РОССИЙСКАЯ ФЕДЕРАЦИЯ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«УТВЕРЖДАЮ»
Проректор по учебной работе
_______________/
«___» _______________ 2011 г.
Организационное и правовое обеспечение информационной безопасности
Учебно-методический комплекс.
Рабочая программа для студентов очной формы обучения
специальности 090301.65 «Компьютерная безопасность»,
профиль подготовки «Безопасность автоматизированных систем »
« » ____________ 2011 г.
Рассмотрено на заседании кафедры информационной безопасности 20.04.2011г., протокол
Соответствует требованиям к содержанию, структуре и оформлению.
Объем __ стр.
Зав. кафедрой __________________________________________//
« » ____________ 2011 г.
Рассмотрено на заседании УМК Института математики, естественных наук и информационных технологий 15.05.2011., протокол
Соответствует ФГОС ВПО и учебному плану образовательной программы .
«СОГЛАСОВАНО»:
Председатель УМК _____________________________________/ /
« » ___________ 2011 г.
«СОГЛАСОВАНО»:
Зав. методическим отделом УМУ _________________________//
«_____» _______________ 2011 г.
РОССИЙСКАЯ ФЕДЕРАЦИЯ
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
Государственное образовательное учреждение
ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Институт математики, естественных наук и информационных технологий
Кафедра информационной безопасности
ЛЫСОВ А. С.
Организационное и правовое обеспечение информационной безопасности
Учебно-методический комплекс.
Рабочая программа для студентов очной формы обучения,
специальности профиль подготовки: «Безопасность автоматизированных систем»
Тюменский государственный университет
. Организационное и правовое обеспечение информационной безопасности.
Учебно-методический комплекс. Рабочая программа для студентов очной формы обучения специальности 090301.65 «Компьютерная безопасность», профиль подготовки «Безопасность автоматизированных систем». Тюмень, 2011, 13 стр.
Рабочая программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и ПрООП ВПО по направлению и профилю подготовки.
Утверждено проректором по учебной работе ТюмГУ
Ответственный редактор: , зав. кафедрой информационной безопасности, д. т.н., проф.
© ГОУ ВПО Тюменский государственный университет, 2011
1. Пояснительная записка
1.1. Цели и задачи дисциплины
Дисциплина "Основы информационной безопасности" реализует требования федерального государственного образовательного стандарта высшего профессионального образования по направлению подготовки 090301.65 «Компьютерная безопасность».
Целью изучения дисциплины «Организационное и правовое обеспечение информационной безопасности» является ознакомление студентов с основами информационной безопасности. Изучаются информационные угрозы, их нейтрализация, вопросы организации мер защиты информационных ресурсов, нормативные документы, регламентирующие информационную деятельность, криптография , другие вопросы, связанные с обеспечением безопасности компьютерных сетей.
Задачами дисциплины являются:
· Изложение основных положений Доктрины информационной безопасности РФ.
· Дать знания основ комплексной системы защиты информации;
· Дать знания основ организационно-правового обеспечения защиты информации.
· Формирование основы для дальнейшего самостоятельного изучения вопросов обеспечения компьютерной и информационной безопасности
Таким образом, дисциплина "Основы информационной безопасности" является неотъемлемой составной частью профессиональной подготовки по направлению подготовки 090301 «Компьютерная безопасность». Вместе с другими дисциплинами цикла профессиональных дисциплин изучение данной дисциплины призвано формировать специалиста, и в частности, вырабатывать у него такие качества , как:
· строгость в суждениях,
· творческое мышление,
· организованность и работоспособность,
· дисциплинированность,
· самостоятельность и ответственность.
1.2. Место дисциплины в структуре ООП:
Дисциплина принадлежит циклу математических и естественнонаучных
дисциплин.
