Правовое обеспечение информационной безопасности. (Продолжение) лекция 13.10.2014.

Законы, входящие в систему правового обеспечения информационной безопасности:

1. ФЗ "О национальной платежной системе" 2011г.

2. ФЗ "Об электронной подписи" 2011г.

3. ФЗ "По техническому регулированию" 2001г.

4. ФЗ "О коммерческой тайне" 2004г.

5. ФЗ "О персональных данных" 2006г.

6. ФЗ "О безопасности" 2010г.

7. Закон РФ "О государственной тайне" 1993г.

8. КоАП РФ

9. УК РФ

10. ФЗ "Об информации, информационных технологиях и о защите информации" 2006г.

11. Закон "О ратификации соглашения о сотруничестве государств участников Содружества независимых государств в борьбе с преступлениями в сфере компьютерной информации" 2008г.

12. ФЗ "О ратификации конвенции о защите физических лиц при автоматизированной обработке персональных данных"

13. ТК РФ

14. ГК РФ

15. ФЗ "О внесении изменений в ФЗ "Об информации" от 05.05.2014г.

16. ФЗ "О лицензировании отдельных видов деятельности"

17. ФЗ "О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" от 21.07.2014г. (Перед контрольный читать).

Указы президента:

Указы президента:

Доктрина ИБ РФ (утв президентом РФ # пр - 1895);

Стратегия развития информационного общества в РФ;

Оснвные направления направления гос политики в области обеспчения безопасности асу производственными и техническими процессами критически важных объектов инфраструктуры РФ. ( военная промышленность, энергетический комплекс, нефтедобывающая промышленность, градообразующие предприятия)

Основы гос политики в области международной информационной безопасности на период до 2020 года

Указ президента РФ о стратегии национальной безопасности РФ до 2020 года.

Указ президента от 3 апреля 1995 #334 года о мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальные средств, а также предоставления услуг в области шифрования информации.

Указ президента 188 об утверждении перечня сведений конфиденциального характера

Указ президента РФ 1203 об утверждении перечня сведений, отнесенных к гос тайне.

Указ президента РФ от 17.03. 2008 #351 о мерах по обеспечению информационной безопасности фр при использовании ИТС международного информационного обмена.

Указ президента РФ #609 об утверждении положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела.

Указ президента РФ от 15.01.2013 #31с о создании гос системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. (Аналогична системе обнаружения воздушных угроз).

Постановления ПРАВИТЕЛЬСТВА РФ

положение о порядке обращения со СИОР в ФОИВ ( ППРФ от 3 ноября 1994 #1233).

ППРФ от 26.06.1995 #608 о сертификации средств защиты информации

ППРФ 512 06.07.2008 об утверждении требований к материальными носителям биометрических ПД и технологиями хранения таких данных вне информационных систем ПД. ( защита персональных данных / защита биометрических данных).

ППРФ 687 об утверждении положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации.

Дз - выписать названия гостов по теме обеспечение ИБ.

-ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

-ГОСТ Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

-ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

-ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

-ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

-ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

-ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

-ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

-ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005.

-ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.

-ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.

-ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности.

-ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

-ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

-ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.

-РС БР ИББС-2.0-2007. «Методические рекомендации по документации в области обеспечения информационной безопасности в соответствие с требованиями СТО БР ИББС-1.0».

-РС БР ИББС-2.1-2007. «Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».

-РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности».

-РС БР ИББС-2.5-2014. «Менеджмент инцидентов информационной безопасности».

-РС БР ИББС-2.3-2010. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».

-BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ

-BS

Лекция ОИБ - 20.10.2014.

Основная задача - защита от разведки иностранных государств.

Виды разведок иностранных государств:

Политическая разведка-в данной разведке добываются сведения о внутри политической и внешнеполитической дти страны. Обычно сведения используются для подрыва политического строя. государства.

Экономическая разведка.

Военная разведка.

Научно-техническая разведка - добывание сведений по новейшим теор и практ разработкам в области науки и техники.

Отдельно выделяется тех разведка. Предполагает сбор информации с использованием тех и технологических развед средств. Тех разведку можно классифицировать по нескольким признакам :

1.-носители средств добывания информации. (Космическая тех разведка, воздушная и наземная.).

