Отдел технической защиты информации информационно-технического управления Администрации Губернатора Челябинской.


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.


Мухамедчанов Валиулла Равильевич, главный специалист отдела технической защиты
информации информационно
-
технического управления Администрации Губернатора
Челябинской области, к.в.н., доцент по кафедре связи

Телефон/факс: (351) 265
-
78
-
37

E
-
mail
:
[email protected]





«Структура системы технической
защиты информации

в Челябинской области»


Особенности видов информации с ограниченным доступом










Виды информации по категориям доступа

(Федеральный закон от 27.06.2006 года № 149
-
ФЗ «Об информации, информационных
технологиях и о защите информации»)

Статья

5
.

Информация

в

зависимости

от

категории

доступа

к

ней

подразделяется

на

общедоступную
,

а

также

на

информацию,

доступ

к

которой

ограничен

федеральными

законами

(информация

ограниченного

доступа)
.

Статья

9
.

Ограничение

доступа

к

информации

устанавливается

федеральными

законами

в

целях

защиты

основ

конституционного

строя,

нравственности,

здоровья,

прав

и

законных

интересов

других

лиц,

обеспечения

обороны

страны

и

безопасности

государства
.


Информация, составляющая
государственную тайну

Степень секретности сведений:

-

Особой важности

-
-

Совершенно секретно

-
-

Секретно

Конфиденциальная информация

Виды конфиденциальной информации:

-
Персональные данные

-
-

Тайна следствия и судопроизводства

-
-

Служебная тайна

-
-

Профессиональная тайна

-
-

Коммерческая тайна

-
-

Сведения о сущности изобретения


1. Федеральный закон от 27 июля 2006 г. № 149
-
ФЗ Об информации, информационных технологиях и о защите информации

2. Закон РФ от 21 июля 1993 года «О государственной тайне».

3. Федеральный закон от 19 декабря 2005 г. № 160
-
ФЗ О ратификации Конвенции Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных

4. Федеральный закон от 27 июля 2006 г. № 152
-
ФЗ О персональных данных

5. Федеральный закон от 25 июля 2011 г. № 261
-
ФЗ «О внесении изменений в Федеральный закон «О персональных данных»


Указ Президента РФ от 17 марта 2008 г. № 351 О мерах по обеспечению информационной безопасности Российской Федерации
при использовании информационно
-
телекоммуникационных сетей международного информационного обмена


1. Постановление Правительства РФ от 15 сентября 1995 г. № 912
-
51 «Положение о государственной системе защиты
информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам»

2. Постановление Правительства РФ от 17 ноября 2007 г. № 781 Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных системах персональных данных

3. Постановление Правительства РФ от 06 июля 2008 г. № 512 Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных

4. Постановление Правительства РФ от 15 сентября 2008 г. № 687 Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств автоматизации


Приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20

Об утверждении Порядка проведения классификации информационных систем персональных данных


Утверждена ФСТЭК 15 февраля 2008 г.

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Утверждена ФСТЭК 15 февраля 2008 г.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах
персональных данных


Приказ ФСТЭК от 05 февраля 2010 г. № 58 Об утверждении Положения о методах и способах защиты информации в
информационных системах персональных данных


Приказ Роскомнадзора от 01 декабря 2009 г. № 630 Административный регламент проведения проверок Федеральной службой
по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального
государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства
Российской Федерации в области персональных данных

Органы исполнительной власти

и местного самоуправления Челябинской области

Структурная схема

системы технической защиты информации Челябинской области

Заместитель Губернатора Челябинской области


руководитель
Администрации Губернатора Челябинской области

Комиссия по информационной
безопасности

Челябинской области

Отдел технической защиты информации
информационно
-
технического управления
Администрации Губернатора Челябинской
области

Ответственный за непосредственное
руководство работами по ТЗИ и защите
государственной тайны


Специалист по технической защите
информации

Губернатор Челябинской области

Пункт

14

«Положения

о

государственной

системе

защиты

информации

в

Российской

Федерации

от

иностранных

технических

разведок

и

от

её

утечки

по

техническим

каналам»,

утверждённого

постановлением

Совета

Министров



Правительства

Российской

Федерации

от

15

сентября

1993

года



912
-
51


-

Непосредственное

руководство

работами

по

технической

защите

информации

осуществляют

руководители

органов

государственной

власти

или

их

заместители
.

-

Указанные

функции

осуществляются

подразделениями

(штатными

специалистами)

по

защите

информации
.