Знания, полученные при изучении дисциплины "Основы информационной безопасности", используются при изучении дисциплин
Аудит информационной безопасности,
1.3. Требования к результатам освоения дисциплины:
Процесс изучения дисциплины направлен на формирование следующих компетенций:
Общекультурные компетенции (ОК):
− способностью действовать в соответствии с Конституцией Российской Федерации , исполнять свой гражданский и профессиональный долг, руководствуясь принципами законности и патриотизма (ОК-1);
− способностью анализировать социально значимые явления и процессы, в том числе политического и экономического характера, мировоззренческие и философские проблемы, применять основные положения и методы гуманитарных, социальных и экономических наук при решении социальных и профессиональных задач (ОК-3);
− способностью понимать движущие силы и закономерности исторического процесса, роль личности в истории, политической организации общества, способностью уважительно и бережно относиться к историческому наследию, толерантно воспринимать социальные и культурные различия (ОК-4);
Профессиональные компетенции (ПК):
− способностью использовать основные методы защиты производственного персонала и населения от возможных последствий аварий, катастроф, стихийных бедствий (ПК-6);
В результате изучения дисциплины студент должен:
Знать:
· источники угроз безопасности информации;
· методы оценки уязвимости информации;
· методы создания, организации и обеспечения функционирования систем комплексной защиты информации;
· методы пресечения разглашения конфиденциальной информации;
· виды и признаки компьютерных преступлений
Уметь:
· отыскивать необходимые нормативные правовые акты и информационные правовые нормы в системе действующего законодательства, в том числе с помощью систем правовой информации;
· применять действующую законодательную базу в области информационной безопасности;
· разрабатывать проекты положений, инструкций и других организационно-распорядительных документов, регламентирующих работу по защите информации.
2. Структура и трудоемкость дисциплины.
Таблица 1.
Вид занятий | Семестр |
Общая трудоемкость | |
Аудиторные занятия | |
Практические занятий | |
Самостоятельная работа | |
Вид итогового контроля |
3. Тематический план.
Таблица 2.
Тема | недели семестра | Виды учебной работы и самостоятельная работа, в час. | Итого часов по теме | Из них в интерактивной форме | Итого количество баллов |
||||
Лекции | Самостоятельная работа |
||||||||
Модуль 1 |
|||||||||
Всего | |||||||||
Модуль 2 |
|||||||||
Всего | 1 4 | ||||||||
Модуль 3 |
|||||||||
Всего | 1 4 | ||||||||
Итого (часов, баллов) за семестр: | |||||||||
Из них в интерактивной форме | |||||||||
Таблица 3.
Виды и формы оценочных средств в период текущего контроля
Устный опрос | Информационные системы и технологии | Другие формы контроля | Итого количество баллов |
|||||
собеседование | ответ на семинаре | Домашняя контрольная работа | Расчетная работа на компьютере | |||||
Модуль 1 |
||||||||
Всего | ||||||||
Модуль 2 |
||||||||
Всего | ||||||||
Модуль 3 |
||||||||
Всего | ||||||||
Итого |
Таблица 4.
