Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета




Скачать 379.69 Kb.
НазваниеУчебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета
страница1/3
Дата конвертации25.01.2013
Размер379.69 Kb.
ТипУчебно-методический комплекс
  1   2   3



УЧЕБНО-МЕТОДИЧЕСКИЙ
КОМПЛЕКС
дисциплины

Правовое регулирование финансово-информационной
безопасности




Для студентов юридического факультета


Москва

Институт международного права и экономики имени А.С. Грибоедова

2009

утверждено


кафедрой финансового права


С о с т а в и т е л ь – канд. юрид. наук, доц. В.И. Ступаков







Учебно-методический комплекс дисциплины «Правовое регулирование финансово-информационной безопасности» / сост. В.И. Ступаков. М. : ИМПЭ им. А.С. Грибоедова, 2009.  24 с.


Подготовлен на юридическом факультете.





© Ступаков В.И., 2009

ПРОГРАММА




Тема 1. Введение. Основные понятия, виды и источники информации,

подлежащей защите


Дисциплина посвящена изучению современного представления о методах и средствах обеспечения финансово-информационной безопасности систем, действующих как на локальных предприятиях, так и в рамках холдинговых компаний, отраслей, а также на уровне государственного управления. Актуальность дисциплины определяется необходимостью систематизации существующих концепций информационной безопасности, применяемых в различных отраслях права. Рассмотрены основные источники угроз информационным системам, используемым в финансово-экономической деятельности, и средства противодействия разрушающим воздействиям.


Тема 2. Организационно-правовые методы обеспечения финансово-информационной безопасности


Основные понятия, общеметодологические принципы теории информационной безопасности (ИБ). Анализ угроз ИБ. Методы и средства обеспечения финансово-информационной безопасности. Методы нарушения конфиденциальности, целостности и доступности информации. Причины, виды, каналы утечки и искажения информации. Источники и характеристика основных угроз безопасности. Политика безопасности. Основные модели, применяемые при построении систем обеспечения ИБ.


Тема 3. Основные понятия правового регулирования

информационной безопасности


Роль правовых и этических норм при разработке и использовании информационных технологий и систем. Правовое регулирование сбора и обработки информации. Правовое регулирование создания и применения информационных технологий и информационных систем. Оценка ущерба вследствие противоправного выхода информации ограниченного доступа из защищаемой сферы и меры по его локализации. Средства и методы физической защиты объектов. Классификация и основные характеристики технических каналов утечки информации. Понятие о физических основах технической разведки. Подбор, расстановка и работа с кадрами. Защита информации при авариях и иных экстремальных ситуациях. Законодательство России в области информационной безопасности и защиты информации.


Тема 4. Информация как объект правоотношений. Понятие и место финансово-информационной безопасности в системе национальной безопасности России. Концепцией национальной безопасности РФ


В ст. 128 ГК РФ информация определяется как объект гражданских правоотношений. Необходимо обратить вни­мание на аспект юридической защиты информации как объекта права собственности. Такой подход к информации объясняется тем, что, с одной стороны, объектом права собственности является материальный объект, с другой – инфор­мация, которая, не являясь материальным объектом окружающего мира, неразрывно связана с материальным носителем.

Рассматривая информацию как отражение действительности объек­том окружающего мира, можно говорить, что ни хранение, ни передача информации без материального носителя невозможны.

Рассмотрение информации как объекта правового регулирования раз­личных видов деятельности личности, общества и государства, в том числе сферы ИБ, неразрывно связано с уточнением ее понятия и сущно­сти, прежде всего потому, что именно правовой информацией оперируют органы государственной власти при принятии управленческих решений.

Национальный информационный ресурс явля­ется сегодня одним из главных источников экономической и военной мощи государства. Защита информации пре­вращается в одну из приоритетных государственных задач.

