Информационная безопасность. Информационное общество.
Информационная безопасность ОУ
Автор: Кашпарвоа Светлана Викторовна, учитель информатики, МКОУ СОШ № 5, г. Вятские Поляны
В раздел основное общее образование
Лекция
Основные понятия информационной безопасности
Цели изучения:
усвоение знаний по нормативно-правовым основам организации информационной безопасности, изучение стандартов и руководящих документов по защите информационных систем; ознакомление с основными угрозами информационной безопасности; правилами их выявления, анализа и определение требований к различным уровням обеспечения информационной безопасности; формирование научного мировоззрения, навыков индивидуальной самостоятельной работы с учебным материалом.
В результате изучения раздела студент должен
знать o различные подходы к определению понятия «информационная безопасность», o составляющие понятия "информационная безопасность", o определение целостности, конфиденциальности и доступности информации, o задачи информационной безопасности, o уровни формирования режима информационной безопасности, o особенности законодательно-правового и административного уровней, o основное содержание оценочного стандарта ISO/IEC 15408, o основное содержание стандартов по информационной безопасности распределенных систем. уметь o объяснить, в чем заключается проблема информационной безопасности, o объяснить, почему целостность, доступность и конфиденциальность являются главными составляющими информационной безопасности, o использовать стандарты для оценки защищенности информационных систем. Информационная безопасность � совокупность мер по защите информационной среды общества и человека. Приведем основные требования, предъявляемые пользователями к системам телекоммуникаций с позиций обеспечения защиты передаваемой информации. Системы телекоммуникаций должны обеспечить: o конфиденциальность информации – обеспечение просмотра информации в приемлемом формате только для пользователей, имеющих право доступа к этой информации; o целостность информации – обеспечение неизменности информации при ее передаче;
o аутентичность информации – обеспечение надежной идентификации источника сообщения, а также гарантия того, что источник не является поддельным. o доступность информации – гарантия доступа санкционированных пользователей к информации. Проблемы информационной безопасности государства достаточно полно освещены в Доктрине информационной безопасности Российской Федерации. Остановимся на двух из них: проблеме информационных войн и информационного терроризма.
Информационная война –
это действия, предпринимаемые для достижения информационного превосходства путем нанесения ущерба информационной сфере противника и обеспечения собственной информационной безопасности.
Информационный терроризм –
это особая форма насилия, представляющая собой сознательное и целенаправленное информационное воздействие или угрозу применения такого воздействия для принуждения правительства к реализации политических, экономических, религиозных и иных целей террористической организацией или отдельными террористами, сопровождаемое эмоциональным воздействием на общество для возбуждения в нем страха, панических настроений, потери доверия к власти и создания политической нестабильности.
В Доктрине информационной безопасности Российской Федерации,
утвержденной Президентом РФ 9 сентября 2000 г ., угрозы
информационной безопасности страны по их общей направленности
подразделяются на угрозы
: конституционным правам и свободам человека и гражданина в области информационной деятельности; духовной жизни общества; информационной инфраструктуре; информационным ресурсам. Законодательство и информационная безопасность
Федеральные законы
№ закона Дата принятия
Название закона
1. 160-ФЗ 19 декабря 2005 г. 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 2. 152-ФЗ 27 июля 2006 г. № 152-ФЗ «О персональных данных» 3. 149-ФЗ 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
4. 266-ФЗ 25 ноября 2009 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» по вопросам международных договоров Российской Федерации о реадмиссии» 5. 363-ФЗ 27 декабря 2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» 6. 123-ФЗ 28 июня 2010 г. № 123-ФЗ «О внесении изменений в статью 1 Федерального закона «О персональных данных» и статью 15 Федерального закона «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» 7. 99-ФЗ 4 мая 2011г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (продолжение) 8. 218-ФЗ 18 июля 2011 г. N 218-ФЗ "О внесении изменений в Федеральный закон "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции" и отдельные законодательные акты Российской Федерации и признании утратившим силу Федерального закона "Об ограничениях розничной продажи и потребления (распития) пива и напитков, изготавливаемых на его основе" (продолжение) 9. 171-ФЗ 22 ноября 1995 г. № 171-ФЗ "О Государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции" (глава I-II) (глава III) (глава IV)
Постановления правительства РФ
№ постановления Дата принятия
Название постановления
1. 504-ПП 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Отменено Постановлением Правительства № 79 РФ от 3 февраля 2012 г. 2. 612-ПП 27 № 612 «Об утверждении Правил продажи
