Transcript Document

Учебный модуль:
Основы информационной
безопасности
Тема 3: Направления
обеспечения
информационной безопасности
Лопухов Виталий Михайлович
к.т.н., доцент
[email protected]
Г.Барнаул, 2014
11
1
Вопрос 3.1
Правовая защита информации.
Информационная сфера - одна из наиболее
динамичных и быстро развивающихся сфер
общественных отношений, нуждающихся в
адекватном правовом регулировании.
Принятые во второй половине 90-х годов
законодательные акты уже не отвечают
современному состоянию общественных
отношений и реалиям использования
информационных технологий и
информационно-телекоммуникационных
сетей, по отдельным вопросам вступают
в противоречие с более поздними актами,
тормозят развитие информационного
общества.
22
Нормативная база
33
Международный уровень
1. «Конвенция, учреждающая Всемирную организацию интеллектуальной
собственности» (Стокгольм, 1967. Вступила в силу для СССР 26.04.1970).
2. «Всемирная конвенция об авторском праве» (Женева, 1952. Пересмотрена
в Париже 1971. Вступила в силу для СССР 27.05.1973).
3. «Бернская конвенция об охране литературных и художественных
произведений в редакции 1971 года». РФ присоединилась 13.03.1995.
4. «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Страсбург, 1998.
Ратифицирована Законом РФ от 19.12.2005 № 160-ФЗ.
5. «Окинавская Хартия глобального информационного общества»
Окинава. 22 июля 2000 года.
6. Декларация принципов. «Построение информационного общества –
глобальная задача в новом тысячелетии». Всемирная встреча на высшем
уровне по вопросам информационного общества. Женева. 10.12.2003.
7. «Международная конвенция об охране прав исполнителей, изготовителей
фонограмм и вещательных организаций» (Рим, 1961. Вступила в силу для
Российской Федерации 26.05.2003).
8. «Конвенция об охране интересов производителей фонограмм от
незаконного воспроизводства их фонограмм» (Женева, 1971.
Вступила в силу для Российской Федерации 13.03.1995).
4
Нормативная база
Конвенция Совета Европы о компьютерных преступлениях. СДСЕ № 185.
(Будапешт. Открыта для подписания 23.11.2001, вступила в силу 1.07.2004.
Не подписана Российской Федерацией).
ЗАРУБЕЖНЫЕ НОРМАТИВЫ:
“Оранжевая книга" – гос. стандарт США "Критерии оценивания безопасности
надежных вычислительных систем" (1984г.);
“Европейские критерии безопасности информационных технологий”;
“Федеральные критерии безопасности информационных технологий США”;
“Канадские критерии безопасности компьютерных систем”;
“Единые критерии оценивания безопасности информационных технологий”.
Единый международный стандарт оценивания безопасности
информационных технологий (ISO 15408: 1999)
5
Нормативная база
Руководящие документы Гостехкомиссии:
1. «Концепция защиты средств вычислительной техники от
несанкционированного доступа к информации», 1992 г.;
2. «Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности от
несанкционированного
доступа к информации», 1992 г.;
3. «Автоматизированные системы. Защита от несанкционированного доступа
к информации. Классификация автоматизированных систем и требования
по защите информации», 1992 г.
4. Критерии оценки безопасности информационных технологий. Введен в
действие Приказом Гостехкомиссии от 19.06.02 г. № 187 (Часть 1, 2, 3).
Соответствует ГОСТ Р ИСО/МЭК 15408-2002.
6
Нормативная база
Концептуальные документы РФ
1. «Конституция Российской Федерации» от 12.12.1993.
2. «Доктрина информационной безопасности Российской Федерации».
Утверждена Указом Президента РФ от 9.09.2000 № Пр-1895.
3.«Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года».
Распоряжение Правительства РФ от 27.09.2004 № 1244-р.
4. «Концепции создания системы персонального учета населения
Российской Федерации». Утверждена Распоряжением Правительства РФ
от 9.06.2005 № 748-р.
5. «Концепция региональной информатизации до 2010 года».
Одобрена распоряжением Правительства РФ от 17.07.2006 № 1024-р.
6. «Руководящий документ. Концепция защиты средств вычислительной
техники и автоматизированных систем от несанкционированного
доступа
к информации». Утвержден решением Гостехкомиссии от 30.03.1992.
7. Стратегия развития информационного общества в России.
7
Утверждена Советом Безопасности Российской Федерации
25.07.2007 г.
Нормативная база
Конституция Российской Федерации определяет базовые принципы
общественных отношений в информационной сфере.
Статья 15. Любые нормативные правовые акты, затрагивающие права,
свободы и обязанности человека и гражданина, не могут применяться,
если они не опубликованы официально для всеобщего сведения.
Статья 23. Каждый имеет право на неприкосновенность частной жизни,
личную и семейную тайну, защиту своей чести и доброго имени.
