ОЗИ_лекция_02: Правовые методы ЗИ

ПРЕДМЕТ:

Основы защиты информации и управление

интеллектуальной собственностью

ЛЕКЦИЯ № 2:

Правовые методы

защиты информации

КЛАССИФИКАЦИЯ МЕТОДОВ ЗИ

Закон о НПА

Статья 5. Система нормативных правовых актов

Нормативные правовые акты приводятся в

единую систему путем их взаимного

согласования, определения иерархии

нормативных правовых актов, а также путем

подготовки издания соответствующих сводов

законов и законодательства Республики

Беларусь, характеризующуюся внутренней

согласованностью и обеспечивающую правовое

регулирование общественных отношений.

Виды и иерархия нормативно-правовых актов.

Конституция

Декреты и Указы Президента

Кодексы (приоритет ГК)Законы

Постановления Палат Парламента, Совмина, Пленума ВС, Пленума ВХС,

Ген. прокурора Постановления Министерств, Нацбанка, иных

республиканских органов гос.управления, местных органов

Если закономданыполномочия

Статья 10. Закон о НПА: Юридическая сила нормативных правовых актов (извлечение)

Кодексы имеют большую юридическую силу поотношению к другим законам. Гражданский кодекс -по отношению к другим кодексам, содержащимнормы гражданского права.

НПА вышестоящего органа имеет большую силупо отношению к НПА нижестоящего.

Новый НПА имеет большую юридическую силупо отношению к ранее принятому по тому же вопросуНПА того же государственного органа.

НПА, принятый органом, имеет большую силупо отношению к НПА другого органа одного уровня,если орган, принявший такой акт, специальноуполномочен на регулирование определеннойобласти общественных отношений.

Разрешение правовых коллизий.

Закон о нормативно-правых актах

Статья 71. Порядок разрешения юридических коллизийВ случае коллизии между нормативными правовыми актами субъекты правоотношений обязаны руководствоваться нормой акта, обладающего более высокой юридической силой.В случае коллизии между нормативными правовыми актами, обладающими равной юридической силой, и если ни один из них не противоречит акту с более высокой юридической силой, действуют положения акта, принятого (изданного) позднее.

Правовые понятия:ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ 10 ноября 2008 г. N 455-ЗОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИСтатья 1. Основные термины, применяемые в настоящем Законе, и их определенияВ настоящем Законе применяются следующие основные термины и их определения:информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ 3 февраля 1993 г. N 2151-XIIO ТАМОЖЕННОМ ТАРИФЕСтатья 5. информация - сведения, используемые для определения таможенной стоимости товара, доступные в Республике Беларусь и основанные на объективных данных, подлежащих количественному определению.

Структура правовой нормы.

Гипотеза Диспозиция Санкция

«если – то – иначе (в противном случае)».

Гипотеза – это структурный элемент нормы права, указывающий на

жизненные условия, фактические обстоятельства вступления нормы в

действие, реализации се диспозиции.

Диспозиция – структурный элемент юридической нормы, в котором

определяются права и обязанности субъектов права, устанавливаются

возможные и должные варианты их поведения.

Санкция – структурный элемент, предусматривающий последствия

нарушения правовой нормы, определяющий вид и меру юридической

ответственности для нарушителя ее предписаний.

Защита информации, связанной с персональными данными и правами человека

Защита информации, обеспечивающей безопасность государства и общества

?

13

ЗАКОНОДАТЕЛЬСТВО РБ

Закон «Об информации, информатизации и защите информации»

Статья 28. Основные требования по защите информацииИнформация… должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном СМ РБ…

Для создания системы защиты информации используются средства защиты информации, имеющие сертификат соответствия… или положительное экспертное заключение…

14


Закон “О государственных секретах”

Статья 9 … органы государственной безопасности Республики Беларусь…

организуют и осуществляют защиту государственных секретов при помощи

криптографических средств

Постановление КГБ РБ № 7 от 28.06.2001 г.“Положение о порядке разработки, производства, реализации и использования

средств криптографической защиты информации ограниченного доступа, не

содержащей сведений, составляющих государственную тайну”

К СКЗИ относятся реализующие криптографические алгоритмы средства обеспечивающие:

– безопасность информации при ее обработке, хранении и передаче по каналам связи;

–защиту от несанкционированного доступа к информации при ее обработке и хранении;

–защиту от навязывания ложной информации, включая средства имитозащиты и

"электронной подписи";

–изготовления и распределения ключевых документов

15


Закон «Об информации, информатизации и защите информации» (май 2009 г.)



