Файл: Лабораторная работа 6 Классификация автоматизированных и информационных систем персональных данных.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 77
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Лабораторная работа №6
Классификация автоматизированных и информационных систем персональных данных
Учебные цели занятия:
В результате настоящего занятия и последующей самостоятельной работы Вы должны:
1. Знать нормативные правовые документы в области защиты персональных данных.
2. Знать правовые нормативные акты и нормативные методические документы Федеральной службы безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю.
3. Уметь применять комплексный подход к обеспечению информационной безопасности персональных данных.
4. Приобрести способность оформить рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности.
5. Приобрести навыки анализа и обобщения полученных результатов.
Время 180 минут
Распределение времени занятия:
Вступительная часть.
- 10 мин
Проверка готовности студентов к занятию.
- 20 мин
Учебные вопросы занятия:
1.
Классификация автоматизированных систем.
- 60 мин
2.
Классификация информационных систем персональных данных
- 80 мин
Заключение
- 5 мин.
Задание студентам для самостоятельной работы
- 4 мин.
СОДЕРЖАНИЕ ЗАНЯТИЯ
Вступительная часть
На сегодняшней лабораторной работе Вам предлагается выполнить практические задания, связанные с классификацией автоматизированных систем и информационных систем персональных данных
Проверка готовности студентов к занятию
1. По тестовым вопросам.
Основные теоретические сведения
1. Классификация АС
1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
1.4. Основными этапами классификации АС являются: разработка и анализ исходных данных; выявление основных признаков АС, необходимых для классификации;
сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации от НСД.
1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются: перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС.
1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный.
1.8. Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности
АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа
(полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д,
1Г, 1В, 1Б и 1А.
2.
Классификация информационных систем
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
Оператором является организация, которая обрабатывает данные субъекта.
Субъект – это человек, который предоставляет персональные сведения о себе.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной
1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются: перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС.
1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный.
1.8. Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности
АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа
(полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д,
1Г, 1В, 1Б и 1А.
2.
Классификация информационных систем
ИСПДн – это информационная система персональных данных.
Она представляет собой систему из набора персональных данных (далее – ПДн), который располагается в базе данных (далее – БД), а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Она может производиться с использованием средств вычислительной техники, либо же без их использования, то есть вручную оператором.
Оператором является организация, которая обрабатывает данные субъекта.
Субъект – это человек, который предоставляет персональные сведения о себе.
Стоит отметить, что не все данные являются ПДн, а только те, с помощью которых можно идентифицировать субъект. Обрабатывать данные может не только оператор, но и другие лица по поручению оператора.
ИСПДн на примере
Ярким примером ИСПДн может являться информационная система кадровой и бухгалтерской работы, которая обрабатывает сведенья сотрудников организации. В данной
информационной системе будет располагаться БД персональных данных действующих и уволенных сотрудников. В данную систему будут входить все средства, которые способствуют обработке этих данных. Например АРМы, серверы, программное обеспечение, применяемые средства защиты информации.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению: типа ИСПДн; актуальных угроз.
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы
ИС, которые обрабатывают ПДн, относящиеся к следующим категориям: специальные; биометрические; общедоступные; иные; персональные данные сотрудников.
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы: первого типа; второго типа; третьего типа.
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО.
Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов: чьи персональные данные обрабатываются (работников или не работников); количество субъектов ПДн.
Классификация и типы ИСПДн
Для того, чтобы понять, как защищать все эти данные, которые обрабатываются в информационной системе, необходимо определить уровень защищенности. Определение уровня защищенности обрабатываемых ПДн сводится к определению: типа ИСПДн; актуальных угроз.
Типы ИСПДн
Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных. Итак, ПП №1119 приводит типы
ИС, которые обрабатывают ПДн, относящиеся к следующим категориям: специальные; биометрические; общедоступные; иные; персональные данные сотрудников.
Актуальные угрозы ИСПДн
После того, как определились с типом ИС, можно переходить к определению актуальных угроз. Их всего три, и они также приведены в ПП №1119, а именно угрозы: первого типа; второго типа; третьего типа.
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО.
Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
Уровни защищенности ИСПДн
Существует четыре уровня защищенности.
Еще один важный момент, уровень защищенности зависит не только от типа ИСПДн и угроз, но и от дополнительных факторов: чьи персональные данные обрабатываются (работников или не работников); количество субъектов ПДн.
Составим таблицу определения уровня защищенности ИСПДн согласно ПП №1119.
Категория ПДн Отношение субъекта ПДн к оператору
Количество ПДн
Актуальные угрозы
У 1
У 2
У 3 специальные не сотрудник более 100000
УЗ 1
УЗ 1
УЗ 2 менее 100000
УЗ 1
УЗ 2
УЗ 3 сотрудник нет ограничений
УЗ 1
УЗ 2
УЗ 3 биологические не сотрудник более 100000
УЗ 1
УЗ 2
УЗ 3 менее 100000
УЗ 1
УЗ 2
УЗ 3 сотрудник нет ограничений
УЗ 1
УЗ 2
УЗ 3 общедоступные не сотрудник более 100000
УЗ 2
УЗ 2
УЗ 4 менее 100000
УЗ 2
УЗ 3
УЗ 4 сотрудник нет ограничений
УЗ 2
УЗ 3
УЗ 4 иные не сотрудник более 100000
УЗ 1
УЗ 2
УЗ 3 менее 100000
УЗ 1
УЗ 3
УЗ 4 сотрудник нет ограничений
УЗ 1
УЗ 3
УЗ 4
Методические пояснения и рекомендации по выполнению первого вопроса
В ходе отработки первого вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию автоматизированной системы и составить акт классификации автоматизированной системы. Форма акта классификации автоматизированной системы приведена в Приложении 1.