В соответствии Концепцией национальной безопасности РФ важнейшими задачами обеспе­чения ИБ являются:

установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распростра­нения;

совершенствование информационной структуры;

разработка соответствующей нормативной правовой базы;


Тема 5. Функции организационного и правового регулирования

финансово-информационной безопасности

Доктрина информационной безопасности Российской Федерации


Организационно-правовое регулирование защиты информации представляет собой высокоупорядоченную совокупность организаци­онных решений, законов, нормативов и правил, регламентирующих как об­щую организацию работ по защите информации, так и создание, и функ­ционирование систем защиты информации на конкретных объектах.

Организационно-правовая база должна обеспечивать такие основные функции, как:

определение системы органов и должностных лиц, ответственных за организацию защиты информации;

создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы решения проблем защиты информации;

определение мер ответственности за нарушения правил защиты;

определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Доктрина информационной безопасности Российской Федерации от 09.09.2001 г. № Пр-1895 представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ. По структуре Доктрина состоит из 4 разделов и 11 глав. Она служит основой:

- для формирования государственной политики в области обеспечения ИБ РФ;

- подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ;

- разработки целевых программ обеспечения ИБ Российской Федерации.


Тема 6. Правовая защита компьютерной информации.

Понятия и классификация видов компьютерных правонарушений. Признаки компьютерных преступлений


Понятие и виды защищаемой информации по законодательству России.

Под юридическими аспектами организационно-правового регулирования защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигались бы следующие цели:

обязательное исполнение всех правил защиты информации всеми ли­цами, имеющими отношение к конфиденциальной информации;

определение мер ответственности за нарушения правил защиты информации;

юридическое закрепление технико-математического решения вопро­сов организационно-правового регулирования защиты информации;

разрешение ситуаций, складывающихся в процессе функционирова­ния системы защиты, в процессуальном порядке.

Компьютерные преступления являются частью информационных преступлений, объ­единенных единым инструментом обработки информации – компьюте­ром. Информационные преступления представляют собой общественно опас­ные деяния, совершенные в области информационных отношений и запре­щенные уголовным законом под угрозой наказания. Информационные преступления условно можно разделить на две группы:

информационные преступления в области компьютерной информации (компьютерные преступления);

информационные преступления в области иной информации.

Компью­терные преступления как действия, в которых компьютер является либо объектом, либо орудием посягательств. Кража компьютеров рассматривается как один из способов совершения компь­ютерных преступлений.

К компьютерным престу­плениям относятся также противозаконные действия в процессе авто­матизированной обработки информации. Главный классифицирующий признак, позволяющий отнести эти преступления в обособленную группу, – общность способов, орудий, объектов пося­гательств.

Признаки компьютерных преступлений:

неавторизованное использование компьютерного времени;

неавторизованные попытки доступа к файлам данных;

кражи частей компьютеров;

кражи программ;

физическое разрушение оборудования;

уничтожение данных или программ;

неавторизованное владение дискетами, лентами или распечатками.


Тема 7. Угрозы, вероятные каналы утечки конфиденциальной

информации: причины возникновения, характеристики, классификация


Несанкционированный доступ к ЭВТ – способ совершения компью­терных преступлений, обусловленный действиями преступника, направ­ленными на получение несанкционированного доступа к средствам компьютерной техники.

Наиболее характерные виды несанкционированного доступа:

«за дураком» – используется для проникновения в запретные зоны. Метод такого физического проникновения рассчитан на низкую бдительность сотрудников организации;

«за хвост» – преступник подключается к линии связи законного пользователя, ожидает сигнала конца работы. Перехватывает его «на себя» и по­сле окончания законным пользователем активного режима работы осуществляет доступ к системе;

«компьютерного абордажа» – осуществляется путем случайного подбора абонентного номера компьютерной системы потерпевшей стороны;

неспешный выбор – способ совершения, заключающийся в том, что преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите;

способом определения «брешей». Отличается от предыдущего тем, что преступник осуществляет конкретизацию слабых мест ЭВТ;

«люк» – является логическим продолжением предыдущего и заключа­ется в том, что в найденной «бреши» программа «разрывается» и туда дополнительно преступник вводит одну или несколько команд.


