Обеспечение безопасности персональных данных

У т в е р ж д а ю

Начальник кафедры ИТ УНК АСИТ

подполковник внутренней службы,

к. т. н., доцент

 

__________Р.Ш. Хабибулин

«»____________2015 г.

фондовая лекция
по дисциплине «Информационные технологии

В сфере безопасности»

тема: основы информационной безопасности

 

 

по специальности 380404 – Государственное и муниципальное управление

 

 

Рассмотрена и одобрена

на заседании методической секции

Протокол № от «»_________2015 г.

 

Рассматриваемые вопросы:

 

Введение.

1. Обеспечение безопасности персональных данных при их обработке

2. Мероприятия и средства повышения безопасности вычислительных систем

3. Криптографические методы зашиты информации

4. Правовая защита информации

5. Основы информационной безопасности.

 

 

Введение

 

В соответствии с Доктриной информационной безопасности РФ, которая является официальной основой для формирования национальной политики в области обеспечения информационной безопасности, должна обеспечиваться защита информации, используемой в системе МЧС России. Поскольку информационные технологии в ГПС в значительной степени ориентированы на использование цифровой техники, то основное внимание должно быть уделено защите компьютерной информации.

Наибольшие угрозы компьютерной информации возникают при подключении компьютеров к любым компьютерным сетям. Что касается подключения служебных компьютеров системы МЧС России к глобальной сети Интернет (в том числе создания Интернет-страниц органов управления и учреждений), создающего максимум угроз информационной безопасности ГПС, то это требует принятия полного комплекса необходимых мер защиты.

Обеспечение безопасности персональных данных

При их обработке

 

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. (Закон РФ «О безопасности»)

Национальная безопасность существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. (Доктрина информационной безопасности Российской Федерации)

Информационная безопасность Российской Федерации - это состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина информационной безопасности Российской Федерации)

Безопасность информации - состояние информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования. (РД «АС. Защита от НСД к информации. Термины и определения» Гостехкомиссия России, 1998 г.).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов - это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Функции защиты информации:

1. Защита системы от посторонних лиц.

2. Защита системы от пользователя.

3. Защита пользователей друг от друга.

4. Защита пользователя от него самого.

5. Защита системы от нее самой.

6. Защита системы от внешних случайных угроз.

Нормативно-правовые акты Российской Федерации:

• Конституция Российской Федерации. 1993г.

• Указ Президента РФ от 12.05.2009 N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года"

"Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895)

• ФЗ № 390-ФЗ от 28.12.2010 г. «О безопасности»;

• Закон РФ от 21 июля 1993 г. N 5485-I "О государственной тайне" (с изменениями и дополнениями)

• ФЗ N 99-ФЗ от 04.05.2011 «О лицензировании отдельных видов деятельности».

• ФЗ № 184-ФЗ от 27.12.2002 г. (в ред. ФЗ № 185-ФЗ от 02.07.2013 г.) «О техническом регулировании»;

• ФЗ № 63-ФЗ от 06.04.2011 г. «Об электронной подписи»;

• ФЗ № 126-ФЗ от 07.07.2003 г. (в ред. ФЗ № 158-ФЗ от 02.07.2013 г.) «О связи»;

• Федеральный закон от 29 июля 2004 г. N 98-ФЗ (с изменениями от 11.07.2011 г.) "О коммерческой тайне"

• ФЗ № 152-ФЗ от 27.07.2006 г. (в ред. ФЗ N 261-ФЗ от 25.07.2011 г.) «О персональных данных»;

Федеральный закон от 27 июля 2006 г. N 149-ФЗ (С изменениями и дополнениями от: июля 2010 г., 6 апреля, 21 июля 2011 г., 28 июля 2012 г., 5 апреля, 7 июня, 2 июля 2013 г.) "Об информации, информационных технологиях и о защите информации"

• Указ Президента РФ № 351 от 17.03.2008 г. «О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена».

• Приказ по МЧС №121. от 07.03.07. «Концепция ИБ в МЧС».

Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Вычислительных систем

 

Пути несанкционированного доступа:

·хищение носителей информации и документальных отходов;

·инициативное сотрудничество;

·склонение к сотрудничеству со стороны взломщика;

·выпытывание;

·подслушивание;

·наблюдение и другие пути.

К причинам и условиям, создающим предпосылки для утечки информации относятся:

·недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

·использование неаттестованных технических средств обработки конфиденциальной информации;

·слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

·текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

·организационные недоработки, в результате которых виновниками утечки информации являются люди — сотрудники ИС и ИТ.

Вся совокупность технических средств подразделяется на аппаратные и физические.

· Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

· Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств и финансов, информации от противоправных действий.

Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Правовая защита информации

 

Правовые методы защиты информации реализуются через:

- понятие нормативно-правовых актов, регулирующих режим использования информации, ее защиту;

- издание ведомственных и внутриорганизационных документов, направленных на защиту информации.

