Рабочие листы
к вашим урокам
Скачать
1 слайд
Основные понятия, термины и определения в области информационной безопасности
2 слайд
Защита vs Безопасность
Общие вопросы...
3 слайд
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Предмет
Закон РФ «О безопасности» №2446-1 от 5 марта 1992 г.
Безопасность - состояние, при котором не угрожает опасность, есть защита от опасности.
С.И. Ожегов. Словарь русского языка.
Безопасность - отсутствие опасности.
Опасность - возможность, угроза бедствия, катастрофы, чего-нибудь нежелательного.
Толковый словарь русского языка. Под ред. Д.Н.Ушакова
4 слайд
Безопасность означает:
Отсутствие опасности для нормального функционирования системы
Безопасность как состояние
Надежную защищенность от воздействия угроз
Безопасность как свойство
Способность преодолевать угрозу
Безопасность как система
Предмет
5 слайд
Механизмы обеспечения Безопасности:
1. Ориентация:
Идентификация и оценка ситуации
2. Адаптация:
Внутреннее изменение в системе
3. Экспансия:
Влияние на окружение
Предмет
6 слайд
Информационная безопасность
Предмет
Безопасность информации
Защита информации
? !
– состояние защищенности..
– состояние защищенности..
– деятельность...
7 слайд
Безопасность чего обеспечить = Что защищать?
От кого?
От чего?
Что сделать?
Как сделать?
А как проверить результат?
А что дальше?
….
Проблема….
8 слайд
«Первая задача всякой теории, это - привести в порядок смутные и чрезвычайно спутанные понятия и представления, и лишь, условившись относительно названий и понятий, можно надеяться ясно и легко преуспевать в рассмотрении вопросов и при этом питать уверенность, что находишься с читателем на одной и той же точке зрения».
Карл Филипп Готтлиб фон Клаузевиц. «О войне». 1832/34 г.
Термины и определения
9 слайд
акустическая (речевая) информация
видовая информация
информация, обрабатываемая (циркулирующая) в ИС, в виде электрических, электромагнитных, оптических сигналов;
информация, обрабатываемая в ИС, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.
Информация - сведения (сообщения, данные) независимо от формы их представления
149-ФЗ от 27 июля 2006 года
10 слайд
ГОСТ Р 50922-2006
Защита информации.
Основные термины
и определения.
Классификационная схема понятий в области «Защита информации»
11 слайд
Классификационная схема понятий в области «Защита информации»
ГОСТ Р 50922-2006
Защита информации.
Основные термины и определения.
12 слайд
Термины и определения
Конфиденциальность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя
149-ФЗ от 27 июля 2006 года
13 слайд
Термины и определения
Доступность информации - состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения.
14 слайд
- совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (149-ФЗ)
- сведения (сообщения, данные) независимо от формы их представления
(149-ФЗ)
Извечный вопрос
Что будем защищать ?
Информационную систему !!!
Информацию !!!
но только ту которая циркулирует в определенной среде: на объекте информатизации
Информацию,
15 слайд
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
ГОСТ Р 51275-2006
Термины и определения
16 слайд
149-ФЗ от 27 июля 2006 года
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов
информационно - телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники
Термины и определения
17 слайд
система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
Автоматизированная система (АС)
комплекс средств автоматизации
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов
информация - сведения (сообщения, данные) независимо от формы их представления
18 слайд
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств
Информационная система (ИС)
технические средства
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов
информация - сведения (сообщения, данные) независимо от формы их представления
19 слайд
Информационная система персональных данных (ИСПДн) -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Государственные информационные системы (ГИС) - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
Информационные системы общего пользования (ИСОП) - федеральные государственные ИС, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством РФ
Термины и определения
20 слайд
В документах, утвержденных приказами ФСТЭК России от 11 февраля 2013 г. № 17, и от 18 февраля 2013 г. № 21, используется понятие «информационная система», установленное Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
В иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
Исходя из родственных определений понятия «информационная система», и «автоматизированная система», использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.
По вопросу применения понятий «информационная система» и «автоматизированная система»
Информационное сообщение ФСТЭК России от 15 июля 2013 г. № 240/22/2637
21 слайд
ИСПДн
ГИС
ИСОП
АС
Объекты информатизации
Информация - сведения (сообщения, данные)
независимо от формы их представления
Ограниченного доступа
Общедоступная
Государственная тайна
Служебная тайна
Коммерческая тайна
Персональные данные
Сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в ИТС Интернет
22 слайд
ИСПДн
ГИС
ИСОП
Определяем Класс АС
РД ФСТЭК
Проводим обследование
Определяем
УЗ ПДн
ППр РФ № 1119
от 01 ноября 2012
Определяем Класс ГИС
Приказ ФСТЭК № 17
от 11 февраля 2013
Определяем Класс ИСОП
Приказ ФСБ и ФСТЭК № 416/489
от 31 августа 2010
ДСП
КТ
Определяем Категорию ОИ
Метод. рек. ФСТЭК
Соотносим с классом АС
Если в ГИС есть ПДн соотносим Класс ГИС с УЗ ПДн
Строим систему защиты
РД ФСТЭК
СТР-К
РД ФСТЭК
Метод. рек. ФСТЭК
РД ФСТЭК
Приказ ФСТЭК № 21
от 18 февраля 2013
РД ФСТЭК
Приказ ФСТЭК № 17
от 11 февраля 2013
РД ФСТЭК
Приказ ФСБ и ФСТЭК № 416/489
от 31 августа 2010
??? – ФЗ
Указ Президента РФ от 6 марта 1997 года № 188
98-ФЗ
29 июля 2004
Указ Президента РФ от 6 марта 1997 года № 188
152-ФЗ
27 июля 2006
Указ Президента РФ от 6 марта 1997 года № 188
Пост. Правительства РФ
от 18 мая 2009 г. № 424
149-ФЗ
27 июля 2006
Создаём систему защиты
23 слайд
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
Термины и определения
24 слайд
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации
Термины и определения
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с ОТСС или в ЗП
25 слайд
обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам
149-ФЗ от 27 июля 2006 года
Термины и определения
26 слайд
Оператор
государственный орган
муниципальный орган
юридическое лицо
физическое лицо
152-ФЗ от 27 июля 2006
совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными
Термины и определения
Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
149-ФЗ от 27 июля 2006 года
27 слайд
доступ к информации - возможность получения информации и ее использования
предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц
распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц
149-ФЗ от 27 июля 2006 года
Термины и определения
28 слайд
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Термины и определения
152-ФЗ от 27 июля 2006
29 слайд
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Термины и определения
30 слайд
права доступа задаются матрицей доступа, элементами которой являются разрешенные права доступа субъекта к объекту
Дискреционная модель доступа
Термины и определения
31 слайд
Дискреционное разграничение доступа к объектам компьютерных систем
Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.
