Файл: Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание).docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.05.2024

Просмотров: 20

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

  1. Российское законодательство в сфере обеспечения информационной безопасности. Основные законы по защите информации (назначение и краткое содержание)

Функционирование информации обеспечивается следующими основными законами:

 Конституция РФ (Конституция РФ гарантирует права граждан свободно искать,

получать, передавать, производить и распространять информацию

любым законным способом - ст. 29 ч.4. А также гарантирует

гражданам право на охрану личной тайны.

Она же определяет обязанности государства по обеспечению

возможности ознакомления гражданина с документами и

материалами, непосредственно затрагивающими его права и

свободы.

 Федеральный Закон «О безопасности» ( Настоящий Федеральный закон определяет основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности)

 Федеральный Закон «О государственной тайне» (Закон РФ «О государственной тайне» -безопасность Российской Федерации в информационной сфере. В законе определяются сведения, относящиеся к понятию государственная тайна.

 Федеральный Закон «О безопасности критической информационной инфраструктуры Российской Федерации» (Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.)

 Федеральный закон «Об информации, информатизации и защите информации» (Нормативный документ Российской Федерации, юридически описывающий понятия и определения в области технологии правового регулирования в сфере информации, информационных технологий, а также регулирующий отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации при применении информационных технологий.)

  1. Примерный алгоритм расчета ущерба и стоимости информации

Количественный анализ

1.  Определить ценность информационных активов в денежном выражении. 

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.


3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

Качественный анализ

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

  1. Уголовный кодекс о защите информации. Стать 272, 273, 274.

УК РФ Статья 272. Неправомерный доступ к компьютерной информации

1. неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, - наказывается штрафом в размере до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18месяцев, либо исправительными работами на срок до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.



2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, - наказывается штрафом в размере от 100 тыс до 300 тыс рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо исправительными работами на срок от 1 года до 2 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного поведения, - наказываются штрафом в размере до 500 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 5 лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, - наказываются лишением свободы на срок до 7 лет.

Примечания.

1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает 1 млн руб.

УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, - наказываются ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок со штрафом в размере до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, - наказываются ограничением свободы на срок до 4лет, либо принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишением свободы на срок до 5 лет со штрафом в размере от 100 тыс до 200 тыс рублей или в размере заработной платы или иного дохода осужденного за период от 2 до 3 лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.


3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -наказываются лишением свободы на срок до 7 лет.

УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

1.Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации причинившее крупный ущерб, - наказывается штрафом в размере до 500 тыс рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.

2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, - наказывается принудительными работами на срок до 5 лет либо лишением свободы на тот же срок.

  1. Направления защиты информации. Краткая характеристика

Направления защиты информации рассматриваются в качестве нормативно-правовых категорий, которые определяют комплексные мероприятия по защите информации на уровне отдельной личности, на уровне предприятия, а также на уровне государства в целом.

Учитывая сложившуюся практику обеспечения информационной безопасности, можно выделить следующие направления защиты информации:

Правовая защита. Она содержит специальные законы, нормативно-правовые акты, мероприятия, процедуры и правила, которые обеспечивают защиту информацию на правовом уровне.

Организационная защита. Данное направление защиты информации подразумевает регламентацию производственной деятельности и взаимных отношений исполнителей на нормативно-правовой основе, которая ослабляет или полностью исключает нанесение возможного ущерба исполнителям.


Инженерно-техническая защита. Это направление информационной защиты включает использование различных технических средств, которые препятствуют нанесению ущерба деятельности.

  1. Перечень защищаемой информации. Виды защищаемой информации

К защищаемой информации относят:

  • секретные сведения, содержащие государственную тайну;

  • конфиденциальную информацию, содержащую коммерческую тайну;

  • персональные данные о личной жизни или деятельности граждан.

Виды защищаемой информации:

  • государственная тайна

  • персональные данный

  • коммерческая тайна

  • интеллектуальная собственность

  1. Классификация угроз информационной безопасности

Классификация угроз:

  • Разглашение инф-ции (болтливый сотрудник) – действие, приводящее к незаконному разглашению конфиденциальной инф-ции

  • Несанкционированный доступ путём подкупа сотрудников

  • Бесконтрольное использование информационных систем

  • Отсутствие трудовой дисциплины

  • Традиционный обмен опытом

  • Отсутствие на фирме системы защиты инф-ции

Угроза – это потенциально возможное событие, действие, процесс или явление, кот может привести к ущербу.

Ущерб – это фактические расходы, понесённые субъектом в рез-те нарушения его прав, утратой имущ-ва, а также усилия на восстановление. Попытка реализации угрозы – это атака.

Угрозы:

  1. Стихийное бедствие

  2. Сбои и отказы оборудования

  3. Последствия ошибок проектирования информационной системы предприятия

  4. Ошибки эксплуатации данных

  5. Преднамереннные действия нарушителей и злоумышленников

Главные угрозы:

  • Действия инсайдеров (сотрудник, имеющий доступ к конфиденциальной инф-ции)

Виды инсайдеров

  • преступники

  • нарушители

  • послушные

  • предатели

  • Вредоносные программы (халатность сотрудников)

  • Хакерская атака



Внутренние угрозы:

  • Неавторизованный доступ в систему с целью поиска и просмотра конфиденциальных данных

  • Скрытое изменение, уничтожение или отказ доступа к информации

  • Сохранение или обработка конфиденциальной инф-ции для этого непредназначенной

  • Попытка обойти или взломать систему безопасности