Уголовно-правовая защита информации, осуществляется путем включения в текст Уголовного кодекса РФ:

- перечня запрещенных деяний (составов преступлений) в области информации);

- санкций (наказаний) за их совершение.

Данные уголовно-правовые нормы в УК РФ сформулированы двояко – в виде норм:

- специально направленных на защиту информации и общественных отношений в области информации;

- косвенно защищающих права и свободы в области информации в рамках других составов преступлений.

В УК РФ запрещаются следующие деяния в сфере информации (самые распространенные составы преступлений):

- нарушение неприкосновенности частной жизни – незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующимся выступлении или СМИ (ст. 137 УК; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 4 лет);

- нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, в т.ч. – с использованием служебного положения или специальных технических средств (ст. 138 УК; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 4 лет);

- отказ от предоставления гражданину информации – неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если это деяние причинили вред правам и законным интересам граждан (ст. 140 УК РФ; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет);

- клевета – распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию (ст. 129 УК РФ; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 3 лет);

- воспрепятствование законной профессиональной деятельности журналистов путем принуждения их к распространению либо к отказу от распространения информации (ст. 144 УК; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 2 лет);

- нарушение авторских и смежных прав, включая незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм в целях сбыта (ст. 146 УК; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 6 лет со штрафом до 500000 руб.);

- нарушение изобретательских и патентных прав – незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству (ст. 147 УК; минимальное наказание – штраф (от 2500 руб.), максимальное – лишение свободы на срок до 5 лет);

- незаконное распространение порнографических материалов или предметов - незаконные изготовление и (или) перемещение через Государственную границу Российской Федерации в целях распространения, публичной демонстрации или рекламирования либо распространение, публичная демонстрация или рекламирование порнографических материалов или предметов (ст. 242 УК; минимальное наказание – штраф (от 100000 руб.), максимальное – лишение свободы на срок до 5 лет);

- государственная измена - государственная измена, то есть совершенные гражданином Российской Федерации шпионаж, выдача иностранному государству, международной либо иностранной организации или их представителям сведений, составляющих государственную тайну, доверенную лицу или ставшую известной ему по службе, работе, учебе или в иных случаях, предусмотренных законодательством Российской Федерации, либо оказание финансовой, материально-технической, консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации (ст. 275 УК; минимальное наказание – лишение свободы на срок до 12 лет, максимальное – лишение свободы на срок до 20 лет);

- Шпионаж - передача, собирание, похищение или хранение в целях передачи иностранному государству, международной либо иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки или лица, действующего в ее интересах, иных сведений для использования их против безопасности Российской Федерации, то есть шпионаж, если эти деяния совершены иностранным гражданином или лицом без гражданства (ст. 276 УК; минимальное наказание – лишение свободы на срок до 10 лет, максимальное – лишение свободы на срок до 20 лет);

- Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации (ст. 272 УК РФ; минимальное наказание – штраф (до 200000 руб.), максимальное – лишение свободы на срок до 2 лет);

Создание, использование и распространение вредоносных компьютерных программ - создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, (ст. 273 УК; минимальное наказание – принудительные работы на срок до 4 лет, максимальное – лишение свободы на срок до 4 лет со штрафом до 200000 руб.);

Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей - нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -(ст. 274 УК; минимальное наказание – штраф от 500000 руб., максимальное – лишение свободы на срок до 2 лет со штрафом до 200000 руб.);

Разглашение сведений, составляющих государственную тайну- разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе, работе, учебе или в иных случаях, предусмотренных законодательством Российской Федерации, если эти сведения стали достоянием других лиц, при отсутствии признаков преступлений (ст. 283 УК; минимальное наказание – арест на срок до 4 мес., максимальное – лишение свободы на срок до 4 лет);,

Утрата документов, содержащих государственную тайну - нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, (ст. 284 УК; минимальное наказание – арест на срок до 4 мес., максимальное – лишение свободы на срок до 3 лет);

Литература

 

1. Топольский Н.Г., Мосягин А.Б., Коробков В.В., Блудчий Н.П. Информационные технологии управления в Государственной противопожарной службе. Учебное пособие. – М.: Академия ГПС МВД России, 2001. – 168 с.

2. Топольский Н.Г. Основы автоматизированных систем пожаровзрывобезопасности объектов. - М.: МИПБ МВД России, 1997. - 164с.

3. Крол Э. Все об Internet. Руководство и каталог. - Киев: ВНV,

4. Материалы международных конференций «Системы безопасности». – М.: МИПБ, Академия ГПС, 1994-2001.

5. Информационные технологии управления в органах внутренних дел. Теоретическая часть: Учебник / Под ред. В.А. Минаева. – М: Академия управления МВД России, 1997.

6. Информационные технологии управления в органах внутренних дел. Практическая часть: Учебник / Под ред. Ю.А. Кравченко. – М: Академия управления МВД России, 1998.