Тема 8. Классификация видов противоправных деяний

в отношения компьютерной информации




В Уголовном кодексе РФ компьютерные преступле­ния определены в отдельной главе тремя статьями, в которых рассмотре­ны следующие правонарушения:

неправомерный доступ к охраняемой законом компьютерной информации (ст. 272);

создание программ для ЭВМ или внесение изменений в существую­щие программы, заведомо приводящих к несанкционированному уничтожению (ст. 273);

нарушение правил эксплуатации ЭВМ, сети ЭВМ лицом, имеющим доступ к ЭВМ, повлек­шее уничтожение информации (ст. 274).

Компьютерное преступление – общественно опасное действие, в котором машинная информация является либо средством, либо объектом преступного посягательства.

В компьютерных преступлениях, можно выделить ряд особенностей:

1) неоднородность объекта пре­ступления;

2) компьютерная информация выступает в качестве объекта, так и в качестве средства преступления;

3) много­образие способов использования предметов и средств преступления, вы­званное широким спросом ЭВМ в различных видах деятельности лично­сти, общества и государства;

4) разнообразие предметов и средств пре­ступления, обусловленное наличием множества средств и составных компонентов компьютерной техники по своему функциональному назна­чению;

5) ЭВМ выступает либо в качестве предмета, либо в качестве объекта совершения преступления.


Тема 9. Способы и механизмы совершения компьютерных преступлений


Способ совершения преступления – это поведение субъекта преступления, являющиеся объективным и субъективным условием совершения преступле­ния, оставляющего различного рода характерные следы вовне.

Механизм совершения преступления – система данных, описывающих временной и динамический порядок связи отдельных этапов, обстоятельств, факторов подготовки, совершения и сокрытия следов преступления, позво­ляющих воссоздать картину процесса ее совершения,

В России, принята неформальная клас­сификация компьютерных преступников:

нарушители правил пользования ЭВМ – лица, совершающие преступления из-за недостаточно хорошего знания техники, желания ознакомиться с интересующей их информацией, похитить какую-либо про­грамму или бесплатно пользоваться услугами ЭВМ;

«белые воротнички» – бухгалтеры, казначеи, управляющие финансами различных фирм, и др.) – лица совершающие действия с ЭВМ в целях моделирования преступлений, компьютерного шантажа, мистификации и фальсификации информации и т. д. Целью этих преступных действий является получение материальной выгоды или сокрытие других преступных действий;

«компьютерные шпионы» – подготовленные в организационно-техническом отношении специалисты, осуществляющие свои действия с целью получения стратегически важных данных о противнике;

«хакеры» («одержимые программисты») – технически и профессионально подготовленные, разбирающиеся в ЭВТ и программировании, осуществляющие свои действия с целью кра­жи, модификации или уничтожения имеющейся в них информации.

Тема 10. Меры защиты финансовой информации

от компьютерных преступлений


Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения).

Неправомерное завладение информацией как товаром (незаконное копирование информации как товара).

Незаконное использование программных продуктов.

Неправомерное завладение информацией как идеей, алгоритмом (методом преобразования информации).

Неправомерная модификация информации как товара.

Разрушение информации как товара.

Преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных технических норм и правил.


Тема 11. Понятие и режим коммерческой тайны. Практика защиты коммерческой таймы в США. Понятие и режим государственной тайны


Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну, – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

Режим коммерческой тайны – правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

Доступ к информации, составляющей коммерческую тайну, – ознакомление определенных лиц с информацией с согласия ее обладателя.


Тема 12. Государственное регулирование деятельности по лицензированию и сертификации в области информационной безопасности


Система государственного лицензирования деятельности в области защиты информации является составной частью государственной систе­мы защиты информации. Деятельность системы лицензирования органи­зуют федеральные органы исполнительной власти в пределах своей ком­петенции.

