Важно. !!!_Важно!!!_МетодПособие-ИнБезОС-21(БИ-4). Методическое пособие к лабораторным работам Составитель др техн наук, проф. Ю. М. Краковский 2022 оглавление

Название	Методическое пособие к лабораторным работам Составитель др техн наук, проф. Ю. М. Краковский 2022 оглавление
Анкор	Важно
Дата	24.03.2022
Размер	341.83 Kb.
Формат файла
Имя файла	!!!_Важно!!!_МетодПособие-ИнБезОС-21(БИ-4).docx
Тип	Методическое пособие #412455
страница	4 из 6

1 2 3 4 5 6

Лабораторная работа № 5

«Порядок проведения классификация

информационных систем в РФ»
Цель работы – освоить порядок проведения классификации информационных систем в соответствии с требованиями Приказа ФСТЭК России от 11 февраля 2013 г. №17 с учетом приказа ФСТЭК от 15.02.2017 г. № 27.
Введение

В последнее десятилетие в Российской Федерации государственными регуляторами активно проводятся мероприятия по совершенствованию организационно-правовой базы в сфере защиты информационных систем различного назначения. Можно отметить следующие значимые документы, которые появились в это время:

– приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013 № 17;

– приказ ФСТЭК России «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14.03.2014 № 31.

– приказ ФСТЭК от 15.02.2017 г. № 27 в развитие приказа ФСТЭК от 11.02.2013 № 17;

– приказ ФСТЭК от 27.03.2017 г. № 49 в развитие приказа ФСТЭК от 14.03.2014 № 31.

Приказ № 17 с учетом приказа № 27 для защиты государственных ИС предусматривает проведение следующих мероприятий:

– принятие решения о необходимости защиты информации в ИС;

– классификацию ИС по требованиям защиты информации;

– определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

– определение требований к системе защиты информации информационной системы.

Приказ №17 с учетом приказа № 27 устанавливает обязательные требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных и муниципальных информационных системах (ИС).

В документах не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.

Требования к системе защиты информации ИС определяются в зависимости от:

1) класса защищенности ИС;

2) угроз безопасности информации, включенных в модель угроз безопасности информации.
Базовый набор мер защиты информации

Состав базового набора мер защиты информации для установленного класса защищенности ИС определены приложением к приказу № 27.

Учитывая важность этого приложения, оно приведено в приложении № 1 данного методического пособия.

Эти меры содержат 13 разделов.

Расширенный набор мер защиты информации в государственных ИС, не содержащих государственную тайну, определен методическим документом ФСТЭК РФ от 11.02.2014 г.

В соответствие с этим документом выбор мер защиты информации для их реализации в государственных ИС в рамках ее системы защиты информации включает следующие этапы:

– определение базового набора мер защиты информации для установленного класса защищенности ИС в соответствии с базовыми наборами мер защиты информации, разработанных ФСТЭК;

– адаптация базового набора мер защиты информации применительно к структурно-функциональным характеристикам ИС, информационным технологиям, особенностям функционирования ИС (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС);

– уточнение адаптированного базового набора мер защиты информации с учетом, не выбранных ранее мер защиты информации в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модель угроз безопасности информации;

– дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации.

В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

В целом для обеспечения защиты информации, содержащейся в ИС, проводятся следующие мероприятия:

– формирование требований к защите информации, содержащейся в ИС (зависит от определенного в итоге набора мер защиты информации в ИС);

– разработка системы защиты информации ИС (определение организационных мероприятий, выбор технических и физических средств защиты информации в том числе для реализации определенного набора мер защиты);

– внедрение системы защиты информации ИС;

– аттестация информационной системы по требованиям защиты информации (проводится лицензиатами ФСТЭК России) и ввод ее в действие;

– обеспечение защиты информации в ходе эксплуатации аттестованной ИС;

– обеспечение защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации.
Определение класса защищенности ИС

Определение класса защищенности ИС является обязательным этапом при определении мер защиты информации.

Приказ ФСТЭК № 27 совместно с приказом № 17 устанавливает обязательные требования к обеспечению защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных и муниципальных ИС.

В документах не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.

Если при описании назначения ИС было выделено несколько видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа), то определяется итоговый уровень значимости информации;

Приказ № 27 устанавливает три класса защищённости ИС:

– первый класс (К1) (наивысший с точки зрения защиты);

– второй класс (К2);

– третий класс (К3).

Класс защищенности (КЗ) ИС определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой ИС, и масштаба информационной системы (М)

КЗ(УЗ, М). (5.1)

Уровень значимости информации, обрабатываемой в ИС, зависит от трех факторов, связанных с аспектами безопасности информации:

– степень возможного ущерба от нарушения конфиденциальности информации в ИС (неправомерный доступ, копирование, предоставление или распространение) (СВУ_К);

– степень возможного ущерба от нарушения целостности информации в ИС (неправомерные уничтожение или модифицирование) (СВУ_Ц);

– степень возможного ущерба от нарушения доступности (неправомерное блокирование) информации в ИС (СВУ_Д);

УЗ(СВУ_К, СВУ_Ц, СВУ_Д). (5.2)

Каждый этот фактор зависит от степени возможного ущерба ИС и имеет три уровня, которые определяются по созданной экспертами 3-х уровневой шкале:

– высокий (В), если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ИС и (или) организация не могут выполнять возложенные на них функции;

– средний (С), если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ИС и (или) организация не могут выполнять хотя бы одну из возложенных на них функций;

– низкий (Н), если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ИС и (или) организация могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Уровень значимости информации определяется по 3-х входовой таблице 5.1, которая реализует модель (5.2).

Информация имеет высокий уровень значимости (УЗ=УЗ1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ=УЗ2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Таблица 5.1

Определение уровня значимости информации

СВУ_К

СВУ_Ц

СВУ_Д

Информация имеет минимальный уровень значимости (УЗ=УЗ3), если степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) имеют минимальный уровень (Н).

Например, если СВУ_К=С, СВУ_Ц=В, а СВУ_Д=Н, то УЗ=УЗ1.

При обработке в ИС двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа), уровень значимости информации определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в ИС, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности и доступности информации каждого вида информации.

Масштаб (М) ИС может иметь три уровня и определяется по созданной экспертами 3-х уровневой шкале:

– федеральный масштаб (Ф), если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях;

– региональный масштаб (Р), если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях;

– объектовый масштаб (О), если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Класс защищенности (КЗ) ИС определяется по 2-х входовой таблице 5.2, которая реализует модель (5.1).

Например, если УЗ=УЗ1, а М=Р, то КЗ=1.

Еще раз подчеркнем, класс защищенности ИС влияет на базовый набор мер защиты. Этот базовый набор определен приложением к приказу № 27 по 13 разделам, приведенном в приложении № 1 к лабораторной работе.

.

Таблица 5.2

Определение класса защищенности ИС

УЗ	М
УЗ	Ф	Р	О
УЗ1	КЗ=1	КЗ=1	КЗ=1
УЗ2	КЗ=1	КЗ=2	КЗ=2
УЗ3	КЗ=2	КЗ=3	КЗ=3

Меры защиты информации, не обозначенные знаком «+», применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.
Последовательность определения класса защищенности ИС

Таким образом, в соответствии с приказом №17 с учетом приказа ФСТЭК от 15.02.2017 г. № 27 класс защищенности ИС определяется в такой последовательности:

Описывается назначение и особенности ИС (таблица 5.3). Если какие-то аспекты безопасности не выделяются, то они имеют низкий уровень (Н);
Исходя из полученного описания, определяются: а) уровни степени возможного ущерба для факторов (5.2) (В, С, Н); б) уровень масштаба (Ф, Р, О);
Используя таблицу 5.1, определяют уровень значимости информации (1, 2, 3);
Если при описании назначения ИС было выделено несколько видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа), то определяется итоговый уровень значимости информации;
Используя таблицу 5.2, определяют класс защищенности ИС.

Содержание лабораторной работы, соответствует

последовательности определения класса защищенности ИС

Исходное описание ИС по варианту лабораторной работы необходимо взять из таблицы 5.3.

Исходя из своего варианта, определить исходные данные.
Определить итоговый уровень значимости информации (УЗ) для ИС;
Определить класс защищённости ИС (КЗ), что является завершением лабораторной работы.

Оформить лабораторную работу.
Список контрольных вопросов

Правовое обеспечение информационной безопасности.
Организационное обеспечение информационной безопасности.
Функции органов государственной власти, обеспечивающих

информационную безопасность в Российской Федерации.

Основные функции ФСТЭК.
Особенности обработки персональных данных.
Сфера применимости Приказа №17.
Виды ИС по масштабу.
На основании каких данных формируются требования к системе защиты информации ИС.
Перечень мероприятий для обеспечения защиты информации, содержащейся в ИС.
Порядок классификации ИС.
Вопросы по классификации ИС.