2.-используемая аппаратура или способы ведения разведки. (Оптическая разведка и опто-электронная-данные виды разведок обеспечивают добывание информации путем приема и анализа электро - магнитных излучений ультрафиолетового и инфракрасных диапазонов от объектов разведки).

Визуально - оптическая разведка (суть в добывании информации об объектах с помощью оптических наблюдательных приборов или визуально с использованием иных технических средств) - самый древний способ (подзорная труба )

Фотографическая разведка предполагает получение видовой информации с помощью специальных фотокамер, установленных на различных носителях. - специальные летательные аппараты.

Инфракрасная разведка - позволяет добывать информацию объектах при использовании в качестве носителя информации либо собственного теплового излучения объекта либо отраженного инфракрасного излучения луны/звездного неба/ а также отраженного излучения спец инфракрасных прожекторов подсветки объекта.

Радио электронная разведка - позволяет получать информацию приема и анализа электромагнитного излучения радиодиапазона, создаваемого различными радиоэлектронными средствами.

Радио разведка - используется для анализа различных видов радио связи, объектами разведки являются средства радиосвязи, радиотелеметрии, радионавигации.

Радиолокационная разведка позволяет получать информацию о местности и объектах на них.

Телевизионная разведка - предназначена для передачи на расстоянии сигналов движущихся или неподвижных изображений по радиоканалам или по проводам.

Лазерная разведка - основана на использовании лазерных сканирующих камер.

Фотометрическая разведка.

Гидроакустическая разведка.

Акустическая разведка. Обеспечивает получение информации путем приема и анализа акустических сигналов, распространяющихся в различных средах от объекта.

Акустоэлектрические каналы разведки

Параметрические каналы разведки

Химическая разведка

Сиесмическая разведка

Магнитнометрическая разведка - путем обнаружения и анализа локальных ищменений магнитного поля земли, вызванных сосредоточением военной техники, подводными лодками. Знать законы физики.

Тех каналы утечки информации.

ТКУИ - совокупность объектов разведки, технического средства разведки и физической среды, в которой распространяется информационный сигнал.

;ТКУИ - Вика сфоткала (попросить схему);

ТКУИ:

1) Электромагнитные

Эм излучения элементов тспи

Эм-излучение на частотах работы вч - генераторов тспи (передачи и обработки инфо)

Излучение на частотах самовозбуждения усилителей низкой частоты.

Электрические-наводки эм - излучений элементов тех средств передачи и обработки информации на посторонние проводники.

Просачивание информационных сигналов в линии электропитания.

Просачивание информационных сигналов в цепи заземления.

Съем информации с использованием закладных устройств (американское посольство в Москве - только русский кирпич и дерево и русс.строймат)

Параметрические

Перехват информации путем высокочастотного облучения ТСПИ

Вибрационные

-соответствие между распечатывемым символом и его акустическим образом

ТКУИ при передачи ее по каналам связи:

Электромагнитные каналы

Эм-излучение передатчиков связи, модулированные информационным сигналом

Электрические каналы

Подключение к линиям связи

Индукционные каналы

Эффект возникновения вокруг высокочастотного кабеля эм поля при прохождении информационных сигналов

Паразитные связи

Паразитарные емкостные, индуктивные и резистивные связи и наводки близко расположенных друг от друга ЛПИ

Тех каналы утечки речевой информации

Акустические каналы - среда распространения воздух

Виброакустичекие Каналы (ограждающий строительные конструкции)

Параметрические каналы

Результат воздействия акустического Поля на элемент схем, что приводит к модулями высокочастотного сигнала информационным

Акустоэлектрические каналы - преобр акуст каналов в Электрические

Оптико - электронный лазерные Канал:

Облучение лазерным лучом вибр поверхностей.

Тех каналы утечки видовой информации.

Наблюдение за объектами

Для наблюдения используются опт приборы - телевизионные камеры.

Ночью - приборы ночного видения, тепловизоры И так далее.

Съемка объектов - телевизионные и Фотографические средства. (Пр.-камуфлированные фотоаппараты и телекамеры)

Съемка фотодокументов - (телефон) с использование портативных фотоаппаратов.

ЭМ-каналы утечки информации.

Основным каналом утечки информации при ее обработке в тспи есть магнитный канал обусловленный побочными информативными эм излучениями осн тех средств обработки информации. К ЭМ относятся каналы утечки информации, возникающие за счет различного вида побочных эм-излучений.