Пункт

18

«Положения

о

государственной

системе

защиты

информации

в

Российской

Федерации

от

иностранных

технических

разведок

и

от

её

утечки

по

техническим

каналам»,

утверждённого

постановлением

Совета

Министров



Правительства

Российской

Федерации

от

15

сентября

1993

года



912
-
51


-

Организация

работ

по

защите

информации

на

предприятиях

осуществляется

их

руководителями
.

-

В

зависимости

от

объема

работ

по

защите

информации

руководителем

предприятия

создается

структурное

подразделение

по

защите

информации

либо

назначаются

штатные

специалисты

по

этим

вопросам

(например

Администратор

информационной

безопасности)
.


Органы исполнительной власти

и местного самоуправления Челябинской области

Ответственный за непосредственное
руководство работами по ТЗИ и защите
государственной тайны


Специалист по технической защите
информации

Органы исполнительной власти

и местного самоуправления Челябинской области

Постоянно
действующая
техническая комиссия

Постоянно

действующие

технические

комиссии

(ПДТК)

создаются

на

основании
:

Распоряжения

Правительства

РФ

от

28

июня

2001

года



852
-
р

«О

создании

постоянно

действующих

технических

комиссий»

Приказа

Гостехкомиссии

и

ФСБ

РФ

от

28

июля

2001

года



309
/
405

«Об

утверждении

Положения

о

постоянно

действующих

технических

комиссиях

по

защите

государственной

тайны»


Председателем

ПДТК

назначается

один

из

заместителей

руководителя

органа

(организации)

Пункт

9

Раздела

2

«Положения

о

постоянно

действующих

технических

комиссиях

по

защите

государственной

тайны»


Приказ

ФСТЭК

России

от

05
.
02
.
2010

года

«Об

утверждении

Положения

о

методах

и

способах

защиты

информации

в

информационных

системах

персональных

данных»

1
.
3
.

Для

выбора

и

реализации

методов

и

способов

защиты

информации

в

информационной

системе

оператором

или

уполномоченным

лицом

может

назначаться

структурное

подразделение

или

должностное

лицо

(работник),

ответственные

за

обеспечение

безопасности

персональных

данных

Для

выбора

и

реализации

методов

и

способов

защиты

информации

в

информационной

системе

может

привлекаться

организация,

имеющая

оформленную

в

установленном

порядке

лицензию

на

осуществление

деятельности

по

технической

защите

конфиденциальной

информации
.

1
.
4
.

Выбор

и

реализация

методов

и

способов

защиты

информации

в

информационной

системе

осуществляются

на

основе

определяемых

оператором

(уполномоченным

лицом)

угроз

безопасности

персональных

данных

(модели

угроз)

и

в

зависимости

от

класса

информационной

системы,

определенного

в

соответствии

с

Порядком

проведения

классификации

информационных

систем

персональных

данных,

утвержденным

Приказом

ФСТЭК

России,

ФСБ

России

и

Мининформсвязи

России

от

13

февраля

2008

г
.

N

55
/
86
/
20
.

Модель

угроз

разрабатывается

на

основе

методических

документов,

утвержденных

в

соответствии

с

пунктом

2

Постановления

Правительства

Российской

Федерации

от

17

ноября

2007

г
.

N

781
.


.
«Методические

рекомендации

по

организации

и

проведению

работ

по

обеспечению

безопасности

ПДн,

при

их

обработке

в

ИСПДн»
.

Управление

ФСТЭК

по

УрФО

Пункт

2
.
1
.

С

целью

определения

ИСПДн

в

ОГВ

и

местного

самоуправления,

на

предприятиях,

в

учреждениях

и

организациях

анализ

информационных

потоков,

циркулирующих

в

технических

средствах,

проводится

коллегиально

в

рамках

деятельности

созданных

ПДТК

с

привлечением

специалистов

структурных

подразделений,

эксплуатирующих

и

обслуживающих

средства

автоматизации,

специалистов

по

защите

информации

и

кадровых

подразделений
.

Пункт

3
.
1
.

Для

разработки

и

осуществления

мероприятий

по

обеспечению

безопасности

ПДн

при

их

обработке

в

ИСПДн,

в

зависимости

от

объема

обрабатываемых

данных,

оператором

назначается

структурное

подразделение

или

должностное

лицо,

ответственное

за

обеспечение

безопасности

ПДн
.

Решение

оформляется

соответствующим

приказом

(распоряжением)
.

При

наличии

у

оператора

территориально

обособленных

структурных

подразделений,

эксплуатирующих

ИСПДн,

в

данных

структурных

подразделениях

также

должны

назначаться

подразделения

или

должностные

лица,

ответственные

за

обеспечение

безопасности

ПДн
.

Задачи

по

осуществлению

мероприятий

по

обеспечению

безопасности

ПДн

при

их

обработке

в

ИСПДн

могут

быть

возложены

на

подразделения

(штатных

специалистов)

по

технической

защите

информации
.

