Правовые основы защиты информации

11.09.24 - 1 пара

Безопасность - это состояние, при котором не угрожает опасность, есть защита от опасности.
(С.И. Ожегов. Словарь русского языка.)

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
(Закон РФ «О безопасности» №2446-1 от 5 марта 1992 г.)

Безопасность - отсутствие опасности.
Опасность - возможность, угроза бедствия, катастрофы, чего-нибудь нежелательно.
(Толковый словарь русского языка. Под ред. Д.Н.Ушакова)

Безопасность означает:

1. Отсутствие опасности для нормального функционирования системы. (Безопасность как состояние);
2. Надежную защищенность от воздействия угроз. (Безопасность как свойство);
3. Способность преодолевать угрозу. (Безопасность как система).

Механизмы обеспечения Безопасности:

1. Ориентация: идентификация и оценка ситуации;
2. Адаптация: Внутреннее изменение в системе;
3. Экспансия: Влияние на окружение

Информационная безопасность (сохранение информации):

• конфиденциальность;
• целостности;
• доступности.

Актив (asset) - что-либо, что имеет ценность для организации.

Типы активов:

• информация;
• программное обеспечение;
• материальные активы;
• услуги;
• люди и их квалификация, навыки и опыт;
• нематериальные активы (репутация, имидж, ...).

Информационный актив - знания или данные, которые имеют значение для организации.

Информация - это сведение (сообщение, данные) независимо от формы их представления.

• акустическая (речевая) информация;
• видовая информация;
• информация, обрабатываемая (циркулирующая в ИС, в виде электрических, электромагнитных, оптических сигналов;
• информация, обрабатываемая в ИС, представленная в виде, бит, байт, IP-протоколов, файлов и других структур.

Конфиденциальность (confidentiality) - свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов.

Перехват - получение несанкционированного доступа к ресурсу.

• Подключение к кабелю связи с целью перехвата данных
• Незаконное копирование файлов и программ

Доступность (availability) - свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.

Разъединение - уничтожение ресурса системы, либо приведение его в состояние недоступности или негодности.

• Вывод из строя оборудования
• Обрыв линии связи
• Разрушение файловой системы

Целостность (integrity) - свойство сохранения правильности и полноты активов.

Модификация - открытие несанкционированного доступа к ресурсу и его изменение нарушителем.

• Изменение значений в файле данных
• Модификация кода программы с целью изменения ее функций
• Изменение содержимого передаваемого по сети сообщения

Атака - это попытка нарушений критерий информационной безопасности.

Контроль доступа (access control) - это получение доступа к активам, только авторизованным пользователям.

Доступ к информации - возможность получения информации и ее использования.

Предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Распространение информации - действия направление на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Угроза (threat) - возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации.

Уязвимость (vulnerability) - слабость актива или средства управления, которой может воспользоваться угроза.

Средства управление (control) - средства управления риском, включая политики, процедуры, рекомендации, практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер.

Синонимы термина:

• Мера безопасности;
• Контрмера.

Событие в системе информационной безопасности (information security event) - выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение информационной безопасности, политики, нарушение или отказ средств управления или прежде неизвестная ситуация, которая может иметь значение для безопасности.

Инцидент информационной безопасности (information security incident) - одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс подвергнуть риску деловые операции и поставить под угрозу информационную безопасность

Риск (risk) - сочетание вероятности события и его последствий.

Риск информационной безопасности (information secutiry risk) - потенциальная возможность того, что угроза будет использовать уязвимость актива или группы активов, причиняя таким образом ущерб организации.

Нарушитель (субъект атаки) - лицо (или инициируемый им процесс), проводящее (проводящий) атаку.

Негативные функциональные возможности - документированные и недокументированные возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:

• модифицировать или искажать алгоритмы работы криптосредств в процессе их использование;
• модификация или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;
• получать доступ нарушителям к хранящейся в открытом виде ключевой идентификационной и (или) аутентифицирующая информация, а также к защищаемой информации.

Угроза безопасности -

Угроза безопасности объекта -

Успешная атака -

Уровень криптографической защиты информации -

Информационные технологии - процессы, методы поиска, сборы, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Управление рисками () - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Управление рисками (risk managment) - скоординированная деятельность по руководству и управлению организацией по отношению к риску.

• определение рисков;
• обработка рисков;
• принятие рисков;
• сообщение о рисках.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основания закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким либо признакам.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символом, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Электронные сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети.

Документированная информация - зафиксированная на материальном носителе путем документирования информации или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработке в информационных системах.

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системе, в том числе по обработке информации, содержащейся в ее базе данных.

Оператор:

• государственный орган
• муниципальный орган
• юридическое лицо
• физическое лицо

Совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые персональными данным.

Объект информатизации - совокупность

• информационных ресурсов
• средств и систем обработки информации, используемых в соответствии с заданной информационной технологией.
• средств обеспечения объектов (зданий, сооружений, технических средств), в которых они установлены
• или помещения или объекты, предназначенные для ведения конфиденциальных переговоров.

Классификационная схема понятий в области "Защита информации"

Специальные проверки (спецпроверки) - проверки ТСПИ иностранного и совместного производства на наличие возможных внедренных электронных устройств перехвата информации.

Специальные исследования (специсследования) - выявление с помощью контрольно - измерительной аппаратуры возможных каналов утечки информации ограниченного доступа, обрабатываемой ТСПИ.

Специальные обследования (спецобследования) - определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно - измерительной аппаратуры.

12.09.24 - 2 пары

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Государственные информационные системы (ГИС) - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов

Информационные системы общего пользования (ИСОП) - федеральные государственные ИС, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством РФ

Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.

Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с ОТСС или в ЗП.

Средства обработки информации - любые системы, службы или инфраструктуры по обработке информации, а также их физические местонахождения.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы КЗ, не превышает нормированного значения.

2 группа - биометрические ПДн, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личности и которые используются оператором для установления

4 группа - иные категории ПДн, не представленные в трех предыдущих группах ( электронная почка или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.)

Государственная тайна - это сведения, разглашение которых может нанести ущерб безопасности РФ.

Законодательство об информационной безопасности: 5 федеральных законов РФ.

1. 149-ФЗ "Об информации, информационных технологиях и о защите информации"
2. 152-ФЗ "О персональных данных"
3. 98-ФЗ "О коммерческой тайне"
4. 63-ФЗ "Об электронной подписи"
5. 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

149-ФЗ "Об информации, информационных технологиях и о защите информации"

ключевые моменты закона:

152-ФЗ "О персональных данных"

ключевые моменты закона:

98-ФЗ "О коммерческой тайне"

ключевые моменты закона:

63-ФЗ "Об электронной подписи"

ключевые моменты закона:

187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Ключевые моменты закона: