Читать книгу: «Определение состава мер и требований к объектам информатизации», страница 3

Александр Андреевич Привалов, Мария Александровна Сахарова

Шрифт:

Рассмотрим содержание разделов практической работы.

Содержание разделов практической работы

Введение

В введении обучающемуся необходимо привести краткое описание объекта информатизации (например, реальные примеры ГИС или АСУ ТП с кратким назначением и характеристиками), тенденции развития объекта и возникающие на нем проблемы. В конце этого раздела следует указать цель работы, а также описать комплекс взаимосвязанных задач, подлежащих решению для раскрытия темы и достижения указанной цели. Размер введения не должен превышать двух страниц.

Пример

Уровень защищенности ИСПДн – совокупный показатель соответствия требованиям по предотвращению угрозы безопасности ИСПДн. Чтобы определить уровень защищенности, необходимо получить следующие данные:

категории обрабатываемых данных;

форма отношений между субъектами и организацией (для определения вида обработки);

количество субъектов;

угрозы, актуальные для ИС.

Первый уровень устанавливается при обработке данных, относящихся к следующим пунктам:

Специальные, биометрические и иные категории ПДн;

Наличие или отсутствие собственных работников;

Количество субъектов, как менее ста тысяч, так и более ста тысяч;

Наличие в ПО (системном, прикладном), которое используется в ИСПДн, недекларированных возмож-ностей.

В данной практической работе будут рассмотрены информационные системы персональных данных первого уровня защищенности. Этот класс систем необходимо защищать наиболее тщательно, так как данные в них могут касаться национальной или расовой принадлежности, политических, философских, религиозных убеждений, состояния здоровья, прочих деликатных вопросов, и нарушение их безопасности может повлечь значительные негативные последствия.

Главная цель данной работы – определить меры (организационные, технические), которые обеспечат безопасность ПДн в системе первого уровня защищенности.

Чтобы достигнуть заданную цель, необходимо прежде всего собрать и проанализировать нормативно-методические документы по безопасности ПДн.

Анализ нормативных документов

В данном разделе должен быть приведён список использованных нормативных документов вместе с их кратким анализом, раскрывающим область их применения.

Здесь также рассматривается список нормативной документации, которая относится к теме практической работы. К нормативной документации могут относиться такие базовые материалы, как федеральные законы, приказы ФС и ФСТЭК, межгосударственные и национальные стандарты (ГОСТ) и т.д.

В ходе анализа нормативной документации требуется рассмотреть основные положения, функции и требования рассматриваемых документов, на которые опирается тема практической работы. Рекомендуется рассмотреть также документы, касающиеся типовых материалов проектирования и эксплуатации объектов информатизации. Кроме этого, необходимо учесть, на какие нормативные документы ссылается предложенная документация.

Рекомендуется обратить особое внимание на следующие документы:

Федеральный закон № 149 «Об информационных технологиях и защите информации» (вступил в силу 27.07.2006);

Закон «О государственной тайне» (№ 5485-1 от 21.07.1993);

Федеральный закон № 152 «О персональных данных» (вступил в силу 27.07.2006);

Федеральный закон № 187 «О безопасности критической ин-формационной инфраструктуры Российской Федерации» (вступил в силу 26.07.2017);

«Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. председателем Гостехкомиссии 25.11.1994);