Методические пояснения и рекомендации по выполнению второго вопроса
В ходе отработки второго вопроса обучаемые должны, для заданных исходных данных (Приложение 3) выполнить классификацию информационной системы и составить акт классификации информационной системы. Форма акта классификации информационной системы приведена в Приложении 2.
Отчетность за занятие
Отчет по лабораторной работе должен содержать заполненные в соответствии с требованиями руководящих документов:
1. Акт классификации автоматизированной системы.
2. Акт классификации информационной системы.
Результаты работы должны быть отражены в отчете и защищены устно каждым студентом.
Заключение
Проводится собеседование по результатам работы с каждым студентом. Студентам, успешно завершившим выполнение всех практических заданий, выставляется оценка.
Список рекомендуемой литературы
1. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации. Руководящий документ. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
2. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении
Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
Методическая литература:
1.
Башлы, П.Н. Информационная безопасность и защита информации: Учебник [Электронный ресурс] / П. Н. Башлы, А. В. Бабаш, Е. К. Баранова. – М.: РИОР, 2013. – 222 с. – Режим доступа: http://znanium.com/bookread.php?book=405000 (дата обращения 01.09.2014);
2.
Шаньгин, В.Ф. Комплексная защита информации в корпоративных системах: учебное пособие [электронный ресурс] / В.Ф. Шаньгин. – М.: ИД ФОРУМ: НИЦ ИНФРА-М, 2013. –
592 с. – Режим доступа: http://znanium.com/bookread.php?book=402686 (дата обращения
01.09.2014).
3.
Богданов П.Ю., Яготинцева Н.В. Организационно-правовое обеспечение информационной безопасности: Учебное пособие. СПБ.: ООО «Андреевский издательский дом», 2015 г. - 169 стр.
–
Режим доступа: http://elib.rshu.ru/files_books/pdf/rid_d965d8fa348543e6a8b8287bfc626eb8.pdf (дата обращения
12.02.2022);
Интернет-ресурсы:
1. http://fstec.ru/
- официальный сайт ФСТЭК РФ;
2. http://www.fsb.ru/- официальный сайт ФСБ РФ;
36
Приложение 1
УТВЕРЖДАЮ
Генеральный директор
«____»____________2009г.
АКТ
классификации автоматизированной системы (АС) «____________»
Комиссия, назначенная Приказом №______ от ____________г. в составе председателя комиссии: _________________________________________________ членов комиссии:
_______________________________________________________________________________
_______________________________________________________________________________
__________________________________________________________ провела классификацию автоматизированной системы «_________________________» и установила:
1. Состав автоматизированной системы объекта информатизации
«______________________________________________________________________»
Перечень технических средств автоматизированной системы
«_____________________________________________________________________», расположенной по адресу: ________________________________________________:
№
Название
Модель, тип
Уч. (зав.) номер
2. Выявленные определяющие признаки классификации автоматизированной
системы:
37
3. Заключение.
Комиссия, учитывая вышеизложенное и рассмотрев следующие утвержденные документы:
«Перечень защищаемых ресурсов автоматизированной системы
«___________________________________________________________» и уровень их конфиденциальности» (№____ от _________________);
«Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы «___________________________________» и уровень их полномочий» (№_____ от __________________);
«Матрица доступа субъектов автоматизированной системы
«_______________________________________________________» к ее защищаемым информационным ресурсам» (№______ от ______________________).
На основании определяющих признаков классификации и в соответствии с п.п. 1.7.,
1.9. руководящего документа Гостехкомиссии России «Автоматизированные системы.
Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации» и руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», установила для автоматизированной системы «________________» класс защищенности ___________.
Председатель комиссии:
Члены комиссии:
Приложение 2
УТВЕРЖДАЮ
Генеральный Директор
ЗАО «Компания-оператор ПДн»
__________________ Фамилия И. О.
«___» ____________ 2013 г.
АКТ № 1 классификации информационной системы персональных данных
«Название ИСПДн»
В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом Генерального директора ЗАО «Компания-оператор ПДн» от «___»
___________ № ____ комиссия в составе: председатель комиссии: должность Фамилия И. О., члены комиссии: должность Фамилия И. О., должность Фамилия И. О., произвела сбор данных об информационной системе персональных данных и установила нижеследующее:
1) в информационной системе персональных данных (ИСПДн) обрабатываются персональные данные иных категорий персональных данных сотрудников оператора;
2) в ИСПДн одновременно обрабатываются персональные данные менее чем 100 000 субъектов персональных данных;
3) по структуре ИСПДн относится к локальной информационной системе, состоящей из нескольких из нескольких АРМ и серверов;
4) по наличию подключений к сетям международного информационного обмена (Интернет) информационная система относится к системам, не имеющим подключения;
5) по режиму обработки персональных данных в информационной системе ИСПДн относится к многопользовательским;
6) по разграничению прав доступа пользователей ИСПДн относится к системам с разграничением прав доступа;
7) в зависимости от местонахождения технических средств ИСПДн относится к системам, технические средства которых размещены в Российской Федерации;
8) речевая обработка сведений составляющих ПДн в информационной системе не осуществляется.
9) условие обработки персональных данных — для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012г. № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основании анализа исходных данных информационной системе персональных данных «Название ИСПДн» установить уровень защищенности 4. председатель комиссии:
Фамилия И. О.
_____________________
"___"_________ 2013 г члены комиссии:
Фамилия И. О.
_____________________
"___"_________ 2013 г.
Фамилия И. О.
_____________________
"___"_________ 2013 г