Побочное эм-излучение есть паразитное эм-излучение радио диапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.

Электрический канал утечки информации образуется за счет:

Наводок эм-излучений на соединительные линии второстепенных тех средств и систем и посторонние проводники, выходящие за пределы контролируемой зоны.

За счет просачивания информ сигналов в цепи электропитания тспи.

Просачивания ИС в цепи заземления тспи.

Параметрический канал утечки информации.

ТКУИ при передачи по каналам связи.

Для передачи информации использ-в основном кВ, укв, радиорелейные и тропосферные и косм каналы связи, а также кабельные и волокно - оптические каналы.

Электромагнитные каналы утечки информации.

ЭМИ- передатчиков - средств - связи, модулированные информационным сигналом могут перехватываться с использованием стандартных тех средств радиоразведки. Этот эм Канал передачи перехвата информации широко используется для прослушивания телефонных разговор по радиотелефонам, сот тел и спутниковым и радио релейным средствам связи).

Виброакуст тех каналы утечки речевой информации

Перехват акуст сигналов по виброакустическим тех каналам возможен :

Электронными стетоскопами.

Стетоскопами с передачей информации по радиоканалу

Стетоскопами подключен к устройствам передачи информации по оптическому каналу в ик - диапазоне длин волн.

Стетоскопами, объед с устройствами предками информации по трубам водоснабжения, отопления, металлоконструкуиями и тп.

Заземление

Лекция - ОИБ 27.10.2014.
Понятие защиты информации. (Знать)
ГОСТ Р 50922-2006. Защита информации. Осн термины и определения.
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и НПА, рег отношения субъектов по защите информации, применение этих документов, а также надзор и контроль за их исполнением.

Тех защита информации - это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (их) защите в соотв с действующим зак-Ом, с применением технических, программных и программно-технических средств.

Криптографическая защита информации. - защита информации с помощью ее криптографического преобразования.

Физическая защита информации.- защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных фл к объекту защиты.

Термины, относящиеся к способам защиты информации.
Способ защиты информации. - . порядок и правила применения определенных принципов и средств защиты информации.

Защита информации от утечки - защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.

Защита информации от несанкционированного воздействия - ЗИ, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую ифн. с нарушением установленные прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению искажению сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия - это ЗИ, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств ИС, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

ЗИ от разглашения - это защита информации, направленная на предотвращение несанкционированного доведения ЗИ до заинтересованных субъектов (потреб.), не имеющих права доступа к этой информации.

ЗИ от несанкционированного доступа. - . это ЗИ, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением уставленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Комплексная система ЗИ.
Системный подход - методологические направление в науке, основная задача которого состоит в разработке методов исследования и конструирования сложноорганизованных объектов - систем разных типов и классов.

Наиболее характерной особенностью систем ЗИ является их комплексность.
Комплексность здесь понимается как решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность) или использование для решения одной и той же задач разноплановых инструментальных средств (инструментальный комплекс), а когда применяются обо вида комплексов речь идет о всеобщей комплексности.

На основе теоретических исследований и практических работ в области ЗИ сформулирован системно - Концептуальный подход к защите информации.
Под системностью как основной частью СК-подхода понимается:
- Системность целевая (защищенность информации рассм как основная часть общего понятия качества информации;
- Системность пространственная предполаг взаимоувязанные решение всех вопросов защиты на всех компонентах предприятия, государства или информационной системы
-Системность временная, означающая непрерывность работ по ЗИ, осущ в соотв с планом.
- Системность организационная - означающая единство организации всех работ по ЗИ и управления ими.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности ЗИ, а также целенаправленной организации всех работ по ЗИ.

Комплексный (системный ) подход к построению любой системы включает в себя:
Прежде всего - изучение объекта внедряемой системы, оценку угроз безопасности объекта, анализ средств, которыми будут оперировать при построении системы, оценку эконом целесообразности, изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности, соотношение всех внутренних и внешних факторов; возможность доп изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Комплексный (сист) подход - это принцип рассмотрения проекта, при котором анализ система в целом а не ее отд части. Его задачей является оптимизация всей системы в совокупности, а ее улучшение эффективности отдельных частей. Это объясн тем, что, как показывает практика, улучшение одних параметров приводит к ухудшению других - нужен баланс.

