Финансирование мероприятий по защите государственной тайны

Финансирование деятельности органов государственной власти, бюджетных предприятий, учреждений и организаций и их структурных подразделений по защите государственной тайны осуществляется за счет средств соответствующих бюджетов.

Контроль за расходованием финансовых средств, выделяемых на проведение мероприятий по защите государственной тайны, осуществляется руководителями органов государственной власти, предприятий, учреждений и организаций, заказчиками работ, а также специально уполномоченный на то представителями Министерства финансов РФ.

 

 

I.3 Закон о персональных данных 152-ФЗ

 

дата создания – 27 июля 2006г.

Опр. персональные данные – любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу, в том числе его ФИО, дата, место рождения, адрес, семейное, социальное, имущественное положение, профессия, образование и др.

Закон определяет случаи, в которых обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных

Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1. Принципы обработки персональных данных

1) законность целей и способов обработки

2) соответствие целей обработки пд целям, заранее определенным

3) соответствие объема, характера и способов обработки пд целям

4) достоверность пд, достаточность для целей обработки, не должно быть информации, не относящейся к делу

5) недопустимость объединения созданных для несовместимых между собой целей баз данных пд

6) Хранение пд должно осуществляться не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении

2. Условия обработки пд

осуществляется с согласия субъекта пд, кроме этих случаев:

1) в целях исполнения договора, одной из сторон которого являет субъект

2) для статистических целей, но только если эти данные обезличиваются

3) пд необходимы для защиты жизни, здоровья субъекта пд

4) для доставки писем

5) для доставки счетов за услуги электросвязи и для рассмотрения претензий о пользовании ими

6) когда обработка пд осуществляется в рамках профессиональной деятельности журналиста для науных, творческих целей

7) когда этого требует федеральных закон, т.е. сведения о кандидатах в президенты и иных высокопоставленных лиц

вообще не допускается обработка пд, касающихся расовой, политич. принадлежности, религ. убеждений, состояния здоровья

3. Конфиденциальность персональных данных обеспечивается, но кроме случаев

1) обезличивания пд

2) когда пд и так общелоступны- это справочники и адресные кнги, туда включается и исключаются пд субъекта с его письменного согласия

II. Политика безопасности, модели и механизмы реализации политики безопасности

II.1 Основные понятия безопасности АС

Автоматизированная система (АС)

Опр - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов:

- технические средства обработки и передачи данных (выч. техника и связь)

- по (методы и алгоритмы обработки)

- информация на различных носителях

- обслуживающий персонал и пользователи системы

задачей этой системы является автоматизированная обработка информации с целью удовлетворения информационных потребностей субъектов информационных отношений

 

Безопасность АС – это защищённость всех её компонентов от разного рода нежелательных для соответствующих субъектов воздействий (КО)

Безопасность складывается из обеспечения 3 характеристик компонент:

- Конфиденциальность компонента (он доступен только тем субъектам, которым предоставлены на это полномочия)

- Целостность компонента (он может быть модифицирован только тем субъектом, у которого есть на это права)

- Доступность компонента (субъект, у которого есть полномочия на доступ к этому компоненту, может в любое время получить этот доступ

 

 

II.1 Классификация угроз

- по цели реализации угрозы

- нарушение конфиденциальности инф.

- нарушение целостности инф. (несанкционированное удаление, модификация)

- нарушение работоспособности АС (нарушение доступности, вывод из строя компонент, что влечёт неполучение инф. от источника)

- по принципу воздействия на АС

- с исп. доступа субъекта системы к файлам

- с исп. скрытых каналов

- скрытые каналы с памятью (позволяют осуществлять чтение и запись инф. другого процесса - непосредственно или с помощью достоверной вычислительной базы

- скрытые временные каналы (один процесс может получать информацию о действиях другого, используя интервалы между какими-либо событиями)

- по характеру воздействия на АС

- активное (выполнение пользователем действий, выходящих за рамки его обязанностей и нарушающих политику безопасности

- пассивное (наблюдение пользователем каких-либо побочных эффектов работы программы и их анализ)

- по причине появления возможности атаки

- неадекватность политики безопасности реальной АС (разработанная политика безопасности не отражает реальную ситуацию и это несоответствие может быть использована для выполнения несанкционированных действий)

- ошибки административного управления

- ошибки в алгоритмах программ (ошибки разработки)

- ошибки в реализации алгоритмов программ (ошибки кодирования)

- по способу воздействия на объект атаки

- непосредственное воздействие (доступ к инф. в обход контроля доступа)

- воздействие на систему разрешений (захват привилегий, получение незаконным путём прав доступа)

- воздействие через других пользователей

- маскарад (присвоение себе полномочий другого пользователя, выдавание себя за него)

- исп. вслепую (вирусы, манипулирование привилегированным пользователем так, чтобы он выполнил определённые действия, не явл. с точки зрения системы несанкционированными)

- по способу воздействия на АС

- в интерактивном режиме (программа интерпретируется по мере выполнения)

- в пакетном режиме (вирусы, программа написана заранее)

- по объекту атаки

- АС в целом

- объекты АС (доступ к инф., нарушение функциональности компонент)

- субъекты АС (исп. процессов пользователей в своих целях, как то получение привилегий)

- по используемым средствам атаки

- с помощью стандартного ПО (исп. ошибок в программах АС)

- с помощью специально разработанных программ (вирусы)

- по состоянию объекта атаки

объект находится в состоянии:

- хранения (может производиться несанкционированный доступ)

- передачи (прослушивание каналов передачи)

- обработки (вирусы)