Файл: Федеральное агентство морского и речного транспорта Федеральное государственное бюджетное образовательное учреждение высшего образования.docx
Добавлен: 04.05.2024
Просмотров: 105
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
АННОТАЦИЯ ПОСОБИЯ………………………………………………………………………………..4
1.1. Информация как объект правового регулирования……………………………………………….12
1.2. Правовые отношения в информационной сфере…………………………………………………. 21
1.4. Государственная система защиты информации………………... ………………….......................33
1.3. Информационная безопасность государства………………………………………....................... 25
ГЛАВА 2. ПРАВОВЫЕ РЕЖИМЫ ЗАЩИТЫ ИНФОРМАЦИИ…………………………………… 40
2.1.1. Правовое регулирование информационных отношений в области государственной
тайны………………………………………... …………………………………………………………...40
2.1.2. Правовые аспекты защиты государственной тайны…………. ………………………………..47
2.2.2. Правовой режим защиты коммерческой тайны………………. ……………………………….56
2.2.3. Правовой режим защиты персональных данных………………………………… ……………60
2.3.1. Характеристика Интернет………………………………………………………………………..72
2.3.2. Правовое обеспечение ИБ Интернет…………………………………………………………... 74
2.4. Правовые проблемы защиты информации с использованием
шифровальных (криптографических) средств………………………………………… …………….76
2.4.2. Правовые аспекты создания и применения шифровальных
(криптографических) средств защиты информации………………............................... …………….77
2.5. Правовые аспекты защиты интеллектуальной собственности... ………………………………..84
ГЛАВА 3. ЛИЦЕНЗИРОВАНИЕ И СЕРТИФИКАЦИЯ В СФЕРЕ
ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………………………………... 86
3.1. Лицензирование деятельности по защите информации…………………………………………86
3.2. Сертификация продукции и услуг в области защиты нформации……………………………...91
4. ПРОБЛЕМЫ РАССЛЕДОВАНИЯ ПРАВОНАРУШЕНИЙ
В ИНФОРМАЦИОННОЙ СФЕРЕ………………………………………………………………………95
4.1. Правонарушения в информационной сфере и их характеристика……………………………….95
4.2. Характеристика неправомерного доступа к компьютерной информации……………………. 97
4.3. Основы расследования неправомерного доступа к компьютерной информации ……………...98
распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
В таблице приведена классификация ИСПДн по уровням их защищенности:
Классификация ИСПДн по уровням их защищенности:
Для обеспечения заданного уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение комплекса требований, показанных в таблице:
Требования по обеспечению заданного уровня защищенности
персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных устанавливается нормативными документами ФСТЭК России и включает в себя:
При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры.
Контроль за выполнением требований по защите персональных данных организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.
Интернет прочно вошел в нашу повседневную жизнь, стал ее неотъемлемой частью. Сегодня трудно представить, что совсем недавно его еще не было. Не было тех возможностей, которые он нам предоставляет в любой области.
Сфера пользователей Интернетом расширяется огромными темпами, что влечет за собой различные последствия социально-экономического и правового характера.
Деятельность современного общества все больше ориентируется на использование Интернет как средства межкультурной коммуникации и социального общения. В то же время возможности, которые предоставляет Интернет, привели к его быстрой коммерциализации, и он крайне широко используется для ведения предпринимательской деятельности. Следует отметить, что проблемы, существующие в социальной и экономической сфере, также получили свое преломление в виртуальном пространстве.
Являясь, по сути, принципиально новым институтом общественной жизни, Интернет поставил целый комплекс правовых проблем, в том числе проблем защиты информации, требующих соответствующих решений на законодательном уровне.
2.3.1 Характеристика Интернет
Интерне́т — всемирная система объединённых компьютерных сетей для хранения и передачи информации.
В состав Интернет входят и обеспечивают ее функционирование множество провайдеров (субъектов, предоставляющих информационные услуги пользователям Интернет), владельцев серверов (компьютеров, на которых размещаются запасы информации) и, наконец, пользователей услугами Интернет и потребителей информации.
Как объект защиты Интернет представляет собой глобальную автоматизированную информационную систему, состоящую из трансграничных информационно-телекоммуникационных сетей и распределенных в них информационных ресурсов.
С помощью Интернет активно формируется мировое информационное пространство, составляющее основу информационного общества, в котором действуют крупные информационные объекты, объединяющие системы создания информации (издательские дома, редакции газет и журналов, телесети, телестудии) и сети ее распространения (кабельные, телефонные, компьютерные, спутниковые), функционируют глобальные международные информационно-телекоммуникационные сети, охватывающие территории большинства стран мира. В Интернет сегодня сосредоточена деловая, образовательная, развлекательная информация, электронные газеты и журналы, базы данных практически по всем областям жизнедеятельности общества, электронная почта, доступ к разнообразным информационным ресурсам библиотек, государственных и частных учреждений и компаний.
Важнейшей особенностью Интернет является отсутствие географических и геополитических границ государств — участников Интернет, в результате чего происходит «столкновение», и «ломка» национальных законодательств стран в этих сетях и возникает проблема формирования нового международного информационного законодательства.
