Лекция 6 - "информационная безопасность"

Предположительно 6-я лекция по Информационной безопасности (название как будто бы напоминает криптографию , но на самом деле предмет посвящён юриспруденции)

Под обработкой персональных данных подразумеваются любые действия которые совершаются как с использованием средств автоматизации так и без таковых в том числе:

• 1) Сбор
• 2) Систематизацию
• 3) Накопление
• 4) Хранение
• 5) Уточнение
• 6) Извлечение
• 7) Использование
• 8) Передачу
• 9) Обезличивание
• 10) Блокирование
• 11) Удаление

Закон (142 ФЗ)определяет понятие понятие автоматической обработки – всё что сделано с использованием средств автоматизации
Теперь любая обработка с использованием средств вычислительной техники является автоматизированной.
Информационная система персональных данных - это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Принципы обработки данных(установлены законом):
1) Законность – соответствие закону
2) Соответствие целям обработки (цель должна быть явно указана)
3) Не допускается объединение баз данных обработка которых осуществляется в разных целях (здесь возникает проблема с универсальной картой – и вообще использование всяких уникальных идентификаторов)
4) Точность, актуальность
5) Срочность обработки – данные должны обрабатываться не дольше чем этого требуют цели обработки. (например после полёта самолётом - через некоторое время данные из архива авиакомпании должны быть удалены - то есть не храниться дольше чем надо )

Закон также обрабатывает случаи обработки персональных данных – до 2011 года обработка данных была только по согласию(за редким исключения) – после же -

• 1) Для правосудия
• 2) Защита жизни
• 3) Оказание муниципальных услуг и т.д.

Обработка персональные данных может быть поручена другому лицу либо на основании нормативно-правового акта либо на основании договора.
Так например 0 часть 3 статьи 6-ой устанавливает жёсткие требования к договору, связанному с обработкой данных., должны быть определены:

• 1) Перечень действий
• 2) Цели обработки
• 3) Обязанности обеспечения конфиденциальности
• 4) Требования к защите

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Определяются статья ми 14, 18 и 20 закона о персональных данных – и напрямую связаны с обязанностями оператора:
1) Конфеденциальность персональных данных
2) Право на доступ к персональным данным
3) Право на уточнение - блокирование и уничтожение
В свою очередь оператор:
1) Обязан уведомлять субъектов об обработке
2) Предоставлять субъекту данные
687 постановление правительство касается «бумажной» обработки данных – назначение ответственных лиц и определение мест хранения.
1 ноября 2012 года №1119 - о подтверждении требований к защите персональных данных в информационных данных,
здесь даны:
1) Классификация систем
2) Классификация угроз
3) Классификация требований к уровню защищённости персональных данных

Ранее средства применялись в зависимости от класса системы (три – К1,К2,К3) – но сейчас это не актуально.
Теперь всё в соответствии с 1119.

Пока только на уровне проекта определены организационно-технические меры.
(на этом с персональными данными всё)

ЛИЦЕНЗИРОВАНИЕ И СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Что нужно знать(вопросы):
1) Лицензирование
2) Сертификация

В сфере защиты информации осуществляется лицензирование отдельных видов деятельности, то есть лицензируется деятельность организаций, которые как раз и получают эти самые лицензии.
Лицензирующий орган - в этой сфере -это федеральная служба по техническому экспортному контролю.
Постановлением правительства от 3 февраля 2012 года №79 утверждено положение о лицензировании деятельности по технической защите конфеденциальной информации – это выполнение работ или оказание услуг по защиты инфы от несакцианированного доступа НСД, от утечки по техническим каналам, а также от специального воздействия с целью у3нчтожения, изменения или блокирования доступа.

Устанавливаются требования:
1) Наличия соответствующих спецов
2) Технические требования

Постановление правительства -3 марта – положение о лицензированию деятельности по разработки и производству средств защиты конфеденциальной информации – здесь также лицензированием занимается ВСТЭК.
Для тех средств, которые используются у президента, совета безопасности – ФСБ (их специалисты)

СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Здесь действует постановление правительства от 26 июня - 1995 года №608 – здесь речь идёт уже о действиях в отношении самих средств защиты, так :
1) Технические
2) Криптографические
3) И иные средства - подлежат обязательной сертификации
(весь список) – без сертификации средства защиты использовать нельзя.

Приказ - о гос. Тайне - ФСБ России – от 13 ноября 1999 года №564
- там определена и форма знаков - СЗИ в кружке(средства защиты информации)

Следующая тема –

ПРАВОВОЙ СТАТУС ИНФОРМАЦИОННЫХ СИСТЕМ

В первую очередь информационные системы подразделяются на :
1) Государтственные
2) Муниципальные
3) И иные ИС

Для государственных информационных систем существует особый порядок ввода в эксплуатацию - до ввода в эксплутацию орган власти должен принять правовой акт о федеральной ИС, устанавливающий порядок ввода в эксплуатацию и осуществить регистрацию федеральной государственной ИС в Роском. Надзоре.- подаётся заявление в соответствующие форме, где есть данные о ИС:
1) Цель
2) Назначение
3) Функции -и иные сведения

Это определено постановлением правительства РФ.
На региональном уровне тоже есть свои порядки ввода ИС – так постановление правительства Воронежской области от 28 апреля 2011 года №340.

Основные государственные информационные системы(постановление прав 25 декабря 2009 №1088 – этим постановлением утверждено положение о государственной ИС управления – распределённая система, которая включает в себя не только ряд федеральных систем, но и субъекты федерации)

И ещё:
1) Единая межведомственная информационно-статистическая система (26 мая 2010)
2) Система электронного документооборота (22 сентября 2009 года №754 - здесь оператором является федеральная служба охраны)
3) Сиситема межведомственного взаимодействия

2 октября 2009 года – расп правительства - установлены технические требования к системе межведомственного оборота:
1) XML формат файла
3) Формат шлюза
Особенности связанные СА подключением ИС – пост. Прав 17 мая 209 года №424 – особенности подключения Федеральных гос ИС и информационно-комуникационным сетям.

В чём отличие между ИС электронного документооборота и системой межведомственного взаимодействия?
Электронный документ – это всегда некий файл, система же межведомственного муниципального взаимодействия - оперирует не просто документами, а имеют доступ к базам данных друг друга – в основном конечно обращаются к :
1) Налоговой службе
2) Кадастровым базам

В настоящее время принято несколько десятков постановлений правительства о тех или инфх гос ИС.

Требования к защите информации не составляющей гос тайну, пока есть только в проекте ВСТЭК
1) Обеспечение доверенной загрузки ПО
2) Обеспечение замкнутой программной среды
3) Контроль за съёмом носителей информации
4) Контроль вывод инфы со съёмных носителей
5) Управление потом
6) Защита среды виртуализации
7) Защита технических средств

И здесь – вроде как конец курса.