Планирование самостоятельной работы студентов
Модули и темы | Виды СРС | Неделя семестра | Объем часов | Колво баллов |
||
Обязательные | дополнительные |
|||||
Модуль 1 | ||||||
Информационные угрозы. | Конспектирование материала на лекционных занятиях., подготовка к докладу | |||||
Конспектирование материала на лекционных занятиях. подготовка к ответу на коллоквиуме. | Работа с учебной литературой | |||||
Всего по модулю 1: | ||||||
Модуль 2 | ||||||
Правовое регулирование защиты информации | Конспектирование материала на лекционных занятиях, подготовка к докладу | Работа с учебной литературой | ||||
Организационные меры обеспечения информационной безопасности компьютерных систем | Конспектирование материала на лекционных занятиях, подготовка к ответу на коллоквиуме, подготовка к докладу | |||||
Всего по модулю 2: | ||||||
Модуль 3 | ||||||
Защита данных криптографическими методами | Работа с учебной литературой, выполнение домашней контрольной работы | |||||
Политика информационной безопасности | Конспектирование материала на лекционных занятиях. Выполнение домашних работ, подготовка к ответу на семинаре и к собеседованию. | Работа с учебной литературой, выполнение расчетной работы на компьютере | ||||
Типовые удаленные атаки с использованием уязвимостей сетевых протоколов. | Конспектирование материала на лекционных занятиях. Выполнение контрольной работы, подготовка к ответу на коллоквиуме. | Работа с учебной литературой, подготовка доклада. | ||||
Всего по модулю 3: | ||||||
ИТОГО: | ||||||
4. Разделы дисциплины и междисциплинарные связи с обеспечиваемыми (последующими) дисциплинами
Темы дисциплины необходимые для изучения обеспечиваемых (последующих) дисциплин
Наименование обеспечиваемых (последующих) дисциплин | |||||||||||
Управление информационной безопасностью | |||||||||||
Аудит информационной безопасности | |||||||||||
Защита конфиденциальной информации | |||||||||||
Защита персональных данных в ИСПДн |
5. Содержание разделов дисциплины
Тема 1.
Информационные угрозы. Понятие информационных угроз. Понятие информации. Информационные войны. Изучаются основные определения информации, ее ценности, информационные угрозы. Информационные угрозы безопасности информационной безопасности. Рассматриваются вопросы построения информационной структуры в РФ, различные проблемы, возникающие в связи с этим процессом, участие РФ в международном информационном обмене . Виды противников. Хакеры. Изучается социально-психологический портрет нарушителя информационной безопасности, его возможности и методика действий. Виды возможных нарушений информационной системы . Общая классификация информационных угроз. Изучаются нарушения работы ИС, вводится классификация угроз ИС, рассматриваются возможные субъекты и объекты доступа к ИС, угрозы, реализуемые на уровне локальной (изолированной) компьютерной системы. Причины уязвимостей компьютерных сетей.
Тема 2. Компьютерные вирусы. Изучаются вредоносные программы, история их развития, ответственность за создание и распространение, виды, принципы действия вирусов, демаскирующие признаки.
Тема 3. Правовое регулирование защиты информации (анализ статей УК, других нормативных актов). Стандарты ИБ Нормативные документы, регулирующие информационную деятельность в РФ и мире. Стандарты информационной безопасности
Тема 4. Организационные меры обеспечения информационной безопасности компьютерных систем. Роль задачи и обязанности администратора безопасности, определение подходов к управлению рисками , структуризация контр мер, порядок сертификации на соответствие стандартам в области ИБ
Тема 5. Защита данных криптографическими методами. Методы и алгоритмы шифрования, требования к шифрам, наиболее распространенные шрифты
Тема 6. Политика информационной безопасности. Модели защиты информации в КС Политика безопасности и ее основные составляющие, модели защиты информации в компьютерных системах, технологии защиты и разграничения доступа к информации.
Тема 7. Типовые удаленные атаки с использованием уязвимостей сетевых протоколов. Классификация удаленных атак. Атаки на ARP - протокол, ICMP – протокол, DNS – протокол, TCP – протокол, виды атак.
6. Семинарские занятия .
Тема 1. Защита данных криптографическими методами .
l Методы и алгоритмы шифрования.
lНаписание наиболее распространенных шрифтов.
Тема 2. Политика информационной безопасности.
l Модели защиты информации в КС
l Политика безопасности и ее основные составляющие,
l Модели защиты информации в компьютерных системах,
l Технологии защиты и разграничения доступа к информации.
l Причины, виды, каналы утечки и искажения информации
Тема 3. Типовые удаленные атаки с использованием уязвимостей сетевых протоколов.
· Удаленные атаки на ARP - протокол,
· Удаленные атаки на ICMP – протокол,
· Удаленные атаки на DNS – протокол,
· Удаленные атаки на TCP – протокол.
