- •Миниctepctbo образования и науки российской федерации
- •Содержание Стр
- •Практическое занятие №1.
- •2.2. Типовые модели угроз безопасности испДн.
- •3. Методика и порядок выполнения работы.
- •3. Задания
- •Практическое занятие №2. Определение уровня исходной защищённости (y1).
- •1. Цель и содержание
- •2. Теоретическое обоснование
- •3. Методика и порядок выполнения работы.
- •3. Задания
- •Практическое занятие №3. Определения частоты (вероятности) реализации рассматриваемой угрозы (y2).
- •1. Цель и содержание
- •2. Теоретическое обоснование
- •3. Задания
- •4. Содержание отчёта и его форма
- •3. Задания (указания по порядку выполнения работы)
- •3. Задания (указания по порядку выполнения работы)
- •5. Контрольные вопросы
- •3. Методика и порядок выполнения работы.
- •3. Задания
- •4. Содержание отчёта и его форма
- •3. Методика и порядок выполнения работы.
- •3. Методика и порядок выполнения работы.
- •3. Задания
- •3. Методика и порядок выполнения работы.
- •Общие положения
- •Акт опеделения уровня защищенности испДн «сотрудники»
- •Литература
3. Методика и порядок выполнения работы.
На данном практическом занятии студенты выполняют следующие задания:
3.1. Изучают документ Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3.2. Для определения типа актуальной угрозы использовать правило: актуальные угрозы, не связанны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, если используемое ПО сертифицировано. Тогда для информационной системы актуален 3-й тип угрозы; соответственно наличие несертифицированного ПО в системном программном обеспечении определит 1-й тип актуальных угроз, а наличие несертифицированного ПО в прикладном программном обеспечении определит 2-й тип актуальных угроз.
3. Задания
1. Изучить документ Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
2. С учётом исходных данных и на основании требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", определить тип актуальной угрозы.
3. Результат записать в отчёте.
4. Содержание отчёта и его форма
Отчёт выполняется каждым студентом индивидуально. Работа должна быть оформлена в электронном виде в формате .doc и распечатана на листах формата А4.
На титульном листе указываются: наименование учебного учреждения, наименование дисциплины, название и номер работы, вариант, выполнил: фамилия, имя, отчество, студента, курс, группа, проверил: преподаватель ФИО.
5. Контрольные вопросы
1) Какие меры включает в себя система защиты персональных данных?
2) Кто обеспечивает безопасность персональных данных при их обработке в информационной системе?
3) Продолжите предложение: Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если…
Практическое занятие №7.
Определение уровня защищенности ПДн.
1. Цель и содержание
Целью практических занятий является теоретическая и практическая подготовка студентов в области изучения проблем определения уровня защищенности ПДн при их обработке в информационных системах персональных данных, научиться работать с нормативными документами по защите персональных данных.
2. Теоретическое обоснование
Данное практическое задание предполагает использование документа Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Вся описанная информация может быть представлена в виде таблицы 10.
Таблица 10.
Определение уровня защищенности ПДн
|
Тип ИСПДн |
Сотрудники оператора |
Количество субъектов |
Тип актуальных угроз | ||
|
1 |
2 |
3 | |||
|
ИСПДн-С |
Нет |
> 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
|
Нет |
< 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 | |
|
Да |
| ||||
|
ИСПДн-Б |
|
|
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
ИСПДн-И |
Нет |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
Нет |
< 100 000 |
УЗ-1 |
УЗ-3 |
УЗ-4 | |
|
Да |
| ||||
|
ИСПДн-О |
Нет |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
|
Нет |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 | |