Статья 24. Сбор, хранение, использование и распространение информации о
частной жизни лица без его согласия не допускаются.
Статья 29. Каждый имеет право свободно искать, получать, передавать,
производить и распространять информацию любым законным способом.
Гарантируется свобода массовой информации. Цензура запрещается.
Статья 44. Интеллектуальная собственность охраняется законом.
8
Структура «Доктрины информационной безопасности
Российской Федерации»
Раздел 1. Информационная безопасность Российской Федерации.
I. Национальные интересы Российской Федерации в информационной сфере и их обеспечение.
II. Виды угроз информационной безопасности Российской Федерации.
III. Источники угроз информационной безопасности Российской Федерации.
IV. Состояние информационной безопасности Российской Федерации и основные задачи по ее
обеспечению.
Раздел 2. Методы обеспечения информационной безопасности РФ.
V. Общие методы обеспечения информационной безопасности РФ.
VI. Особенности обеспечения информационной безопасности Российской Федерации в различных
сферах общественной жизни.
VII. Методы обеспечения информационной безопасности Российской Федерации. Международное
сотрудничество Российской Федерации в области обеспечения информационной безопасности.
Раздел 3. Основные положения государственной политики
обеспечения информационной безопасности Российской Федерации и
первоочередные мероприятия по ее реализации.
VIII. Основные положения государственной политики обеспечения информационной безопасности
Российской Федерации.
IX. Первоочередные мероприятия по реализации государственной политики обеспечения
информационной безопасности Российской Федерации.
Раздел 4. Организационная основа системы обеспечения информационной безопасности
Российской Федерации.
9
X. Основные функции системы обеспечения информационной безопасности Российской
Федерации.
XI. Основные элементы организационной основы системы обеспечения информационной
Источники угроз информационной безопасности РФ
Источники угроз информационной безопасности Российской Федерации
подразделяются на внешние и внутренние.
К внешним источникам относятся:
-деятельность иностранных политических, экономических, военных,
разведывательных и информационных структур, направленная против
интересов Российской Федерации в информационной сфере;
-стремление ряда стран к доминированию и ущемлению интересов
России в мировом информационном пространстве, вытеснению ее с внешнего
и внутреннего информационных рынков;
-обострение
международной
конкуренции
информационными технологиями и ресурсами;
за
обладание
-деятельность международных террористических организаций.
К внутренним источникам относятся:
*критическое состояние отечественных отраслей промышленности;
*недостаточная
разработанность
нормативной
правовой
базы,
регулирующей отношения в информационной сфере, а также недостаточная
правоприменительная практика;
*недостаточная экономическая мощь государства
10
ГОСТы по защите информации
ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в
защищенном исполнении испытания на устойчивость к преднамеренным силовым
электромагнитным воздействиям. Общие требования
ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки
информации на соответствие требованиям защищенности от несанкционированного
доступа. Методы и средства
ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие
компьютерных вирусов. Типовое руководство
ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров
побочных электромагнитных излучений и наводок. Технические требования и методы
испытаний
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей
электросвязи. Общие положения
ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной
безопасности в организации. Основные термины и определения
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения
ГОСТ Р 52447-2005 Защита информации. Техника защиты информации.
Номенклатура показателей качества
ГОСТ Р 52633.4-2011 Защита информации. Техника защиты информации.
Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код
доступа
ГОСТ Р 52633.5-2011 Защита информации. Техника защиты информации.
Автоматическое обучение нейросетевых преобразователей биометрия-код доступа
ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные
положения
ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления
после чрезвычайных ситуаций функций и механизмов безопасности информационных
и телекоммуникационных технологий. Общие положения
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 50972-96 Защита информации. Радиомикрофоны. Технические требования к
защите информации от утечки секретной информации
ГОСТ Р 51583-2000 Защита информации. Порядок создания систем в защищенном
11
Некоторые Государственные стандарты из области
информационной безопасности









ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Общие технические требования».
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Термины и определения».
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Стадия создания».
ГОСТ 28806-90 «Качество программных средств. Термины и определения».
ГОСТ Р 50628-2000 «Совместимость технических средств электромагнитная. Устойчивость
машин электронных вычислительных персональных к электромагнитным помехам. Требования
и методы испытаний».
ГОСТ Р 50949-2001 «Средства отображения информации индивидуального пользования.
Методы измерений и оценки эргономических параметров и параметров безопасности».
ГОСТ 29339-92 2Информационная технология. Защита информации от утечки за счет ПЭМИН при
ее обработке средствами вычислительной техники. Общие технические требования»
ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счет побочных
электромагнитных излучений при ее обработке средствами вычислительной техники. Методы
испытаний»
Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области
технической защиты информации».
ГОСТ 14777-76 “Радиопомехи индустриальные. Термины и определения”.
ГОСТ 15467-79 “Управление качеством продукции. Основные понятия. Термины и определения”.
ГОСТ 16487-83 “Делопроизводство и архивное дело. Термины и определения”.
ГОСТ 16504-81 “Система государственных испытаний продукции. Испытания и контроль качества продукции.
Основные термины и определения”.
ГОСТ 22515-27 “Связь телеграфная. Термины и определения”.
ГОСТ 22670-77 “Сеть связи цифровая интегральная. Термины и определения”.
ГОСТ 23611-79 “Совместимость радиоэлектронных средств электромагнитная. Термины и определения”.
ГОСТ 24375-80 “Радиосвязь. Термины и определения”.
ГОСТ 26883-86 “Внешние воздействующие факторы. Термины и определения”.
12
Установленные Российским
законодательством аббревиатуры

















АС - автоматизированная система
КСЗ - комплекс средств защиты
НСД - несанкционированный доступ
ОС - операционная система
ППП - пакет прикладных программ
ПРД - правила разграничения доступа
РД - руководящий документ
СВТ - средства вычислительной техники
СЗИ - система защиты информации
СЗИ НСД - система защиты информации от несанкционированного
доступа
СЗСИ - система защиты секретной информации
СНТП - специальное научно-техническое подразделение
СРД - система разграничения доступа
СУБД - система управления базами данных
ТЗ - техническое задание
ЭВМ - электронно-вычислительная машина
ЭВТ - электронно-вычислительная техника
13
Нормативная база
Федеральные Законы
1. «О средствах массовой информации» Закон РФ № 2124-1 от 27.12.1991
2. «Об оперативно-розыскной деятельности» № 144-ФЗ от 12.08.1995
3. «Уголовный кодекс Российской Федерации» № 63-ФЗ от 13.06.1996
4. «О лицензировании отдельных видов деятельности» № 99-ФЗ
от 4.05.2011
5. «Кодекс РФ об административных правонарушениях» № 195-ФЗ от
30.12.2001
6. «Трудовой Кодекс Российской Федерации» № 197-ФЗ от 30.12.2001
7. «Об электронной подписи» №63-ФЗ от 6.04.2011.
8. «О техническом регулировании» № 184-ФЗ от 27.12.2002
9. «О персональных данных» № 152-ФЗ от 27.07.2006.
10. Постановление №79 «О лицензировании деятельности по
технической защите конфиденциальной информации» от 03.03.2012г.
14
Уголовный кодекс Российской Федерации

Глава 28 УК РФ «ПРЕСТУПЛЕНИЯ В
СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ»
Статья 272. Неправомерный доступ к
компьютерной информации
 Статья 273. Создание, использование и
распространение вредоносных
программ для ЭВМ
 Статья 274. Нарушение правил
эксплуатации ЭВМ, системы ЭВМ или
их сети

15
Нормативная база
Федеральные Законы
11. «Гражданский кодекс Российской Федерации» от 30.11.1994
(Часть 4. Принята федеральным законом № 230-ФЗ от 18.12.2006.
Вступила в силу с 1 января 2008 года В соответствии с законом № 231-ФЗ от
18.12.2006)
Утратили силу законы:
от 23.09.1992 № 3520-1 "О товарных знаках, знаках обслуживания и
наименованиях мест происхождения товаров"
от 23.09.1992 № 3523-1 "О правовой охране программ для электронных
вычислительных машин и баз данных"
от 23.09.1992 № 3526-1 "О правовой охране топологий интегральных
микросхем"
от 9.07.1993 № 5351-1 “Об авторском праве и смежных правах”
от 23.09.1992 № 3517-1 «Патентный закон»
12. «Об информации, информационных технологиях и о защите
информации» от 27.07.2006 № 149-ФЗ.
16
Утратили силу законы:
«Об информации, информатизации и защите информации» от 20.02.1995
«Об участии в международном информационном обмене» от 4.06.1996
Гражданский Кодекс. Часть 4.
ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ
ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ
Гл. 70. АВТОРСКОЕ ПРАВО Ст. 1255-1302.
Гл. 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Ст. 1303-1344
Гл. 72. ПАТЕНТНОЕ ПРАВО Ст. 1345-1407
Ст. 1345. Интеллектуальные права на изобретения, полезные модели и
промышленные образцы являются патентными правами.
Ст. 1349. Объектами патентных прав являются результаты интеллектуальной
деятельности в научно-технической сфере, отвечающие установленным
настоящим Кодексом требованиям к изобретениям и полезным моделям, и
результаты интеллектуальной деятельности в сфере художественного
конструирования, отвечающие установленным настоящим Кодексом
требованиям к промышленным образцам.