7. Учебно - методическое обеспечение самостоятельной работы студен-тов. Оценочные средства для текущего контроля успеваемости, про-межуточной аттестации по итогам освоения дисциплины (модуля).
Проверка качества подготовки в течение семестра предполагает следующие виды промежуточного контроля:
а) проведение устных теоретических опросов (коллоквиумов) по одному в каждом учебном модуле;
б) подготовка студентом доклада.
в) проведение контрольной работы по теоретическому курсу
Текущий и промежуточный контроль освоения и усвоения материала дисциплины осуществляется в рамках рейтинговой (100-бальной) системы оценок.
Примерные темы докладов:
1. Правовое урегулирование защиты информации.
2. Определение политики ИБ (Определение используемых руководящих документов и стандартов. Определение подходов к управлению рисками).
3. Определение границ управления ИБ (Описание существующей структуры АС. Размещение средств CВТ и поддерживающей инфраструктуры)
4. Роль, задачи и обязанности администратора безопасности КС.
5. Защита данных криптографическими методами. Методы шифрования.
6. Защита данных криптографическими методами. Алгоритмы шифрования.
7. Требования к шифрам. Сравнение DES и ГОСТ
8. Типовые удаленные атаки с использованием уязвимостей сетевых протоколов. Классификация удаленных атак.
9. Модели защиты информации в КС.
Вопросы к экзамену
1. Понятие информационных угроз.
2. Информационные войны.
3. Информационные угрозы безопасности РФ. Доктрина информационной безопасности РФ.
4. Виды противников. Хакеры.
5. Компьютерные вирусы. История. Определение по УК РФ.
6. Виды, принципы действия вирусов, демаскирующие признаки.
7. Виды возможных нарушений информационной системы. Общая классификация информационных угроз.
8. Угрозы ресурсам компьютерной безопасности. Угрозы, реализуемые на уровне локальной компьютерной системы. Человеческий фактор.
9. Угрозы компьютерной информации, реализуемые на аппаратном уровне.
10. Удаленные атаки на компьютерные системы. Причины уязвимостей компьютерных сетей.
11. Правовое урегулирование защиты информации.
12. Роль, задачи и обязанности администратора безопасности КС.
13. Защита данных криптографическими методами. Методы шифрования.
14. Защита данных криптографическими методами. Алгоритмы шифрования.
15. Требования к шифрам. Сравнение DES и ГОСТ
16. Типовые удаленные атаки с использованием уязвимостей сетевых протоколов. Классификация удаленных атак.
17. Политика безопасности и ее составляющие.
18. Модели защиты информации в КС.
19. Технологии защиты и разграничения доступа.
20. Стандарты ИБ.
21. FAT
8. Образовательные технологии
Предусмотрено сочетание традиционных видов учебной активности, таких как конспектирование лекций и контроль усвоения теоретического материала в виде ответов на семинаре, подготовки тематических докладов, коллоквиумов, проведение аудиторных контрольных работ, так и интерактивных технологий, таких как собеседования, выполнение и обсуждение докладов и расчетных работ.
Подготовка и защита студентами докладов по темам, не входящим в план лекций, позволяет расширить научный кругозор студентов, повысить навык работы с учебной и научной отечественной и зарубежной литературой, развить языковые навыки, повысить математическую подготовку, укрепить междисциплинарные связи, повысить навык программирования, развить навык систематизировать и свободно излагать перед аудиторией материал по заданной теме.
9. Литература
9.1. Основная литература
1. Расторгуев информационной безопасности: учеб. пособие для студ. вузов, обуч. по спец. "Компьютерная безопасность", "Комплексное обеспечение информ. безопасности автомат. систем" и "Информ. безопасность телеком. систем"/ . - М.: Академия, 2с
2. Основы информационной безопасности: учеб. пособие для студ. вузов/ сост. . - М.: Горячая линия - Телеком, 2с
3. , Компьютерные сети. Принципы, технологии, протоколы.-СПб.:Питер, 200с.
