Лаба 6

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Основы управления информационной безопасностью

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №6

Изучение действующей нормативной документации объекта информатизации

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студент:

(Ф.И.О., № группы) (подпись)

Преподаватель:

Бирих Э.В.

(Ф.И.О) (подпись)

Цель работы:

Изучить действующую нормативную документацию объекта информатизации.

Вариант 28 — Администрация города – «Администрация города Пскова».

Ход работы.

Составить перечень внутренних нормативных документов предприятия, регламентирующих защиту информацию.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 05.12.2016 № 646;

Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 № 188;

Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 № 1119;

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15.09.2008 № 687;

Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный Постановлением Правительства Российской Федерации от 21.03.2012 № 211;

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 № 378;

Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 № 152;

Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11.02.2014;

Провести сравнение имеющегося перечня нормативных документов с необходимым.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 05.12.2016 № 646;

Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 № 188;

Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

Указ Президента Российской Федерации от 03.04.1995 № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 № 1119;

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15.09.2008 № 687;

Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный Постановлением Правительства Российской Федерации от 21.03.2012 № 211;

Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные Постановление Правительства Российской Федерации от 06.07.2015 № 676;

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 № 378;

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденное приказом ФСБ России от 09.02.2005 № 66;

Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 № 152;

Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11.02.2014;

ГОСT P 50922-2006 Основные термины и определения;

ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;

ГОСТ 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении;

ГОСT P 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;

ГОСТ Р ИСО МЭК 17799 - 2005 «Информационная технология. Практические правила управления информационной безопасностью»;

ГОСТ Р ISO/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Написать один из внутренних документов, которые отсутствует на объекте информатизации.

Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные Постановление Правительства Российской Федерации от 06.07.2015 № 676;

Контрольные вопросы:

Какой документ по защите информации является первичным нормативным актом на предприятии?

Федеральный закон «Об информации, информационных технологиях и о защите информации».

Перечислите законы, регулирующие порядок работы с конфиденциальной информацией.

Статья 23, 24 Конституции РФ;

Статья 727 Гражданского кодекса РФ;

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон № 152-ФЗ «О персональных данных»;

Федеральный закон № 98-ФЗ «О коммерческой тайне»;

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

Что регулирует закон об архивном деле?

Настоящий Федеральный закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.

Что регулирует Федеральный закон "О персональных данных"?

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Что регулирует Федеральный закон "О коммерческой тайне"?

Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

Что регулирует Федеральный закон "О связи"?

Настоящий Федеральный закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.

Перечислите общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации?

Положения: о защите персональных, секретных, конфиденциальных сведений; о правилах пользования внутренней информационной сетью, использования интернет-ресурсов.

Распоряжения: о назначении ответственных лиц по обеспечению безопасности обработки персональных данных; о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним; о создании комиссии, которая занимается классификацией системы и присваивает ей соответствующий класс защиты.

Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений.

Модель угроз безопасности, составленную на основе анализа.

Утвержденный список лиц с доступом к информации, имеющей стратегическое значение.

Правила: проведения процедуры идентификации пользователей; установки (инсталляции) программного обеспечения; резервирования баз данных, их восстановления при возникновении нештатных ситуаций.

Формы журналов учета: приема/выдачи съемных носителей данных; технических средств для обработки и передачи информации; проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами; тестирования средств, обеспечивающих конфиденциальность, защиту информации; плановых мероприятий, проводимых с целью предотвращения хищений, несанкционированного доступа к секретной информации, выявления потенциальных угроз.

Санкт-Петербург

2022