 |
Законно о информации информатизации и защите информации
|
|
|
|
Информация – сведенья независимо от форм ее представленияй
Информационные технологии –процесс методы поиска сбора хранения обработки представления распространения информации способы осуществления таких процессов.
Информацинная система – совокупность содержащаяся в базах данных информации и обеспечивающих ее обработку информационных технологий и ее средств
Информационно телекамуникационная сеть – технологическая система предназначенная для передачи данных по линиям связи доступ к которым осуществляеться с использованием средств вычислительной техники.
Обладатель информации это лицо самостоятельно создавшее информацию или получившее ее на основании закона или договора правил разрешать или ограничивать доступ к информации определяемый по каким либо признакам.
Доступ к информации – возможность получения информации и ее использование
Конфиденциальность информации - обязательное для выполнения лицом получившим доступ к информации требование не передавать такую информацию 3м лица без согласия ее обладателя
Предоставление информации – действия направленные на получение информации определенным кругом лиц или передача информации определенному кругу лиц.
Распространение информации – действие направлено на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц
Электронное сообщение – информацияпереданная или полученная пользователем информационно телекамуникационной сети
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами позволяющими определить такую информацию или установленыйе законодательствам РФ случаем ее материальных носителей
|
|
|
Электроный документ – документированная информация представленная в электронной форме
Оператор информационной системы – гражданин или юридическое лицо осуществляющее деятельность по эксплуатации информационных систем в том числе по обработке информации в ее базах данных
Цели защиты информации:
1. Предотвращение утечки хищения искожения подделки информации
2. Предотвращение угроз безопасности личности общества государства
3. Предотвращение не санкционированных действий по уничтожению модификации искожению копированию и блокированию информации
4. Предотвращение других норм вмешательства в информационные ресурсы и системы
5. Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных.
6. Сохранение государственной тайны конфеденциаьности документируемой информации в соответствии с законом
7. Обеспечение прав субъектов в информационных процессах и при разработке производстве и применение информационных систем, технологий и средств ее обеспечения.
Режим защиты устанавливается:
1. В отношении сведений о гостайне
2. В отношении документированной информации
3. В отношение персональных данных
Ст. 16 «защита информации»
1. Защита информация представляет собой приянятие правовых организационных и технических мер направленных на:
1.1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования
1.2. Соблюдения конфеденциальности информации ограниценого доступа
1.3. Реализация права доступа к информации
2. Государственное регулирование в сфере защиты информации осуществляется путем установления требований о защите информации а также ответственности за нарушение законодательства РФ
3. Требование о защите общедоступной информации могут устанавливаться только для достижения целей указанных в пунктах 1, 3.
|
|
|
4. Обладатель информации оператор информационной системы обязан обеспечить:
4.1. Предотвращение не санкционированного доступа к информации и передачи лицу не имеющего права доступа
4.2. Своевременное обнаружение факторов не санкционированного доступа
4.3. Предупреждение возможности неблагоприятных последствий нарушение порядка доступа к информации
4.4. Недопущение воздействие на технические средства обработки информации
4.5. Возможность незамедлительного восстановления информации модифицированной или уничтожененой в следствии не санкционированного доступа
4.6. Постоянный контроль за обеспечением уровня защещенности
5. Требование о защите информации содержащейся в государственных информационных системах, устанавливаються федеральным органом исполнительной власти. В обсласти обеспечения безопасности и федеральным органом исполнительной власти уполномоченной в области противодействия техническим разведкам и технической защиты информации. При создании и эксплуотации государственных ИС используемых в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям
6. Федеральными законоами могут быть установлены ограничения использования определнных средств защиты информации и осуществления определенных видов деятельности
Другие нормативные акты:
Закон о лицензирования отдельных видов деятельности
Лицензия – специальное разрешене на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требования и условий.
Лицензируемый вид деятельности – вид деятельности на осуществление которого на территории РФ требуется получение лицензии.
Лицензирование – мероприятие связанное с предоставлением лицензии переоформлением документов подтверждающих наличие лицензии приостановление и возобновление действий лицензий онулирование лицензии и контролю лицензирующих органов за соблюдением лицензиатами лицензируемых требований и условий.
Лицензирующий орган – федеральный орган исполнительной власти осучествляющие лицензирования
Лицензиат –юридическое лицо или ИП имеющий лицензию на осуществление конкретного вида деятельности
|
|
|
Ст 12 закона устанавливает перечень видов деятельности на осуществление которых требуеться лицензий:
1. Распространение шифровальных средств
2. Техническое обслуживание шифровальных устройств
3. Предоставление в области шифрования информации
4. Разработка и производство шифровальных средств защищенных с использование шифрования информационных систем
5. Выдача сертификатов ЭЦП
6. Регистрация владельцов ЭЦП
7. Оказание услуг сваязанных с использованием ЭЦП
8. Выявление электронных устройств преднозначеных для негласного получения информации в помещениях и технических средствах
9. Разработка и производство средств защиты конфеденциальной информации
10. Техническая защита конфеденциальной информации
11. Разработка производство реализация и преобретение в целях продажи технических средств предназначенных для внегласного получения информации ИМ ЮЛ
Виды деятельности на которые не распространяется лицензирование
1. Деятельность связанная с защитой государственной тайна
2. Деятельность в области свзи
3. Образовательня деятельность
Закон о участии в международном обмене:
1. Защита конфеденциальной информации государством распространяеться тлько на ту деятельность по международному информационному обмену которую осуществляют физические и юридические лица обладающими лицензиями на работу с конфеденциальной информацией и использующую сертифицированные средства международного обмена информацией. Выдача сертификатов и лицензий возлагается на комитет при президенте РФ. Порядок выдачи сертификатов устанавливается правительством.