4. Ярочкин безопасность.- М.: Академический проект, 2003.-639 с.
5. Галатенко информационной безопасности: Курс лекций.- М.: Интернет - Университет Информационных технологий, 2003. – 239 с.
9.2. Дополнительная литература
6. и др. Методика информационной безопасности. – М.: Экзамен, 200с.
7. , Введение в защиту информации в автоматизированных системах: Учебное пособие.- М.: Горячая линия – Телеком, с. 9.3. Программное обеспечение и Интернет-ресурсы.
Вузовские электронно-библиотечные системы учебной литературы.
База научно-технической информации ВИНИТИ РАН
Доступ к открытым базам цитирования, в т. ч. , scholar. , *****
10. Технические средства и материально-техническое оснащение.
Для организации самостоятельной работы студентов необходим компьютерный класс с оборудованием, для проведения презентаций лекционного материала.
В учебнике изложены общие теоретический и методологический подходы к формированию правового и организационного обеспечений информационной безопасности человека, общества и государства. Подробно освещены основные институты правового обеспечений информационной безопасности: правовые режимы защиты информации, государственной, служебной и коммерческой тайн, персональных данных, юридической ответственности за правонарушения в области информационной безопасности, а также структура организационного обеспечения информационной безопасности. Рассмотрены проблемы формирования правового режима международной информационной безопасности. Значительное внимание уделено организационным аспектам управления защитой информационных систем. Задача настоящего учебного курса приобретение студентами как общих знаний в области правового и организационного обеспечения информационной безопасности, так и изучение вопросов, связанных с формированием и реализацией государственной политики в этой сфере, а также получение магистрами более углубленных знаний в области информационной безопасности, проблем международной информационной безопасности.
Шаг 1. Выбирайте книги в каталоге и нажимаете кнопку «Купить»;
Шаг 2. Переходите в раздел «Корзина»;
Шаг 3. Укажите необходимое количество, заполните данные в блоках Получатель и Доставка;
Шаг 4. Нажимаете кнопку «Перейти к оплате».
На данный момент приобрести печатные книги, электронные доступы или книги в подарок библиотеке на сайте ЭБС возможно только по стопроцентной предварительной оплате. После оплаты Вам будет предоставлен доступ к полному тексту учебника в рамках Электронной библиотеки или мы начинаем готовить для Вас заказ в типографии.
Внимание! Просим не менять способ оплаты по заказам. Если Вы уже выбрали какой-либо способ оплаты и не удалось совершить платеж, необходимо переоформить заказ заново и оплатить его другим удобным способом.
Оплатить заказ можно одним из предложенных способов:
- Безналичный способ:
- Банковская карта: необходимо заполнить все поля формы. Некоторые банки просят подтвердить оплату – для этого на Ваш номер телефона придет смс-код.
- Онлайн-банкинг: банки, сотрудничающие с платежным сервисом, предложат свою форму для заполнения.
Просим корректно ввести данные во все поля.
Например, для " class="text-primary">Сбербанк Онлайн требуются номер мобильного телефона и электронная почта. Для " class="text-primary">Альфа-банка потребуются логин в сервисе Альфа-Клик и электронная почта. - Электронный кошелек: если у Вас есть Яндекс-кошелек или Qiwi Wallet, Вы можете оплатить заказ через них. Для этого выберите соответствующий способ оплаты и заполните предложенные поля, затем система перенаправит Вас на страницу для подтверждения выставленного счета.
- Безналичный способ:
- Банковская карта: необходимо заполнить все поля формы. Некоторые банки просят подтвердить оплату – для этого на Ваш номер телефона придет смс-код.
- Онлайн-банкинг: банки, сотрудничающие с платежным сервисом, предложат свою форму для заполнения.