Ст. 1350. Ч.5 Не являются изобретениями:
1) открытия;
2) правила и методы игр, интеллектуальной или хозяйственной деятельности;
3) решения, касающиеся только внешнего вида изделий и направленные на удовлетворение
эстетических потребностей;
4) научные теории и математические методы;
17
5) программы для ЭВМ;
6) решения, заключающиеся только в представлении информации.
Термином "интеллектуальная собственность" охватываются
только сами результаты интеллектуальной деятельности
Гражданский Кодекс. Часть 4.
ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ
ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ
Статья 1225 «Результатами интеллектуальной деятельности и
приравненными к ним средствами индивидуализации юридических
лиц, товаров, работ, услуг и предприятий, которым предоставляется
правовая охрана (интеллектуальной собственностью), являются:
1) произведения науки, литературы и искусства;
2) программы для электронных вычислительных машин (программы
для ЭВМ);
3) базы данных;
4) исполнения;
5) фонограммы;
6) сообщение в эфир или по кабелю радио- или телепередач (вещание
организаций эфирного или кабельного вещания);
7) изобретения;
8) полезные модели;
9) промышленные образцы;
10) селекционные достижения;
11) топологии интегральных микросхем;
12) секреты производства (ноу-хау);
13) фирменные наименования;
14) товарные знаки и знаки обслуживания; 18
15) наименования мест происхождения товаров;
16) коммерческие обозначения..."
Гражданский Кодекс. Часть 4.
ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ
ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ
Статья 1296. В случае, когда программа для ЭВМ или база данных создана
по договору, предметом которого было ее создание, исключительное
право на такую программу или такую базу данных принадлежит заказчику,
если договором не предусмотрено иное.
Автор созданных по заказу программы для ЭВМ или базы данных,
которому не принадлежит исключительное право, имеет право на
вознаграждение.
Статья 1301. В случаях нарушения исключительного права на произведение
автор или иной правообладатель вправе требовать от нарушителя
выплаты компенсации:
в размере от 10 тыс. до 5 млн. рублей, определяемом по усмотрению суда;
в двукратном размере стоимости экземпляров произведения.
19
Гражданский Кодекс. Часть 4.
ПРАВА НА РЕЗУЛЬТАТЫ ИНТЕЛЛЕКТУАЛЬНОЙ
ДЕЯТЕЛЬНОСТИ И СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ
Статья 1333. Изготовителем базы данных признается лицо, организовавшее
создание базы данных и работу по сбору, обработке и расположению
составляющих ее материалов.
Статья 1334. Никто не вправе извлекать из базы данных материалы и
осуществлять их последующее использование без разрешения
правообладателя. При этом под извлечением материалов понимается
перенос всего содержания базы данных или существенной части
составляющих ее материалов на другой информационный носитель с
использованием любых технических средств и в любой форме.
Статья 1274. Свободное использование произведения в информационных,
научных, учебных или культурных целях. Выраженные в цифровой форме
экземпляры произведений, предоставляемые библиотеками во временное
безвозмездное пользование, могут предоставляться только в помещениях
библиотек при условии исключения возможности создать копии этих 20
произведений в цифровой форме.
21
Тайна (конфиденциальная информация) -
информация о действиях
(состоянии и иных обстоятельствах) определенного лица (гражданина, организации,
государства), не подлежащих разглашению.
Закон РФ N 5485-1
"О государственной тайне",
ст. 275, 276, 283 и 284 УК РФ
N 98-ФЗ "О коммерческой тайне" ст.
183 УК РФ
ст. 137 УК РФ, тайна усыновления ребёнка (ст. 139 СК РФ)
Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциальн. характера"
адвокатская тайна (ст. 8 N 63-ФЗ "Об
адвокатской деятельности и адвокатуре в
Российской Федерации«)
22
Федеральный закон от 19.12.2005 г. N 160-ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных»
Федеральный Закон от 27.07.2006 г. N 152-ФЗ «О персональных данных»
Целью закона является обеспечение защиты прав
и свобод человека и гражданина при обработке его
персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и
семейную тайну.
Операторами и третьими лицами, получающими
доступ к персональным данным, должна
обеспечиваться конфиденциальность таких
данных данных.
Информационные системы персональных данных, созданные до
дня вступления в силу закона, должны быть приведены в
соответствие с требованиями настоящего Федерального закона
не позднее 1 января 2010 года.
23
Приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 № 55/86/20
«ПОРЯДОК ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ»
ФСТЭК февраль 2008 г. документы «ДСП»:
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных.
Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных
данных.
Основные мероприятия по организации и техническому обеспечению
безопасности персональных данных при их обработке в
информационных
системах персональных данных.
24
Рекомендации по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных.
