Определение состава мер и требований к объектам информатизации - Александр Андреевич Привалов

Рецензенты:

Профессор кафедры «Электрическая связь» ФБГОУ ВО ПГУПС А. К. Канаев.

Заведующий кафедрой «Экономика труда и управление человеческими ресурсами» ФГАОУ ВО РУТ (МИИТ) И. А. Епишкин.

АС (Автоматизированная система) — совокупность персонала и комплекса вычислительных средств, выполняющих определенные функции с использованием технологий автоматизации деятель-ности;

ПО (Программное обеспечение) — совокупность компьютерных программ и программных документов, необходимых для эксплуатации этих программ;

АСУ (Автоматизированная система управления) — группа программных и программно-аппаратных решений, реализующих функции контроля за процессами, происходящими в производственном и технологическом оборудовании, а также функции управления таким оборудованием и соответст-вующими процессами;

АСУ ТП (АСУ технологическим процессом) — совокупность технических и программных решений, обеспечивающих автоматизацию управления оборудованием на заданном предприятии;

ГИС (Государственные информационные системы) — информационные системы, функциони-рующие в соответствии с требованиями государственных органов, федеральных законов, законов субъектов Российской Федерации;

ЗО КИИ (Значимые объекты КИИ) — объекты, которым в результате специальной процедуры категорирования присвоена одна из категорий значимости;

ИБ (Информационная безопасность) — состояние защищенности информации, гарантирующее ее конфиденциальность, доступность и целостность;

ИС (Информационная система) — комплекс технических средств и технологий, обрабатывающих информацию, в совокупности с базами данных, содержащими обрабатываемую информацию;

ИСПДн (Информационные системы персональных данных) — ИС, включающие в себя персональные данные и средства обработки персональных данных;

КИИ (Критическая информационная инфраструктура) — ИС и АСУ, принадлежащие субъектам КИИ, а также сети электросвязи, обеспечивающие взаимодействие этих систем;

НСД (Несанкционированный доступ) — получе-ние возможности обработки информации или использования ресурсов информационной системы без ведома их владельца;

ПДн (Персональные данные) — сведения, имеющие отношение к физическому лицу, которые могут быть предоставлены другим лицам;

ПО (Программное обеспечение) — продукт интеллектуальной деятельности, включающий в себя информацию, выраженную через средства поддержки;

РД (Руководящий документ) — нормативно-технический документ, устанавливающий нормы, правила, требования организационно-методического и общетехнического характера;

СЗИ (Средства защиты информации) — комплекс инженерно-технических устройств, приспособлений и систем, применяемых для решения задач по обеспечению ИБ;

СТР-К — Специальные требования и рекоменда-ции по технической защите конфиденциальной информации;

ФЗ (Федеральный закон) — закон, установленный федеральными законодательными органами федеративного государства.

ФСБ (Федеральная служба безопасности) − орган исполнительной власти Российской Федерации, осуществляющий решение задач по обеспечению безопасности Российской Федерации в пределах своих полномочий, установленных нормативными правовыми актами;

ФСТЭК (Федеральная служба по техническому и экспортному контролю) − орган исполнительной власти, выполняющий специальные и контрольные функции в области обеспечения защиты (некриптографическими методами) информации в соответствии с государственной политикой Российской Федерации.

Данное учебно-методическое пособие призвано помочь обучающемуся при написании практической работы по дисциплине «Организационное и правовое обеспечение информационной безопасности».

В практической работе обучающемуся необходимо провести подробный анализ нормативно-правовой документации, относящейся к рассматриваемой теме практической работы, по результатам которого выработать меры и требования к объектам информатизации в соответствии с действующими законами Российской Федерации.

В ходе выполнения практической работы обучающемуся предлагается рассмотреть такие базовые материалы, как межгосударственные стандарты качества (ГОСТ), федеральные законы, приказы ФСБ, ФСТЭК, Постановления Правительства и др. нормативно-правовые документы Российской Федерации.