Просим корректно ввести данные во все поля.
Например, для " class="text-primary">Сбербанк Онлайн требуются номер мобильного телефона и электронная почта. Для " class="text-primary">Альфа-банка потребуются логин в сервисе Альфа-Клик и электронная почта. - Электронный кошелек: если у Вас есть Яндекс-кошелек или Qiwi Wallet, Вы можете оплатить заказ через них. Для этого выберите соответствующий способ оплаты и заполните предложенные поля, затем система перенаправит Вас на страницу для подтверждения выставленного счета.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 05.04.2013) О персональных данных
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (согласно закону О персональных данных) государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Для целей настоящей статьи
под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Пакет документов по защите персональных данных
Положение о защите персональных данных;
Положение о подразделении по защите информации;
Приказ о назначении лиц, ответственных за обработку ПДн;
Концепция информационной безопасности;
Политика информационной безопасности;
Перечень персональных данных, подлежащих защите;
Приказ о проведении внутренней проверки;
Отчет о результатах проведения внутренней проверки;
Акт классификации информационной системы персональных данных;
Положение о разграничении прав доступа к обрабатываемым персональным данным;
Модель угроз безопасности персональных данных;
План мероприятий по защите ПДн;
Порядок резервирования технических средств и программного обеспечения, баз данных и средств защиты информации;
План внутренних проверок;
Журнал учета мероприятий по контролю безопасности ПДн;
Журнал учета обращений субъектов ПДн о выполнении их законных прав;
Инструкция администратора информационной системы персональных данных;
Инструкция пользователя информационной системы персональных данных;
Инструкция администратора безопасности информационной системы персональных данных;
Инструкция пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций;
Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники;
Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа);
Этапы работ. Таким образом, организация защиты персональных данных должна производиться в несколько этапов:
Инвентаризация информационных ресурсов.
Ограничение доступа работников к персональным данным.
Документальное регламентирование работы с персональными данными.
Формирование модели угроз безопасности персональных данных.
Классификация информационных систем персональных данных (ИСПДн) образовательных учреждений.
Составление и отправка в уполномоченный орган уведомления об обработке персональных данных.
Приведение системы защиты персональных данных в соответствие с требованиями регуляторов.
Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) для ИСПДн классов К1, К2.
Организация эксплуатации и контроля безопасности ИСПДн.
1. Инвентаризация информационных ресурсов
Инвентаризация информационных ресурсов - это выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных.
На данном этапе следует: утвердить положение о защите персональных данных,сформировать концепцию и определить политику информационной безопасности и составить перечень персональных данных, подлежащих защите.
2. Ограничение доступа работников к персональным данным
Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей.
На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным
3. Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.
4. Формирование модели угроз безопасности персональных данных
Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):
Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн;
Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн;
На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательном учреждении.
5. Классификация ИСПДн см. вопрос № 18
6. С оставление и отправка в уполномоченный орган уведомления
Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.
7. Приведение системы в соответствие с требованиями регуляторов
На данном этапе следует: создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.
8 . Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).
Обязательной аттестации подлежат следующие объекты информатизации:
Автоматизированные системы различного уровня и назначения.
Системы связи, приема, обработки и передачи данных.
Системы отображения и размножения.
Помещения, предназначенные для ведения конфиденциальных переговоров.
9. Организация эксплуатации ИСПДн и контроля за безопасностью
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.
Ответственность за нарушение ФЗ №152 О персональных данных
Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14
Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90
Уголовная ответственность: от исправительных работ и лишения права тзанимать определенные должности до ареста. Уголовныйкодекс, ст. 137, 140, 272
В учебнике изложены общие теоретический и методологический подходы к формированию правового и организационного обеспечений информационной безопасности человека, общества и государства. Подробно освещены основные институты правового обеспечений информационной безопасности: правовые режимы защиты информации, государственной, служебной и коммерческой тайн, персональных данных, юридической ответственности за правонарушения в области информационной безопасности, а также структура организационного обеспечения информационной безопасности. Рассмотрены проблемы формирования правового режима международной информационной безопасности. Значительное внимание уделено организационным аспектам управления защитой информационных систем. Задача настоящего учебного курса приобретение студентами как общих знаний в области правового и организационного обеспечения информационной безопасности, так и изучение вопросов, связанных с формированием и реализацией государственной политики в этой сфере, а также получение магистрами более углубленных знаний в области информационной безопасности, проблем международной информационной безопасности.