К(С) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты :
Выходные элементы - те элементы, для обработки которых создается система.
Ресурсы - средства, которые обеспечивают создание и функционирование системы
Окружающая среда
Назначение и функции. Для каждой системы дб сформ цель.
Критерий эффективности - необходимо исследовать несколько путей реализации системы.

Таким образом - учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры (?)

Надежность защиты информации прямопропорциональна Системности, те при несогласованности между собой отд составляющих риск проколол в технологии защиты увеличивается.

1.- необходимость комплексных решений состоит в объединении в одно целое Локальных средств защиты информации, при этом они Должны функционировать в единой связке

2.- необходимость комплексных решений обусловлена самой системой. Система должна объед логически и технологически все составляющие защиты. Система должна учитывать все возможные угрозы и применять все возможные средства защиты в единстве

3.- только при КП система способна обеспечивать защиту безопасность всей совокупности инф, подл защите и при любых обстоятельствах.

Значимость комплексного подхода защиты информации состоит в следующем:
1- в интеграции локальных систем защиты
2- в обеспечении полноты всех составляющих системы защиты
3- в обеспечении всеохватности ЗИ

Вывод : КОМПЛЕКСНАЯ СИСТЕМА ЗИ - система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации.

Принципы построения КСЗИ
ПРИНЦИП законности
Полноты защищаемой информации
Обоснованности защиты информации
Создания спец подразделений по защите информации
Участия в защите информации всех соприкасающихся с нею лиц
П-п персональной ответственности за защиту информации
П-п наличия и использования всех необходимых правил и средств для защиты информации
П-а превентивности принимаемых мер по защите информации.

Требования к КСЗИ.
КСЗИ (она) дб привязана к целям и задачам ЗИ
Дб целостной-содерж все ее составляющие, иметь структурные связи между компонентам и обеспечивать их соглас ф
Дб всеохватывающей;
Дб достаточной для решения поставленных задач и надежной во всех элементах защиты;
Дб вмонтированной в технолог схемы сбора информации, хранения, обработки, передачи и использования;
Дб компонентно-логически , технолог и эконом обоснована;
Дб реализуемой, обеспеченной всеми необходимыми ресурсами;
Дб простой и удобной в эксплуатации и управлении;
дб непрерывной;
дб достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов и ее сост частей, технологии обработки информации, условий защиты.

Элементами КСЗИ являются :
Организационная защита информации;
Правовая защита информации;
Программно - аппаратная ЗИ;
Криптографическая ЗИ;
Инженерно - тех ЗИ;

Модель защиты информации
Моделирование - это замещение одного объекта (оригинала) другим - моделью и фиксация или изучение свойств оригинала путем исследования свойств модели.
Замещение производится с целью упрощения, удешевления или изучения свойств оригинала.
Требования к моделям:
М. дб адекватна объекту - те как можно более полно и правильно соотв ему с тз выбранных для изучения свойств
Дб полной - должна давать принцип возможность с помощью соотв способов изучать и сам объект.

То, осн задача - обеспечение исследователей технологией создания таких моделей, которые бы с достаточной полно той и точностью отражали интересующие свойства объектов моделирования, поддавались исследованию более простым и эффективным способом (Ангелина).

Иногда. Метод моделирования явл единственно возможным в исследовании.
Анализ возможных направлений использования проблемно - ориентированных моделей при создании систем и средств защиты информации дал след рез-ты.

Различные виды моделей ориент на определенную базу проектирования, то на ранних стадиях проектирования анализ каналы доступа к информации, формируется концепция защиты.
Концептуальные модели используются для определения целей защиты. Какую информацию и от кого защищать необходимо. То есть формир замысел системы и средств защиты.
Лекция - ОИБ. 10.11.2014
Применяя модели отношений доступа и действий, моделируются права доступа к ЗИ, выявляется порождаемые этими правами отношение доступа между элементами системы. Решается вопрос о структуре и виде представления служб детиной информации по правам доступа, в тч для ее использования при принятии решений по управлению безопасностью.
На последней фазе проектирования возможно использование моделей информационных потоков. Типичной задачей, решаемой на этих моделях, является принятие решения о размещением средств защиты.