При

больших

объемах

обрабатываемых

ПДн

и

другой

информации

ограниченного

доступа

целесообразно

создавать

самостоятельные

структурные

подразделения,

ответственные

за

обеспечение

безопасности

ПДн,,

под

методическим

руководством

и

контролем

должностного

лица

из

числа

руководителя,

ответственного

за

непосредственное

руководство

работами

по

защите

информации
.

Оператором

должно

быть

организовано

периодическое

обучение

сотрудников

подразделения

или

должностных

лиц,

ответственных

за

обеспечение

безопасности

ПДн,

на

специализированных

курсах

повышения

квалификации

по

вопросам

защиты

информации

ограниченного

доступа
.

Структура системы технической защиты информации (персональные данные)

Пункт

3
.
1

«Специальных

требований

и

рекомендаций

по

технической

защите

конфиденциальной

информации

(СТР
-
К)»,

утвержденных

приказом

Гостехкомиссии

России

от

30
.
08
.
2002

года



282
:


Организация

работ

по

защите

информации

возлагается

на

руководителей

организаций,

руководителей

подразделений,

осуществляющих

разработку

проектов

объектов

информатизации

и

их

эксплуатацию,

а

методическое

руководство

и

контроль

за

эффективностью

предусмотренных

мер

защиты

информации

-

на

руководителей

подразделений

по

защите

информации

(служб

безопасности)

организации
.

Структура системы технической защиты информации
(персональные данные)

ЗАМЕСТИТЕЛЬ ГУБЕРНАТОРА ЧЕЛЯБИНСКОЙ ОБЛАСТИ


РУКОВОДИТЕЛЬ АДМИНИСТРАЦИИ ГУБЕРНАТОРА ЧЕЛЯБИНСКОЙ ОБЛАСТИ

Комиссия по информационной
безопасности

Челябинской области

Отдел технической защиты информации
информационно
-
технического управления
Администрации Губернатора Челябинской
области

ГУБЕРНАТОР ЧЕЛЯБИНСКОЙ ОБЛАСТИ

«Положение об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных» Утверждено Постановлением
Правительства РФ от 17 ноября 2007 года № 781


Пункт

11
.

При

обработке

персональных

данных

в

информационной

системе

должно

быть

обеспечено
:

д)

обучение

лиц,

использующих

средства

защиты

информации,

применяемые

в

информационных

системах,

правилам

работы

с

ними
;

к)

описание

системы

защиты

персональных

данных
.


Пункт

19
.

К

средствам

защиты

информации,

предназначенным

для

обеспечения

безопасности

персональных

данных

при

их

обработке

в

информационных

системах,

прилагаются

правила

пользования

этими

средствами,

согласованные

с

Федеральной

службой

по

техническому

и

экспортному

контролю

и

Федеральной

службой

безопасности

Российской

федерации

в

пределах

их

полномочий
.


Выдержки из статей Уголовного кодекса РФ

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло
уничтожение, блокирование, модификацию либо копирование компьютерной информации,
-

наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода
осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года,
либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо
лишением свободы на тот же срок.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности,
-

наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок
от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными
работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот
же срок.

3. Деяния, предусмотренные частями первой или второйнастоящей статьи, совершенные группой лиц по
предварительному сговору или организованной группой либо лицом с использованием своего служебного
положения,
-

наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного
дохода осужденного за период до трех лет с лишением права занимать определенные должности или
заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до
четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли
тяжкие последствия или создали угрозу их наступления,
-

наказываются лишением свободы на срок до семи лет.

Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные
в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации,
заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования
компьютерной информации или нейтрализации средств защиты компьютерной информации,
-

наказываются
ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо
лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев.

2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному
сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие
крупный ущерб или совершенные из корыстной заинтересованности,
-

наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с
лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет
или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч
рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового
и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех
лет или без такового.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия
или создали угрозу их наступления,
-

наказываются лишением свободы на срок до семи лет.

Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и
информационно
-
телекоммуникационных сетей

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации
либо информационно
-
телекоммуникационных сетей и оконечного оборудования, а также правил доступа к
информационно
-
телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо
копирование компьютерной информации, причинившее крупный ущерб,
-

наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода
осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до
одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет,
либо лишением свободы на тот же срок.

2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало
угрозу их наступления,
-

наказывается принудительными работами на срок до пяти лет либо лишением свободы на
тот же срок.


Приложенные файлы

  • pdf 31828475
    Размер файла: 349 kB Загрузок: 0

Добавить комментарий