Работу органов системы государственного лицензирования деятельно­сти координирует Межведомственная комиссия по защите государствен­ной тайны. Функциями органов, уполномоченных на ведение лицензионной деятельности, являются:

организация лицензирования деятельности предприятий;

организация и проведение специальных экспертиз предприятий;

рассмотрение заявлений предприятий о выдаче лицензий;

принятие решений о выдаче или об отказе в выдаче лицензий;

выдача лицензий;

принятие решений о приостановлении действия лицензии или об ее аннулировании;

разработка нормативно-методических документов по вопросам лицен­зирования;

привлечение в случае необходимости представителей министерств и
служб Российской Федерации для проведения специальных экспертиз;

ведение реестра выданных, приостановленных и аннулированных ли­цензий.

На систему государственного лицензирования возлагаются функции по разработке и обеспечению комплекса мер организационного, матери­ально-технического и иного характера, необходимых для осуществления лицензирования деятельности предприятий, организаций и учреждений по проведению работ, связанных с использованием сведений, состав­ляющих государственную тайну.

Система сертификации средств защиты информации.

Документ, выдаваемый компетентными органами и удостоверяющий качество товара.

Сертификация в области ИБ и защиты информации. Сер­тификат происхождения товара, сертификат соответствия, сертификат специалиста.


Тема 13. Система лицензирования в области защиты

конфиденциальной информации


Система лицензирования направлена на создание условий, при кото­рых право заниматься работами по запретной информации для сторонне­го заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

Основные виды лицензий:

простая – лицензиар (владелец патента) предоставляет лицензиату право использовать изобретение в установленных договором пределах;

исключительная – предоставляет исключительное право на использо­вание изобретения в установленных договором пределах;

полная – предоставляет право использовать все основанные на патен­те права в течение срока его действия.

Требования к оформлению лицензий, их приобретению, учету, хра­нению:

наличие степени защиты, соответствующей степени защиты ценной бумаги на предъявителя;

принадлежность к документам строгой отчетности, наличие учетной серии и номера;

лицензия подписывается руководителем (заместителем руководителя) уполномоченного органа и заверяется печатью этого органа;

копия лицензии хранится в органе, уполномоченном на ведение ли­цензионной деятельности.

Передача лицензии другому юридическому лицу запрещена.

Тема 14. Аттестация объектов информатизации. Аккредитация

испытательных органов сертификации средств защиты информации


Под аттестацией объектов информатизации понимается комплекс орга­низационно-технических мероприятий по проверке (аттестационным испы­таниям) защищаемого объекта информатизации в реальных условиях экс­плуатации.

Объекты информатизации, аттестуемые по требованиям ИБ, – авто­матизированные системы различного уровня и назначения, системы свя­зи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ве­дения конфиденциальных переговоров.

Аттестацию организует федеральный орган, а проводит соответст­вующий орган по сертификации продукции и аттестации объектов ин­форматизации по требованиям ИБ (федеральный орган по сертификации и аттестации).

Аккредитация испытательных органов сертификации средств защиты информации включает рассмотрение принципов аккредита­ции юридических лиц (предприятий, организаций и учреждений) в каче­стве испытательных лабораторий и органов по сертификации средств защиты информации в системе сертификации средств защиты информа­ции по требованиям безопасности информации.

Правовой основой проведения аккредитации служат право­вые акты:

Постановление Правительства РФ, приказ ФСБ России, постановление Госстандарта России.


Тема 15. Международные стандарты безопасности

информационных систем


«Оранжевая» и «Сиреневая» книги Министерства обороны США. Основные положения и концепция построения общих критериев защищенности информационных технологий. Структура и основное содержание стандарта ГОСТ Р ИСО/МЭК 15408. Управление информационной безопасностью системы. Британский стандарт BS 7799 (ISO 17799).


Тема 16. Методы обеспечения безопасности электронных платежных

систем. Криптографические методы и средства защиты информации


Структура типовой электронной платежной системы, анализ основных угроз ее функционированию, технологий, применяемых для обеспечения информационной безопасности. Сравнительный анализ стоимости транзакций для электронных платежных систем, ориентированных на различные области применения.

