- •Понятие и предмет информационной безопасности.
- •Соотношение понятий безопасность и информационная безопасность.
- •Уровни обеспечения безопасности: личностный, гражданское общество, государственный.
- •Общая структура правового института информационной безопасности. Объекты информационной безопасности: личность, общество, государство, - особенности каждого из объектов. !
- •Основные теории понимания национальных интересов России в информационной сфере.
- •Классификация национальных интересов по срокам их реализации, соотношение интереса и информации. !
- •Разработка и принятие Концепции национальной безопасности и Доктрины информационной безопасности России. !
- •8. Национальными интересами в информационной сфере являются:
- •Понятие источника угрозы национальной безопасности, информационной безопасности и их разновидности.
- •Информационный терроризм.
- •Информационное оружие.
- •Принципы обеспечения информационной безопасности.
- •14. Конституционное закрепление и охрана информационных прав граждан. !
- •15.Право на неприкосновенность частной жизни, личной и семейной тайны.
- •Статья 5.66. Незаконное финансирование деятельности политических партий, не связанной с участием в выборах и референдумах
- •Федеральный закон от 11 августа 1995 г. N 135-фз "о благотворительной деятельности и добровольчестве (волонтерстве)"
- •Статья 20. Ответственность благотворительной организации
- •19. Коммерческая тайна. Понятие и правовое регулирование.
- •22. Служебная тайна. Понятие и правовое регулирование.
- •23. Проблемы правового обеспечения информационной безопасности государства, противодействия информационным войнам и терроризму.
- •24. Понятие государственной тайны.
- •26. Порядок засекречивания и рассекречивания информации, отнесенной к государственной тайне. Предварительное засекречивание.
- •27. Ответственность за нарушение порядка обращения с информацией, составляющей государственную тайну.
- •29. Система государственного лицензирования деятельности в области защиты информации.
- •31. Общий порядок лицензирования в области защиты информации.
- •32. Система сертификации средств защиты информации.
- •33. Государственные стандарты в области защиты информации.
33. Государственные стандарты в области защиты информации.
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
• выработка понятийного аппарата и терминологии в области информационной безопасности
• формирование шкалы измерений уровня информационной безопасности
• согласованная оценка продуктов, обеспечивающих информационную безопасность
• повышение технической и информационной совместимости продуктов, обеспечивающих ИБ
• накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем
• функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Государственные (национальные) стандарты РФ
· ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
· Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
· ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
· ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
· ГОСТ Р ИСО/МЭК 15408-1-2012 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· ГОСТ Р ИСО/МЭК 15408-2-2013 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
34. Общий порядок проведения сертификации средств защиты информации.
Процедура сертификации включает:
1. подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации.
2. сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю.
3. экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата – 3 года.
4. осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях:
· изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля;
· изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
· невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
· несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
· отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
5. информирование о результатах сертификации средств защиты информации;
6. рассмотрение апелляций. Апелляция подается в федеральный орган по сертификации и рассматривается в месячный срок с участием независимых экспертов и заинтересованных сторон.
Сертификация импортных средств защиты информации проводится по тем же правилам, что и отечественных.
35. Аттестация объектов информатизации (информационных систем) по требованиям информационной безопасности.
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).
Аттестация по требованиям безопасности информации вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Обязательной аттестации подлежат:
Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
Государственные информационные системы
Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:
-анализ исходных данных по аттестуемому объекту информатизации;
-предварительное ознакомление с аттестуемым объектом информатизации;
-проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
-проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
-проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
-проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
-анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)