Закон «Об электронном документе и электронной цифровой подписи» (декабрь 2009 г.)

Статья 10. Полномочия НБНациональный банк в сфере обращения электронных документов и электронной цифровой подписи:

обеспечивает……разрабатывает и утверждает планы развития

Государственной системы управления открытыми ключами

ПСМ № 675 «О некоторых вопросах защиты информации»

ПОЛОЖЕНИЕ о порядке защиты информации в государственных информационных системах

ПОЛОЖЕНИЕ о порядке аттестации систем защиты информации

ПОЛОЖЕНИЕ о порядке проведения государственной экспертизы средств защиты информации

ГДЕ ЗДЕСЬ КРИПТОГРАФИЯ? СЕРТИФИКАТ О СООТВЕТСТВИИ ТНПА

16





Закон «Об электронном документе и электронной цифровой подписи»

Статья 10. Полномочия НБНациональный банк в сфере обращения электронных документов и ЭЦП осуществляет подтверждение соответствия средств обработки ЭД требованиям ТНПА (выдача сертификата) Статья 11. Полномочия ОАЦОАЦ осуществляет подтверждение соответствия средств ЭЦП требованиям ТНПА (выдача сертификата)

17





Закон «Об электронном документе и электронной цифровой подписи» (декабрь 2009 г.)

Статья 10. Полномочия НБНациональный банк в сфере обращения электронных документов и электронной цифровой подписи:

обеспечивает……разрабатывает и утверждает планы развития

Государственной системы управления открытыми ключами

ПСМ № 675 «О некоторых вопросах защиты информации»

ПОЛОЖЕНИЕ о порядке защиты информации в государственных информационных системах

ПОЛОЖЕНИЕ о порядке аттестации систем защиты информации

ПОЛОЖЕНИЕ о порядке проведения государственной экспертизы средств защиты информации

ответственность

НАРУШЕНИЕ

иная(«ущерб» от

защиты прав)

Дисциплинарная (ФЛ)

уголовная (ФЛ)

административная

гражданско-правовая

XVIII конференция «Комплексная защита информации», 21–24 мая 2013 года, г. Брест, Беларусь 19

Организации используют различные модели ИТ, стандарты и лучшие практики.

Данный слайд демонстрирует возможное совместное использование различных

стандартов, при этом COBIT выступает в качестве консолидирующего

(‘зонтичного’) стандарта.

COBIT

ISO 9000

ISO 27000

ITILЧТО

КАК

COBIT, ITIL и другие стандарты

ОБЛАСТЬ ПРИМЕНЕНИЯ

ISO 15408(СТБ)

ISO 20000

ISO 250хх

ISO 9000 - Система

менеджмента качества.


менеджмента ИТ сервисов.СТБ 34.101 (ISO 15408) Критерии

оценки безопасности ИТ. ISO 250хх – Требования к

качеству и оценке ПО.

COSO


менеджмента ИБ.

COSO – Рекомендации по

управлению, финансовой и

управлению рисками.

CobiT

(Control Objectives for

Information and Related

Technology) – Задачи

информационных и

смежных технологий


ISO/IEC 27000

ISO/IEC 27000 — серия международных стандартов, содержит лучшие практики

и рекомендации в области информационной безопасности для создания, развития

и поддержания Системы Менеджмента Информационной Безопасности.

ISO/IEC 27000 — глоссарий для стандартов СМИБ

ISO/IEC 27001 — Системы управления информационной безопасностью.

