET NET и мерах по их нейтрализации». 57. Информационное сообщение ФСТЭК России от 19 июля 2016 г. № 240/24/3246 «Об уязвимостях в сертифицированных средствах защиты Dallas Lock 8.0». Информационная безопасность  58. Информационное сообщение ФСТЭК России от 20 июля 2016 г. № 240/24/3271 «О применении сертифицированных по требованиям безопасности информации средств антивирусной защиты «Антивирус Касперского 6.0 для Windows Workstation» в условиях прекращения их поддержки разработчиком». 59. Информационное сообщение ФСТЭК России от 12 сентября 2016 г. № 240/24/4278 «Об утверждении методических документов, содержащих профили защиты межсетевых экранов». Информационная безопасность  60. Информационное сообщение ФСТЭК России от 2 июля 2017 г. № 240/22/3171 «О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций». 61. Информационное сообщение ФСТЭК России от 22 июня 2017 г. № 240/22/3031 «О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем». 62. Информационное сообщение ФСТЭК России от 25 октября 2017 г. № 240/22/4900 «Об уязвимости микропрограммного обеспечения Intel Management Engine». Internet Marketing