Учебное пособие по ИБ (1027402), страница 5
Текст из файла (страница 5)
Уполномоченный орган по защите прав субъектов персональныхданных имеет право:3) требовать от оператора уточнения, блокирования или уничтожениянедостоверных или полученных незаконным путем персональных данных;4) принимать в установленном законодательством РоссийскойФедерации порядке меры по приостановлению или прекращению обработкиперсональныхданных, осуществляемой с нарушением требованийнастоящего Федерального закона;5) обращаться в суд с исковыми заявлениями в защиту прав субъектовПДн и представлять интересы субъектов персональных данных в суде;6) направлять заявление в орган, осуществляющий лицензированиедеятельности оператора, для рассмотрения вопроса о принятии мер поприостановлению действия или аннулированию соответствующей лицензии вустановленном законодательством РФ порядке;7) направлять в органы прокуратуры, другие правоохранительныеорганы материалы для решения вопроса о возбуждении уголовных дел попризнакам преступлений, связанных с нарушением прав субъектовперсональных данных, в соответствии с подведомственностью;9) привлекать к административной ответственности лиц, виновных внарушении Федерального закона.8.
Уполномоченный орган по защите прав субъектовперсональных данных (2)37В настоящее время Уполномоченныморганом по защите прав субъектов персональныхданных, назначаемым в соответствии со ст. 23ФЗ «О персональных данных», являетсяФедеральная служба по надзору в сфересвязи, информационных технологий и массовыхкоммуникаций (Россвязьинформкомнадзор),преобразованная из Федеральной службы понадзору в сфере связи и массовых коммуникаций всоответствии с указом Президента РФ от 3 декабря2008 года № 1715203810. Ответственность за нарушение требованийФедерального закона «О персональных данных» (ст.
24)Лица, виновные в нарушении требований Федеральногозакона, несут гражданскую, уголовную, административную,дисциплинарную и иную предусмотренную законодательствомРоссийской Федерации ответственность.11. Сроки реализации требований Федерального закона«О персональных данных» (ст. 25)После дня вступления в силу Федерального закона(27.01.2007) обработка персональных данных, включенных винформационные системы персональных данных до дня еговступления в силу, осуществляется в соответствии сФедеральным законом.Информационныесистемыперсональныхданных,созданные до дня вступления в силу Федерального закона,должны быть приведены в соответствие с требованияминастоящего Федерального закона не позднее 1 января 2010года.УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ39Угроза (безопасностибезопасности информации)информации – совокупность условий и факторов,факторов создающихпотенциальнуюую или реально существующую опасность нарушения конфиденциальности,потенциальнконфиденциальности,доступности и (илиили)или целостности информации.информации.Наиболее опасные ИТИТ-угрозы(По результатам исследований, проведённых в России компанией InfoWath)InfoWath)Кража информации64%Вредоносные программы60%Хакерские атаки48%Спам45%Халатность сотрудников43%Аппаратные и программные сбои21%Финансовое мошенничество5%Кража оборудования6%0%10% 20% 30% 40% 50% 60% 70%Тенденции в развитии угроз безопасности информации:информации- хищение БД;БД- рост внутренних (инсайдерскихинсайдерских)инсайдерских угроз;угроз- применение информационного воздействия на критически важные ИС;ИС- возрастание размеров наносимого ущерба.ущерба2140Наиболее опасные внутренние угрозы(По результатам исследований, проведённых в России компанией InfoWath)InfoWath)Нарушение конфиденциальностиинформации100%54%Искажение информации23%Сбои в работе ИСУтрата информации5%Кража оборудования4%Другое23%0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%41Примерная структура возможных источниковугроз конфиденциальной информации82% - собственныесотрудники организаций17% - техническиесредства разведки;конкурирующиефирмы, клиенты,контрагенты;криминальныеструктуры,террористы1% - случайные люди22Структура основных причин утраты имодификации информации42По данным исследовательского центра DataPro Research (США)10% - отказ оборудования10% затоплениеводой10% умышленныедействияперсонала52% 15% - пожарынеумышленныедействияперсоналаСтруктура основных целей (мотивов)умышленных действий персонала, приведших кутрате и модификации информацииПо данным исследовательского центра DataPro Research (США)2% - другие мотивы16%16% - хищениеконфиденциальнойинформации16%16% повреждение ПО12%12% - фальсификация информации10%10% - заказуслуг за чужойсчёт44%44% - кражаденег сэлектронныхсчетов4323Некоторые виды мошенничества,мошенничества, совершаемыепутём неправомерного проникновения винформационные базы данных ЭВМ сиспользованием компьютерной техники44Проникновение в информационные базы данных потерпевших организацийможет осуществляется инсайдерским путём или путём удалённого доступа(через ГИС «Интернет»).Действия преступников направлены на:♦ изменение программ по начислению заработной платы и зачислению её наиндивидуальные счета сотрудников с автоматическим списанием частиначисленных сумм на свой счёт или счета соучастников;♦ создание файлов с вымышленными вкладчиками, зачисление и проводкупо их счетам фиктивных денежных сумм, начисление на них процентов споследующим переводом на свой счёт;♦ изъятие в хранилищах кредитно-финансовых учреждений банковских карти PIN кодов к ним, получение таким образом доступа к счетам вкладчиков вкомпьютерной сети банков с последующим снятием денег с указанием счетовчерез банкоматы лично или с помощью соучастников;♦ фальсификацию в базе данных фирм информации о клиентах, уничтожение подлинных сведений о клиентах и заключенных с ними договорах напоставку продукции или производстве оплаты и включение вместо нихподставных и вымышленных юридических лиц с последующим хищениемотгруженных в их адрес товаров или перечисленных денежных сумм.