Ответственность, предусмотренная законом
Уголовная
ответственность
Административная
ответственность
1. непосредственный нарушитель
2. должностное лицо (руководитель)
Уголовный Кодекс РФ
1. непосредственный нарушитель
2. должностное лицо (руководитель)
3. юридическое лицо
Кодекс РФ об административных
правонарушениях
Гражданско-правовая
ответственность
1. непосредственный нарушитель
(суд общей юрисдикции)
2. юридическое лицо
(арбитражный суд)
Гражданский Кодекс РФ
25
Компьютерное пиратство, упоминаемое в КОНВЕНЦИИ О
ПРЕСТУПНОСТИ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ (ETS N
185) (Заключена между 47 государствами в 2001 г., вступила в силу 2004г.,
Россия подписала в 2005г.)
Незаконное копирование
Незаконная установка
программ на компьютеры
Интернет-пиратство
Нарушение ограничений
лицензии
Изготовление подделок
Экземпляры программ для ЭВМ или базы данных,
изготовленные (введенные в хозяйственный оборот)
с нарушением авторских прав, называются
26
контрафактными.
27
27
Правовое регулирование Интернет
"Кодекс Российской Федерации об административных
правонарушениях" от 30.12.2001 N 195-ФЗ
Статья 13.27. Нарушение требований к организации доступа к
информации о деятельности государственных органов и
органов местного самоуправления и ее размещению в сети "Интернет"
27.08.2005 г. № 538 «Об утверждении правил взаимодействия
операторов связи с уполномоченными государственными органами,
осуществляющими оперативно-розыскную деятельность»;
23.01.2006 г. № 32 «Об утверждении правил оказания услуг связи по
передаче данных»
28
Правовые нормы обеспечения безопасности и защиты
информации на конкретном предприятии (фирме,
организации) отражаются в совокупности учредительных,
организационных и функциональных документов:
•
•
•
•
•
•
Устав (учредительном договоре)
Коллективный договор
Трудовой договор (контракт)
Перечень конфиденциальной информации
Правила обработки конфиденциальной информации
…….
29
Приложение к трудовому договору об оформлении допуска к коммерческой
тайне
г.__________
"__" ________ 20__ г.
ООО «########»(далее - Общество) в лице генерального директора ##########, действующего на основании Устава и
лицензии Минсвязи РФ № ###, во
исполнение
требований Федерального закона от 29 июля
2004
N 98-ФЗ
"О
коммерческой тайне", именуемы в дальнейшем Работодатель, и гражданин ____________, именуемые в дальнейшем Работник,
заключили настоящее Приложение к трудовому договору о нижеследующем:
I. Предмет договора
1. Предметом настоящего договора
является
принятие
Работником Общества на себя обязательств по сохранению
коммерческой тайны в течение периода времени, определяемого условиями договора, ставшей известной ему в связи
с
исполнением
трудовых
обязанностей в должности _______________________, а
также
вопрос
об
ответственности работника Общества за нарушение им обязательства по сохранению коммерческой тайны.
2. Работник обязуется хранить в тайне сведения,
составляющие коммерческую тайну Общества, как в период
своей работы в Обществе так и в течение __________ лет после прекращения трудовых отношений с Обществом.
3. Перечень сведений, отнесенных к коммерческой тайне Общества содержится
в
"__" _______________20___г. N____________, с которым Работник ознакомлен под расписку.
приказе
Общества
от
В случае изменения указанного
выше
перечня
работник
должен
быть ознакомлен с соответствующим актом
Общества, которым
они
предусмотрены, под расписку. В противном случае его
обязательства
перед
Обществом по
сохранению коммерческой тайны остаются прежними.
II. Условия договора
4. Для исключения фактов
разглашения
сведений,
составляющих коммерческую тайну, Работник обязан строго
соблюдать
порядок
работы с информацией, содержащей
коммерческую
тайну.
Локальные
акты
Общества,
устанавливающие такой порядок, должны быть сообщены
Работнику под расписку.
5.
Разглашением
совершенные
им
в
коммерческой
тайны
следует
считать
следующие действия
Работника
Общества,
………………………………………………
III. Срок действия условий договора
10. Настоящий договор вступает в силу с момента
подписания и действует в течение всего времени работы
Работника в Обществе, а также в течение __________ лет после прекращения трудовых отношений с Обществом.
IV. Ответственность за нарушение условий договора
11. Ответственность Работника, работающего по трудовому договору, в период его работы в Обществе определяется трудовым законодательством.
………………………………………………
30
2.2.5. не разглашать конфиденциальную информацию, а также сведения, которые составляют
коммерческую тайну предприятия и нести ответственность за ее разглашение, установленную
действующим законодательством Украины.
2.3. Если Работником во время действия настоящего договора будут осуществляться какие-либо
научные исследования, разрабатываться компьютерные программы (операционная система,
прикладная программа, база данных) или формироваться базы данных клиентов (на любых
носителях информации), то авторские имущественные права и исключительное право на
использование таких произведений (в частности, право на их использование на территории
Украины и за ее пределами) на протяжении срока охраны прав собственности всеми возможными
способами, а также другим способом, который станет известным в будущем согласно статье 16
Закона Украины “Об авторском праве и смежных правах”, принадлежит Работодателю.