Вне зависимости от выбранной темы, практическая работа должна соответствовать приведенному ниже оглавлению:

— Содержание

— Перечень сокращений и определений

— Введение

— Анализ нормативных документов

— Состав мер и требований к объектам информатизации согласно законам Российской Федерации

— Заключение

— Список использованных источников (литература или интернет-источники)

При оформлении практической работы необходимо использовать ПО Microsoft Word, шрифт — TimesNewRoman, интервал междустрочный должен быть равен 1.5, размер шрифта — 14. Отступы по краям должны быть равны 1 см., абзацы должны начинаться с «красной» строки (1.5 см).

Титульный лист

Оформление титульного листа осуществляется согласно ГОСТ 2.105-95, ГОСТ 7.32-2017 (см. приложение Б). В этом листе указывается название института, тема, которую рассматривает обучающийся, название предмета (дисциплина), ФИО обучающегося, ФИО преподавателя, город и текущий год.

Перечень сокращений и определений

В перечне сокращений и определений указываются все технические и юридические сокращения и аббревиатуры с их расшифровкой и их описанием. Предпочтительно указывать все элементы перечня в алфавитном порядке.

Пример

ИС (Информационная система) — совокупность технических средств и технологий, обрабатывающих информацию, а также самой обрабатываемой информации, содержащейся в базах данных;

Содержание

В содержании указывается сама структура практической работы, которая в обязательном порядке должна включать следующие разделы: введение; темы, которые рассматривает обучающийся; заключение; список используемых источников. Если необходимо использовать дополнительные материалы, их нужно указать как приложения.

Для того, чтобы правильно оформить содержание посредством ПО Microsoft Word, нужно на вкладке «Ссылки» через виртуальную кнопку «Оглавление» (в левом верхнем углу окна) выбрать необходимый стиль. На странице появляется пустой раздел «Содержание». Чтобы заполнить его, нужно в тексте практической работы выделить тему (заголовок раздела), в ленте команд Microsoft Word перейти на вкладку «Ссылки» и, нажав на кнопку «Добавить текст» в группе «Оглавление», выбрать «Уровень 1».

Чтобы разделы практической работы появились в содержании, его нужно обновить — нажать кнопку «Обновить таблицу», которую можно найти либо в группе «Оглавление» ленты команд, либо над самим полем содержания. После этого тема появляется в содержании, и напротив нее автоматически указывается страница, на которой начинается соответствующий раздел. Если раздел имеет подразделы, то аналогичным образом необходимо кнопкой «Добавить текст» выбрать «Уровень 2» и обновить.

Рассмотрим содержание разделов практической работы.

В введении обучающемуся необходимо привести краткое описание объекта информатизации (например, реальные примеры ГИС или АСУ ТП с кратким назначением и характеристиками), тенденции развития объекта и возникающие на нем проблемы. В конце этого раздела следует указать цель работы, а также описать комплекс взаимосвязанных задач, подлежащих решению для раскрытия темы и достижения указанной цели. Размер введения не должен превышать двух страниц.

Пример

Уровень защищенности ИСПДн — совокупный показатель соответствия требованиям по предотвращению угрозы безопасности ИСПДн. Чтобы определить уровень защищенности, необходимо получить следующие данные:

категории обрабатываемых данных;

форма отношений между субъектами и организацией (для определения вида обработки);

количество субъектов;

угрозы, актуальные для ИС.

Первый уровень устанавливается при обработке данных, относящихся к следующим пунктам:

Специальные, биометрические и иные категории ПДн;

Наличие или отсутствие собственных работников;

Количество субъектов, как менее ста тысяч, так и более ста тысяч;

Наличие в ПО (системном, прикладном), которое используется в ИСПДн, недекларированных возмож-ностей.

В данной практической работе будут рассмотрены информационные системы персональных данных первого уровня защищенности. Этот класс систем необходимо защищать наиболее тщательно, так как данные в них могут касаться национальной