Добавил вторую лекцию

4 files changed, 440 insertions, 6 deletions

diff --git a/.vscode/settings.json b/.vscode/settings.json
new file mode 100644
index 0000000..2c07464
--- /dev/null
+++ b/.vscode/settings.json
@@ -0,0 +1,5 @@
+{
+    "[latex]": {
+        "editor.tabSize": 2
+    }
+}
\ No newline at end of file
diff --git a/legal-infosec.tex b/legal-infosec.tex
index 4e12711..bbf81c8 100644
--- a/legal-infosec.tex
+++ b/legal-infosec.tex
@@ -1,4 +1,8 @@
-\documentclass[a4paper,10pt]{article}
+\documentclass[a4paper,12pt]{article}
+
+\usepackage[ left=2cm, right=2cm
+           , top=2.3cm,bottom=2.3cm
+           ,bindingoffset=0cm ]{geometry}
 
 \usepackage[T2A]{fontenc}
 \usepackage[utf8]{inputenc}
diff --git a/sections/section1.tex b/sections/section1.tex
index b2a5d64..cde60a4 100644
--- a/sections/section1.tex
+++ b/sections/section1.tex
@@ -66,8 +66,8 @@
     т.е. неизменность информации в условиях случайного и (или)
     преднамеренного искажения;
   \item
-  доступность: доступ к информации и связанным с ней активам авторизованных
-  пользователей по мере необходимости.
+    доступность: доступ к информации и связанным с ней активам авторизованных
+    пользователей по мере необходимости.
 \end{itemize}
 
 Соблюдение этих качеств является основной задачей информационной безопасности.
@@ -163,7 +163,7 @@
   \item
     видовая информация, представленная в виде текста и изображений различных
     устройств отображения информации средств вычислительной техники,
-    информационно-вычислительных комплексов, технических средств обработки
+    информационно"=вычислительных комплексов, технических средств обработки
     графической, видео- и буквенно-цифровой информации;
   \item
     информация, обрабатываемая (циркулирующая) в информационных системах в
@@ -200,7 +200,6 @@
 Первый, когда средой формирования источников угроз является политическая сфера
 деятельности государства. В этом случае в качестве источника угроз следует
 рассматривать [3]:
-
 \begin{enumerate}
   \item
     Использование в политических целях необходимости существования
@@ -238,7 +237,6 @@
 Техническим каналом утечки информации называется совокупность объекта
 технической разведки, физической среды и средства технической разведки, которыми
 добываются разведывательные данные [8]:
-
 \begin{itemize}
   \item акустическое излучение информативного речевого сигнала;
   \item
diff --git a/sections/section2.tex b/sections/section2.tex
new file mode 100644
index 0000000..9c058f8
--- /dev/null
+++ b/sections/section2.tex
@@ -0,0 +1,427 @@
+\section{Система защиты информации в Российской Федерации}
+\newrefsection
+
+\subsection{Государственная система защиты информации в Российской Федерации}
+
+Согласно Закону РФ «Об информации, информационных технологиях и защите
+информации» от 27 июля 2006 года № 149-ФЗ информация может являться объектом
+публичных, гражданских и иных правовых отношений. Информация может свободно
+использоваться любым лицом и передаваться одним лицом другому лицу, если
+федеральными законами не установлены ограничения доступа к информации либо иные
+требования к порядку ее предоставления или распространения[2]. Таким образом
+регулятивную функцию в области информационных правоотношений в РФ выполняет
+государство.
+
+Оно призвано обеспечивать защиту интересов субъектов информационных
+правоотношений. Ограничения на доступ к информации могут накладываться как
+государственными органами, так и иными обладателями информации. Чтобы обеспечить
+баланс интересов граждан в праве на информацию в зависимости от категории
+доступа информация  делится на общедоступную и ограниченно доступную в
+соответствии с федеральными законами[2].
+
+В зависимости от порядка ее предоставления информация делится на следующие
+категории:
+
+\begin{enumerate}
+  \item свободно распространяемая или общедоступная;
+  \item
+    предоставляемая по соглашению лиц, участвующих в соответствующих отношениях
+    или конфиденциальная;
+  \item
+    подлежащую обязательному предоставлению или распространению, как правило
+    жизненно важная информация (например, законодательство, состояние
+    безопасности окружающей среды);
+  \item
+    ограниченно распространяемая или запрещенная. Это две различных категории
+    информации. В первом случае это потенциально опасная информация (например
+    рецепты изготовления наркотиков). Во втором случае это информация явно
+    опасная для общества или отдельных граждан (детская порнография, заведомо
+    ложная клеветническая информация).
