Лабораторная работа 6 Классификация автоматизированных и информационных систем персональных данных
Скачать 438.32 Kb.
|
Лабораторная работа №6 Классификация автоматизированных и информационных систем персональных данных Учебные цели занятия: В результате настоящего занятия и последующей самостоятельной работы Вы должны: 1. Знать нормативные правовые документы в области защиты персональных данных. 2. Знать правовые нормативные акты и нормативные методические документы Федеральной службы безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю. 3. Уметь применять комплексный подход к обеспечению информационной безопасности персональных данных. 4. Приобрести способность оформить рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности. 5. Приобрести навыки анализа и обобщения полученных результатов. Время 180 минут Распределение времени занятия: Вступительная часть. - 10 мин Проверка готовности студентов к занятию. - 20 мин Учебные вопросы занятия: 1. Классификация автоматизированных систем. - 60 мин 2. Классификация информационных систем персональных данных - 80 мин Заключение - 5 мин. Задание студентам для самостоятельной работы - 4 мин. СОДЕРЖАНИЕ ЗАНЯТИЯ Вступительная часть На сегодняшней лабораторной работе Вам предлагается выполнить практические задания, связанные с классификацией автоматизированных систем и информационных систем персональных данных Проверка готовности студентов к занятию 1. По тестовым вопросам. Основные теоретические сведения 1. Классификация АС 1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию. 1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. 1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала. 1.4. Основными этапами классификации АС являются: разработка и анализ исходных данных; выявление основных признаков АС, необходимых для классификации; сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации от НСД. 1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются: перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС. 1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. 1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный. 1.8. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. 1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А. Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. 2. Классификация информационных систем ИСПДн – это информационная система персональных данных. Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором. Оператором является организация, которая обрабатывает данные субъекта. Субъект – это человек, который предоставляет персональные сведения о себе. Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора. ИСПДн на примере Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации. Классификация и типы ИСПДн Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению: типа ИСПДн; актуальных угроз. Типы ИСПДн Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы ИС, которые обрабатывают ПДн, относящиеся к следующим категориям: специальные; биометрические; общедоступные; иные; персональные данные сотрудников. Актуальные угрозы ИСПДн После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы: первого типа; второго типа; третьего типа. К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы). К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы. К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами. Уровни защищенности ИСПДн Существует четыре уровня защищенности. Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов: чьи персональные данные обрабатываются (работников или не работников); количество субъектов ПДн. Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119. Категория ПДн Отношение субъекта ПДн к оператору Количество ПДн Актуальные угрозы У 1 У 2 У 3 специальные не сотрудник более 100000 УЗ 1 УЗ 1 УЗ 2 менее 100000 УЗ 1 УЗ 2 УЗ 3 сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3 биологические не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3 менее 100000 УЗ 1 УЗ 2 УЗ 3 сотрудник нет ограничений УЗ 1 УЗ 2 УЗ 3 общедоступные не сотрудник более 100000 УЗ 2 УЗ 2 УЗ 4 менее 100000 УЗ 2 УЗ 3 УЗ 4 сотрудник нет ограничений УЗ 2 УЗ 3 УЗ 4 иные не сотрудник более 100000 УЗ 1 УЗ 2 УЗ 3 менее 100000 УЗ 1 УЗ 3 УЗ 4 сотрудник нет ограничений УЗ 1 УЗ 3 УЗ 4 Методические пояснения и рекомендации по выполнению первого вопроса В ходе отработки первого вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию автоматизированной системы и составить акт классификации автоматизированной системы. Форма акта классификации автоматизированной системы приведена в Приложении 1. Методические пояснения и рекомендации по выполнению второго вопроса В ходе отработки второго вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию информационной системы и составить акт классификации информационной системы. Форма акта классификации информационной системы приведена в Приложении 2. Отчетность за занятие Отчет по лабораторной работе должен содержать заполненные в соответствии с требованиями руководящих документов: 1. Акт классификации автоматизированной системы. 2. Акт классификации информационной системы. Результаты работы должны быть отражены в отчете и защищены устно каждым студентом. Заключение Проводится собеседование по результатам работы с каждым студентом. Студентам, успешно завершившим выполнение всех практических заданий, выставляется оценка. Список рекомендуемой литературы 1. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации. Руководящий документ. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. 2. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" Методическая литература: 1. Башлы, П.Н. Информационная безопасность и защита информации: Учебник [Электронный ресурс] / П. Н. Башлы, А. В. Бабаш, Е. К. Баранова. – М.: РИОР, 2013. – 222 с. – Режим доступа: http://znanium.com/bookread.php?book=405000 (дата обращения 01.09.2014); 2. Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: учебное пособие [электронный ресурс] / В.Ф. Шаньгин. – М.: ИД ФОРУМ: НИЦ ИНФРА-М, 2013. – 592 с. – Режим доступа: http://znanium.com/bookread.php?book=402686 (дата обращения 01.09.2014). 3. Богданов П.Ю., Яготинцева Н.