Внешние источники угроз безопасностиинформации45♦ Деятельностьиностранныхполитических,экономических,военных,политических,экономических,военных,разведывательных и информационных структур,структур, направленная против интересовРоссийской Федерации в информационной сфере.сфере.♦ Стремление ряда стран к доминированию и ущемлению интересов России вмировом информационном пространстве,пространстве, вытеснению ее с внешнего и внутреннегоинформационных рынков.рынков.♦ Обострение международной конкуренции за обладание информационнымитехнологиями и ресурсами.ресурсами.♦ Деятельность международных террористических организаций.организаций.♦ Увеличение технологического отрыва ведущих держав мира и наращивание ихвозможностей по противодействию созданию конкурентоспособных российскихинформационных технологий.технологий.♦ Деятельность космических,космических, воздушных,воздушных, морских и наземных технических и иныхсредств (видов)видов) разведки иностранных государств.государств.♦ Разработкарядомгосударствконцепцийинформационныхвойн,войн,предусматривающих создание средств опасного воздействия на информационныесферыдругихстранмира,нарушениенормальногофункционированиямира,информационных и телекоммуникационных систем,систем, сохранности информационныхресурсов,ресурсов, получение несанкционированного доступа к ним.ним.24Внутренние источники угроз безопасностиинформации46♦ Закупка органами государственной власти импортных средств информатизации,телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своимхарактеристикам зарубежным образцам.♦ Противоправные сбор и использование информации.♦ Нарушения технологии обработки информации.♦ Внедрение в аппаратные и программные изделия компонентов, реализующих функции, непредусмотренные документацией на эти изделия.♦ Разработка и распространение программ, нарушающих нормальное функционированиеинформационных и информационно-телекоммуникационных систем, в том числе системзащиты информации.♦ Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и системобработки информации, телекоммуникации и связи.♦ Воздействие на парольно-ключевые системы защиты автоматизированных систем обработкии передачи информации.♦ Компрометация ключей и средств криптографической защиты информации.♦ Утечка информации по техническим каналам.♦ Внедрение электронных устройств для перехвата информации в ТСОИ по каналам связи, атакже в служебные помещения;♦ Уничтожение, повреждение, разрушение или хищение машинных и других носителейинформации.♦ Перехват информации в сетях передачи данных и на линиях связи, дешифрование этойинформации и навязывание ложной информации.♦ Использование несертифицированных отечественных и зарубежных информационныхтехнологий, средств защиты информации, средств информатизации, телекоммуникации и связипри создании и развитии российской информационной инфраструктуры.♦ Несанкционированный доступ к информации, находящейся в банках и базах данных.♦ Нарушение законных ограничений на распространение информации.ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИПравовыеЛицензированиеСертификацияСЗИАттестацияОИОрганизационнотехническиеРазработка и внедрениетехнических решений позащите информацииРешения позащитеинформацииот утечки потехническимканаламРешения позащитеинформацииот НСД кней47ЭкономическиеРазработка и применениесредств защитыинформацииСредствазащитыинформацииот утечки потехническимканаламСредствазащитыинформацииот НСДк ней25Содержание методов обеспеченияинформационной безопасности48Правовые методы – разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методическихдокументов по вопросам обеспечения информационной безопасности.Организационно-технические методы включают:- создание и совершенствование системы обеспечения информационнойбезопасности;- разработка, использование и совершенствование СЗИ и методов контроляих эффективности;- предотвращение перехвата информации по техническим каналам;- контроль за выполнением требований по защите информации;- сертификация средств защиты информации;- лицензирование деятельности организации в области защиты информации;- аттестация объектов информатизации на соответствие требованиямбезопасности информации.Экономические методы включают:- разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;- совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации,создание системы страхования информационных рисков физических июридических лиц.Методы экономического стимулирования49Постановлением Правительства РФ от 18.9.1994 № 573«О предоставлении социальных гарантий гражданам, допущенным кгосударственной тайне на постоянной основе, и сотрудникам структурныхподразделений по защите государственной тайны» утверждены«Правила выплаты ежемесячных процентных надбавок к должностномуокладу (тарифной ставке) граждан, допущенных к государственной тайне напостоянной основе, и сотрудников структурных подразделений по защитегосударственной тайны» в соответствии с этими правилами:Размер ежемесячной процентной надбавки к должностному окладу(тарифной ставке) за работу со сведениями, имеющими степень секретности"особой важности", составляет 50-75%, имеющими степень секретности"совершенно секретно", - 30-50%, имеющими степень секретности "секретно"при оформлении допуска с проведением проверочных мероприятий, - 10-15%,без проведения проверочных мероприятий, - 5-10%.При определении размера ежемесячной процентной надбавки учитываетсяобъем сведений, к которым указанные граждане имеют доступ, а такжепродолжительность срока, в течение которого сохраняется актуальностьзасекречивания этих сведений.Сотрудникам структурных подразделений по защите государственнойтайны дополнительно к ежемесячной процентной надбавке к должностномуокладу (тарифной ставке), выплачивается процентная надбавка кдолжностному окладу (тарифной ставке) за стаж работы в указанныхструктурных подразделениях.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