Размер и порядок выплаты вознаграждения за разработку и использование авторских
произведений, которые разрабатываются по дополнительному соглашению между Работодателем
и Работником, и особенности передачи прав на такие произведения, устанавливается настоящим
договором и авторским договором с Работником (автором).
31
•
•
•
5.4.
Банк обязан: Незамедлительно сообщать Организатору Системы о краже или
утере компьютера с установленным РМА, паролей, ключа eToken, других средств доступа к
РМА, иных случаях нарушения информационной безопасности.
5.6.
Организатор Системы имеет право отключить РМА в случае:5.6.3.
если
использование РМА сопровождается попытками взлома или иного нарушения
безопасности и функциональности Системы e-port
13. КОНФИДЕНЦИАЛЬНОСТЬ
13.1. Стороны обязуются сохранять конфиденциальность содержания Договора, а также
любой информации и данных, предоставляемых каждой из Сторон в связи с
исполнением Договора, за исключением общедоступной информации.
13.2 Банк обязуется сохранять в тайне информацию, которая может быть использована для
доступа к Системе e-port.
13.3 Не является нарушением конфиденциальности:
•
предоставление конфиденциальной информации третьей стороне в целях
исполнения Договора и иных соглашений между Банком и Организатором
Системы;
•
предоставление конфиденциальной информации в целях предотвращения
незаконных действий;
•
предоставление конфиденциальной информации по законному требованию
правоохранительных и иных уполномоченных государственных органов, а также в
32
других предусмотренных законодательством случаях.
Региональные учебно-научные центры информационной
безопасности в системе высшей школы
Головной центр - Московский инженерно-физический институт
(государственный университет)
Центральный федеральный округ
Северо-Западный федеральный округ
Московский государственный технический
Санкт-Петербургский государственный ТУ
университет (ТУ)
Российский государственный гуманитарный
университет
Московский государственный авиационный
институт (ТУ)
Московский государственный институт
электроники и математики (ТУ)
Сыктывкарский ГУ
Южный федеральный округ
Волгоградский государственный ТУ
Кубанский государственный университет
Таганрогский государственный
радиотехнический университет
Уральский федеральный округ
Рязанская государственная радиотехническая Южно-Уральский государственный
академия
Воронежский государственный ТУ
Дальневосточный федеральный округ
университет
Сибирский федеральный округ
Красноярский государственный ТУ
Дальневосточный ГУ
Новосибирский государственный ТУ
Приволжский федеральный округ
Омский государственный ТУ
Казанский государственный ТУ
Томский государственный университет
Нижегородский государственный ТУ
радиоэлектроники
систем управления и
33
33
Органы обеспечения ИБ
34
34
Президент РФ (www.kremlin.ru):
в пределах своих полномочий создает, реорганизует и руководит
органами по обеспечению информационной безопасности (ИБ),
определяет приоритетные направления государственной политики
в данной области.
Совет Безопасности РФ (www.scrf.gov.ru):
проводит работу по выявлению и оценке угроз ИБ РФ;
разрабатывает важнейшие концептуальные документы в области
национальной безопасности;
координирует деятельность органов по обеспечению ИБ;
контролирует реализацию органами исполнительной власти
решений Президента в этой области.
Указом Президента от 28.10.2005 № 1244 утверждена
Межведомственная комиссия Совета Безопасности по ИБ.
Указом Президента 8.11.1995 № 1108 создана Межведомственная
комиссия по защите государственной тайны.
(Указ от 6.10.2004 № 1286 переопределены функции)
35
Федеральная служба безопасности (ФСБ) www.fsb.ru
1. Обеспечение защиты сведений, составляющих государственную
тайну.
2. Формирование и реализация государственной и научнотехнической политики в области обеспечения ИБ.
3. Организация обеспечения криптографической безопасности
информационно-телекоммуникационных систем.
4. Разработка и утверждение нормативных и методических
документов по вопросам обеспечения ИБ информационнотелекоммуникационных систем и сетей критически важных
объектов.
5. Осуществляет и организует сертификацию средств защиты
информации
6. Лицензирование деятельности по:
- разработке, производству, техническому обслуживанию
36
шифровальных (криптографических) средств;
- предоставлению услуг в области шифрования информации.
Федеральная служба по техническому
и экспортному контролю (ФСТЭК
России) — федеральный орган исполнительной
власти России, осуществляющий реализацию
государственной политики, организацию
межведомственной координации и взаимодействия,
специальные и контрольные функции в области
государственной безопасности.
5 января 1992 года была создана Государственная техническая
комиссия при Президенте РФ (Гостехкомиссия России).