32 слайд
Каждому субъекту и каждому объекту ставятся в соответствие специальные классификационные метки
Мандатная модель доступа
Термины и определения
33 слайд
Мандатное разграничение доступа к объектам компьютерных систем
В приведенном примере субъект «Пользователь № 2», имеющий допуск уровня «НС», не может получить доступ к объекту, имеющего метку «ДСП».
В то же время, субъект «Пользователь «№ 1» с допуском уровня «С», право доступа к объекту с меткой «ДСП» имеет.
34 слайд
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
152-ФЗ от 27 июля 2006
Термины и определения
Перечни запрашиваемых ПДн определяются
75 международными правовыми актами
13 кодексами РФ
100 федеральными законами
250 актами Правительства РФ
35 слайд
?
сбор
запись
систематизация
накопление
хранение
уточнение (обновление, изменение)
извлечение
использование
передача (распространение, предоставление, доступ)
обезличивание
блокирование
удаление
уничтожение
152-ФЗ от 27 июля 2006
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными
36 слайд
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (СВТ)
Неавтоматизированная обработка ПДн – такие действия, как использование, уточнение, распространение, уничтожение персональных данных, осуществляются при непосредственном участии человека.
152-ФЗ от 27 июля 2006
Термины и определения
Постановление правительства РФ
№ 687 от 15 сентября 2008
37 слайд
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Термины и определения
38 слайд
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и (или) в результате которых уничтожаются материальные носители персональных данных
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных
152-ФЗ от 27 июля 2006
Термины и определения
39 слайд
Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных)
Трансграничная передача ПДн - передача персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства
152-ФЗ от 27 июля 2006
Термины и определения
40 слайд
Техническая защита конфиденциальной информации (ТЗКИ) - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации:
по техническим каналам
от несанкционированного доступа к ней
от специальных воздействий на информацию
СТР-К
Термины и определения
41 слайд
Технический канал утечки информации (ТКУИ) - совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.
Термины и определения
42 слайд
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Термины и определения
43 слайд
Пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы КЗ, не превышает нормированного значения.
ОИ
Зона 1
R1
44 слайд
ОИ
Зона 1
R1
45 слайд
Пространство вокруг ОТСС на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения.
ОИ
Зона 2
R2
46 слайд
ОИ
Зона 2
R2
47 слайд
Термины и определения
Недекларированные возможности - функциональные возможности средств вычислительной техники (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Термины и определения
48 слайд
электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети
документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель
электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах
149-ФЗ от 27 июля 2006 года
Термины и определения
49 слайд
Специальные проверки (спецпроверки) - проверки ТСПИ иностранного и совместного производства на наличие возможно внедренных электронных устройств перехвата информации.
Специальные исследования (специсследования) - выявление с помощью контрольно - измерительной аппаратуры возможных каналов утечки информации ограниченного доступа, обрабатываемой ТСПИ.
Специальные обследования (спецобследования) – определение соответствия условий эксплуатации объектов ТСПИ требованиям аттестатов соответствия, предписаний на эксплуатацию и других руководящих документов по спецзащите без применения контрольно - измерительной аппаратуры.
Термины и определения
50 слайд
Термины и определения
ФСТЭК России
ФСБ России
СИ
СП
СО
проверки ТСПИ на наличие возможно внедренных ЭУПИ
выявление с помощью контрольно-измерительной аппаратуры возможных ТКУИ
выявление с помощью контрольно-измерительной аппаратуры возможных ТКУИ
определение соответствия условий эксплуатации ОИ требованиям аттестатов соответствия, предписаний …. без применения контрольно-измерительной аппаратуры
проверки ТСПИ на наличие возможно внедренных ЭУПИ
проверки помещений на наличие возможно внедренных ЭУПИ
Рабочие листы
к вашим урокам
Скачать
6 671 449 материалов в базе
Настоящий материал опубликован пользователем Рыжков Сергей Романович. Инфоурок является информационным посредником и предоставляет пользователям возможность размещать на сайте методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Удалить материалВаша скидка на курсы
40%Курс профессиональной переподготовки
500/1000 ч.
Курс профессиональной переподготовки
500/1000 ч.
Курс профессиональной переподготовки
300/600 ч.
Курс профессиональной переподготовки
300 ч. — 1200 ч.
Мини-курс
2 ч.
Мини-курс
3 ч.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.