Требования

ISO/IEC 27002 — Практические правила управления информационной

безопасностью (ISO/IEC 17799 = ISO/IEC 27002 : 2007)

ISO/IEC 27003 — Руководство по внедрению Системы Менеджмента ИБ

ISO/IEC 27004 — Измерение эффективности системы управления ИБ

ISO/IEC 27005 — Управление рисками информационной безопасности (BS7799-3)

ISO/IEC 27006 — Требования к органам аудита и сертификации систем

управления ИБ

ISO/IEC 27007 — стандарт для аудита СМИБ;

ISO/IEC 27011 — руководство по телекоммуникациям в СМИБ;

ISO/IEC 27799 — руководство по реализации ISO/IEC 27002 в медицинской

отрасли

…

http://ru.wikipedia.org/wiki/ISO/IEC_27001




http://ru.wikipedia.org/w/index.php?title=ISO/IEC_27003&action=edit&redlink=1






ISO/IEC 27000

27000Обзор и основные термины

27001Требования

Информативные

стандарты

Нормативные

стандартыОбозначения:

Поддерживает

27006Требования к организациям,

обеспечивающим аудит

Тер

ми

нологи

яО

бщ

ие

треб

ован

ия

Об

щи

е

указ

ани

я и

руковод

ства

Указ

ани

я и

руковод

ства,

спец

иф

ич

ны

е

для к

он

крет

ны

х

об

лас

тей

27003

Руководство по внедрению

27002

Свод правил

27004

Измерение эффективности

27005

Управление рисками

27007

Руководство для аудитора

27011Телекоммуникационные

организации

27799Организации

здравоохранения


ISO/IEC 27000

ISO/IEC 27001 — Системы управления информационной безопасностью.

Требования



ISO/IEC 27000

ISO/IEC 27002 — Свод наилучшей практики реализации мер безопасности.

Организа-ция

ИБ

Разработка,

внедрение,

обслуживание

ИС

Управление инцидентами ИБ

Контроль доступа

Управле-

ние непре-

рывностью

бизнеса

Соответствие требованиям

Персонал

Политика безопасности

Управление активами

Управление

средствами

коммуникации

Физическая

защита



ISO 20000 - международный стандарт для управления и

обслуживания IT сервисов (2005, заменил ISO 15000).

Основные организационныемероприятия по ЗИ в общегос-ных компьютерных системах и сетях

лицензирование деятельности предприятий в областизащиты информации;

аттестация объектов информатизации по выполнениютребований обеспечения защиты информации;

сертификация средств защиты информации и контроль за ееэффективностью в части защищенности информации отутечки по техническим каналам;

введение территориальных, частотных, пространственных ивременных ограничений в режимах использованиятехнических средств, подлежащих защите;

создание и применение защищенных информационных иавтоматизированных систем управления.

Комплексная система безопасности информации

Объекты информатизации

Сертификация

задачи

Аттестация

способы

Обеспечение объективности

оценки состояния объектов

Обеспечение уровня

гарантии информационной

безопасности объектов

ВЗАИМОСВЯЗЬ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ

1. Похожие формулировки2. Проверяется соответствие определенных характеристик

определенным требованиям, которые установлены НМД3. Используются в большинстве случаев одни и те же НМД

1. Процессы сертификации и аттестации обеспечивают различные этапы жизненного цикла информационных систем:

•сертификация связана с этапом производства СЗИ и такойкатегорией, как продукция, предназначенная для

реализации;•аттестация - с этапом эксплуатации и такой категорией, как объект информатизации (ОИ.)

2. При аттестации оцениваются как отдельные СЗИ, так и система защиты в целом, включая организационные меры, а также конкретные условия эксплуатации.3. Процессы сертификации и аттестации – самостоятельные процессы, отличающихся процедурами, методологией, объектами и конечными результатами.

Различия в аттестации и сертификации

Общее в аттестации и сертификации

Вопросы

ОЗИ_лекция_02: Правовые методы ЗИ

Documents