+\end{enumerate}
+
+Причем категорирование информации осуществляется государством или ее
+обладателем. Установлены законодательные ограничения на отнесение информации к
+государственной, коммерческой, служебной или иной тайне. Субъектами отнесения
+информации к виду государственной тайны являются государственные лица и органы.
+Субъектами отнесения информации к иному виду тайны являются обладатели
+информации при условии соблюдения действующих ограничений, оговоренных в
+законодательстве. Существуют законодательно установленные перечни сведений,
+которые могут являться государственной тайной либо персональными данными, или не
+могут являться государственной, служебной или коммерческой тайной.
+
+Для того, что бы государство могло выполнять возложенные на него обязанности по
+защите информации в РФ создана система защиты информации.
+
+Государственная система защиты информации представляет собой совокупность
+органов государственной, муниципальной власти органов самоуправления,
+исполнителей, работающих в различных государственных и негосударственных
+организациях, используемых ими средств защиты информации, а также объектов
+защиты, организованная и функционирующая по правилам, установленным
+соответствующими правовыми, организационно-распорядительными и нормативными
+документами в области защиты информации.
+
+Организацию деятельности государственной системы технической защиты информации
+на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях
+осуществляет ФСТЭК России.
+
+Государственная система защиты информации, включает в себя следующие подсистемы:
+
+лицензирования деятельности предприятий в области защиты информации,
+сертификации средств защиты информации аттестации объектов информатизации по
+требованиям безопасности информации. Организационную основу системы обеспечения
+информационной безопасности составляют [1]:
+\begin{itemize}
+  \item Совет Федерации Федерального Собрания Российской Федерации,
+  \item Государственная Дума Федерального Собрания Российской Федерации,
+  \item Правительство Российской Федерации,
+  \item Совет Безопасности Российской Федерации,
+  \item федеральные органы исполнительной власти,
+  \item Центральный банк Российской Федерации,
+  \item Военно-промышленная комиссия Российской Федерации,
+  \item 
+    межведомственные органы, создаваемые Президентом Российской Федерации и
+    Правительством Российской Федерации,
+  \item органы исполнительной власти субъектов Российской Федерации,
+  \item органы местного самоуправления,
+  \item органы судебной власти
+\end{itemize}
+
+Наибольшую роль среди государственных органов, обеспечивающих
+нормативно"=методическое обеспечение и контроль за соблюдением законодательства
+в области защиты информации в РФ, играют следующие:
+
+\begin{itemize}
+  \item
+    Федеральная служба технического и экспортного контроля (ФСТЭК):
+    конфиденциальная информация (КИ), персональные данные (ПДн), технические
+    средства защиты информации (ТСЗИ);
+  \item
+    Федеральная служба безопасности (ФСБ): контроль за режимом соблюдения ГТ,
+    криптографические средства защиты информации (КСЗИ), специальные проверки
+    (СП);
+  \item
+    Федеральная служба по надзору в сфере связи, информационных технологий и
+    массовых коммуникаций (Роскомнадзор): контроль за режимом соблюдения
+    безопасности ПДн и общедоступных данных;
+  \item
+    Министерство юстиции: проверка законодательных актов на соответствие
+    установленным нормам;
+  \item
+    Министерство внутренних дел и иные правоприменительные структуры:
+    восстановление нарушенных прав на защиту информации.
+  \item
+    Структурные подразделения по защите информации федеральных органов
+    исполнительной власти, других органов государственной власти и организаций
+    Российской Федерации: подготовка конкретных документов по защите информации,
+    планирование на их основе мероприятий, приведение мероприятий в исполнение с
+    использованием специалистов и специальных технических и программных средств
+    в отношении ГТ, ПДн, служебной тайны (СТ).
+  \item
+    Предприятия, проводящие работы с использованием сведений, отнесенных к
+    информации ограниченного доступа, и их подразделения по защите информации:
+    тоже самое, но акцент больше на ГТ.
+  \item
+    Научно-исследовательские организации по проблемам защиты информации:
+    разработка методических рекомендаций по защите информации, выполнение
+    специальных проверок.
