Главная страница
Навигация по странице:

  • Контрольные

  • Занятие Определение уровня исходной защищённости ( y 1 ) 15


    Скачать 1.72 Mb.
    НазваниеЗанятие Определение уровня исходной защищённости ( y 1 ) 15
    Дата17.02.2023
    Размер1.72 Mb.
    Формат файлаdocx
    Имя файлаMetod_OZPD_LR_10.03.01_2020.docx
    ТипЗанятие
    #941816
    страница15 из 20
    1   ...   12   13   14   15   16   17   18   19   20

    3. Задания





    1. Изучить документ Приказу ФСТЭК России от 18.02.2013 № 21, разработанный ФСТЭК России.

    2. Определить базовый набор мер для соответствующего УЗ по приложению Приказа ФСТЭК России от 18.02.2013 21, разработанного ФСТЭК России.

    3. Адаптировать базовый набор мер путём исключения тех мер, которые не актуальны из-за особенностей конкретной ИСПДн.

    4. Уточнить адаптированный базовый набор мер путём добавления ранее не использованных мер.




    1. Результаты занести в таблицу.




    1. Составить Акт в виде модели защиты с составом и содержанием мер по обеспечению безопасности ПДн,
    1. Содержание отчёта и его форма



    Отчёт выполняется каждым студентом индивидуально. Работа должна быть оформлена в электронном виде в формате .doc и распечатана на листах формата А4.

    На титульном листе указываются: наименование учебного учреждения, наименование дисциплины, название и номер работы, вариант, выполнил: фамилия, имя, отчество, студента, курс, группа, проверил: преподаватель ФИО.

    1. Контрольные вопросы




    1. Какое основное требование к средствам защиты информации установлено в Приказе №21?

    2. Что должны обеспечивать меры по идентификации и аутентификации субъектов доступа и объектов доступа?

    3. Что должны обеспечивать меры по антивирусной защите?

    4. Что включает в себя выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных?

    5. В каких случаях применяются компенсирующие меры?

    6. Какого класса применяются средства вычислительной техники для обеспечения 3 уровня защищенности персональных данных?


    Лабораторное занятие 9

    Тема: Разработка системы защиты информации Информационной системы Теоретическая часть


    Разработка системы защиты информации информационной системы организуется обладателем информации (заказчиком).

    Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:

      • проектирование системы защиты информации информационной системы;

      • разработку эксплуатационной документации на систему защиты информации информационной системы;

      • макетирование и тестирование системы защиты информации информационной системы (при необходимости).

    Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.

    При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
    После выбора мер защиты информации:

      • определяются классы, виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

      • определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

      • осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности информационной системы;

      • определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.

    Результаты проектирования системы защиты информации информационной

    системы отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее ГОСТ 34.201).

    Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:

      • структуры системы защиты информации информационной системы;

      • состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

      • правил эксплуатации системы защиты информации информационной системы.


    Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.

    В этом случае в информационных системах 1 и 2 класса защищенности применяются:

        • средства вычислительной техники не ниже 5 класса;

        • системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

        • межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена.

    В информационных системах 3 класса защищенности применяются: o средства вычислительной техники не ниже 5 класса;

    • системы обнаружения вторжений и средства антивирусной защиты

    не ниже 4 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

    • межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена.

    В информационных системах 4 класса защищенности применяются: o средства вычислительной техники не ниже 5 класса;

    • системы обнаружения вторжений и средства антивирусной

    защиты не ниже 5 класса;

    • межсетевые экраны не ниже 4 класса.

    В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

    Результат описанных выше требований сведён в таблицу 12.
    Таблица 12. Требования к СЗИ по сертификации в зависимости от уровня защищенности ГИС.




    1   ...   12   13   14   15   16   17   18   19   20


    написать администратору сайта