В соответствии с Указом Президента Российской Федерации
от 9 марта 2004 г. № 314 «О системе и структуре федеральных
органов исполнительной власти» вместо существовавшей
Государственной технической комиссии при Президенте Российской
Федерации была создана Федеральная служба по техническому и
экспортному контролю РФ. Положение о Службе утверждено Указом
Президента РФ от 16 августа 2004 г. № 1085.
37
С 26.05.2011 Федеральная служба по интеллектуальной
собственности, патентам и товарным знакам (Роспатент)
переименована в Федеральную службу по интеллектуальной
собственности, руководство деятельностью которой
осуществляет Правительство РФ
Министерство связи и массовых коммуникаций
(Минкомсвязь).
Федеральная служба по надзору в сфере связи и массовых
коммуникаций (Роскомнадзор) :
- функция по контролю и надзору в в сфере средств
массовой информации (в т.ч. электронных) и массовых
коммуникаций, информационных технологий и связи;
- функция по регистрации средств массовой информации.
38
Подразделение “К”
Информационные технологии,
вычислительная
техника и средства коммуникаций
с каждым днем внедряются во все
сферы человеческой
деятельности. Вследствие
чего, компьютерные преступления
приобретают все большую
актуальность. Преступникам
представляется более широкий
спектр возможностей для
совершения уголовно-наказуемых
деяний.
В свою очередь, отдел
"К" выявляет, предупреждает,
пресекает и раскрывает
преступления в
сфере информационных
технологий, незаконного оборота
радиоэлектронных средств
(РЭС) и специальных технических
средств (СТС).
39
ФУНКЦИИ И ЗАДАЧИ ПОДРАЗДЕЛЕНИЙ "К" МВД РОССИИ
1. Борьба с преступлениями в телекоммуникационных сетях:
- с радиоэлектронными устройствами ;
- незаконными междугородними и международными переговорными
пунктами, работающими в режиме подмены абонентского номера.
2. Выявление и пресечение преступлений, связанных с осуществлением
электронных платежей в теле- коммуникационных сетях, в т.ч. с
использованием пластиковых карт.
3. Борьба с незаконным оборотом радиоэлектронных средств (РЭС) и
специальных технических средств (СТС)
4. Организация и осуществление радиоэлектронного противодействия
незаконно действующим РЭС и СТС.
5. Ведение мониторинга открытых глобальных и локальных
компьютерных сетей, сетей проводной, спутниковой и подвижной
радиосвязи, а также персонального радиовызова абонента (пейджинга)
общего пользования с целью добывания информации о правонарушениях и
правонарушителях.
6. Борьба с незаконным оборотом объектов интеллектуальной
собственности на электронных (машинных) носителях.
7. Борьба с преступлениями в сфере компьютерной информации:
- неправомерным доступом к охраняемой законом (конфиденциальной)
компьютерной информации (ст. 272 УК РФ);
- созданием, использованием и распространением вредоносных программ
для ЭВМ или машинных носителей с такими программами (ст. 273 УК РФ);
- нарушением правил эксплуатации ЭВМ, систем ЭВМ или их сетей (ст.
274 УК РФ).
40
ЭКСПЕРТНОЕ ОБЕСПЕЧЕНИЕ ДЕЯТЕЛЬНОСТИ
ПО БОРЬБЕ С КОМПЬЮТЕРНЫМИ
ПРЕСТУПЛЕНИЯМИ
В соответствии с Законом Российской Федерации от
31.05.01 г. № 73-ФЗ "О государственной судебноэкспертной деятельности в Российской Федерации" в
системе МВД России функционирует Государственное
учреждение "Экспертно - криминалистический центр
МВД России". В январе 2000 года в его структуре был
образован 19-й отдел "Компьютерных экспертиз и
технологий", который специализируется на
производстве относительно нового вида экспертных
исследований, сформировавшихся вначале 90-х годов
прошлого века и получивших официальное название
"Судебная компьютерно-техническая экспертиза"
41
Судебная компьютерно-техническая экспертиза
Компьютерно-техническая экспертиза
(КТЭ) необходима при раскрытии и расследовании
преступлений, рассмотрении гражданских и арбитражных
дел, связанных с применением компьютерных средств.
В рамках компьютерно-технической экспертизы выделяют
следующие подвиды экспертиз:
•- аппаратно-компьютерная экспертиза
•- программно-компьютерная экспертиза
•- информационно-компьютерная экспертиза (экспертиза
данных)
•- компьютерно-сетевая экспертиза
42
Аппаратно-компьютерная экспертиза
применяется
для
исследования
(в
основном,
диагностического) технических (аппаратных) средств
компьютерной системы. К аппаратным средствам
относятся: электрические, электронные и механические
схемы, блоки, приборы и устройства, составляющие
материальную часть компьютерной системы. Предметом
данного вида экспертизы являются факты и
обстоятельства, имеющие значение для уголовного либо
гражданского дела и устанавливаемые на основе
исследования
закономерностей
разработки
и
эксплуатации аппаратных средств компьютерной
системы – материальных носителей информации о факте
или событии уголовного либо гражданского дела.
