Головна сторінка Випадкова сторінка
КАТЕГОРІЇ:
АвтомобіліБіологіяБудівництвоВідпочинок і туризмГеографіяДім і садЕкологіяЕкономікаЕлектронікаІноземні мовиІнформатикаІншеІсторіяКультураЛітератураМатематикаМедицинаМеталлургіяМеханікаОсвітаОхорона праціПедагогікаПолітикаПравоПсихологіяРелігіяСоціологіяСпортФізикаФілософіяФінансиХімія
ПРАКТИЧНА РОБОТА № 6
Дата добавления: 2015-09-19; просмотров: 548
|
|
На текущий момент в Российской Федерации создана и принята вертикаль руководящих и нормативно-методических документов по обеспечению безопасности персональных данных. Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с персональными данными регулируются Федеральным Законодательством РФ.
Необходимость обеспечения безопасности персональных данных устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора, получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных и принимать необходимые организационные и технические, меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
И основой для защиты персональных данных является определение уровня защищенности информационной системы персональных данных, на основе которого будут определенны основные требования к защите информационной системы персональных данных, и на которых будет базироваться комплексная система защиты информационной системы персональных данных.
Определение уровня защищенности ИСПДн в УЦ ГБУ АО «Инфраструктурный центр электронного правительства» было проведено на основании Постановления правительства Российской Федерации № 1119.
Чтобы Определить уровень защищенности необходимо провести анализ ИСПДн и выделить ряд критериев для оценки, таких как:
а) категория персональных данных обрабатываемая в информационной системе, а именно:
- 1 группа – специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информацию о здоровье и интимной жизни субъекта персональных данных;
- 2 группа – биометрические ПДн, то есть данные, характеризирующие биологические или физиологические особенности субъекта персональных данных;
- 3 группа – общедоступные ПДн, то есть сведения о субъекте персональных данных, полных и неограниченный доступ к которым предоставлен самим субъектом персональных данных;
- 4 группа – иные категории ПДн, не представленные в трех предыдущих группах;
б) форма отношений между учреждением и субъектами персональных данных:
- субъекты персональных данных являются работниками учреждения (субъекты связаны с учреждением трудовым договором);
- субъекты персональных данных не являются работниками учреждения;
в) количество субъектов персональных данных, обрабатываемых в ИСПДн:
- менее 100 000 субъектов;
- более 100 000 субъектов;
г) тип актуальных угроз ИСПДн:
- угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в ИСПДн;
- угрозы 2-го типа связанны с наличием недекларированных (недокументированных) возможностей в прикладном программном обеспечении, используемом в ИСПДн;
- угрозы 3-го типа не связанны с наличием недекларированных (недокументированных) возможностей в программном обеспечении, используемом в ИСПДн.
Персональные данные обрабатываемые в ИСПДн представлены в таблице 1.1 общедоступными и относятся к 3 группе персональных данных согласно Постановлению Правительства РФ №1119. Количество субъектов персональных данных не превышает 100 000, и они не являются сотрудниками организации.
Таблица 1.1 – Сертификат открытого ключа цифровой подписи
| № | Атрибуты сертификата электронной подписи | Значения атрибутов | Примечание |
| CommonName (CN) | Общие название | Полное или сокращенное наименование учреждения согласно учредительному документу | |
| INN | ИНН | Цифровое значение | |
| OGRN | ОГРН | Цифровое значение | |
| Organization (O) | Организация | Полное или сокращенное наименование учреждения согласно учредительному документу | |
| Locality (L) StreetAddress (STREET) State (S) Country (C) | Район, область Адрес Населенный пункт Страна | Юридический адрес организации |
Продолжение таблицы 1.1.
| SurName (SN) | Фамилия | Сидоров | |
| GivenName (GN) | Имя Отчество | Сидор Сидорович | |
| SNILS | СНИЛС | Цифровое значение | |
| Title (T) | Должность | Наименование должности | |
| OrganizationUnit (OU) | Подразделение организации | Наименование структурного подразделения | |
| E-Mail (E) | Электронная почта | Электронная почта |
Далее определим актуальные угрозы ИСПДн.
Для этого определим, что именно является недекларированными возможностями.
В Руководящем документе ГосТехКомисии Российской Федерации «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» сказано, что недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Следовательно, необходимо составить список основного и прикладного ПО с последующим определением существуют ли актуальные угрозы, связанные с недекларируемыми возможностями этих ПО.
Список приведен в таблице 1.2.
Таблица 1.2 – ПО используемое в ИСПДн
| № п/п | Наименование программного средства |
| MS Windows Server 2008 | |
| Крипто Про УЦ «Центр Сертификации» | |
| SQL Server Express | |
| MS Windows 7 | |
| Крипто Про УЦ «Центр Регистрации» | |
| Крипто Про УЦ «АРМ Администратора Центра регистрации» | |
| Крипто Про УЦ «АРМ Разбора конфликтных ситуаций» | |
| СКЗИ «Крипто Про CSP» версии 3.6 для рабочих станций | |
| СКЗИ «Крипто Про CSP» версии 3.6 для серверов | |
| Антивирус Касперского 6.0 для Windows Workstations | |
| Антивирус Касперского 6.0 для Windows Servers |
Доступ к данному ПО, которое установлено на технических средствах в контролируемой зоне, имеют только сотрудники службы безопасности и руководитель учреждения, однако так как они заинтересованы в соблюдении режима безопасности, их нельзя отнести к источникам угроз не декларированных возможностей и как следствие эти угрозы не входят в список актуальных.
И, следовательно, угрозы для данной ИСПДн принадлежат 3-му типу угроз.
Входе анализа ИСПДн было установлено:
-персональные данные обрабатываемые в ИСПДн принадлежат к 3 группе персональных данных;
-количество субъектов персональных данных менее 100 000;
-все субъекты персональных данных не являются сотрудниками организации;
-актуальные угрозы ИСПДн принадлежат 3-му типу.
Согласно таблице 1.3, представленной ниже можно утверждать, что ИСПДн имеет 4й уровень защищенности ПДн.
Таблица 1.3 – Определение уровня защищенности ИСПДн.
| Категория ПДн | 1 группа | 2 группа | 3 группа | 4 группа | |||||||
| Сотрудники организации | нет | нет | да | нет | нет | да | нет | нет | да | ||
| Количество субъектов ПДн | Более 100 000 | Менее 100 000 | Более 100 000 | Менее 100 000 | Более 100 000 | Менее 100 000 | |||||
| Тип актуальных угроз | 1УЗ | 1УЗ | 1УЗ | 1УЗ | 2УЗ | 2УЗ | 2УЗ | 1УЗ | 2УЗ | 2УЗ | |
| 1УЗ | 2УЗ | 2УЗ | 2УЗ | 2УЗ | 3УЗ | 3УЗ | 2УЗ | 3УЗ | 3УЗ | ||
| 2УЗ | 3УЗ | 3УЗ | 3УЗ | 4УЗ | 4УЗ | 4УЗ | 3УЗ | 4УЗ | 4УЗ |
И согласно Постановлению Правительства №1119 для обеспечение 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
| <== предыдущая лекция | | | следующая лекция ==> |
| Причини нещасного випадку | | | Небезпека впливу блискавки |