Учебное пособие по ИБ (1027402), страница 6
Текст из файла (страница 6)
Размер процентной надбавки к должностномуокладу (тарифной ставке) при стаже работы от 1 до 5 лет составляет 10%, от5 до 10 лет – 15%, от 10 лет и выше – 20%.26Комплексный подход к обеспечению защитыинформации50Защита информации осуществляется путём выполнениякомплекса организационных и технических мероприятий по:♦°предотвращениюинформации;информациинесанкционированногодоступакзащищаемой♦ предотвращениюредотвращению утечки информации по техническим каналам;каналам♦°предупреждению программно-техническихпрограммно технических воздействий с целью нарушенияцелостности (модификациимодификации,модификации уничтожения)уничтожения и доступности информации впроцессе её обработки,обработки передачи и хранения,хранения а также работоспособноститехнических средств;средств♦°выявлению специальных электронных устройств перехвата информации,информациивозможно внедренных в технические средства и защищаемые помещения.помещенияМеры по охране конфиденциальностиинформации, составляющей коммерческую тайну51(ФЗ 2004 г.
№ 9898-ФЗ)♦ определение перечня информации, составляющей коммерческую тайну;♦°ограничение доступа к информации, составляющей коммерческую тайну,путем установления порядка обращения с этой информацией и контроля засоблюдением такого порядка;♦°учёт лиц, получивших доступ к информации, составляющей коммерческуютайну, и (или) лиц, которым такая информация была предоставлена илипередана;♦°регулирование отношений по использованию информации, составляющейкоммерческую тайну, работниками на основании трудовых договоров иконтрагентами на основании гражданско-правовых договоров;♦°нанесение на материальные носители (документы), содержащиеинформацию, составляющую коммерческую тайну, грифа "Коммерческаятайна" с указанием обладателя этой информации (для юридических лиц полное наименование и место нахождения, для индивидуальныхпредпринимателей - фамилия, имя, отчество гражданина, являющегосяиндивидуальным предпринимателем, и место жительства).2752ОБЪЕКТЫ ЗАЩИТЫЗащите подлежит:РечеваяинформацияИнформация,обрабатываемаятехническими средствамиИнформация может быть представлена в виде физических полей,информативных электрических сигналов, носителей на бумажной,магнитной, магнито-оптической и иной основеОбъекты защиты:Средства и системыинформатизации,участвующие вобработкезащищаемойинформации (ОТСС)Технические средства исистемы, необрабатывающиенепосредственноинформацию, норазмещенные впомещениях, где онаобрабатывается (ВТСС)ВыделенныепомещенияОТВЕТСТВЕННОСТЬ ЗА ПРАВОНАРУШЕНИЯ ВСФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ (1)531.
Нарушение требований по защите информации влечет за собойдисциплинарную, гражданско-правовую, административную илиуголовную ответственность в соответствии с законодательствомРоссийской Федерации.2. Лица, права и законные интересы которых были нарушены всвязи с разглашением информации ограниченного доступа или инымнеправомернымиспользованиемтакойинформации,вправеобратиться в установленном порядке за судебной защитой своих прав,в том числе с исками о возмещении убытков, компенсации моральноговреда, защите чести, достоинства и деловой репутации.
Требование овозмещении убытков не может быть удовлетворено в случаепредъявления его лицом, не принимавшим мер по соблюдениюконфиденциальности информации или нарушившим установленныезаконодательством Российской Федерации требования о защитеинформации, если принятие этих мер и соблюдение таких требованийявлялись обязанностями данного лица.28ОТВЕТСТВЕННОСТЬ ЗА ПРАВОНАРУШЕНИЯ ВСФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ (2)543. В случае, если распространение определённой информацииограничиваетсяилизапрещаетсяфедеральнымизаконами,гражданско-правовую ответственность за распространение такойинформации не несёт лицо, оказывающее услуги:1) либо по передаче информации, предоставленной другимлицом, при условии её передачи без изменений и исправлений;2) либо по хранению информации и обеспечению доступа к нейпри условии, что это лицо не могло знать о незаконностираспространения информации.Нормативные правовые акты,устанавливающие ответственность занарушение требований по защитеинформации ограниченного доступа55♦ дисциплинарную (замечание; выговор; увольнение)Трудовой кодекс РФ, ст.
