# Правовое обеспечение ИБ ## 1) Внешние субъекты ИБ и их функции ### Способствующие обеспечению ИБ #### Органы властей ###### Федерального уровня * **Законодательной** * **Исполнительной** * **Судебной** ###### А так же * **Исполнительной и судебной власти субъектов Федерации** * **Органов местного управления** * **Правоохранительных органов** * **Функциональные и отраслевые министерства и ведомства** * **Специально создаваемые органы** * **Организации координирующие и контролирующие** **инфо. вопросы** * **Банки и иные** **хозяйствующие субъекты** * **Граждане** ### Противодействующие * **Конкуренты** * **Теневые экономические структуры** * **Элементы криминальных структур** ### Функции #### Палаты Федерального Собрания * Законодательное **регулирование отношений** в сфере **ИБ** * Рассмотрение статей федерального **бюджета** по части средств на **гос. программы по ИБ** * Определение полномочий должностных лиц по **защите гос. тайны в палатах Федерального Собрания** #### Президент РФ ###### Утверждает * **Гос. проблемы** в области ИБ *(По представлению Правительства РФ)* * **Состав** и **структуру** межведомственной комиссии по защите **гос. тайны** и положение о ней * Перечень **должностных лиц** органов гос. власти, которые **могут отнести сведения к гос. тайне** * Перечень **сведений**, отнесённых к **гос. тайне** ###### А так же * Заключает **международные** договоры РФ о совместном **использовании** и **защите** сведений гос. тайны * В пределах своих полномочий решает иные вопросы, связанные с **отнесением сведений к тайне**, их **секретности** и **защите** #### Правительство РФ * Предоставляет на утверждение ( см. пункт *(По представлению Правительства РФ)* ) * Организует исполнение **законов и международных/межправительственных соглашений** по ИБ, защите и совместном использовании сведений с **гос. тайной** и принимает решения об их передаче * Организует разработку и выполнение **гос. программ** по ИБ * Определяет **полномочия** должностных лиц по **ИБ** в аппарате правительства * Регулирует **льготы** для граждан, допущенных к **гос. тайне** и сотрудников подразделений по её защите. * Устанавливает **порядок определения ущерба** от несанкционированного **распространения** сведений, содержащих **гос. тайну**, а так же ущерба, наносимого за её **засекречивание** * В пределах полномочий решает иные вопросы, связанные с **отнесением сведений к тайне**, их **секретности** и **защите** #### Органы гос. власти РФ, субъектов РФ и местного самоуправления во взаимодействии с органами защиты гос. тайны * Обеспечивают **защиту переданных/засекреченных сведений охраняемых законом**, полученных от органов гос. власти, предприятий * Обеспечивают **защиту гос. тайны** на подведомственных предприятиях/учреждениях/организациях * Реализуют предусмотренные законом меры по **ограничению конституционных прав** граждан и предоставлению **льгот** лицам, имевшим доступ к **гос. тайне** * Вносят в органы гос. власти **предложения по улучшению** систем ИБ #### Органы судебной власти * Рассматривают уголовные и гражданские **дела о нарушениях закона по ИБ** * Обеспечивают судебную защиту в связи с деятельностью по **защите охраняемой законом информации** * Обеспечивают в ходе рассмотрения дел **защиту** отдельных видов **тайны** * Определяют **полномочия** должностных лиц по ИБ охраняемой законом информации в **органах судебной власти** ## 2) Угрозы **Целостность**, **Доступность** и **Конфиденциальность** это три основных свойства информации, когда мы говорим о ней в контексте **безопасности**. Этим трём параметрам периодически что-то угрожает, например если сисадмин обидится и сольёт базу с данными клиентов, это будет нарушение **Конфиденциальности**, потому что к информации получили доступ те, кто не должен был. Так же подобная угроза является **внутренней**, ведь сисадмин работает внутри нашей компании, ну и естественно, угроза **умышленная**, ведь он это сделал не случайно, это был результат **активного** действия. Но давайте рассмотрим и другой вариант событий. Допустим мы поставили роутер рядом со столиком в кафетерии, а клиент случайно разлил на него кофе. Роутер был частью нашей сети и без него мы не сможем записывать в базу данных информацию о продаваемых на кассе продуктах, а экраны не смогут показывать информацию о их стоимости. Это было нарушение **Доступности**, ведь клиент потерял доступ к информации о стоимости своей чашки кофе(он интроверт и теперь ему придётся разговаривать с персоналом), а мы потеряли доступ к нашей базе данных. При этом угроза была **случайной** и **внешней**, потому что бедный клиент не имеет к нам никакого отношения кроме заказанной им чашки кофе. А вот если бы наш гость оказался мстительным хакером и в следующий визит взломал роутер, подменив ценники на экранах и снизив цену той самой чашки кофе, то это будет угроза **Целостности**, ведь данные были искажены и теперь все клиенты видят неправильные данные, а значит их целостность была нарушена. А потом, по дороге из кафетерия он мог услышать разговор двух наших начальников, которые за соседним столиком обсуждали **конфиденциальную** информацию. И тут уже он даже ничего не делал, поэтому угроза будет не активной, а **пассивной**, **неумышленной** **внейшней** угрозой **конфиденциальности** той самой информации, которую начальники обсуждали за кружкой кофе, купленного "по скидке". ## 3) Аттестация по требованиям ТЗИ #### Что это? Аттестация это комплекс **организационно-технических** мероприятий, в результате которых посредством ***"Аттестата соотетствия"*** подтверждается, что объект **соответствует требованиям** стандартов или документов по ИБ, подтверждённых **ФСТЭК**. #### Виды аттестации * По требованиям к *АС ОКИ(СТР-K и РД АС)* могут аттестоваться любые **гос/коммерческие** системы, где обрабатываются **несколько** видов **конфиденциальной** информации. * По требованиям к *ИСПДн* аттестуются коммерческие системы, где обрабатываются перс. данные. * **По требованиям к ГИС** аттестуются информационные системы, зарегестрированные в **Минсвязи** как ГИС, а так же другие системы по желанию. * По требованиям к *АСУ ТП* аттестуются только специализированные **промышленные автоматизированные** системы, например *АСУ ТП* завода, атомной станции и т.п. * По требованиям к *ИС* общего пользования аттестуются только специализированные *ИС*. Например сайты ведомств. * По требованиям к объектам *КИИ* аттестуются особые объекты **гос. назначения**, вредоносное воздействие на которые влечёт **уменьшение гос. силы** РФ(подробнее см. ФЗ-187). * По требованиям к АБС аттестуются только банковские автоматизированные системы. ## 4) Юридическая ответственность #### Что это? Юридическая ответственность это **реакция государства на правонарушение**. Её содержание это гос. принуждение, проявляющее себя в разных формах. #### Принципы юр. ответственности 1) Законность 2) Обоснованность 3) Справедливость 4) Неотвраатимость 5) Целесообразность #### Виды юр. ответственности * **Уголовная** - за **преступления** * **Административная** - за **нарушение общественного порядка** или проступки в сфере **гос. управления** * **Гражданская** - за неисполнение **договорных обязательств**, причинение **имущественного вреда** * **Дисциплинарная** - за **нарушения** трудовой, учебной, воинской, служебной **дисциплины**