Виды моделей: аналитические(определение наиболее уязвимых мест в защите,),
имитационные(исследовать объект защиты), - достоинства у аналит и имит: формализованное представление предметной области.
экспертные(доведение уровня безопасности системы информации до требуемого) модели (разобрать самостоятельно.).

Классификация уровней защищеннотси информации. (Стр 1-2 самостоятельно в конспекте). Например, ППРФ от 1 ноября 2012 года #1119 "об утверждении требований к защите ПД при их обработке в ИС обработки ПД).

Тема. Лицензирование и сертификация в области защиты информации. 10.11.2014
Понятие системы лицензирования в области ЗИ.

Лицензирование - (базовый фз о лицензировании овд). - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продления срока действий лицензии в случае, если ограничение срока действия лицензии предусмотрено фз, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензии, формированию и ведению реестра лицензий, формированию госинформ ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.

Лицензия - специальное разрешение на право осуществления юл или ИП конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которая подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме ЭД, пол писанного ЭП в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме ЭД.

Деятельность по лицензированию в области ЗИ выполняют ФСБ и ФСТЭК России.
Центр по лицензированию, сертификации и защите гостайны ФСБ России и территориальные органы безопасности осущ лицензирование д-ти юл и ИП по след видам деятельности.
1. Осуществление работ, связанных с использованием сведений, составляющих гостайну (только для юл)
2. Д-ть, связанная с созданием средств защиты информации, содержащей сведения, сост гостайну. Только ЮЛ.
3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны. Только ЮЛ.
4. Д-ть по разработке производству распространению шифровальных (криптографических) средств, ИС и ТКС, защищенных с использованием шифровальных (кг) средств, выполнению работ, оказанию услуг в области шифрования информации, техобслуживанию шифр (кг) средств, ИС и ТКС, защищенных с использованием шифровальных (кг) средств, за исключением случая, если тех обслуживание шифровальных (кг) средств ИС и ТКС, защищенных с использованием шифровальных (кг) средств осуществляется для обеспечения собственных нужд ЮЛ или ИП.
5. Деятельность по разработке производству реализации и приобретению в целях продажи спец технических средств, предназначенных для гласного получения информации.
6. Деятелньость по выявлению электронных устройств, предназначенных для негласного получения информации (только для ЮЛ, за исключением случая, если указанная Деятельность осущ для обеспечения собственных нужд ЮЛ и ИП.)
7. Деятельность по разработке и производству средств защиты конфиденциальной информации.

ФСТЭК РОССИИ -
1. Деятельность по технической защите конф инф.
2. Разработка производство средств защиты конф инф.

Фз о лицензировании ОВД(конспект)
ФЗ о тех.регулирвоании
ППРФ 27.11.2011 957 об организации ЛОВД
ППРФ 26.06.1995 608 о сертификации средств ЗИ.
ППРФ 03.03.2012 171 о ЛД по разработке и производству средств защиты конфид информации (вместе с положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации). (Как минимум, все документы просмотреть)
ППРФ от 16.04.2012 # 313 (ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ,
ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ
(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ВЫПОЛНЕНИЮ РАБОТ,
ОКАЗАНИЮ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ,
ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ И ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ
(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ (ЗА ИСКЛЮЧЕНИЕМ СЛУЧАЯ,
ЕСЛИ ТЕХНИЧЕСКОЕ ОБСЛУЖИВАНИЕ ШИФРОВАЛЬНЫХ
(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ИНФОРМАЦИОННЫХ СИСТЕМ
И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ
ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ОСУЩЕСТВЛЯЕТСЯ
ДЛЯ ОБЕСПЕЧЕНИЯ СОБСТВЕННЫХ НУЖД ЮРИДИЧЕСКОГО ЛИЦА
ИЛИ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ)
наименование в разделе конспекта ПОИБ
ППРФ 03.02.2012 79 о ЛД по тех защите конфиденциальной информации (вместе с положением о ЛД по тех защите конфиденциальной информации).
Положение о сертификации средств защиты информации по требованиям безопасности информации. (Приказ Гостехкомиссии РФ 27.10.1995 195)
Приказ ФСТЭК России 12.07.2012 84 об утв Административного регламента ФСТЭК по предоставлению гос услуги по лицензированию д-ти по разработке и производству средств защиты конф инф.
Приказ ФСТЭК России 12.07.2012 83 об утв Административного регламента ФСТЭК по предоставлению гос услуги по лицензированию д-ти по тех защите конф информации.