Шаг 1. Выбирайте книги в каталоге и нажимаете кнопку «Купить»;
Шаг 2. Переходите в раздел «Корзина»;
Шаг 3. Укажите необходимое количество, заполните данные в блоках Получатель и Доставка;
Шаг 4. Нажимаете кнопку «Перейти к оплате».
На данный момент приобрести печатные книги, электронные доступы или книги в подарок библиотеке на сайте ЭБС возможно только по стопроцентной предварительной оплате. После оплаты Вам будет предоставлен доступ к полному тексту учебника в рамках Электронной библиотеки или мы начинаем готовить для Вас заказ в типографии.
Внимание! Просим не менять способ оплаты по заказам. Если Вы уже выбрали какой-либо способ оплаты и не удалось совершить платеж, необходимо переоформить заказ заново и оплатить его другим удобным способом.
Оплатить заказ можно одним из предложенных способов:
Представлены базовые сведения о содержании понятий "информационная безопасность", "обеспечение информационной безопасности", "правовое обеспечение информационной безопасности" и "организационное обеспечение информационной безопасности". Изложены основные подходы авторов к структурированию проблематики организационно-правового обеспечения информационной безопасности. Приведено описание правовых механизмов регулирования групп общественных отношений, связанных с противодействием угрозам безопасности интересам основных субъектов информационной сферы.
Для студентов, изучающих курс "Организационно-правовое обеспечение информационной безопасности", преподавателей, аспирантов, а также специалистов, интересующихся данной проблематикой.
Предисловие. Введение
Часть 1. Основы теории
Глава 1. Основы обеспечения информационной безопасности
1.1. Понятие "информационная сфера"
1.2. Обеспечение информационной безопасности
Глава 2. Правовое обеспечение информационной безопасности
2.1. Основы права
2.2. Структура правового обеспечения информационной безопасности
2.3. Содержание и структура законодательства в области обеспечения информационной безопасности
Глава 3. Организационное обеспечение информационной безопасности
3.1. Общие положения и принципы
3.2. Организационная основа и основные направления деятельности
3.3. Основные функции системы обеспечения информационной безопасности РФ
3.4. Основные направления организационной деятельности системы обеспечения информационной безопасности РФ
Часть 2. Правовое обеспечение информационной безопасности
Глава 4. Информация, информационные технологии и защита информации
4.1. Общие положения
4.2. Информация
4.3. Информационные технологии
4.4. Защита информации
4.5. Юридическая ответственность за правонарушения в области информации, информационных технологий и защиты информации
Глава 5. Безопасность персональных данных
5.1. Общие положения
5.2. Персональные данные и цели правового регулирования
5.3. Обработка персональных данных
5.4. Субъект персональных данных и его права
5.5. Оператор персональных данных и его обязанности
5.6. Контроль и надзор за соблюдением законодательства о персональных данных
5.7. Юридическая ответственность за нарушение законодательства в области персональных данных
Глава 6. Результаты интеллектуальной деятельности и правовое обеспечение безопасности их использования
6.1. Общие положения
6.2. Интеллектуальные права
6.3. Распоряжение интеллектуальными правами
6.4. Правовая защита интеллектуальных прав
6.5. Правоприменение и надзор в области защиты прав на объекты интеллектуальной собственности
Глава 7. Авторское и смежное право. Правовое обеспечение безопасности использования прав
7.1. Общие положения
7.2. Авторское право
7.3. Смежные права
7.4. Коллективное управление авторскими правами
7.5. Юридическая ответственность за нарушение авторских и смежных прав
Глава 8. Право промышленной собственности
8.1. Общие положения
8.2. Патентное право
8.3. Право на секрет производства (ноу-хау)
