В ходе анализа нормативной документации требуется рассмотреть основные положения, функции и требования рассматриваемых документов, на которые опирается тема практической работы. Рекомендуется рассмотреть также документы, касающиеся типовых материалов проектирования и эксплуатации объектов информатизации. Кроме этого, необходимо учесть, на какие нормативные документы ссылается предложенная документация.
Рекомендуется обратить особое внимание на следующие документы:
Федеральный закон № 149 «Об информационных технологиях и защите информации» (вступил в силу 27.07.2006);
Закон «О государственной тайне» (№ 5485-1 от 21.07.1993);
Федеральный закон № 152 «О персональных данных» (вступил в силу 27.07.2006);
Федеральный закон № 187 «О безопасности критической ин-формационной инфраструктуры Российской Федерации» (вступил в силу 26.07.2017);
«Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. председателем Гостехкомиссии 25.11.1994);
«Состав и содержание организационно-технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» (утв. 18.02.2013 приказом № 21 ФСТЭК России);
«Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (утв. 06.07.2015 постановлением Правительства Российской Федерации № 676);
«Требования к обеспечению защиты информации в авто-матизированных системах управления производственными и технологическими процессами на критически важных и потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей, для окружающей природной среды» (утв. 14.03.2014 приказом № 31 ФСТЭК России);
«Требования о защите информации, не составляющей государственную тайну, в государственных информационных системах» (утв. 11.02.2013 приказом № 17 ФСТЭК России);
«Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (утв. 25.12.2017 приказом № 239 ФСТЭК России);
«Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. председателем Гостехкомиссии 30.03.1992).
«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
«Требования к защите персональных данных при их обработке в ИСПДн» (утв. 01.11.2012 постановлением Правительства Российской Федерации № 1119);
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утв. 15.09.2008 постановлением Правительства Российской Федерации № 687);
«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (утв. 10.07.2014 приказом № 378 ФСБ России);
«Методический документ. Методика оценки угроз безопасности информации» (утв. 05.02.2021 ФСТЭК России).
Пример
Порядок обеспечения безопасности персональных данных определен Федеральным законом «О персональных данных» № 152-ФЗ (вступил в силу 27.07.2006), который описывает общие требования по обработке и защите персональных данных, а также техническое задание и тех. проект на систему защиты ПДн, модель угроз по методике ФСБ и ФСТЭК, программу-методику оценки эффективности принимаемых мер и организационно-распорядительную документацию по защите ИСПДн.
При обеспечении безопасности ИСПДн также необходимо опираться на нормативно-правовые акты, перечисленные ниже:
«Требования к защите персональных данных при их обработке в ИСПДн», утвержденные постановлением Правительства Российской Федерации № 1119 от 01.11.2012 и содержащие требования об обеспечении режима безопасности помещений с ИСПДн и учета носителей ПДн, работа с которыми осуществляется без использования средств автоматизации, а также перечень сотрудников, имеющих соответствующий доступ;
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное постановлением Правительства Российской Федерации № 687 от 15.09.2008 и содержащее требования по обработке персональных данных, если их использование, уточнение, распространение и уничтожение может произ-водиться только при участии человека;
«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн», утвержденные приказом № 21 ФСТЭК России от 18.02.2013 (в ред. от 14.05.2020);
«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утвержденные приказом № 378 ФСБ России от 10.07.2014 и описывающие меры криптографической защиты ПДн;
Методический документ «Методика оценки угроз безопасности информации», утвержденный ФСТЭК России 05.02.2021, детально определяет содержание и порядок работ по выявлению угроз в ИСПДн.
Состав мер и требований к объектам информатизации
В данном разделе обучающемуся необходимо, опираясь на изученные нормативно-правовые документы, определить состав мер и требований к объектам информатизации согласно действующим законам Российской Федерации и выбранной теме практической работы.
В качестве дополнительной самостоятельной работы рекомендуется не только перечислить состав мер и требований к объектам информатизации, но и попытаться обосновать данный состав мер и требования.
Пример
Таблица 1 содержит условные обозначения, номера и содержание мер, реализация которых необходима для обеспечения 1-го уровня защищённости ПДн.
Расшифровка условных обозначений и сокращений:
ИАФ — Идентификация и аутентификация субъектов доступа и объектов доступа
УПД — Управление доступом субъектов доступа к объектам доступа
ОПС — Ограничение программной среды
ЗНИ — Защита машинных носителей ПДн
РСБ — Регистрация событий безопасности
АВЗ — Антивирусная защита
СОВ — Обнаружение вторжений
АНЗ — Контроль защищенности ПДн
ОЦЛ — Обеспечение целостности ИС и ПДн
ОДТ — Обеспечение доступности ПДн
ЗСВ — Защита среды виртуализации
ЗТС — Защита технических средств
ЗИС — Защита ИС, ее средств, систем связи и передачи данных
ИНЦ — Выявление инцидентов и реагирование на них
УКФ — Управление конфигурацией ИС и системы защиты ПДн
ВП — Внешние пользователи (пользователи, которые не являются работниками оператора)
МНИ — Машинные носители информации
Таблица 1
Заключение
В заключении обучающийся должен записать сформулированные в практической работе проблемы для своего объекта информатизации, указать пути их решения, а также сформулировать тезисы, которые не учитываются действующим законодательством и нормативными актами. Как и введение, заключение не должно превышать одной страницы.
Пример
В данной практической работе мною была рассмотрена тема «Определение состава мер и требований к информационным системам персональных данных первого уровня защищенности согласно действующему законодатель-ству Российской Федерации».
В результате проделанной работы были получены следующие результаты:
Найдены и проанализированы нормативно-правовые документы, связанные с обработкой и защитой ПДн в ИСПДн;
Установлены меры и требования, обеспечивающие безопасность персональных данных при их обработке в ИСПДн 1-го уровня защищенности.
Список использованных источников
В списке используемых источников обучающийся должен перечислить все источники, которые он использовал при написании практической работы. Предпочтительно алфавитное перечисление источников, но допустимо представление в соответствии с порядком появления текстовых отсылок. Если в качестве источников используются веб-сайты, их тоже необходимо включить в этот список с указанием соответствующих ссылок.
Пример
Федеральный закон № 152 «О персональных данных» (вступил в силу 27.07.2006);
«Требования к защите персональных данных при их обработке в ИСПДн», утв. постановлением Правительства Российской Федерации № 1119 от 01.11.2012;
«Состав и содержание организационно-технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн», утв. приказом № 21 ФСТЭК России от 18.02.2013 (в ред. от 14.05.2020);
«Положение по аттестации объектов информатизации по требованиям безопасности информации», утв. пред-седателем Гостехкомиссии 25.11.1994.
Приложение А
Варианты объектов информатизации к рассмотрению в практической работе:
АСУ ТП 2-го класса защищенности АСУ;
АС от НСД класса защищенности 1Б;
АС от НСД класса защищенности 2Б;
АС от НСД класса защищенности 1Г;
ЗО КИИ 3-й категории значимости;
ИСПДн 4-го уровня защищенности;
АС от НСД класса защищенности 1В;
АС от НСД класса защищенности 2А;
ГИС 1-го класса защищенности ЗИ;
АС от НСД класса защищенности 3Б;
ЗО КИИ 2-й категории значимости;
АСУ ТП 3-го класса защищенности;
ИСПДн 2-го уровня защищенности;
АС от НСД класса защищенности 1В;
ГИС 3-го класса защищенности ЗИ;
АСУ ТП 1-го класса защищенности;
АС от НСД класса защищенности 1Д;
ЗО КИИ 1-й категории значимости;
АС от НСД класса защищенности 3А;