Главная страница
Навигация по странице:

  • 1. Состав автоматизированной системы объекта информатизации «

  • 3. Заключение.

  • Председатель комиссии: Члены комиссии

    		•

    Лабораторная работа 6 Классификация автоматизированных и информационных систем персональных данных


    Скачать 438.32 Kb.
    НазваниеЛабораторная работа 6 Классификация автоматизированных и информационных систем персональных данных
    Дата21.05.2023
    Размер438.32 Kb.
    Формат файлаpdf
    Имя файлаZadanie6 (1).pdf
    ТипЛабораторная работа
    #1149018

    Лабораторная работа №6
    Классификация автоматизированных и информационных систем персональных данных
    Учебные цели занятия:
    В результате настоящего занятия и последующей самостоятельной работы Вы должны:
    1. Знать нормативные правовые документы в области защиты персональных данных.
    2. Знать правовые нормативные акты и нормативные методические документы Федеральной службы безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю.
    3. Уметь применять комплексный подход к обеспечению информационной безопасности персональных данных.
    4. Приобрести способность оформить рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности.
    5. Приобрести навыки анализа и обобщения полученных результатов.
    Время 180 минут
    Распределение времени занятия:
    Вступительная часть.
    - 10 мин
    Проверка готовности студентов к занятию.
    - 20 мин
    Учебные вопросы занятия:
    1.
    Классификация автоматизированных систем.
    - 60 мин
    2.
    Классификация информационных систем персональных данных
    - 80 мин
    Заключение
    - 5 мин.
    Задание студентам для самостоятельной работы
    - 4 мин.
    СОДЕРЖАНИЕ ЗАНЯТИЯ
    Вступительная часть
    На сегодняшней лабораторной работе Вам предлагается выполнить практические задания, связанные с классификацией автоматизированных систем и информационных систем персональных данных
    Проверка готовности студентов к занятию
    1. По тестовым вопросам.
    Основные теоретические сведения
    1. Классификация АС
    1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
    1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
    1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
    1.4. Основными этапами классификации АС являются: разработка и анализ исходных данных; выявление основных признаков АС, необходимых для классификации;
    сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации от НСД.
    1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются: перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС.
    1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
    1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный.
    1.8. Устанавливается девять классов защищенности АС от НСД к информации.
    Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
    Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
    В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности
    АС.
    1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
    Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа
    (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
    Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д,
    1Г, 1В, 1Б и 1А.
    2.
    Классификация информационных систем
    ИСПДн – это информационная система персональных данных.
    Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
    Оператором является организация, которая обрабатывает данные субъекта.
    Субъект – это человек, который предоставляет персональные сведения о себе.
    Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
    ИСПДн на примере
    Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной
    информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
    Классификация и типы ИСПДн
    Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению: типа ИСПДн; актуальных угроз.
    Типы ИСПДн
    Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы
    ИС, которые обрабатывают ПДн, относящиеся к следующим категориям: специальные; биометрические; общедоступные; иные; персональные данные сотрудников.
    Актуальные угрозы ИСПДн
    После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы: первого типа; второго типа; третьего типа.
    К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
    К угрозам второго типа относятся не декларированные возможности в прикладном ПО.
    Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
    К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
    Уровни защищенности ИСПДн
    Существует четыре уровня защищенности.
    Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов: чьи персональные данные обрабатываются (работников или не работников); количество субъектов ПДн.

    Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
    Категория ПДн Отношение субъекта ПДн к оператору
    Количество ПДн
    Актуальные угрозы
    У 1
    У 2
    У 3 специальные не сотрудник более 100000
    УЗ 1
    УЗ 1
    УЗ 2 менее 100000
    УЗ 1
    УЗ 2
    УЗ 3 сотрудник нет ограничений
    УЗ 1
    УЗ 2
    УЗ 3 биологические не сотрудник более 100000
    УЗ 1
    УЗ 2
    УЗ 3 менее 100000
    УЗ 1
    УЗ 2
    УЗ 3 сотрудник нет ограничений
    УЗ 1
    УЗ 2
    УЗ 3 общедоступные не сотрудник более 100000
    УЗ 2
    УЗ 2
    УЗ 4 менее 100000
    УЗ 2
    УЗ 3
    УЗ 4 сотрудник нет ограничений
    УЗ 2
    УЗ 3
    УЗ 4 иные не сотрудник более 100000
    УЗ 1
    УЗ 2
    УЗ 3 менее 100000
    УЗ 1
    УЗ 3
    УЗ 4 сотрудник нет ограничений
    УЗ 1
    УЗ 3
    УЗ 4
    Методические пояснения и рекомендации по выполнению первого вопроса
    В ходе отработки первого вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию автоматизированной системы и составить акт классификации автоматизированной системы. Форма акта классификации автоматизированной системы приведена в Приложении 1.
    Методические пояснения и рекомендации по выполнению второго вопроса
    В ходе отработки второго вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию информационной системы и составить акт классификации информационной системы. Форма акта классификации информационной системы приведена в Приложении 2.

    Отчетность за занятие
    Отчет по лабораторной работе должен содержать заполненные в соответствии с требованиями руководящих документов:
    1. Акт классификации автоматизированной системы.
    2. Акт классификации информационной системы.
    Результаты работы должны быть отражены в отчете и защищены устно каждым студентом.
    Заключение
    Проводится собеседование по результатам работы с каждым студентом. Студентам, успешно завершившим выполнение всех практических заданий, выставляется оценка.
    Список рекомендуемой литературы
    1. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации. Руководящий документ. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
    2. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении
    Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
    Методическая литература:
    1.
    Башлы, П.Н. Информационная безопасность и защита информации: Учебник [Электронный ресурс] / П. Н. Башлы, А. В. Бабаш, Е. К. Баранова. – М.: РИОР, 2013. – 222 с. – Режим доступа: http://znanium.com/bookread.php?book=405000 (дата обращения 01.09.2014);
    2.
    Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: учебное пособие [электронный ресурс] / В.Ф. Шаньгин. – М.: ИД ФОРУМ: НИЦ ИНФРА-М, 2013. –
    592 с. – Режим доступа: http://znanium.com/bookread.php?book=402686 (дата обращения
    01.09.2014).
    3.
    Богданов П.Ю., Яготинцева Н.В. Организационно-правовое обеспечение информационной безопасности: Учебное пособие. СПБ.: ООО «Андреевский издательский дом», 2015 г. - 169 стр.

    Режим доступа: http://elib.rshu.ru/files_books/pdf/rid_d965d8fa348543e6a8b8287bfc626eb8.pdf (дата обращения
    12.02.2022);
    Интернет-ресурсы:
    1. http://fstec.ru/
    - официальный сайт ФСТЭК РФ;
    2. http://www.fsb.ru/- официальный сайт ФСБ РФ;

    36
    Приложение 1
    УТВЕРЖДАЮ
    Генеральный директор
    «____»____________2009г.
    АКТ
    классификации автоматизированной системы (АС) «____________»
    Комиссия, назначенная Приказом №______ от ____________г. в составе председателя комиссии: _________________________________________________ членов комиссии:
    _______________________________________________________________________________
    _______________________________________________________________________________
    __________________________________________________________ провела классификацию автоматизированной системы «_________________________» и установила:
    1. Состав автоматизированной системы объекта информатизации
    «______________________________________________________________________»
    Перечень технических средств автоматизированной системы
    «_____________________________________________________________________», расположенной по адресу: ________________________________________________:

    Название
    Модель, тип
    Уч. (зав.) номер
    2. Выявленные определяющие признаки классификации автоматизированной
    системы:

    37
    3. Заключение.
    Комиссия, учитывая вышеизложенное и рассмотрев следующие утвержденные документы:
     «Перечень защищаемых ресурсов автоматизированной системы
    «___________________________________________________________» и уровень их конфиденциальности» (№____ от _________________);
     «Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы «___________________________________» и уровень их полномочий» (№_____ от __________________);
     «Матрица доступа субъектов автоматизированной системы
    «_______________________________________________________» к ее защищаемым информационным ресурсам» (№______ от ______________________).
    На основании определяющих признаков классификации и в соответствии с п.п. 1.7.,
    1.9. руководящего документа Гостехкомиссии России «Автоматизированные системы.
    Защита от несанкционированного доступа к информации.
    Классификация автоматизированных систем и требования по защите информации» и руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», установила для автоматизированной системы «________________» класс защищенности ___________.
    Председатель комиссии:
    Члены комиссии:

    Приложение 2
    УТВЕРЖДАЮ
    Генеральный Директор
    ЗАО «Компания-оператор ПДн»
    __________________ Фамилия И. О.
    «___» ____________ 2013 г.
    АКТ № 1 классификации информационной системы персональных данных
    «Название ИСПДн»
    В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119
    «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___»
    ___________ № ____ комиссия в составе: председатель комиссии: должность Фамилия И. О., члены комиссии: должность Фамилия И. О., должность Фамилия И. О., произвела сбор данных об информационной системе персональных данных и установила нижеследующее:
    1) в информационной системе персональных данных (ИСПДн) обрабатываются персональные данные иных категорий персональных данных сотрудников оператора;
    2) в ИСПДн одновременно обрабатываются персональные данные менее чем 100 000 субъектов персональных данных;
    3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких из нескольких АРМ и серверов;
    4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения;
    5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским;
    6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа;
    7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации;
    8) речевая обработка сведений составляющих ПДн в информационной системе не осуществляется.
    9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
    В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119
    «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4. председатель комиссии:
    Фамилия И. О.
    _____________________
    "___"_________ 2013 г члены комиссии:
    Фамилия И. О.
    _____________________
    "___"_________ 2013 г.
    Фамилия И. О.
    _____________________
    "___"_________ 2013 г

    Приложение №3
    Варианты базового уровня:
    1. Выполнить классификацию автоматизированных систем и составить акты классификации для дошкольной образовательной организации.
    2. Выполнить классификацию информационных систем персональных данных и составить акты классификации для дошкольной образовательной организации.
    3. Выполнить классификацию автоматизированных систем и составить акты классификации для общеобразовательной организации.
    4. Выполнить классификацию информационных систем персональных данных и составить акты классификации для общеобразовательной организации.
    5. Выполнить классификацию автоматизированных систем и составить акты классификации для профессиональной образовательной организации.
    6. Выполнить классификацию информационных систем персональных данных и составить акты классификации для профессиональной образовательной организации.
    7. Выполнить классификацию автоматизированных систем и составить акты классификации для агентства недвижимости.
    8. Выполнить классификацию информационных систем персональных данных и составить акты классификации для агентства недвижимости.
    9. Выполнить классификацию автоматизированных систем и составить акты классификации для юридического агентства.
    10. Выполнить классификацию информационных систем персональных данных и составить акты классификации для юридического агентства.
    11. Выполнить классификацию автоматизированных систем и составить акты классификации для администрации города.
    12. Выполнить классификацию информационных систем персональных данных и составить акты классификации для администрации города.
    Варианты повышенного уровня:
    1. Выполнить классификацию автоматизированных систем и составить акты классификации для автотранспортного предприятия.
    2. Выполнить классификацию информационных систем персональных данных и составить акты классификации для автотранспортного предприятия.
    3. Выполнить классификацию автоматизированных систем и составить акты классификации для образовательной организации высшего образования.
    4. Выполнить классификацию информационных систем персональных данных и составить акты классификации для образовательной организации высшего образования.
    5. Выполнить классификацию автоматизированных систем и составить акты классификации для организации дополнительного образования.
    6. Выполнить классификацию информационных систем персональных данных и составить акты классификации для организации дополнительного образования.
    7. Выполнить классификацию автоматизированных систем и составить акты классификации для городской поликлиники.
    8. Выполнить классификацию информационных систем персональных данных и составить акты классификации для городской поликлиники.
    9. Выполнить классификацию автоматизированных систем и составить акты классификации для городской детской поликлиники.
    10. Выполнить классификацию информационных систем персональных данных и составить акты классификации для городской детской поликлиники.
    11. Выполнить классификацию автоматизированных систем и составить акты классификации для министерства здравоохранения края.
    12. Выполнить классификацию информационных систем персональных данных и составить акты классификации для министерства здравоохранения края.

    написать администратору сайта