43
Программно-компьютерная экспертиза
предназначена для проведения экспертного исследования
программного обеспечения. Ее видовым предметом
являются закономерности разработки (создания) и
применения (использования) программного обеспечения
компьютерной
системы,
представленной
на
исследование в целях установления истины по
уголовному или гражданскому делу. Задачами
экспертизы
данного
вида
является
изучение
функционального предназначения и характеристик
реализуемого алгоритма, структурных особенностей и
текущего состояния системного и прикладного
программного обеспечения компьютерной системы.
44
Информационно-компьютерная экспертиза
является ключевым видом СКТЭ, так как позволяет
завершить целостное построение доказательственной базы
путем
окончательного
разрешения
большинства
диагностических
и
идентификационных
вопросов,
связанных с компьютерной информацией. Задачами этого
вида являются поиск, обнаружение, анализ и оценка
информации,
подготовленной
пользователем
или
порожденной (созданной) программами для организации
информационных процессов в компьютерной системе.
45
Компьютерно-сетевая экспертиза
основывается на функциональном предназначении компьютерных
средств,
реализующих
какую-либо
сетевую
информационную
технологию. Поэтому факты и обстоятельства, связанные с
использованием сетевых и телекоммуникационных технологий и
устанавливаемые по заданию следственных и судебных органов в целях
установления истины по уголовному или гражданскому делу, составляют
видовой предмет компьютерно-сетевой экспертизы. Использование
специальных познаний в области сетевых технологий позволяет
соединить воедино полученные объекты, сведения о них и эффективно
решить поставленные экспертные задачи. Особое место в судебной
компьютерно-сетевой экспертизе занимают экспертные исследования по
уголовным и гражданским делам, связанным с Интернет-технологиями.
Объект применения специальных познаний КТЭ может быть довольно
разным – от компьютеров пользователей, подключенных к Интернет, до
различных ресурсов поставщика сетевых услуг (провайдера) и
предоставляемых им информационных услуг.
46
Типичные объекты экспертных
исследований
1) Документы на машинном носителе информации
(пластиковые карты и электронные документы);
2) Машинограммы и иные бумажные документы,
изготовленные (подделанные) с использованием
печатающих устройств компьютерной техники и новых
репрографических технологий;
3) Программные и аппаратные средства электронновычислительной техники;
4) Средства электросвязи системы и сети ЭВМ;
5) Программно-аппаратные средства защиты
информации;
6) Отдельные технологии, процессы и операции,
обеспечивающие создание, накопление, хранение и
передачу компьютерной информации.
47
НАУЧНО-ПРАКТИЧЕСКОЕ ОБЕСПЕЧЕНИЕ
ДЕЯТЕЛЬНОСТИ
ПО БОРЬБЕ С КОМПЬЮТЕРНЫМИ
ПРЕСТУПЛЕНИЯМИ
В системе МВД России функционируют два
профильных научно-практических учреждения,
обеспечивающих деятельность по борьбе с
компьютерными
преступлениями:
Научноисследовательский институт МВД России и
Научно-исследовательский
институт
специальной техники МВД России.
48
ФГКУ ВНИИ МВД России
Федеральное государственное казенное учреждение
«Всероссийский
научно-исследовательский
институт
Министерства внутренних дел Российской Федерации»
(ФГКУ «ВНИИ МВД России») является научноисследовательской
организацией,
осуществляющей
функции головного Научно-исследовательского учреждения
МВД России по проведению и координации научных
исследований в области оперативно-розыскной, уголовнопроцессуальной, административной, мобилизационной и
иной деятельности органов внутренних дел.
49
Федеральное казенное учреждение «Научнопроизводственное объединение специальная
техника и связь Министерства внутренних дел
Российской Федерации»
50
Центр информационных технологий и
защиты информации
Центр организует и выполняет
работы в области
информационной безопасности
МВД России и разработки средств
защиты информации, проводит
специальные экспертизы
организаций на право проведения
работ (оказания услуг) в области
защиты информации,
осуществляет контроль
защищенности объектов
информатизации по требованиям
безопасности информации.
51
Наша служба и опасна и трудна,
Хакер к нам залезть пытается с утра,
Кое-где и кое-кто у нас, порой,
Что-то выкрасть хочет.
С ними надо нам вести тяжелый бой,
Так назначено судьбой для нас с
тобой Служба дни и ночи.
Наша служба и опасна и трудна,
Пять атак за час отбили мы вчера,
Ну, а с хакером, порой,
С тем, кто честно жить не хочет,
Надо нам вести в сетях тяжелый бой,
Так назначено судьбой для нас с
тобой Служба дни и ночи.
Гимн
(Из народного творчества)
52