Шифры и их свойства. Симметричное шифрование. Системы шифрования с открытыми ключами (асимметричное шифрование). Блочные и потоковые шифры. Принципы построения криптографических алгоритмов. Различие между программными и аппаратными реализациями. Криптографические хеш-функции. Электронная цифровая подпись. Инфраструктура открытых ключей. Криптографические протоколы. Рекомендации Х.509 и цифровые сертификаты.


Тема 17. Перспективы и тенденции развития методов

и средств обеспечения финансово-информационной безопасности

Правовые проблемы использования Интернет-технологий


Перспективы абсолютных значений и пропорций, характеризующих структуру инцидентов, произошедших с компонентами информационной инфраструктуры предприятий и организаций и понесенного ими ущерба. Прогноз развития ситуации в России.

Контекст Финансово-информационной безопасности, взвешенный риск. Подход общих критериев. Правовые возможности общих критериев и виды оценок. Конфиденциальность, целостность и доступность. Доверительные отношения и отсутствие неправомерных сделок по информационной безопасности. Отслеживание актуальной сетевой схемы. Периодические обнаружения уязвимости в правовых документах. Отслеживание взаимоотношений с источниками информации. Мониторинг зондирования и проникновения постороннего в систему (отслеживание причины привлечения внимания). Работа по определению источника, инициирующего проникновение, с учетом возможности атаки изнутри.
  1   2   3

Добавить в свой блог или на сайт

Похожие:

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины правовое регулирование рынка ценных бумаг для студентов юридического факультета
Учебно-методический комплекс дисциплины «Правовое регулирование рынка ценных бумаг» / сост. Г. В. Петрова. – М. Импэ им. А. С. Грибоедова....

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины правовое регулирование в области оборота сельскохозяйственных земель для студентов юридического факультета
Учебно-методический комплекс дисциплины «Правовое регулирование в области оборота сельскохозяйственных земель». – М.: Импэ им. А....

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины правовое и этическое регулирование современной рекламы и паблик рилейшнз для студентов факультета журналистики
Учебно-методический комплекс дисциплины «Правовое и этическое регулирование современной рекламы и Паблик Рилейшнз» / автор-сост....

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс Право интеллектуальной собственности Принята на заседании кафедры гражданского и предпринимательского права
Настоящий Учебно-методический комплекс по дисциплине “Право интеллектуальной собственности”, предназначен для студентов юридического...

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины Логика Для студентов юридического факультета
Учебно-методический комплекс дисциплины «Логика» : для студентов юридического факультета / сост. И. Д. Кузнецова. – М. Импэ им. А....

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс по дисциплине «Регулирование отдельных видов гражданских правоотношений» составлен в соответствии с учебными планами специальности «Юриспруденция».
Учебно-методический комплекс предназначен для студентов юридического факультета очной и заочной форм обучения

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины административно-процессуальное право для студентов юридического факультета
Учебно-методический комплекс дисциплины «Административно-процессуальное право» : для студентов юридического факультета / сост. А....

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс Челябинск 2010 Составитель: Зенина О. Г. кандидат юридических наук Учебно-методический комплекс дисциплины «Римское право»
...

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс дисциплины нотариат для студентов юридического факультета
Учебно-методический комплекс дисциплины «Нотариат» / сост. Т. Е. Борисова. – М. Импэ им. А. С. Гри­боедова, 2010. – 28 с

Учебно-методический комплекс дисциплины Правовое регулирование финансово-информационной безопасности Для студентов юридического факультета iconУчебно-методический комплекс для студентов юридического факультета Омгу им. Ф. М. Достоевского (всех форм обучения)
Учебно-методический комплекс предназначен для студентов юристов ОмГУ. В нем представлены программа дисциплины «Криминалистика», нормативные...


Разместите кнопку на своём сайте:
lib.convdocs.org


База данных защищена авторским правом ©lib.convdocs.org 2012
обратиться к администрации
lib.convdocs.org
Главная страница