8.4. Право на средства индивидуализации юридических лиц, товаров, работ, услуг и предприятий
8.5. Право использования результатов интеллектуальной деятельности в составе единой технологии
Глава 9. Электронная подпись и правовое обеспечение безопасности переписки
9.1. Общие положения
9.2. Виды электронных подписей и принципы их использования
9.3. Условия признания электронных документов
9.4. Средства электронной подписи
9.5. Условия правомерного использования простой электронной подписи
9.6. Условия правомерного использования усиленной электронной подписи
9.7. Удостоверяющий центр
9.8. Аккредитованный удостоверяющий центр и порядок его аккредитации
9.9. Полномочия федеральных органов исполнительной власти в сфере использования электронной подписи
Глава 10. Коммерческая тайна и правовой режим обеспечения ее безопасности
10.1. Общие положения
10.2. Режим коммерческой тайны
10.3. Правовая охрана коммерческой тайны
Глава 11. Государственная тайна и ее правовая защита
11.1. Общие положения
11.2. Сведения, составляющие государственную тайну
11.3. Засекречивание сведений
11.4. Рассекречивание сведений, составляющих государственную тайну
11.5. Передача сведений, составляющих государственную тайну
11.6. Доступ к государственной тайне
11.7. Система защиты государственной тайны
Глава 12. Обеспечение безопасности при использовании сетей связи и сети Интернет
12.1. Общие положения
12.2. Деятельность по обеспечению безопасности в области связи
12.3. Обязанности оператора связи
12.4. Права пользователей услугами связи
12.5. Государственное регулирование и надзор в области связи
12.6. Ответственность за нарушение законодательства РФ
12.7. Обеспечение безопасности использования ресурсов и услуг сети Интернет
Глава 13. Техническое регулирование и требования по безопасности информационных технологий
13.1. Общие положения
13.2. Соглашение по техническим барьерам в торговле
13.3. Технические регламенты
13.4. Стандарты
13.5. Подтверждение соответствия техническим регламентам и стандартам
13.6. Информация о нарушении требований технических регламентов и стандартов
Глава 14. Судебная защита прав и свобод человека и гражданина в информационной сфере
14.1. Общие положения
14.2. Судебная система РФ
14.3. Выбор суда для подачи искового заявления (иска)
14.4. Процедура подготовки и подачи искового заявления
14.5. Истец и ответчик, их права и обязанности
Глава 15. Уголовно-правовая характеристика преступлений в сфере компьютерной информации
15.1. Общие положения
15.2. Статья 272. Неправомерный доступ к компьютерной информации
15.3. Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
15.4. Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
15.5. Изменения и дополнения гл. 28 УК РФ
15.6. Новые квалифицирующие признаки
Часть 3. Организационное обеспечение информационной безопасности
Глава 16. Организационная основа государственной системы обеспечения информационной безопасности
16.1. Общая структура, состав направления деятельности и разграничение полномочий органов власти
16.2. Организационная основа государственной системы защиты информации от технических разведок
16.3. Организационная основа государственной системы технической защиты информации
16.4. Цель, принципы и приоритетные направления государственной политики в области технической защиты информации
Глава 17. Государственная система лицензирования. Организация и регулирование деятельности в сфере защиты конфиденциальной информации
Глава 18. Организация работ по защите конфиденциальной информации в организациях. Общие подходы и принципы организации коллективной безопасности предприятия и системы управления рисками
18.1. Организация работ по защите конфиденциальной информации
18.2. Общие подходы к организации защиты информации на объектах деятельности (предприятиях, организациях) и понятия