Приказ ФСБ России от 10.01.2013 7 об утв АР ФСБ РФ по предоставлению гос услуги По осущ лицензирования деятельности по выявлению электронный устройств предназначенных для негласного получения информации.

Приказ ФСБ России 28.12.2012 683 об утв АР ФСБ РФ по предоставлению гос услуги по осуществлению лицензирования деятельности по разработке и производству средств защиты конф информации.

Приказ ФСБ от 30.08.2012 440 об утв АР ФСБ РФ по предоставлению гос услуги по осуществлению ЛД по разработке, производству распространению шифровальных (кг) средств, информационных систем и ТКС, защищенных с использованием шифровальных (кг) средств.

ЮЛ или ИП желающие оказывать услуги по ЗИ или выполнять работы в данном направлении должны получить лицензию, тк д-ть по ЗИ предполагает оказание услуг не только сторонник организациям но обеспечение собственных нужд по защите конф информации.

К соискателям лицензии предъявл требования о наличии у него комплекта необходимых для осуществления лицензируемой деятельности нормативных правовых и нормативно - тех документов, наличие помещений, производственного, испытательного и ким оборудования и подготовленных в области защиты информации.
Необходимым является использование АС, обрабатывающих конф информацию, а также средства защиты такой информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия в соотв с законодательством РФ, использование предназначенных для Осуществления лицензир д-ти программ для ЭВМ и баз данных на основании их договора с правообладателем.

Дз - из закона о ЛОВД выписать базовые условия порядок получения лицензии.

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ.
Объект информатизации, аттестуемый по требованиям безопасности информации - совокупность ИР, средств систем обработки информации (АС с различным уровнем и назначением), используемых в соответствии с заданной информационной технологией, средств обеспечения объекта ифнорматизации, помещений или объектов - зданий, сооружений, тех средств, в которых они установлены и выделенные помещения.

Выделенное помещение - это спец помещение, предназначенное для регулярного проведения собраний/совещаний - бесед и других мероприятий секретного характера.

Аттестация объектов информатизации - комплекс организационных технических мероприятий в результате которых посредством спец документа - "аттестата соответствия" подтверждается, что объект соотв требованиям стандарта иди иных нормативно - технических документов по безопасности информации, утвержденных ФСТЭК РОССИИ.

аттестация предусм комплексную проверку - аттестационные испытания - защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты к требуемому уровню безопасности информации.

При аттестации объекта ифнорматизации подтверждается его соответствие к требованиям по защите информации от несанкционированного доступа - в тч от комп вирусов, от утечки за счет побочных эм - излучений и наводок при спец воздействиях на объект (высокочастотное навязывание и облучение, эм и радиационное воздействие), от утечки или воздействия на нее за счет спец устройств, встроенных в объект ифнорматизации.
Обязательной аттестации подлежат объекты ифнорматизации, предназначенные для обработки информации, сост гостайну, управления эколог опасными объектами, ведения секретных переговоров. )

В некоторых случаях обработки конф инф аттестация носит добровольный характер - добровольная аттестация и может осущ по инициативе заказчика или владельца объекта инф.

Состав видов техразведки и их возможности, угрозы без-ти информации и каналы ее утечки подлежащих контролю, опред ФСТЭК РОССИИ в соотв моделях тех разведок и концепциях защиты.

Проверка возможности утечки информации по тех каналам состоит из комплекса работ:
спец проверка - проверка Техсредств и систем объекта защиты с целью выявления спец уст закладных устройств.

Специальное обследование выделенных помещений. Спец обследования предст собой комплекс мероприятий по выявлению возможно внедренных в ограждающие конструкции, объекты интерьера и тд.

Аттестация объекта ифнорматизации - заключителный этап работ по защите и, в который входит оценка требований, предъявляемых для исследуемых объектов ифнорматизации организации заказчика и соотв этим требованиям аттестуемый объектов - результат - выдача аттестата соответствия, которая дает равно работать с конф информацией или как минимум увер в ее защищенности.

Аттестат выделенного помещения - документ, выдаваемый органом по аттестации, подтверждающий наличие необходимых условий, обеспечивающих надежную акустическую защищенность выделенного помещения в соотв с уст нормами и правилам.

Не нашли, что искали? Воспользуйтесь поиском по сайту: