Занятие Определение уровня исходной защищённости ( y 1 ) 15

Название	Занятие Определение уровня исходной защищённости ( y 1 ) 15
Дата	17.02.2023
Размер	1.72 Mb.
Формат файла
Имя файла	Metod_OZPD_LR_10.03.01_2020.docx
Тип	Занятие #941816
страница	12 из 20

1 ... 8 9 10 11 12 13 14 15 ... 20

Методика и порядок выполнения работы.

На данном практическом занятии студенты выполняют следующие задания: 3.1. Изучают документ Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах

персональных данных".

3.2. Для определения типа актуальной угрозы использовать правило: актуальные угрозы, не связанны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, если используемое ПО сертифицировано. Тогда для информационной системы актуален 3-й тип угрозы; соответственно наличие несертифицированного ПО в системном программном обеспечении определит 1- й тип актуальных угроз, а наличие несертифицированного ПО в прикладном

программном обеспечении определит 2-й тип актуальных угроз.

Задания

Изучить документ Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
С учётом исходных данных и на основании требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", определить тип актуальной угрозы.
Результат записать в отчёте.

Содержание отчёта и его форма

Отчёт выполняется каждым студентом индивидуально. Работа должна быть оформлена в электронном виде в формате .doc и распечатана на листах формата А4.

На титульном листе указываются: наименование учебного учреждения, наименование дисциплины, название и номер работы, вариант, выполнил: фамилия, имя, отчество, студента, курс, группа, проверил: преподаватель ФИО.

Контрольные вопросы

Какие меры включает в себя система защиты персональных данных?

Кто обеспечивает безопасность персональных данных при их обработке в информационной системе?
Продолжите предложение: Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если…

Лабораторное занятие №7.

Тема: Определение уровня защищенности ПДн.

Цель и содержание

Целью практических занятий является теоретическая и практическая подготовка студентов в области изучения проблем определения уровня защищенности ПДн при их обработке в информационных системах персональных данных, научиться работать с нормативными документами по защите персональных данных.

Теоретическое обоснование

Данное практическое задание предполагает использование документа Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории

персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных

сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Вся описанная информация может быть представлена в виде таблицы 10. Таблица 10. Определение уровня защищенности ПДн

Тип ИСПДн	Сотрудники оператора	Количество субъектов	Тип актуальных угроз
			1	2	3
ИСПДн-С	Нет	> 100 000	УЗ-1	УЗ-1	УЗ-2
	Нет	< 100 000	УЗ-1	УЗ-2		УЗ-3
	Да

Тип ИСПДн	Сотрудники оператора	Количество субъектов	Тип актуальных угроз
			1		2		3
ИСПДн-Б			УЗ-1		УЗ-2		УЗ-3
ИСПДн-И	Нет	> 100 000	УЗ-1		УЗ-2		УЗ-3
	Нет	< 100 000		УЗ-1		УЗ-3		УЗ-4
	Да
ИСПДн-О	Нет	> 100 000	УЗ-2		УЗ-2		УЗ-4
	Нет	< 100 000	УЗ-2		УЗ-3		УЗ-4

1 ... 8 9 10 11 12 13 14 15 ... 20

Занятие Определение уровня исходной защищённости ( y 1 ) 15

Методика и порядок выполнения работы.

Задания

Содержание отчёта и его форма

Контрольные вопросы

Лабораторное занятие №7.

Цель и содержание