В. Организационно-правовое обеспечение информационной безопасности: Учебное пособие. СПБ.: ООО «Андреевский издательский дом», 2015 г. - 169 стр. – Режим доступа: http://elib.rshu.ru/files_books/pdf/rid_d965d8fa348543e6a8b8287bfc626eb8.pdf (дата обращения 12.02.2022); Интернет-ресурсы: 1. http://fstec.ru/ - официальный сайт ФСТЭК РФ; 2. http://www.fsb.ru/- официальный сайт ФСБ РФ; 36 Приложение 1 УТВЕРЖДАЮ Генеральный директор «____»____________2009г. АКТ классификации автоматизированной системы (АС) «____________» Комиссия, назначенная Приказом №______ от ____________г. в составе председателя комиссии: _________________________________________________ членов комиссии: _______________________________________________________________________________ _______________________________________________________________________________ __________________________________________________________ провела классификацию автоматизированной системы «_________________________» и установила: 1. Состав автоматизированной системы объекта информатизации «______________________________________________________________________» Перечень технических средств автоматизированной системы «_____________________________________________________________________», расположенной по адресу: ________________________________________________: № Название Модель, тип Уч. (зав.) номер 2. Выявленные определяющие признаки классификации автоматизированной системы: 37 3. Заключение. Комиссия, учитывая вышеизложенное и рассмотрев следующие утвержденные документы: «Перечень защищаемых ресурсов автоматизированной системы «___________________________________________________________» и уровень их конфиденциальности» (№____ от _________________); «Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы «___________________________________» и уровень их полномочий» (№_____ от __________________); «Матрица доступа субъектов автоматизированной системы «_______________________________________________________» к ее защищаемым информационным ресурсам» (№______ от ______________________). На основании определяющих признаков классификации и в соответствии с п.п. 1.7., 1.9. руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», установила для автоматизированной системы «________________» класс защищенности ___________. Председатель комиссии: Члены комиссии: Приложение 2 УТВЕРЖДАЮ Генеральный Директор ЗАО «Компания-оператор ПДн» __________________ Фамилия И. О. «___» ____________ 2013 г. АКТ № 1 классификации информационной системы персональных данных «Название ИСПДн» В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___» ___________ № ____ комиссия в составе: председатель комиссии: должность Фамилия И. О., члены комиссии: должность Фамилия И. О., должность Фамилия И. О., произвела сбор данных об информационной системе персональных данных и установила нижеследующее: 1) в информационной системе персональных данных (ИСПДн) обрабатываются персональные данные иных категорий персональных данных сотрудников оператора; 2) в ИСПДн одновременно обрабатываются персональные данные менее чем 100 000 субъектов персональных данных; 3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких из нескольких АРМ и серверов; 4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения; 5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским; 6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа; 7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации; 8) речевая обработка сведений составляющих ПДн в информационной системе не осуществляется. 9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора. В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4. председатель комиссии: Фамилия И. О. _____________________ "___"_________ 2013 г члены комиссии: Фамилия И. О. _____________________ "___"_________ 2013 г. Фамилия И. О. _____________________ "___"_________ 2013 г Приложение №3 Варианты базового уровня: 1. Выполнить классификацию автоматизированных систем и составить акты классификации для дошкольной образовательной организации. 2. Выполнить классификацию информационных систем персональных данных и составить акты классификации для дошкольной образовательной организации. 3. Выполнить классификацию автоматизированных систем и составить акты классификации для общеобразовательной организации. 4. Выполнить классификацию информационных систем персональных данных и составить акты классификации для общеобразовательной организации. 5. Выполнить классификацию автоматизированных систем и составить акты классификации для профессиональной образовательной организации. 6. Выполнить классификацию информационных систем персональных данных и составить акты классификации для профессиональной образовательной организации. 7. Выполнить классификацию автоматизированных систем и составить акты классификации для агентства недвижимости. 8. Выполнить классификацию информационных систем персональных данных и составить акты классификации для агентства недвижимости. 9. Выполнить классификацию автоматизированных систем и составить акты классификации для юридического агентства. 10. Выполнить классификацию информационных систем персональных данных и составить акты классификации для юридического агентства. 11. Выполнить классификацию автоматизированных систем и составить акты классификации для администрации города. 12. Выполнить классификацию информационных систем персональных данных и составить акты классификации для администрации города. Варианты повышенного уровня: 1. Выполнить классификацию автоматизированных систем и составить акты классификации для автотранспортного предприятия. 2. Выполнить классификацию информационных систем персональных данных и составить акты классификации для автотранспортного предприятия. 3. Выполнить классификацию автоматизированных систем и составить акты классификации для образовательной организации высшего образования. 4. Выполнить классификацию информационных систем персональных данных и составить акты классификации для образовательной организации высшего образования. 5. Выполнить классификацию автоматизированных систем и составить акты классификации для организации дополнительного образования. 6. Выполнить классификацию информационных систем персональных данных и составить акты классификации для организации дополнительного образования. 7. Выполнить классификацию автоматизированных систем и составить акты классификации для городской поликлиники. 8. Выполнить классификацию информационных систем персональных данных и составить акты классификации для городской поликлиники. 9. Выполнить классификацию автоматизированных систем и составить акты классификации для городской детской поликлиники. 10. Выполнить классификацию информационных систем персональных данных и составить акты классификации для городской детской поликлиники. 11. Выполнить классификацию автоматизированных систем и составить акты классификации для министерства здравоохранения края. 12. Выполнить классификацию информационных систем персональных данных и составить акты классификации для министерства здравоохранения края. |