+  \item
+    Организации-разработчики средств защиты информации, защищенных технических
+    средств и средств контроля эффективности защиты информации: разработка и
+    производство ЗСИ, режим защиты ГТ.
+  \item
+    Предприятия, оказывающие услуги в области защиты информации: установка
+    наладка, сопровождение работы СЗИ.
+  \item
+    Организации Федерального агентства по техническому регулированию и
+    метрологии (бывшего Госстандарта России), выполняющие работы по
+    стандартизации в области защиты информации: разработка криптографических
+    стандартов, стандартных обязательных требований по организации защиты
+    информации.
+  \item
+    Органы системы лицензирования деятельности в области защиты информации:
+    выдача разрешений на выполнение работ по защите информации и контроль за
+    соблюдением лицензионных требований.
+  \item
+    Органы системы сертификации средств защиты информации: проверка средств
+    защиты на соответствие требованиям.
+  \item
+    Органы системы аттестации объектов защиты по требованиям безопасности
+    информации: проверка на соответствие требованиям защиты и выдача разрешений
+    на эксплуатацию защищенных информационных систем.
+\end{itemize}
+
+Органы осуществляющие методическую поддержку системы защиты информации,
+контрольно-проверочные функции называются регуляторами.
+
+\subsection{Основные задачи в сфере информационной безопасности}
+
+Защита информации на государственном уровне осуществляется путем комплексного
+решения ряда задач [3]:
+\begin{itemize}
+  \item
+    Проведение единой технической политики, организация и координация работ по
+    защите информации в военной, экономической, научно-технической и других
+    сферах деятельности.
+  \item
+    Исключение или существенное затруднение добывания информации техническими
+    средствами разведки.
+  \item
+    Принятие правовых актов, регулирующих отношения в области защиты информации
+  \item
+    Организация сил и работ для создания и применения средств защиты информации
+    и контроля их эффективности
+  \item
+    Контроль состояния защиты информации в органах государственной власти и на
+    предприятиях
+  \item
+    Анализ состояния государственной системы, выявление ключевых проблем в
+    области защиты информации
+  \item
+    Определение приоритетных направления государственной системы защиты
+    информации
+  \item
+    Нормативно-методическое и информационное обеспечение работ по защите
+    информации
+\end{itemize}
+
+Законодательные органы и органы, обладающие законодательной инициативной должны
+получать информацию о состоянии защиты информации в государстве от органов,
+имеющих функцию контроля в этой области и инициализировать принятие
+непротиворечивых нормативных актов, способствующих соблюдению баланса интересов
+граждан, общества и государства.
+
+Органы, ответственные за методическую работу и техническую поддержку защиты
+информации на местах должны разрабатывать соответствующие документы программы и
+устройства на основе которых функционирует организационное и техническое
+обеспечение защиты информации на местах.
+
+Органы лицензирования и сертификации должны разработать и осуществить систему
+мер позволяющую обеспечить допуск к работе только тех организаций и
+использованию только таких средств обработки и защиты информации, которые
+позволяют обеспечить требуемый уровень защиты информации.
+
+Главным результатом деятельности этой системы должна стать налаженная и
+согласованная работа по защите информации на предприятиях и в организациях. Для
+этого на предприятиях должна быть проделана следующая работа:
+
+\begin{itemize}
+  \item Осуществлено планирование мероприятий по защите информации.
+  \item 
+    Выполнено категорирование информации и определена потребность в защите
+    информации.
+  \item Определена требуемая степень защиты информации.
+  \item Определены объекты, где эта информация может содержаться.
+  \item 
+    Создано подразделение и назначено лицо, ответственное за защиту информации
+  \item
+    Приобретены СЗИ (в случае необходимости сертифицированные по требованиям
+    безопасности)
+  \item
+    СЗИ должны быть установлены и запущены в эксплуатацию (принеобходимости
+    привлекаются лица, имеющие лицензии на работы по защите информации)
+  \item
+    Постоянно осуществляться контроль за состоянием СЗИ, их целостностью и за
+    сохранением качеств защищаемой информации и режимом соблюдения тайны. Все
+    случаи нарушения режима безопасности должны фиксироваться и расследоваться и
+    по результатам расследования приниматься меры по недопущению таких
+    инцидентов в будущем.
+  \item
+    Периодически анализироваться текущее состояние безопасности информации в
+    купе с прогнозом этого состояния на будущее и по результатам приниматься
+    превентивные меры по устранению прогнозируемых угроз.
