Определение состава мер и требований к объектам информатизации

Для того, чтобы правильно оформить содержание посредством ПО Microsoft Word, нужно на вкладке «Ссылки» через виртуальную кнопку «Оглавление» (в левом верхнем углу окна) выбрать необходимый стиль. На странице появляется пустой раздел «Содержание». Чтобы заполнить его, нужно в тексте практической работы выделить тему (заголовок раздела), в ленте команд Microsoft Word перейти на вкладку «Ссылки» и, нажав на кнопку «Добавить текст» в группе «Оглавление», выбрать «Уровень 1».

Чтобы разделы практической работы появились в содержании, его нужно обновить – нажать кнопку «Обновить таблицу», которую можно найти либо в группе «Оглавление» ленты команд, либо над самим полем содержания. После этого тема появляется в содержании, и напротив нее автоматически указывается страница, на которой начинается соответствующий раздел. Если раздел имеет подразделы, то аналогичным образом необходимо кнопкой «Добавить текст» выбрать «Уровень 2» и обновить.

Рассмотрим содержание разделов практической работы.

Содержание разделов практической работы

Введение

В введении обучающемуся необходимо привести краткое описание объекта информатизации (например, реальные примеры ГИС или АСУ ТП с кратким назначением и характеристиками), тенденции развития объекта и возникающие на нем проблемы. В конце этого раздела следует указать цель работы, а также описать комплекс взаимосвязанных задач, подлежащих решению для раскрытия темы и достижения указанной цели. Размер введения не должен превышать двух страниц.

Пример

Уровень защищенности ИСПДн – совокупный показатель соответствия требованиям по предотвращению угрозы безопасности ИСПДн. Чтобы определить уровень защищенности, необходимо получить следующие данные:

категории обрабатываемых данных;

форма отношений между субъектами и организацией (для определения вида обработки);

количество субъектов;

угрозы, актуальные для ИС.

Первый уровень устанавливается при обработке данных, относящихся к следующим пунктам:

Специальные, биометрические и иные категории ПДн;

Наличие или отсутствие собственных работников;

Количество субъектов, как менее ста тысяч, так и более ста тысяч;

Наличие в ПО (системном, прикладном), которое используется в ИСПДн, недекларированных возмож-ностей.

В данной практической работе будут рассмотрены информационные системы персональных данных первого уровня защищенности. Этот класс систем необходимо защищать наиболее тщательно, так как данные в них могут касаться национальной или расовой принадлежности, политических, философских, религиозных убеждений, состояния здоровья, прочих деликатных вопросов, и нарушение их безопасности может повлечь значительные негативные последствия.

Главная цель данной работы – определить меры (организационные, технические), которые обеспечат безопасность ПДн в системе первого уровня защищенности.

Чтобы достигнуть заданную цель, необходимо прежде всего собрать и проанализировать нормативно-методические документы по безопасности ПДн.

Анализ нормативных документов

В данном разделе должен быть приведён список использованных нормативных документов вместе с их кратким анализом, раскрывающим область их применения.

Здесь также рассматривается список нормативной документации, которая относится к теме практической работы. К нормативной документации могут относиться такие базовые материалы, как федеральные законы, приказы ФС и ФСТЭК, межгосударственные и национальные стандарты (ГОСТ) и т.д.

В ходе анализа нормативной документации требуется рассмотреть основные положения, функции и требования рассматриваемых документов, на которые опирается тема практической работы. Рекомендуется рассмотреть также документы, касающиеся типовых материалов проектирования и эксплуатации объектов информатизации. Кроме этого, необходимо учесть, на какие нормативные документы ссылается предложенная документация.

Рекомендуется обратить особое внимание на следующие документы:

Федеральный закон № 149 «Об информационных технологиях и защите информации» (вступил в силу 27.07.2006);

Закон «О государственной тайне» (№ 5485-1 от 21.07.1993);

Федеральный закон № 152 «О персональных данных» (вступил в силу 27.07.2006);

Федеральный закон № 187 «О безопасности критической ин-формационной инфраструктуры Российской Федерации» (вступил в силу 26.07.2017);

«Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. председателем Гостехкомиссии 25.11.1994);

«Состав и содержание организационно-технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» (утв. 18.02.2013 приказом № 21 ФСТЭК России);

«Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (утв. 06.07.2015 постановлением Правительства Российской Федерации № 676);

«Требования к обеспечению защиты информации в авто-матизированных системах управления производственными и   технологическими процессами на критически важных и потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей, для окружающей природной среды» (утв. 14.03.2014 приказом № 31 ФСТЭК России);

«Требования о защите информации, не составляющей государственную тайну, в государственных информационных системах» (утв. 11.02.2013 приказом № 17 ФСТЭК России);

«Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (утв. 25.12.2017 приказом № 239 ФСТЭК России);

«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. председателем Гостехкомиссии 30.03.1992).

«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);

«Требования к защите персональных данных при их обработке в ИСПДн» (утв. 01.11.2012 постановлением Правительства Российской Федерации № 1119);

«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утв. 15.09.2008 постановлением Правительства Российской Федерации № 687);

«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (утв. 10.07.2014 приказом № 378 ФСБ России);

«Методический документ. Методика оценки угроз безопасности информации» (утв. 05.02.2021 ФСТЭК России).

Пример

Порядок обеспечения безопасности персональных данных определен Федеральным законом «О персональных данных» № 152-ФЗ (вступил в силу 27.07.2006), который описывает общие требования по обработке и защите персональных данных, а также техническое задание и тех. проект на систему защиты ПДн, модель угроз по методике ФСБ и ФСТЭК, программу-методику оценки эффективности принимаемых мер и организационно-распорядительную документацию по защите ИСПДн.

При обеспечении безопасности ИСПДн также необходимо опираться на нормативно-правовые акты, перечисленные ниже:

«Требования к защите персональных данных при их обработке в ИСПДн», утвержденные постановлением Правительства Российской Федерации № 1119 от 01.11.2012 и содержащие требования об обеспечении режима безопасности помещений с ИСПДн и учета носителей ПДн, работа с которыми осуществляется без использования средств автоматизации, а также перечень сотрудников, имеющих соответствующий доступ;

«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное постановлением Правительства Российской Федерации № 687 от 15.09.2008 и содержащее требования по обработке персональных данных, если их использование, уточнение, распространение и уничтожение может произ-водиться только при участии человека;

«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн», утвержденные приказом № 21 ФСТЭК России от 18.02.2013 (в ред. от 14.05.2020);

«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утвержденные приказом № 378 ФСБ России от 10.07.2014 и описывающие меры криптографической защиты ПДн;

Методический документ «Методика оценки угроз безопасности информации», утвержденный ФСТЭК России 05.02.2021, детально определяет содержание и порядок работ по выявлению угроз в ИСПДн.

Состав мер и требований к объектам информатизации