Таким образом, можно сделать вывод о том, что Интернет, по сути, представляет собой новую среду обитания человечества, новую среду деятельности личности, общества, государства. Эту среду нередко называют виртуальной, имея в виду тот факт, что информация — основной объект этой среды — физически не ощутима.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
В таблице приведена классификация ИСПДн по уровням их защищенности:
Классификация ИСПДн по уровням их защищенности:
 Тип угрозыКатегория ПДн | 1 | 2 | 3 |
| Специальные ПДн | 1 | 1 (при обработке специальных ПДн более 100 тыс. субъектов ПДн, не являющихся сотрудниками оператора) 2 (при обработке специальных ПДн сотрудников оператора или специальных ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) | 2 (при обработке специальных ПДн более 100 тыс. субъектов ПДн, не являющихся сотрудниками оператора) 3 (при обработке специальных ПДн менее 100 тыс. субъектов ПДн, не являющихся сотрудниками оператора) |
| Биометрические ПДн | 1 | 2 | 3 |
| Общедоступные ПДн | 2 | 2 (при обработке общедоступных ПДн сотрудников оператора более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) 3 (при обработке общедоступных ПДн сотрудников оператора или общедоступных ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) | 4 |
| Иные категории ПДн | 1 | 2 (при обработке иных категорий ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) 3 (при обработке иных категорий ПДн сотрудников оператора или обработке иных категорий ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) | 3 (при обработке иных категорий ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) 4 (при обработке иных категорий ПДн сотрудников оператора или обработке иных категорий ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора) |
Для обеспечения заданного уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение комплекса требований, показанных в таблице:
Требования по обеспечению заданного уровня защищенности
персональных данных
| Требования по обеспечению заданного уровня защищенности ПДн | Уровень защищенности ПДн | |||
| 4 | 3 | 2 | 1 | |
| Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения | + | + | + | + |
| Обеспечение сохранности носителей персональных данных | + | + | + | + |
| Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей | + | + | + | + |
| Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз | + | + | + | + |
| Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе | | + | + | + |
| Организация доступ к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей | | | + | + |
| Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе | | | | + |
| Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности | | | | + |
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных устанавливается нормативными документами ФСТЭК России и включает в себя:
-
идентификацию и аутентификацию субъектов доступа и объектов доступа; -
управление доступом субъектов доступа к объектам доступа; -
ограничение программной среды; -
защиту машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); -
регистрацию событий безопасности; -
антивирусную защиту; -
обнаружение (предотвращение) вторжений; -
контроль (анализ) защищенности персональных данных; -
обеспечение целостности информационной системы и персональных данных; -
обеспечение доступности персональных данных; -
защиту среды виртуализации; -
защиту технических средств; -
защиту информационной системы, ее средств, систем связи и передачи данных; -
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; -
управление конфигурацией информационной системы и системы защиты персональных данных.
При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры.
Контроль за выполнением требований по защите персональных данных организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.
-
Правовые проблемы защиты информации в Интернет
Интернет прочно вошел в нашу повседневную жизнь, стал ее неотъемлемой частью. Сегодня трудно представить, что совсем недавно его еще не было. Не было тех возможностей, которые он нам предоставляет в любой области.
Сфера пользователей Интернетом расширяется огромными темпами, что влечет за собой различные последствия социально-экономического и правового характера.
Деятельность современного общества все больше ориентируется на использование Интернет как средства межкультурной коммуникации и социального общения. В то же время возможности, которые предоставляет Интернет, привели к его быстрой коммерциализации, и он крайне широко используется для ведения предпринимательской деятельности. Следует отметить, что проблемы, существующие в социальной и экономической сфере, также получили свое преломление в виртуальном пространстве.
Являясь, по сути, принципиально новым институтом общественной жизни, Интернет поставил целый комплекс правовых проблем, в том числе проблем защиты информации, требующих соответствующих решений на законодательном уровне.
2.3.1 Характеристика Интернет
Интерне́т — всемирная система объединённых компьютерных сетей для хранения и передачи информации.
В состав Интернет входят и обеспечивают ее функционирование множество провайдеров (субъектов, предоставляющих информационные услуги пользователям Интернет), владельцев серверов (компьютеров, на которых размещаются запасы информации) и, наконец, пользователей услугами Интернет и потребителей информации.
Как объект защиты Интернет представляет собой глобальную автоматизированную информационную систему, состоящую из трансграничных информационно-телекоммуникационных сетей и распределенных в них информационных ресурсов.
С помощью Интернет активно формируется мировое информационное пространство, составляющее основу информационного общества, в котором действуют крупные информационные объекты, объединяющие системы создания информации (издательские дома, редакции газет и журналов, телесети, телестудии) и сети ее распространения (кабельные, телефонные, компьютерные, спутниковые), функционируют глобальные международные информационно-телекоммуникационные сети, охватывающие территории большинства стран мира. В Интернет сегодня сосредоточена деловая, образовательная, развлекательная информация, электронные газеты и журналы, базы данных практически по всем областям жизнедеятельности общества, электронная почта, доступ к разнообразным информационным ресурсам библиотек, государственных и частных учреждений и компаний.
Важнейшей особенностью Интернет является отсутствие географических и геополитических границ государств — участников Интернет, в результате чего происходит «столкновение», и «ломка» национальных законодательств стран в этих сетях и возникает проблема формирования нового международного информационного законодательства.
Таким образом, можно сделать вывод о том, что Интернет, по сути, представляет собой новую среду обитания человечества, новую среду деятельности личности, общества, государства. Эту среду нередко называют виртуальной, имея в виду тот факт, что информация — основной объект этой среды — физически не ощутима.