Занятие Определение уровня исходной защищённости ( y 1 ) 15

Название	Занятие Определение уровня исходной защищённости ( y 1 ) 15
Дата	17.02.2023
Размер	1.72 Mb.
Формат файла
Имя файла	Metod_OZPD_LR_10.03.01_2020.docx
Тип	Занятие #941816
страница	14 из 20

1 ... 10 11 12 13 14 15 16 17 ... 20

Методика и порядок выполнения работы.

На данном практическом занятии студенты выполняют следующие задания:

Изучают документ Постановление Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Составляются Требования для обеспечения необходимого уровня защищенности персональных данных при их обработке в информационных системах Описаны в Постановление Правительства от 1 ноября 2012 г. N 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

«…13. Для обеспечения 4-го уровня защищенности персональных данныхприихобработкевинформационныхсистемахнеобходимовыполнениеследующихтребований:

а) организация режима обеспечения безопасности помещений, в которыхразмещенаинформационнаясистема,препятствующеговозможностинеконтролируемого проникновения или пребывания в этих помещениях лиц, неимеющихправа доступав эти помещения;

б)обеспечениесохранностиносителейперсональныхданных;

в)утверждениеруководителемоператорадокумента,определяющегопереченьлиц,доступкоторыхкперсональнымданным,обрабатываемымвинформационнойсистеме,необходимдлявыполненияимислужебных(трудовых)обязанностей;

г)использованиесредствзащитыинформации,прошедшихпроцедуруоценки соответствия требованиям законодательства Российской Федерации вобластиобеспечениябезопасностиинформации,вслучае,когдаприменениетаких средствнеобходимодля нейтрализацииактуальных угроз.

Для обеспечения 3-го уровня защищенности персональных данных приихобработкевинформационныхсистемахпомимовыполнениятребований,предусмотренныхпунктом13…,необходимо,чтобыбылоназначенодолжностное лицо (работник), ответственный за обеспечение безопасностиперсональных данныхв информационнойсистеме.
Для обеспечения 2-го уровня защищенности персональных данных приихобработкевинформационныхсистемахпомимовыполнения требований,

предусмотренных пунктом 14 …, необходимо, чтобы доступ к содержаниюэлектронногожурналасообщенийбылвозможенисключительнодлядолжностных лиц (работников) оператора или уполномоченного лица, которымсведения,содержащиесявуказанномжурнале,необходимыдлявыполненияслужебных(трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности персональных данных приихобработкевинформационныхсистемахпомимотребований,предусмотренныхпунктом15…,необходимовыполнениеследующихтребований:

а) автоматическая регистрация в электронном журнале безопасностиизмененияполномочийсотрудникаоператораподоступукперсональнымданным, содержащимсявинформационнойсистеме;

б) создание структурного подразделения, ответственного за обеспечениебезопасностиперсональныхданныхвинформационнойсистеме,либовозложение на одно из структурных подразделений функций по обеспечениютакой безопасности.»

Составляется модель защиты, заключающаяся в выборе мер, закрывающих актуальные угрозы безопасности. Модель защиты, в соответствии с пунктом 9 Приказа ФСТЭК России от 18.02.2013 № 21, составляется по следующему алгоритму:

определяется базовый набор мер, а именно составляется перечень тех мер, которые отмечены плюсами для соответствующего УЗ в приложении к Приказу ФСТЭК России от 18.02.2013 № 21;
проводится адаптация базового набора мер. На этом этапе из базового набора мер исключаются те, которые не актуальны из-за особенностей конкретной ИСПДн (например, исключаются меры по защите виртуализации, если виртуализация не используется); Для адаптации мер необходимо соотнести возможные угрозы безопасности ПДн к мерам по приложению Приказа №21 ФСТЭК. Для этого необходимо воспользоваться таблицей 11.

уточнение адаптированного базового набора мер. На этом этапе добавляются ранее не выбранные меры, если в соответствии с частной моделью угроз какие-либо из актуальных угроз остались незакрытыми.

Студенты составляют «АКТ определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных», содержащий обязательные поля для заполнения, отмеченные красным шрифтом. Акт оформляется в виде модели защиты с составом и содержанием мер по обеспечению безопасности ПДн, согласно формы для заполнения, см. приложение 3 данной методики. В Акт необходимо

включить следующие требования обязательные для выполнения. Требования перечислены в Постановлении Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», п.13.

Таблица 11. Соответствие угроз безопасности ПДн мерам по обеспечению безопасности ПДн.

Возможные угрозы безопасности ПДн	Меры по Приказу №21 ФСТЭК
1. Угрозы от утечки по техническим каналам	XII. Защита технических средств (ЗТС)
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации		ЗТС.4
1.3. Угрозы утечки информации по каналам ПЭМИН		ЗТС.1
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ		ЗТС.3
2.1.2. Кража носителей информации	IV. Защита машинных носителей персональных данных (ЗНИ)	ЗНИ.1 ЗНИ.2
2.1.3. Кража ключей и атрибутов доступа		ЗНИ.5
2.1.4. Кражи, модификации, уничтожения информации		ЗНИ.8
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи	XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)	ЗИС.3
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ	V. Регистрация событий безопасности (РСБ) II. Управление доступом субъектов доступа к объектам доступа (УПД)	РСБ.1-3
2.1.7. Несанкционированное отключение средств защиты		ЗТС.3
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и	XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)	ЗИС.3

Возможные угрозы безопасности ПДн	Меры по Приказу №21 ФСТЭК
программных средств (в том числе программно-математических воздействий)
2.2.1. Действия вредоносных программ (вирусов)	VI. Антивирусная защита (АВЗ)	АВЗ.1-2
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных	III. Ограничение программной среды (ОПС)	ОПС.2
2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей	III. Ограничение программной среды (ОПС)	ОПС.3
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в программном обеспечении, а также от сбоев аппаратуры, из- за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т. п.) характера	X. Обеспечение доступности персональных данных (ОДТ)	ОДТ.4
2.3.1. Утрата ключей и атрибутов доступа	I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)	ИАФ.4
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками	V. Регистрация событий безопасности (РСБ)	РСБ.7
2.3.3. Непреднамеренное отключение средств защиты	VIII. Контроль (анализ) защищенности персональных данных (АНЗ)	АНЗ.3
2.3.4. Выход из строя аппаратно-программных средств	IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)	ОЦЛ.1
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, копирование, модификация, уничтожение, лицами, не допущенными к ее обработке	X. Обеспечение доступности персональных данных (ОДТ)	ОЦЛ.2
2.4.2. Разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке		ОЦЛ.2
2.5.Угрозы несанкционированного доступа по каналам связи

Возможные угрозы безопасности ПДн	Меры по Приказу №21 ФСТЭК
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:	XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
2.5.1.1. Перехват за переделами контролируемой зоны		ОЦЛ.4
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями		ОЦЛ.1
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.		ОЦЛ.1
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	VIII. Контроль (анализ) защищенности персональных данных (АНЗ)	АНЗ.1-2
2.5.3.Угрозы выявления паролей по сети	XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)	АНЗ.3
2.5.4.Угрозы навязывание ложного маршрута сети		ЗИС.3
2.5.5.Угрозы подмены доверенного объекта в сети		ЗИС.11
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ	VI. Антивирусная защита (АВЗ)

1 ... 10 11 12 13 14 15 16 17 ... 20