192 (ФЗ 2001 г. № 197-ФЗ)♦ гражданскую (возмещение причинённого ущерба)Гражданский кодекс РФ (ст. 15, 16)ФЗ «О защите прав потребителя» (ФЗ 1999 г. № 2-ФЗ)♦ административную (предупреждение, административный штраф)КоАП (от 30.12.2001 г. № 195-ФЗ) (ст.13.11-13.14)Трудовой кодекс РФ (от 30.12.2001 г. № 197-ФЗ)(ст. 57, 86, гл. 39 и др.)ФЗ «О защите прав потребителя»♦ уголовную (штраф, лишение свободы)Уголовный кодекс РФ (от 13.06.1996 г.
№ 63-ФЗ)(ст.138, 140, 183, 238, гл. 28 (ст. 272-274) и др.)29Тема 2«Особенности обеспечениябезопасности персональныхданных при их обработке винформационных системахперсональных данных»1Рассматриваемые вопросы:Основныенормативныедокументывобластиобеспечения безопасности персональных данных.Обязанностиоператораперсональныхвытекающие из требований законодательства.Направления защиты ПДн и этапы создания ИСПДн.ИСПДн.Моделированиеданных.Классификация ИСПДн.ИСПДн.Реализация требований безопасностиданных при их обработке в ИСПДн.ИСПДн.Ввод в эксплуатацию СЗПДн.СЗПДн.Эксплуатация ИСПДнугрозбезопасностиданных,персональныхперсональных30НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПД ПРИИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ (1)21.
Федеральный закон 2006 г. № 152152-ФЗ «Оперсональных данных»2. Постановление Правительства РФ от 17 ноября2007 г. № 781 «Об утверждении Положения обобеспечении безопасности персональных данныхпри их обработке в информационных системахперсональных данных»3. Документы уполномоченных федеральных органовНОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПД ПРИИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ (2)Документы уполномоченных федеральных органов31.Порядокпроведенияклассификацииинформационныхсистемперсональных данных. Совместный приказ ФСТЭК России, ФСБ России иМининформсвязи России от 13 февраля 2008 г. № 55/86/20. Зарегистрированв Минюсте России 3 апреля 2008 года, регистрационный № 11462.ФСТЭК России2.
Базовая модель угроз безопасности персональных данных при ихобработке в информационных системах персональных данных. Утвержденазаместителем директора ФСТЭК России 15 февраля 2008 г. ДСП.3. Методика определения актуальных угроз безопасности персональныхданных при их обработке в информационных системах персональных данных.Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.
ДСП.4. Рекомендации по обеспечению безопасности персональных данных приих обработке в информационных системах персональных данных.Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП.5. Основные мероприятия по организации и техническому обеспечениюбезопасности персональных данных, обрабатываемых в информационныхсистемах персональных данных. Утверждены заместителем директора ФСТЭКРоссии 15 февраля 2008 г. ДСП.31НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПД ПРИИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ (3)4Документы уполномоченных федеральных органовФСБ России6.Типовыетребованияпоорганизациииобеспечениюфункционированияшифровальных(криптографических)средств,предназначенных для защиты информации, не содержащей сведений,составляющих государственную тайну, в случае их использования дляобеспечения безопасности персональных данных при их обработке винформационных системах персональных данных.
№ 149/6/6-622, 2008 г.,ФСБ России.7. Методические рекомендации по обеспечению с помощьюкриптосредств безопасности персональных данных при их обработке винформационных системах персональных данных с использованием средствавтоматизации. № 149/54-144, 2008 г. ФСБ России.НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПД ПРИИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ (4)Назначение и область применения документовуполномоченных федеральных органовДокументы предназначены для использования приобеспечении безопасности ПДн в ИС: государственных и муниципальных органов власти; юридических лиц (независимо от формы их собственности); физических лиц (кроме случаев использования ИС только дляличных и семейных нужд).532ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПДПРИ ИХ ОБРАБОТКЕ В ИС ПД6Постановление Правительства РФ от 17.11.2007 г. № 781 возлагает на ФСТЭК России и ФСБ России разработкуметодов и способов защиты ПД в информационных системах.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