+\end{itemize}
+
+Наиболее надежным организационным способом проверки результатов данной работы
+является аттестация объектов информатизации по требованиям безопасности.
+Аттестация может быть добровольной (для конфиденциальной информации не
+затрагивающей непосредственно интересов государства) и обязательной
+(государственная, служебная тайна, ПДн специальных категорий).
+
+Непосредственная защита информации на предприятиях осуществляется путем
+предотвращения неправомерного доступа к информации по каналам утечки информации.
+Для этого необходимо решение следующих задач:
+\begin{itemize}
+  \item
+    предотвращение перехвата техническими средствами информации, передаваемой по
+    каналам связи;
+  \item
+    предотвращение утечки обрабатываемой информации за счет побочных
+    электромагнитных излучений и наводок, создаваемых функционирующими
+    техническими средствами, а также электроакустических преобразований;
+  \item
+    исключения несанкционированного доступа к обрабатываемой или хранящейся в
+    технических средствах информации;
+  \item
+    предотвращения специальных программно-технических воздействий, вызывающих
+    разрушение, уничтожение, искажение информации или сбои в работе средств
+    информатизации;
+  \item
+    выявления возможно внедренных на объекты и в технические средства
+    электронных устройств перехвата информации (закладных устройств);
+  \item
+    предотвращения перехвата техническими средствами речевой информации из
+    помещений и объектов.
+\end{itemize}
+
+Предотвращение перехвата техническими средствами информации, передаваемой по
+каналам связи, достигается применением криптографических и иных методов и
+средств защиты, а также проведением организационно-технических и режимных
+мероприятий.
+
+Предотвращение утечки обрабатываемой информации за счет побочных
+электромагнитных излучений и наводок, а также электроакустических преобразований
+достигается применением защищенных технических средств, аппаратных средств
+защиты, средств активного противодействия, экранированием зданий или отдельных
+помещений, установлением контролируемой зоны вокруг средств информатизации и
+другими организационными и техническими мерами.
+
+Исключение несанкционированного доступа к обрабатываемой или хранящейся в
+технических средствах информации достигается применением специальных
+программно-технических средств защиты, использованием криптографических способов
+защиты, а также организационными и режимными мероприятиями.
+
+Предотвращение специальных программно-технических воздействий, вызывающих
+разрушение, уничтожение, искажение информации или сбои в работе средств
+информатизации, достигается применением специальных программных и аппаратных
+средств защиты (антивирусных процессоров, антивирусных программ), организацией
+системы контроля безопасности программного обеспечения.
+
+Выявление возможно внедренных на объекты и в технические средства электронных
+устройств перехвата информации (закладных устройств) достигается проведением
+специальных проверок по выявлению этих устройств.
+
+Предотвращение перехвата техническими средствами речевой информации из помещений
+и объектов достигается применением специальных средств защиты, проектными
+решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных
+устройств подслушивания и другими организационными и режимными мероприятиями.
+
+\subsection{Основные направления в разработке мер обеспечения информационной безопасности}
+
+Меры защиты информации делятся на правовые, организационные и технические [2].
+
+К правовым мерам обеспечения информационной безопасности РФ относится разработка
+нормативных правовых актов, регламентирующих отношения в информационной сфере, и
+нормативных методических документов по вопросам обеспечения информационной
+безопасности РФ.
+
+Наиболее важными направлениями этой деятельности являются:
+\begin{itemize}
+  \item
+    внесение изменений и дополнений в законодательство РФ, регулирующее
+    отношения в области обеспечения информационной безопасности, в целях
+    создания и совершенствования системы обеспечения информационной безопасности
+    РФ, устранения внутренних противоречий в законодательстве на различных
+    уровнях;
+  \item
+    законодательное разграничение полномочий в области обеспечения
+    информационной безопасности РФ между органами общественной жизнью
+    государства;
+  \item
+    разработка и принятие нормативных правовых актов РФ, устанавливающих
+    ответственность юридических и физических лиц за несанкционированный доступ к
+    информации, ее противоправное копирование, искажение и противозаконное
+    использование, преднамеренное распространение недостоверной информации,
+    противоправное раскрытие конфиденциальной информации, использование в
+    преступных и корыстных целях служебной информации или информации, содержащей
+    коммерческую тайну;
+  \item
+    уточнение статуса иностранных информационных агентств, средств массовой
+    информации и журналистов, а также инвесторов при привлечении иностранных
+    инвестиций для развития информационной инфраструктуры России;
+  \item
+    законодательное закрепление приоритета развития национальных сетей связи и
+    отечественного производства космических спутников связи;
+  \item
+    определение статуса организаций, предоставляющих услуги глобальных
+    информационно - телекоммуникационных сетей на территории РФ, и правовое
+    регулирование деятельности этих организаций;
+  \item
+    создание правовой базы для формирования в РФ региональных структур
+    обеспечения информационной безопасности.
