- Административный способ защиты информации
- Приказ Министерства связи и массовых коммуникаций РФ от 16 июня 2014 г. № 161 “Об утверждении требований к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию”
- Требования к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию
- I. Общие положения
- II. Административные и организационные меры защиты детей от информации, причиняющей вред их здоровью и (или) развитию
- III. Технические и программно-аппаратные средства защиты детей от информации, причиняющей вред их здоровью и (или) развитию
- Обзор документа
- Технологии защиты информации в компании
- Базовые элементы информационной безопасности
- Разновидности угроз информационной безопасности
- Угрозы доступности
- Угрозы целостности
- Базовые угрозы конфиденциальности
- Методы защиты информации
- Инструменты организационно-правовой защиты
- Инструменты инженерно-технической защиты
- Криптографические инструменты защиты
- Программно-аппаратные инструменты для защиты сведений
Административный способ защиты информации
Обзор документа
Приказ Министерства связи и массовых коммуникаций РФ от 16 июня 2014 г. № 161 “Об утверждении требований к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию”
В соответствии с частью 3 статьи 11 Федерального закона от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» (Собрание законодательства Российской Федерации, 2011, № 1, ст. 48; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658; № 26, ст. 3208; № 27, ст. 3477) и подпунктом 5.2.25.14 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. № 418 (Собрание законодательства Российской Федерации, 2008, № 23, ст. 2708; № 42, ст. 4825; № 46, ст. 5337; 2009, № 3, ст. 378; № 6, ст. 738; № 33, ст. 4088; 2010, № 13, ст. 1502; № 26, ст. 3350; № 30, ст. 4099; № 31, ст. 4251; 2011, № 3, ст. 542; № 2, ст. 338; № 6, ст. 888; № 14, ст. 1935; № 21, ст. 2965; № 44, ст. 6272; № 49, ст. 7283; 2012, № 20, ст. 2540; № 37, ст. 5001; № 39, ст. 5270; № 46, ст. 6347; 2013, № 13, ст. 1568; № 33, ст. 4386; № 45, ст. 5822), приказываю:
1. Утвердить прилагаемые требования к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
| Министр | Н. Никифоров |
Зарегистрировано в Минюсте РФ 12 августа 2014 г.
Требования к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию
I. Общие положения
1. Требования к административным и организационным мерам, техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию (далее — Требования), применяются при обороте информационной продукции, содержащей информацию, запрещенную для распространения среди детей в соответствии с частью 2 статьи 5 Федерального закона от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» (Собрание законодательства Российской Федерации, 2011, № 1, ст. 48; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658; № 26, ст. 3208; № 27, ст. 3477) (далее — Федеральный закон № 436-ФЗ), в местах, доступных для детей (далее — оборот информационной продукции, запрещенной для детей; информация, запрещенная для распространения среди детей), а также при предоставлении в соответствии с частью 1 статьи 14 Федерального закона № 436-ФЗ доступа к информации, распространяемой посредством информационно-телекоммуникационных сетей, в том числе сети «Интернет», в местах, доступных для детей (далее — предоставление доступа к информации; сеть «Интернет»).
2. Требования не распространяются на операторов связи, оказывающих услуги связи, предусматривающие предоставление доступа к информации, распространяемой посредством сети «Интернет», на основании договоров об оказании услуг связи, заключенных в письменной форме.
II. Административные и организационные меры защиты детей от информации, причиняющей вред их здоровью и (или) развитию
3. К административным мерам защиты детей от информации, причиняющей вред их здоровью и (или) развитию, относятся следующие.