сентября 2007 г. товаров дистанционным способом» 3. 781-ПП 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Отменено Постановлением Правительства № 1119 РФ от 1 ноября 2012 г. 4. 957-ПП 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» Отменено Постановлением Правительства № 313 РФ от 16 апреля 2012 г. 5. 687-ПП 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 6. 79-ПП 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" 7. 111-ПП 9 февраля 2012 г. N 111 "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи" 8. 171-ПП 3 марта 2012 г. N 171"О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" 9. 211-ПП 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" 10. 313-ПП 16 апреля № 313 "Об утверждении Положения о лицензировании деятельности по разработке,
2012 г. производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" 11. 584-ПП 13 июня 2012 г. № 584 "Об утверждении Положения о защите информации в платежной системе" 12. 1119-ПП 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 13. 36-ПП 27 января 2012 г. № 36 "Об утверждении Правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена" Отменено Постановлением Правительства № 755 РФ от 31 августа 2013 г. 14. 755-ПП 31 № 755 "О федеральной информационной
августа 2013 г. системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования"
Указы Президента РФ
Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» Указ Президента РФ от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного служащего Российской Федерации и ведении его личного дела»
Нормативные документы ФСТЭК России
Приказ ФСТЭК России от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Отменен Приказом ФСТЭК № 21 РФ от 18 февраля 2013 г. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Методический документ ФСТЭК от 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах" Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утверждена приказом заместителя директора ФСТЭК России от 15 февраля 2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом заместителя директора ФСТЭК России от 14 февраля 2008 г.
Нормативные документы ФСБ России
Приказ ФСБ России от 09 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПОЛОЖЕНИЕ ПКЗ-
2005) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/6/6-622 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.
Нормативные документы Роскомнадзора России
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных» Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630 «Административный регламент проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»
Другие нормативные документы
Совместный Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении порядка проведения классификации информационных систем персональных данных», от 13 февраля 2008 г. № 55/86/20 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.) Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю.Яшиным 25 ноября 1994 г. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ) (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа, 29 декабря 2004 г., 9 мая 2005 г., 30 июня, 18, 30 декабря 2006 г., 15
марта, 11 июля 2005, 25 декабря 2008) - глава 14 "Защита персональных данных работника"
Цели изучения:
усвоение знаний по нормативно-правовым основам организации информационной безопасности, изучение стандартов и руководящих документов по защите информационных систем; ознакомление с основными угрозами информационной безопасности; правилами их выявления, анализа и определение требований к различным уровням обеспечения информационной безопасности; формирование научного мировоззрения, навыков индивидуальной самостоятельной работы с учебным материалом.
В результате изучения раздела студент должен
знать o различные подходы к определению понятия «информационная безопасность», o составляющие понятия "информационная безопасность", o определение целостности, конфиденциальности и доступности информации, o задачи информационной безопасности, o уровни формирования режима информационной безопасности, o особенности законодательно-правового и административного уровней, o основное содержание оценочного стандарта ISO/IEC 15408, o основное содержание стандартов по информационной безопасности распределенных систем. уметь o объяснить, в чем заключается проблема информационной безопасности, o объяснить, почему целостность, доступность и конфиденциальность являются главными составляющими информационной безопасности, o использовать стандарты для оценки защищенности информационных систем. Информационная безопасность � совокупность мер по защите информационной среды общества и человека. Приведем основные требования, предъявляемые пользователями к системам телекоммуникаций с позиций обеспечения защиты передаваемой информации. Системы телекоммуникаций должны обеспечить: o конфиденциальность информации – обеспечение просмотра информации в приемлемом формате только для пользователей, имеющих право доступа к этой информации; o целостность информации – обеспечение неизменности информации при ее передаче;
o аутентичность информации – обеспечение надежной идентификации источника сообщения, а также гарантия того, что источник не является поддельным. o доступность информации – гарантия доступа санкционированных пользователей к информации. Проблемы информационной безопасности государства достаточно полно освещены в Доктрине информационной безопасности Российской Федерации. Остановимся на двух из них: проблеме информационных войн и информационного терроризма.
Информационная война –
это действия, предпринимаемые для достижения информационного превосходства путем нанесения ущерба информационной сфере противника и обеспечения собственной информационной безопасности.
