Информационная система персональных данных (ИСПДн) включает персональные данные и средства, которые используют для их обработки и защиты. Одной из ключевых задач специалиста по ИБ является аудит систем защиты персональных данных. Такой аудит включает определение уровня защищённости ИСПДн.
В результате выполнения задания вы сможете:
- Выявить ИСПДн
- Определить требуемый уровень защищённости ИСПДн
- Доступ к сети Интернет.
- Наличие личного Google Диска.
- Изучены и находятся в доступе:
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
- Внимательно изучите условие задания.
- Обратите особое внимание на опросные листы. Именно по ним и будет выполняться задание.
- Руководствуясь определениями из Закона, определите сколько на предприятии ИСПДн. Назовите каждую ИСПДн. Словами опишите что вы в каждую из них включаете.
- Определите критерии, по которым будет определяться уровень защищенности ИСПДн. Обратите внимание на особые условия задания. Критерии перечислите в ответе к заданию.
- Для каждой ИСПДн определите по требования ПП 1119 требуемый уровень защищенности.
Обратите внимание, что справочная система КонсультантПлюс в бесплатной редакции не даёт копировать текст документа.
Важно: правовые системы предлагают платную подписку на комментарии, аналитические материалы и подборки ссылок. В рамках нашего курса платная подписка не требуется. Все ДЗ рассчитаны на работу исключительно с бесплатной версией. Поэтому, пожалуйста, нигде не вводите данные своих карт и т.д.
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
- Портал госзакупок
- Объект закупки
- Копия ТЗ
Вы специалист по ИБ, который недавно работает на небольшом предприятии. Предприятие только открывается и поэтому необходимо выстроить процесс защиты персональных данных согласно требованиям законодательства.
Руководитель поручил вам начать с выявления информационных систем персональных данных, а затем - определить их уровень защищённости.
Компания занимается оказанием услуг физическим лицам, а именно: стиркой и глажкой шнурков.
В организации следующие отделы: бухгалтерия, отдел кадров, клиентская служба, постирочный цех, гладильный цех.
Для того, чтобы собрать необходимые сведения, вы составляете опросный лист следующего вида:
Опросный лист
-
Название отдела
-
Обрабатываются ли в отделе данные физических лиц (любые из перечисленных в любых комбинациях): ФИО, номер телефона, данные паспорта, семейное положение, электронная почта, домашний адрес, адрес по прописке, образование? да/нет
Обратите внимание: при чётком аргументированном отрицательном ответе дальнейшее заполнение не требуется, вышлите результат специалисту по ИБ
-
Данные каких лиц обрабатываются? Укажите обрабатываемые данные. Например, клиенты - ФИО, телефон; сотрудники - ФИО, паспорт и т.д.
-
Для каждого типа физических лиц укажите:
a. Данные какого количества лиц обрабатываются
b. Какие программы используются при обработке, кто разработчик программы
Заручившись поддержкой генерального директора, вы разослали по начальникам отделов опросные листы и получили заполненные опросные листы. Отбросив незаполненные листы дальше 2-го вопроса, вы получили следующее:
Опросник 1
- Бухгалтерия
- Да
- Сотрудники: ФИО, паспортные данные, образование, семейное положение.
a. 50 человек
b. ПО “Зарплата и кадры”, разработано известной фирмой.
Опросник 2
- Отдел кадров
- Да
- Сотрудники: ФИО, паспортные данные, образование, семейное положение.
a. 50 человек
b. ПО “Зарплата и кадры”, разработано известной фирмой.
Опросник 3
- Клиентский сервис
- Да
- Клиенты: ФИО, номер телефона, адрес электронной почты
a. 200 тысяч человек
b. ПО “Счастливый клиент”, написано фрилансером по заказу фирмы.
Особые условия для задания:
- угрозы 1-го типа не актуальны
- угрозы 2-го типа актуальны только для ПО, выполненного фрилансером.
Задание следует выполнить по следующему шаблону:
-
Выявлены Х ИСПДн.
-
Список ИСПДн
a. ИСПДн 1, к ней относится ПО “Название”
b. ИСПДн 2, к ней относится ПО “Название”
-
Критерии определения уровня защищённости: критерий 1, критерий 2 и т.д
-
Схема “Определение уровня защищённости”
a. Название ИСПДн
b. Критерий 1 - значение
c. Критерий 2 - значение
d. Критерий 3 - значение
(для всех критериев, которые вы выявили)
e. Уровень защищенности ИСПдн - Х
Требования к результату выполнения задания:
- Выявите ИСПДн
- Приведите критерии определения уровня защищённости
- Определите уровень защищённости каждой ИСПДн
Важно: это задача необязательная (документ достаточно большой, поэтому будьте готовы)
Выполним интересную работу: посмотрим на то, как реальные Заказчики в своих документах формируют различные требования к системам (в том числе к системам защиты информации). Вас не должен пугать размер документов (через какое-то время вы научитесь их просто "пролистывать"). Важно иметь перед глазами пример того, как реально строятся требования.
Подобный опыт позволит вам формулировать требования как на стороне Заказчика (вы увидите, как это делают другие), так и на стороне исполнителя (вы поймёте, что требуют Заказчики).
Единственное, мы сразу оговоримся, не всегда подобные документы составляются корректно, поэтому брать и бездумно копировать - не стоит.
В качестве источника подобного рода документов хорошо подходит портал госзакупок. Именно документы оттуда мы и будем рассматривать.
Важно: не пугайтесь тем и терминов, которых вы пока не знаете. Мы их будем проходить в своё время, пока же вы можете их просто пропускать (например, всё, что связано с криптографией).
В качестве документа мы рассмотрим техническое задание на выполнение работ по созданию информационной системы «Туристический портал Пермского края» с выполнением работ по разработке и внедрению системы защиты информации с поставкой, установкой, настройкой средств защиты информации и аттестацией информационной системы по требованиям защиты информации.
Сам объект закупки находится по адресу https://zakupki.gov.ru/epz/order/notice/ok504/view/documents.html?regNumber=0156200009920000498
Документы (в частности, ТЗ) находятся на вкладке: Вложения.
На всякий случай, мы сохранили копию ТЗ.
- Из каких подсистем состоит система (перечислите их названия)?
- Какие три режима функционирования режима предусмотрены (кратко опишите, для чего каждый режим предназначен и какие функции в каждом режиме доступны)?
- Какие требования доступности предъявляются к системе?
- Какие требования предъявляются к подсистеме регистрации и учёта (а конкретно к журналированию событий)?
- Какие меры должны быть включены в комплекс организационных и технических мер, направленных на нейтрализацию актуальных угроз безопасности?
- Какие документы из состава эксплуатационной документации должны быть разработаны на систему защиты информации?
И самый главный вопрос: кто должен определять класс защищённости этой системы и как?
- Отправлена ссылка на Google-документ с выполненным заданием в личном кабинете.
- К документу настроены права доступа «Просматривать могут все в Интернете, у кого есть ссылка». Ссылка на инструкцию Как предоставить доступ к файлам и папкам на Google Диске
Зачёт ставится, если присланный документ соответствует следующим критериям:
- выявлены все ИСПДн
- приведены все критерии определения уровня защищённости
- уровень защищённости каждой ИСПДн определён, в ответе присутствует значение критериев определения для каждой ИСПДн.
Работа направляется на доработку, если задание выполнено частично или не выполнено, в логике выполнения задания есть противоречия, существенные недостатки, нарушена методология.