Главная страница
Навигация по странице:

  • 4.1. Категорирование информационных ресурсов, обрабатываемых в предлагаемой информационной системе

  • 4.2. Определение класса защищенности предлагаемой информационной системы

  • Методика определения класса защищенности государственных информационных систем

  • Класс защищенности (К) = [уровень значимости информации; масштаб системы].

  • УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]

  • - высокий уровень значимости

  • Методика определения класса защищенности автоматизированных информационных систем

  • Вторая группа

  • Методика определения уровня защищенности информационных систем персональных данных ИСПДн

  • Информационная система является информационной системой, обрабатывающей специальные категории персональных данных

  • Информационная система является информационной системой, обрабатывающей биометрические персональные данные

  • Информационная система является информационной системой, обрабатывающей общедоступные персональные данные

  • Информационная система является информационной системой, обрабатывающей иные категории

  • Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора

  • 1-го уровня защищенности персональных данных

  • 2-го уровня защищенности персональных данных

  • 3-го уровня защищенности персональных данных

  • 4-го уровня защищенности персональных данных

    		•

    Министерство образования, науки и молодежной политики нижегородской области


    Скачать 3.01 Mb.
    НазваниеМинистерство образования, науки и молодежной политики нижегородской области
    Дата16.01.2023
    Размер3.01 Mb.
    Формат файлаdocx
    Имя файлаDiplom+.docx
    ТипДокументы
    #889841
    страница4 из 6
    1   2   3   4   5   6
    Глава 4. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРОЕКТНЫХ РЕШЕНИЙ

    4.1. Категорирование информационных ресурсов, обрабатываемых в предлагаемой информационной системе

    Данный раздел начинается с описания где установлена ИС, кто с ней работает.

    Далее описываете какая информация будет содержаться в вашей информационной системе. Категорируете ее – распределяете по категориям в виде таблицы 1. В таблицу включаете только те категории, которые к вам относятся.

    Таблица 1 – Категории информационных ресурсов, содержащихся в информационной системе

    Информационный ресурс
    Категория

    В каком виде хранится информационный ресурс




    Общедоступные сведения



    Личные данные сотрудников
    Персональные данные
    Электронный




    Коммерческая тайна






    Служебная тайна






    Производственная тайна






    Профессиональная тайна






    Тайна судопроизводства




    Делаете вывод какие сведения будут подлежать защите.

    4.2. Определение класса защищенности предлагаемой информационной системы

    В данном разделе необходимо определить класс защищенности вашей информационной системы. Чтобы это сделать необходимо сначала определить к какому типу она относится: это автоматизированная информационная система, или информационная система персональных данных, или государственная система. Ниже приведены методики определения класса защищенности в зависимости от ее типа.

    Методика определения класса защищенности государственных информационных систем

    Государственная информационная система (ГИС) — это такая информационная система, которая обладает рядом характеристик:

    1. создается на основании закона или акта государственного органа (федерального или регионального);

    2. создается для обмена информацией и для реализации полномочий государственного органа, также цель создания может быть определена федеральным законом;

    3. информационное наполнение — документированная информация, которая предоставляется физическими лицами, организациями, государственными органами, органами местного самоуправления;

    4. на ГИС распространяются требования регуляторов ФСТЭК и ФСБ.

    5. Класс защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый) (в ред. Приказа ФСТЭК России от 15.02.2017 N 27).



    Класс защищенности (К) = [уровень значимости информации; масштаб системы].

    2. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

    УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)],

    где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

    - высокая степень ущерба, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;

    - средняя степень ущерба, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;

    - низкая степень ущерба, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

    Таким образом, информация может иметь:

    - высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

    - средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

    - низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.

    При обработке в информационной системе двух и более видов информации (служебная тайна, налоговая тайна и иные установленные законодательством Российской Федерации виды информации ограниченного доступа) уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации.

    1. Информационная система может иметь следующие масштабы:

    - федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

    - региональный масштаб, если информационная система функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

    - объектовый масштаб, если информационная система функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

    4. Класс защищенности информационной системы определяется в соответствии с таблицей 2.
    Таблица 2 – Матрица для определения класса защищенности государственной информационной системы



     Организационные меры и средства защиты информации, применяемые в информационной системе, должны обеспечивать:

    • в информационных системах 1 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с высоким потенциалом;

    • в информационных системах 2 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже усиленного базового;

    • в информационных системах 3 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже базового.

    Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:

    • в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;

    • в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;

    • в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.

    В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
    Методика определения класса защищенности автоматизированных информационных систем

    Классификация объекта информатизации осуществляется на основании руководящего документы "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)

    Определяющие признаки при классификации объекта информатизации:

    • наличие в объекте информатизации сведений различной степени конфиденциальности;

    • режим обработки данных (коллективный, индивидуальный);

    • различие полномочий доступа субъектов к защищаемой информации.

    Исходя из требований к группировке выделяют девять классов защищенности АС от НСД к информации (рис. 1). Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС:

    • Первая группа - многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

    • Вторая группа многопользовательские АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

    • Третья группа - однопользовательские АС, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А. 




    Рис. 1

    Методика определения уровня защищенности информационных систем персональных данных

    ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

    Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение Федерального закона "О персональных данных".

    Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

    Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

    Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, то есть 4 категория персональных данных.

    Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются специальные, биометрические и общедоступные персональные данные.

    Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

    Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

    Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

    Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

    Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

    Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

    При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных в соответствии с "Требованиями к защите персональных данных при их обработке в информационных системах персональных данных" (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

    Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

    а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

    б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

    Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

    а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

    б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

    г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

    Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

    а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

    г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

    д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

    Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

    а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

    б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

    Таким образом определяющие признаки при определении уровня защищенности персональных данных:

    • категория обрабатываемых персональных данных (рис. 2):

    1. ИСПДн-С - специальные

    2. ИСПДн-Б - биометрические

    3. ИСПДн-О - общедоступные

    4. ИСПДн-И иные

    • категория субъектов персональных данных (сотрудники оператора, не являющиеся сотрудниками оператора)

    • актуальные угрозы безопасности персональных данных (угрозы 1-го, 2-го, 3-го типа)

    • количество субъектов персональных данных (менее 10 000, более 10 000)

    мы, сопоставляя данную информацию (рис. 2) определяем уровень защищенности персональных данных исходя из которого предъявляются требования к обеспечению базового набора защитных мер, которые должны быть обеспечены в организации.


    1   2   3   4   5   6

    написать администратору сайта