Информационный терроризм –
это особая форма насилия, представляющая собой сознательное и целенаправленное информационное воздействие или угрозу применения такого воздействия для принуждения правительства к реализации политических, экономических, религиозных и иных целей террористической организацией или отдельными террористами, сопровождаемое эмоциональным воздействием на общество для возбуждения в нем страха, панических настроений, потери доверия к власти и создания политической нестабильности.
В Доктрине информационной безопасности Российской Федерации,
утвержденной Президентом РФ 9 сентября 2000 г ., угрозы
информационной безопасности страны по их общей направленности
подразделяются на угрозы
: конституционным правам и свободам человека и гражданина в области информационной деятельности; духовной жизни общества; информационной инфраструктуре; информационным ресурсам. Законодательство и информационная безопасность
Федеральные законы
№ закона Дата принятия
Название закона
1. 160-ФЗ 19 декабря 2005 г. 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» 2. 152-ФЗ 27 июля 2006 г. № 152-ФЗ «О персональных данных» 3. 149-ФЗ 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
4. 266-ФЗ 25 ноября 2009 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» по вопросам международных договоров Российской Федерации о реадмиссии» 5. 363-ФЗ 27 декабря 2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» 6. 123-ФЗ 28 июня 2010 г. № 123-ФЗ «О внесении изменений в статью 1 Федерального закона «О персональных данных» и статью 15 Федерального закона «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» 7. 99-ФЗ 4 мая 2011г. N 99-ФЗ "О лицензировании отдельных видов деятельности" (продолжение) 8. 218-ФЗ 18 июля 2011 г. N 218-ФЗ "О внесении изменений в Федеральный закон "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции" и отдельные законодательные акты Российской Федерации и признании утратившим силу Федерального закона "Об ограничениях розничной продажи и потребления (распития) пива и напитков, изготавливаемых на его основе" (продолжение) 9. 171-ФЗ 22 ноября 1995 г. № 171-ФЗ "О Государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции" (глава I-II) (глава III) (глава IV)
Постановления правительства РФ
№ постановления Дата принятия
Название постановления
1. 504-ПП 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Отменено Постановлением Правительства № 79 РФ от 3 февраля 2012 г. 2. 612-ПП 27 № 612 «Об утверждении Правил продажи
сентября 2007 г. товаров дистанционным способом» 3. 781-ПП 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Отменено Постановлением Правительства № 1119 РФ от 1 ноября 2012 г. 4. 957-ПП 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» Отменено Постановлением Правительства № 313 РФ от 16 апреля 2012 г. 5. 687-ПП 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 6. 79-ПП 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" 7. 111-ПП 9 февраля 2012 г. N 111 "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи" 8. 171-ПП 3 марта 2012 г. N 171"О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" 9. 211-ПП 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" 10. 313-ПП 16 апреля № 313 "Об утверждении Положения о лицензировании деятельности по разработке,
2012 г. производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" 11. 584-ПП 13 июня 2012 г. № 584 "Об утверждении Положения о защите информации в платежной системе" 12. 1119-ПП 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 13. 36-ПП 27 января 2012 г. № 36 "Об утверждении Правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена" Отменено Постановлением Правительства № 755 РФ от 31 августа 2013 г. 14. 755-ПП 31 № 755 "О федеральной информационной
августа 2013 г. системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования"
Указы Президента РФ
Указ Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» Указ Президента РФ от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного служащего Российской Федерации и ведении его личного дела»
Нормативные документы ФСТЭК России
Приказ ФСТЭК России от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Отменен Приказом ФСТЭК № 21 РФ от 18 февраля 2013 г. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Методический документ ФСТЭК от 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах" Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утверждена приказом заместителя директора ФСТЭК России от 15 февраля 2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом заместителя директора ФСТЭК России от 14 февраля 2008 г.
Нормативные документы ФСБ России
Приказ ФСБ России от 09 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПОЛОЖЕНИЕ ПКЗ-
2005) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/6/6-622 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.
Нормативные документы Роскомнадзора России
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных» Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630 «Административный регламент проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»
Другие нормативные документы
Совместный Приказ ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении порядка проведения классификации информационных систем персональных данных», от 13 февраля 2008 г. № 55/86/20 Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.) Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю.Яшиным 25 ноября 1994 г. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ) (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа, 29 декабря 2004 г., 9 мая 2005 г., 30 июня, 18, 30 декабря 2006 г., 15
марта, 11 июля 2005, 25 декабря 2008) - глава 14 "Защита персональных данных работника"
В раздел основное общее образование