2. При обнаружении внештатных режимов функционирования устройствмеждународного информационного обмена то есть возникновения ошибочных команд а также команд вызванных несанкционированными действиями обслуживающего персонала либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля в противном случае он несет ответственеость за причененный ущерб
|
|
|
Закон об ЭЦП:
1. Целью настоящего федерального законно являеться обеспечение правовых условий использования ЭЦП в электронных документах при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие этого закона распространяется на отношение возникающие при совершении пражданско правовых сделок и иных предусмотренных законодательствои РФ
3. Действия этого законоа не распространяються на отношения возникающие при использовании иныхт аналогов собственаручной подписи
Понятия:
Электронный документ - документ в котором информация представлена в электронно цифровом виде
ЭЦП – реквизит электронного документа предназначенный для защиты данного электронного документа от поделок полученых в результате крипрографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющей идентифицировать владельца сертификата ключа подписи а также установить искажение информации в электронном документе
Владелец ключа подписи - физическое лицо на имя которого удостоверяющем центром (УЦ) выдан сертификат ключа подписи и которое владее соответствующим закрытым ключом ЭЦП позволяющим с помощью средств ЭЦП щифровать свое ЭЦП в документ
Средства ЭЦП аппаратные средства обеспечивающие реализацию хотябы одной из следующих функций:
1. Создание ЭЦП в электронном документе с использованием закрытого ключаподтверждение с использование открытого ключа подлинности подписи
Закрытый ключ ЭЦП – уникальная последовательность символов известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использование средств ЭЦП
Открытый ключ ЭЦП – уникальная последовательность символов соответствующая закрытому ключу ЭЦП известная всем пользователям информационной системы и предназначенная для подтверждения подлинности с использованием средств ЭЦП ЭЦП в электронном документе
Сертификат ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица УЦ которое включает в себя открытый ключ ЭЦП и выдаються УЦ учаснику ИС для подтверждения подлинности ЭЦП
Подтверждение полиности ЭЦП в электронном документе – это положительный результатпроверки с помощью сертецицированным средством ЭЦП с использование сертификата ключа подлиности принадлежности ЭЦП в электроенном документе владельцу сертификатоа ключа подписи и отсутствие искожение подисанным данным ЭЦП в данном документе.
|
|
|
Порльзователь сертификата ключа подписи - физическое лицо использующие полученое у УЦ сведенья о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу ключа подлинности
Информационная система общего пользования – ИС которая открыта для использования всеми лицами и в услугах которой эти лицам не может быть отказано.
Корпоративная ИС –ИС участниками которыми может быть ограниченный круг лиц определенным ее владельцем или соглашением участником этой системы
ЭЦП в электронном документе равнозначно собственноручной подписи на документе в бумажном носителе только при одновременном соблюдении условий:
1. Сертификат ключа подписи действует на момент проверки или на момент подписании
2. Подтверждена подлинность ЭЦП
3. ЭЦП используется в соответствии со сведеньями указанными в сертификате
Закон определяет сведенья которые должен содержать сертификат:
1. Уникальный регистрационный номер сертификата ключа дата начала и окончания действия ключа находящегося в реестре УЦ
2. ФИО владельца сертификата ключа или псевдоним владельца
3. Открытый ключ ЭЦП
4. Наименование средств ЭЦП с которыми используется данный открытый ключ
5. Наименование и место нахождение УЦ
6. Сведенья об отношениях при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение
Правела определяют в каких случаях пользователь может оперировать над объемом данных. Чем выше степень доверия системы тем строже и многообразнее должна быть политика безопасности. В зависимости от политики можно выбирать конкретные механизмы обеспечения безопасности.
1. Политика безопасности это активный аспект защиты включающий в себя анализ угроз и выбор мер взаимодействия.
2. Уровень гарантированности – мера доверия которая моджет быть оказана архзитектуре или реализации ИС. Доверии безопасности может проистекать как из анализа тестирования так и из проверки общего замысла и реализации системы в целом или отдельных ее компонентов. Уровень гарантированности показывает на сколько механизм отвечающий за реализацию политику безопасности. Это пассивный аспект защиты. Также важным аспектом является подотчетность.
Доверенная вычислительная база – совокупность защитных механизмов ИС отвечающих за проведение в жизнь политики безопасности.
Качество вычислительной базы определяется исключительно ее базой и корректностью исходных данных которые вводит системный администратор
Мониртор обращений должен обладать 3 качествами:
1. Изалированность – необходимо предупредить возможность отслеживания монитора
2. Полнота – монитор должен вызываться при каждом обращении не должно быть пособов обойти его
3. Верифицируемость – монитор должен быть компактным чтобы его можно было проанализировать и протестировать.
Реализация монитора обращений называется ядро безопасности на его основе проектируется безопасность
Границу доверенной вычислительной базы называют периметром безопасности
|
|
|
