Головна сторінка Випадкова сторінка КАТЕГОРІЇ: АвтомобіліБіологіяБудівництвоВідпочинок і туризмГеографіяДім і садЕкологіяЕкономікаЕлектронікаІноземні мовиІнформатикаІншеІсторіяКультураЛітератураМатематикаМедицинаМеталлургіяМеханікаОсвітаОхорона праціПедагогікаПолітикаПравоПсихологіяРелігіяСоціологіяСпортФізикаФілософіяФінансиХімія |
ПРАКТИЧНА РОБОТА № 6Дата добавления: 2015-09-19; просмотров: 597
На текущий момент в Российской Федерации создана и принята вертикаль руководящих и нормативно-методических документов по обеспечению безопасности персональных данных. Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с персональными данными регулируются Федеральным Законодательством РФ. Необходимость обеспечения безопасности персональных данных устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора, получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных и принимать необходимые организационные и технические, меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. И основой для защиты персональных данных является определение уровня защищенности информационной системы персональных данных, на основе которого будут определенны основные требования к защите информационной системы персональных данных, и на которых будет базироваться комплексная система защиты информационной системы персональных данных. Определение уровня защищенности ИСПДн в УЦ ГБУ АО «Инфраструктурный центр электронного правительства» было проведено на основании Постановления правительства Российской Федерации № 1119. Чтобы Определить уровень защищенности необходимо провести анализ ИСПДн и выделить ряд критериев для оценки, таких как: а) категория персональных данных обрабатываемая в информационной системе, а именно: - 1 группа – специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информацию о здоровье и интимной жизни субъекта персональных данных; - 2 группа – биометрические ПДн, то есть данные, характеризирующие биологические или физиологические особенности субъекта персональных данных; - 3 группа – общедоступные ПДн, то есть сведения о субъекте персональных данных, полных и неограниченный доступ к которым предоставлен самим субъектом персональных данных; - 4 группа – иные категории ПДн, не представленные в трех предыдущих группах; б) форма отношений между учреждением и субъектами персональных данных: - субъекты персональных данных являются работниками учреждения (субъекты связаны с учреждением трудовым договором); - субъекты персональных данных не являются работниками учреждения; в) количество субъектов персональных данных, обрабатываемых в ИСПДн: - менее 100 000 субъектов; - более 100 000 субъектов; г) тип актуальных угроз ИСПДн: - угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в ИСПДн; - угрозы 2-го типа связанны с наличием недекларированных (недокументированных) возможностей в прикладном программном обеспечении, используемом в ИСПДн; - угрозы 3-го типа не связанны с наличием недекларированных (недокументированных) возможностей в программном обеспечении, используемом в ИСПДн. Персональные данные обрабатываемые в ИСПДн представлены в таблице 1.1 общедоступными и относятся к 3 группе персональных данных согласно Постановлению Правительства РФ №1119. Количество субъектов персональных данных не превышает 100 000, и они не являются сотрудниками организации. Таблица 1.1 – Сертификат открытого ключа цифровой подписи
Продолжение таблицы 1.1.
Далее определим актуальные угрозы ИСПДн. Для этого определим, что именно является недекларированными возможностями. В Руководящем документе ГосТехКомисии Российской Федерации «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» сказано, что недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Следовательно, необходимо составить список основного и прикладного ПО с последующим определением существуют ли актуальные угрозы, связанные с недекларируемыми возможностями этих ПО. Список приведен в таблице 1.2. Таблица 1.2 – ПО используемое в ИСПДн
Доступ к данному ПО, которое установлено на технических средствах в контролируемой зоне, имеют только сотрудники службы безопасности и руководитель учреждения, однако так как они заинтересованы в соблюдении режима безопасности, их нельзя отнести к источникам угроз не декларированных возможностей и как следствие эти угрозы не входят в список актуальных. И, следовательно, угрозы для данной ИСПДн принадлежат 3-му типу угроз. Входе анализа ИСПДн было установлено: -персональные данные обрабатываемые в ИСПДн принадлежат к 3 группе персональных данных; -количество субъектов персональных данных менее 100 000; -все субъекты персональных данных не являются сотрудниками организации; -актуальные угрозы ИСПДн принадлежат 3-му типу. Согласно таблице 1.3, представленной ниже можно утверждать, что ИСПДн имеет 4й уровень защищенности ПДн. Таблица 1.3 – Определение уровня защищенности ИСПДн.
И согласно Постановлению Правительства №1119 для обеспечение 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
|