7. Безопасность информационных систем в условиях глобализации / В.В. Гинзбург и др. – М.: "Радио и связь", 2003. – 246 с.

8. Шахраманьян М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России (природно-техногенные аспекты). Монография. – М.: ФЦ ВНИИ ГОЧС, 2003. – 398 с.

9. Информационные технологии управления: Учебное пособие для вузов. /Под ред. проф. Г.А. Титоренко. — 2-е изд., доп. — М.: ЮНИТИ-ДАНА, 2003. - 439 с.

10. ГОСТ Р 22.1.12-2005 "Безопасность в ЧС. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования".

11. Федеральный закон от 27.07.2007 № 149-ФЗ Об информации, информационных технологиях и защите информации.

12. Закон РФ от 21.7.93 г. № 5485-1 «О государственной тайне»

13. Федеральный закон от 29.7.2004 г. № 98-ФЗ «О коммерческой тайне».

14. Федеральный закон "О персональных данных" от 27.7.2006 г. № 152-ФЗ

 

У т в е р ж д а ю

Начальник кафедры ИТ УНК АСИТ

подполковник внутренней службы,

к. т. н., доцент

 

__________Р.Ш. Хабибулин

«»____________2015 г.

фондовая лекция
по дисциплине «Информационные технологии

В сфере безопасности»

тема: основы информационной безопасности

 

 

по специальности 380404 – Государственное и муниципальное управление

 

 

Рассмотрена и одобрена

на заседании методической секции

Протокол № от «»_________2015 г.

 

Рассматриваемые вопросы:

 

Введение.

1. Обеспечение безопасности персональных данных при их обработке

2. Мероприятия и средства повышения безопасности вычислительных систем

3. Криптографические методы зашиты информации

4. Правовая защита информации

5. Основы информационной безопасности.

 

 

Введение

 

В соответствии с Доктриной информационной безопасности РФ, которая является официальной основой для формирования национальной политики в области обеспечения информационной безопасности, должна обеспечиваться защита информации, используемой в системе МЧС России. Поскольку информационные технологии в ГПС в значительной степени ориентированы на использование цифровой техники, то основное внимание должно быть уделено защите компьютерной информации.

Наибольшие угрозы компьютерной информации возникают при подключении компьютеров к любым компьютерным сетям. Что касается подключения служебных компьютеров системы МЧС России к глобальной сети Интернет (в том числе создания Интернет-страниц органов управления и учреждений), создающего максимум угроз информационной безопасности ГПС, то это требует принятия полного комплекса необходимых мер защиты.

Обеспечение безопасности персональных данных

При их обработке

 

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. (Закон РФ «О безопасности»)

Национальная безопасность существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. (Доктрина информационной безопасности Российской Федерации)

Информационная безопасность Российской Федерации - это состояние защищенности её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина информационной безопасности Российской Федерации)

Безопасность информации - состояние информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования и блокирования. (РД «АС. Защита от НСД к информации. Термины и определения» Гостехкомиссия России, 1998 г.).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов - это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Функции защиты информации:

1. Защита системы от посторонних лиц.

2. Защита системы от пользователя.

3. Защита пользователей друг от друга.

4. Защита пользователя от него самого.

5. Защита системы от нее самой.

6. Защита системы от внешних случайных угроз.

Нормативно-правовые акты Российской Федерации:

• Конституция Российской Федерации. 1993г.

• Указ Президента РФ от 12.05.2009 N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года"

"Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895)

• ФЗ № 390-ФЗ от 28.12.2010 г. «О безопасности»;

• Закон РФ от 21 июля 1993 г. N 5485-I "О государственной тайне" (с изменениями и дополнениями)

• ФЗ N 99-ФЗ от 04.05.2011 «О лицензировании отдельных видов деятельности».

• ФЗ № 184-ФЗ от 27.12.2002 г. (в ред. ФЗ № 185-ФЗ от 02.07.2013 г.) «О техническом регулировании»;

• ФЗ № 63-ФЗ от 06.04.2011 г. «Об электронной подписи»;

• ФЗ № 126-ФЗ от 07.07.2003 г. (в ред. ФЗ № 158-ФЗ от 02.07.2013 г.) «О связи»;

• Федеральный закон от 29 июля 2004 г. N 98-ФЗ (с изменениями от 11.07.2011 г.) "О коммерческой тайне"

• ФЗ № 152-ФЗ от 27.07.2006 г. (в ред. ФЗ N 261-ФЗ от 25.07.2011 г.) «О персональных данных»;

Федеральный закон от 27 июля 2006 г. N 149-ФЗ (С изменениями и дополнениями от: июля 2010 г., 6 апреля, 21 июля 2011 г., 28 июля 2012 г., 5 апреля, 7 июня, 2 июля 2013 г.) "Об информации, информационных технологиях и о защите информации"

• Указ Президента РФ № 351 от 17.03.2008 г. «О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена».

• Приказ по МЧС №121. от 07.03.07. «Концепция ИБ в МЧС».

Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"