Файл: Лабораторная работа 6 классификация автоматизированных и информационных систем персональных данных цели работы.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2023
Просмотров: 48
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Лабораторная работа № 6
КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ И ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели работы
В результате настоящего занятия и последующей самостоятельной работы студенты должны:
знать порядок классификации автоматизированных систем;
знать порядок классификации уровней защищенности персональных данных;
уметь классифицировать автоматизированные системы и уровни защищенности персональных данных;
приобрести способность оформить рабочую техническую документацию с учетом действующих нормативных и методических документов в области информационной безопасности;
приобрести навыки анализа и обобщения полученных результатов.
Учебные вопросы занятия
-
Классификация автоматизированных систем. -
Классификация уровней защищенности персональных данных.
Теоретическая часть
Классификации автоматизированных систем
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию [1].
Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Основными этапами классификации АС являются:
-
разработка и анализ исходных данных; -
выявление основных признаков АС, необходимых для классификации; -
сравнение выявленных признаков АС с классифицируемыми; -
присвоение АС соответствующего класса защиты информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС являются:
-
перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; -
перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; -
матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; -
режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
-
наличие в АС информации различного уровня конфиденциальности; -
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Классификация межсетевых экранов определена в [2].
Классификация уровней защищенности персональных данных
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных [3].
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе (УЗ-1) устанавливается при наличии хотя бы одного из следующих условий:
• для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных
;
-
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе (УЗ-2) устанавливается при наличии хотя бы одного из следующих условий:
-
для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные; -
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные; -
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе (УЗ-З) устанавливается при наличии хотя бы одного из следующих условий:
-
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора; -
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные; -
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе (УЗ-4) устанавливается при наличии хотя бы одного из следующих условий:
-
для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные; -
• для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. -
Порядок определения уровня защищенности персональных данных приведен в табл. 1.
Таблица 1 Порядок определения уровней защищенности персональных данных
| Тип ИСПДн | Сотрудники | Количество | Тип актуальных угроз | ||
| оператора | субъектов | 1 | 2 | 3 | |
| | Нет | >100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
| ИСПДн-С | Нет | < 100 000 | УЗ-1 | УЗ-2 | УЗ-З |
| | Да | | |||
| ИСПДн-Б | | | УЗ-1 | УЗ-2 | УЗ-З |
| | Нет | > 100 000 | УЗ-1 | УЗ-2 | УЗ-З |
| ИСПДн-И | Нет | < 100 000 | УЗ-2 | УЗ-З | УЗ-4 |
| | Да | | |||
| | Нет | > 100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
| ИСПДн-О | Нет | < 100 000 | УЗ-2 | УЗ-З | УЗ-4 |
| | | | |||
Оборудование и материалы
Персональные ЭВМ с подключением к сети Интернет.
Текстовый редактор Microsoft Office или аналогичный.
Методические пояснения и рекомендации по выполнению первого вопроса
В ходе отработки первого вопроса обучаемые должны, для заданного варианта исходных данных выполнить классификацию автоматизированной системы и составить акт классификации автоматизированной системы.
Методические пояснения и рекомендации по выполнению второго вопроса
В ходе отработки второго вопроса обучаемые должны, для заданного варианта исходных данных выполнить классификацию уровней защищенности персональных данных и составить акт классификации уровней защищенности персональных данных.
Для получения максимальной оценки обучаемый должен для заданного варианта исходных данных отработать вопросы из заданий повышенного уровня.
Задания
-
Выполнить классификацию автоматизированных систем и составить акты классификации. -
Выполнить классификацию уровней защищенности персональных данных и составить акты классификации.
Литература:
1. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. Утвержден Председателем Гостехкомиссии России 1992 г.
2. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден Председателем Гостехкомиссии России 25 июля 1997 г
3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"