3.1. Издание локальных актов, определяющих:
3.1.1. Процедуры присвоения и размещения знака информационной продукции и (или) текстового предупреждения об информационной продукции, запрещенной для детей, в соответствии со статьями 11 — 14 Федерального закона № 436-ФЗ;
3.1.2. Условия присутствия в соответствии с законодательством Российской Федерации детей на публичном показе, при публичном исполнении, демонстрации посредством зрелищного мероприятия информационной продукции, запрещенной для детей, в случае их организации и (или) проведения;
3.1.3. Дополнительные требования к обороту информационной продукции, запрещенной для детей, и ее фрагментов, распространяемых посредством эфирного и кабельного, теле- и радиовещания, сети «Интернет» и сетей подвижной радиотелефонной связи, в местах доступных для детей в соответствии со статьями 13, 14 и 16 Федерального закона № 436-ФЗ;
3.1.4. Меры защиты детей от информации, причиняющей вред их здоровью и (или) развитию, направленные на повышение осведомленности лиц, находящихся в месте оборота информационной продукции, запрещенной для детей, о необходимости обеспечения информационной безопасности детей и защиты детей от информации, причиняющей вред их здоровью и (или) развитию;
3.1.5. Процедуры, направленные на предотвращение, выявление и устранение нарушений законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию;
3.2. Ознакомление работников, в трудовые обязанности которых входит организация и осуществление оборота информационной продукции, запрещенной для детей, с положениями законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, с локальными актами, изданными в соответствии с подпунктом 3.1 Требований;
3.3. Назначение работника, ответственного за применение административных и организационных мер защиты детей от информации, причиняющей вред их здоровью и (или) развитию, учитывающих специфику оборота информационной продукции, запрещенной для детей, и за проверку порядка их применения;
3.4. Осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, соответствием применяемых административных и организационных мер защиты детей от информации, причиняющей вред их здоровью и (или) развитию, локальным актам, изданным в соответствии с подпунктом 3.1 Требований, и предусматривающего:
3.4.1. Рассмотрение в срок, не превышающий десяти рабочих дней со дня получения, обращений, жалоб или претензий о нарушениях законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию, включая несоответствие применяемых административных и организационных мер защиты детей от информации, причиняющей вред их здоровью и (или) развитию, Требованиям, а также о наличии доступа детей к информации, запрещенной для распространения среди детей, и направление мотивированного ответа о результатах рассмотрения таких обращений, жалоб или претензий;
3.4.2. Установление в течение десяти рабочих дней со дня получения обращений, жалоб или претензий о наличии доступа детей к информации, запрещенной для распространения среди детей, причин и условий возникновения такого доступа и принятие мер по их устранению.
4. К организационным мерам защиты детей от информации, причиняющей вред их здоровью и (или) развитию, относятся следующие.
4.1. Размещение на информационных стендах в местах, доступных для детей, а также доведение иным доступным способом до третьих лиц сведений об изданных в соответствии с подпунктом 3.1 Требований локальных актах;
4.2. Размещение на официальном сайте производителя и (или) распространителя, осуществляющих оборот информационной продукции, запрещенной для детей, в сети «Интернет» локальных актов, изданных в соответствии с подпунктом 3.1 Требований, а также сведений о применении административных и организационных мер, и обеспечение возможности свободного доступа к указанным документам.
III. Технические и программно-аппаратные средства защиты детей от информации, причиняющей вред их здоровью и (или) развитию
5. К техническим и программно-аппаратным средствам защиты детей от информации, причиняющей вред их здоровью и (или) развитию, применяемым при предоставлении доступа к информации, распространяемой посредством сети «Интернет», относятся следующие.
5.1. Средства ограничения доступа к техническим средствам доступа к сети «Интернет»;
5.2. Средства ограничения доступа к сети «Интернет» с технических средств третьих лиц;
5.3. Средства ограничения доступа к запрещенной для распространения среди детей информации, размещенной на сайтах в сети «Интернет».
Обзор документа
Определены меры и средства защиты детей от информации, причиняющей вред их здоровью и (или) развитию и распространяемой в доступных для них местах, в том числе через Интернет. Они не касаются операторов связи, предоставляющих доступ к Интернету на основании письменных договоров.
Предусмотрен целый комплекс административных и организационных мер, а также технических и программно-аппаратных средств защиты.
Это, в частности, издание локальных актов, где определяются процедуры присвоения и размещения знака информационной продукции, условия присутствия детей на публичном показе, дополнительные требования к распространению запрещенной для детей информационной продукции посредством эфирного, кабельного, теле- и радиовещания, через Интернет и сети сотовой связи.
В организациях, доступ к которым имеют дети, необходимо назначить работника, ответственного за применение административных и организационных мер защиты детей от вредной информации. Прописаны требования к организации внутреннего контроля за соблюдением законодательства о защите детей от вредной информации.
К техническим и программно-аппаратным средствам защиты отнесены, в частности, средства ограничения доступа к Интернету и отдельным сайтам.
Источник
Технологии защиты информации в компании
Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
- Защита конфиденциальности сведений, которые передаются по открытым каналам.
- Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
- Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
- Сохранение целостности данных при их передаче и хранении.
- Подтверждение отправки сообщения с информацией.
- Защита ПО от несанкционированного применения и копирования.
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Источник
