Файл: Исходные данные для выполнения практических и лабораторных работ по курсу битиС (закрытый контур лвс).docx

Оглавление

Принятые сокращения

АС - автоматизированные системы

НСД - несанкционированный доступ

РД - руководящий документ

СЗИ - система защиты информации

СЗИ НСД - система защиты информации от несанкционированного доступа

Исходные данные для выполнения практических и лабораторных работ по курсу БИТиС (закрытый контур ЛВС)

№ п/п в списке группы		Тип ИС закрытого контура	Группа	Описание характеристики группы	Примечание
1.	16.	1Д	1	Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.	Требования к типам систем взять из нормативных документов ФСТЭК
2.	17.	1Г
3.	18.	1В
4.	19.	1Б
5.	20.	1А
6.	21.	2Б	2	Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности.
7.	22.	2А
8.	23.	3Б	3	Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.
9.	24.	3А
10.	25.	ИСПДн-С
11.	26.	ИСПДн-Б
12.	27.	ИСПДн-О
13.	28.	ИСПДн-И
14.	29.	1Д/ИСПДн-С
15.	30.	1Г/ИСПДн-Б

---

При настройке политик безопасности необходимо учитывать требования ИБ, предъявляемые соответствующим типом ИС

Методические материалы

---

Категорирование ИС (гостайна). Нормативные документы ФСТЭК

1. 
   Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
   
2. 
   Руководящий документ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
   

……Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
      1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
       - наличие в АС информации различного уровня конфиденциальности;
       - уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
      - режим обработки данных в АС - коллективный или индивидуальный.
       1.8. Устанавливается девять классов защищенности АС от НСД к информации.
       Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
       Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
       В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
       1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
       Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
       Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов -

---

1Д, 1Г, 1В, 1Б и 1А.

Закрытый контур информационной ЛВС системы. Категорирование ИСПДн (персональные данные). Нормативные документы

Постановление правительства № 1119 от 01.11.2012 "Требования к защите персональных данных при их обработке в информационных системах персональных данных" устанавливает 4 уровня защищенности персональных данных, которые определяются видом ИСПДн, типом актуальных угроз и количеством субъектов ПДн, обрабатываемых в информационной системе (см. таблица 1).

Таблица 1

Виды ИСПДн		Уровни защиненности ИСПДн
		угрозы 1 типа	угрозы 2 типа	угрозы 3 типа
1	ИСПДн-С	1	2 < 100000 > 1	3 < 100000 > 2
2	ИСПДн-Б	1	Тип ИСПДн	3
3	ИСПДн-О	2	3 < 100000 > 2	4
4	ИСПДн-И	1	3 < 100000 > 2	4 < 100000 > 3

Где: Виды ИСПДн

ИСПДн-С  – ИСПДн обрабатывающая специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов.

ИСПДн-Б  – ИСПДн обрабатывающая биометрические сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

ИСПДн-О – ИСПДн обрабатывающая общедоступные ПДн.

ИСПДн-И – ИСПДн обрабатывающая иные категории ПДн
В этом же Постановлении установлено три типа угроз ПДн:

Угрозы 1-го типа (уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы

---

, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа (уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа (уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности, актуальных для информационной системы, производится оператором ПДн с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных. От типа угрозы будет зависеть не только требуемый уровень защищенности ИСПДн, но и класс используемых для ее защиты СЗИ, и прежде всего, обязательное прохождение СЗИ контроля отсутствия недекларированных возможностей (НДВ).

Под которым понимаются, дополнительные требования ФСТЭК России к проверке программных и программно-аппаратных продуктов, реализующих функции защиты информации на отсутствие умышленных или иных недекларированных возможностей . На практике это исследование исходного текста программ на предмет отсутствия в нем "программных закладок", "троянских коней" и других вредоносных кодов.

До недавнего времени данные требования предъявлялись лишь к СЗИ, используемых в системах защиты автоматизированных систем, обрабатывающих государственную тайну. С выходом документов ФСТЭК по защите персональных данных указанные требования распространяются и на СЗИ, применяемые в ИСПДн 1 и 2 уровня защиты. Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (РД НДВ) устанавливает четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего. Для защиты ПДн и

---