Варианты лабораторной работы
Таблица 5.3

№	Описание ИС
1	ИС функционирует в 3 федеральных округах РФ; содержит сведения, составляющие банковскую тайну. ИС предназначена для обеспечения деятельности большого банка; нарушение конфиденциальности влечет существенные последствия для организации.
2	ИС функционирует в пределах одного федерального округа РФ; содержит сведения, составляющие налоговую тайну; нарушение целостности информации влечет умеренные последствия; нарушение конфиденциальности влечет существенные последствия.
3	ИС функционирует в одном федеральном округе РФ, но в нескольких субъектах РФ. Содержит сведения, составляющие врачебную тайну. Нарушение конфиденциальности и доступности влечет существенные последствия для организации.
4	ИС функционирует в одном федеральном округе РФ, но в нескольких субъектах РФ. Содержит сведения, составляющие нотариальную тайну. Нарушение доступности и целостности влечет существенные последствия для организации.
5	ИС функционирует в 5 субъектах РФ. Содержит сведения, составляющие тайну следствия. Нарушение конфиденциальности и целостности влечет существенные последствия для организации.
6	ИС функционирует в 5 субъектах РФ. Содержит сведения, составляющие коммерческую тайну. Нарушение конфиденциальности и целостности влечет умеренные последствия для организации.
7	ИС функционирует в одной организации РФ. Содержит конфиденциальные сведения, предназначенные для управления технологически опасными процессами. Нарушение конфиденциальности, целостности и доступности влечет существенные последствия для организации.
8	ИС функционирует в одной организации РФ. Содержит конфиденциальные сведения, предназначенные для экономической деятельности. Нарушение конфиденциальности и доступности влечет существенные последствия для организации; нарушение целостности информации влечет умеренные последствия.
9	ИС функционирует в пределах одного федерального округа РФ. Содержит конфиденциальные сведения, предназначенные для принятия управленческих решений. Нарушение конфиденциальности и доступности влечет умеренные последствия для организации, а нарушение целостности - существенные.
10	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для управления технологически опасными процессами. Нарушение целостности и доступности влечет существенные последствия для организации.
11	ИС охватывает семь муниципальных образований РФ. Содержит сведения, составляющие адвокатскую тайну. Нарушение целостности и доступности влечет умеренные последствия для организации, а нарушение конфиденциальности - существенные.
12	ИС охватывает семь муниципальных образований РФ. Содержит сведения, составляющие врачебную тайну. Нарушение целостности и конфиденциальности влечет существенные последствия для организации.
13	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для экономической деятельности. Нарушение конфиденциальности и доступности влечет умеренные последствия для организации, а нарушение целостности - существенные последствия.
14	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для госуправления. Нарушение целостности и конфиденциальности влечет умеренные последствия для организации.
15	ИС функционирует в одной организации. Содержит конфиденциальную информацию (персональные данные). Последствия для организации от нарушения целостности, доступности и конфиденциальности информации имеют умеренные значения.
16	ИС охватывает шесть муниципальных образований РФ. Содержит конфиденциальную информацию (персональные данные). Нарушение целостности и конфиденциальности влечет существенные последствия для организации.
17	ИС функционирует в трех субъектах РФ. Содержит сведения, составляющие врачебную тайну. Нарушение конфиденциальности влечет умеренные последствия для организации, а нарушение целостности влечет существенные последствия.
18	ИС функционирует в трех субъектах РФ. Содержит сведения, составляющие коммерческую тайну. Нарушение конфиденциальности и доступности влечет умеренные последствия для организации.
19	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для принятия управленческих решений. Последствия для организации от нарушения целостности и конфиденциальности информации умеренные, а нарушение доступности влечет существенные последствия.
20	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для экономической отчетности. Последствия для организации от нарушения целостности, доступности и конфиденциальности информации не определены.
21	ИС охватывает семь муниципальных образований РФ. Содержит сведения, составляющие адвокатскую тайну. Нарушение целостности и доступности влечет умеренные последствия для организации, а нарушение конфиденциальности - существенные.
22	ИС охватывает семь муниципальных образований РФ. Содержит сведения, составляющие врачебную тайну. Нарушение целостности и конфиденциальности влечет существенные последствия для организации.
23	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для экономической деятельности. Нарушение конфиденциальности и доступности влечет умеренные последствия для организации, а нарушение целостности - существенные последствия.
24	ИС функционирует в одной организации. Содержит конфиденциальные сведения, предназначенные для госуправления. Нарушение целостности и конфиденциальности влечет умеренные последствия для организации.
25	ИС функционирует в одной организации. Содержит конфиденциальную информацию (персональные данные). Последствия для организации от нарушения целостности, доступности и конфиденциальности информации имеют умеренные значения.
26	ИС охватывает шесть муниципальных образований РФ. Содержит конфиденциальную информацию (персональные данные). Нарушение целостности и конфиденциальности влечет существенные последствия для организации.
27	ИС функционирует в трех субъектах РФ. Содержит сведения, составляющие врачебную тайну. Нарушение конфиденциальности влечет умеренные последствия для организации, а нарушение целостности влечет существенные последствия.
28	ИС функционирует в трех субъектах РФ. Содержит сведения, составляющие коммерческую тайну. Нарушение конфиденциальности и доступности влечет умеренные последствия для организации.

Студент должен оформить лабораторную работу в соответствии с заданием и защитить.

1 2 3 4 5 6