+\end{itemize}
+
+Реализованные правовые меры образуют законодательные основы защиты информации.
+
+Организационные меры защиты - это меры административного и процедурного
+характера, регламентирующие процессы функционирования системы обработки данных,
+использование ее ресурсов, деятельность обслуживающего персонала, а также
+порядок взаимодействия пользователей и обслуживающего персонала с системой таким
+образом, чтобы в наибольшей степени затруднить или исключить возможность
+реализации угроз безопасности или снизить размер потерь в случае их реализации.
+
+Основные направления в этой области:
+\begin{itemize}
+  \item
+    создание и совершенствование системы обеспечения информационной безопасности
+    РФ;
+  \item
+    усиление правоприменительной деятельности федеральных органов исполнительной
+    власти, органов исполнительной власти субъектов РФ, включая предупреждение и
+    пресечение правонарушений в информационной сфере, а также выявление,
+    изобличение и привлечение к ответственности лиц, совершивших преступления и
+    другие правонарушения в этой сфере;
+  \item
+    поддержание системы сертификации средств обработки, хранения, передачи и
+    защиты информации, лицензирования деятельности в области защиты
+    государственной тайны, конфиденциальной информации и персональных данных,
+    стандартизации способов и средств защиты информации;
+  \item
+    контроль за действиями персонала в защищенных информационных системах,
+    подготовка кадров в области обеспечения информационной безопасности РФ;
+  \item
+    формирование системы мониторинга показателей и характеристик информационной
+    безопасности РФ в наиболее важных сферах жизни и деятельности общества и
+    государства.
+\end{itemize}
+
+Техническими мерами защиты являются решения и приемы, основанные на
+использовании дублировании информации или ограничении возможности действий
+сотрудников и направленные на уменьшение возможности совершения ими ошибок и
+нарушений в рамках предоставленных им прав и полномочий, а также использование
+различных технических устройств и программ, дополняющих информационные системы
+функциями защиты.
+
+Основные направления в этой области:
+\begin{itemize}
+  \item
+    разработка, использование и совершенствование средств защиты информации и
+    механизмов контроля эффективности этих средств, развитие защищенных
+    телекоммуникационных систем, повышение надежности специального программного
+    обеспечения;
+  \item
+    создание систем и средств предотвращения несанкционированного доступа к
+    обрабатываемой информации и специальных воздействий, вызывающих разрушение,
+    уничтожение, искажение информации, а также изменение штатных режимов
+    функционирования систем и средств информатизации и связи;
+  \item
+    создание средств выявления технических устройств и программ, представляющих
+    опасность для нормального функционирования информационно -
+    телекоммуникационных систем, предотвращения перехвата информации по
+    техническим каналам, применения криптографических средств защиты информации
+    при ее хранении, обработке и передаче по каналам связи, контроля за
+    выполнением специальных требований по защите информации.
+\end{itemize}
+
+В большинстве нормативных актов, направленных на защиту информации, а так же
+аналогичного назначения методических документах подчеркивается, что защита
+информации не может быть эффективной, если не используются все три вида мер.
+Только комплексное использование всех этих видов мер образуют полноценную
+систему защиты информации на предприятии или в организации.
+
+Законодательные акты и методические документы регуляторов позволяют
+разрабатывать организационно-распорядительные документы, направленные на защиту
+информации на предприятиях и в организациях.
+
+Организационно-распорядительная документация инициирует назначение ответственных
+за информационную безопасность (ИБ) сотрудников и разработку и применение
+организационных мер.
+
+Организационные меры обеспечивают исполнение существующих нормативных актов.
+
+Для эффективного применения организационные меры должны быть поддержаны
+техническими средствами защиты информации. При этом выделяют такую специфическую
+категорию мер как физические меры защиты, которые строятся на определенного вида
+деятельности сотрудников, использующих специфические технические средства, не
+относящие к классу сложных устройств.
+
+\printbibliography
\ No newline at end of file