Обеспечение нормативных требований к безопасности операционных систем

Размещено на http://www.allbest.ru/

Автономная система обработки результатов работы НИИ "quantum computing". Автоматизированная система обработки персональных данных Финляндского филиала Российской компании "Travelling Is Simple" - "Клиенты"

по дисциплине

"Безопасность операционных систем"

Тема: Обеспечение нормативных требований к безопасности операционных систем

Оглавление

Введение

1. Задание для курсовой работы

2. Классификация объектов информатизации

3. Определение требований к подсистемам безопасности операционных систем объектов информатизации. Автономная система

3.1 Управление доступом

3.2 Регистрация и учет

3.3 Обеспечение целостности

3.4 Межсетевое взаимодействие

3.5 Анализ защищенности и обнаружение вторжений

3.6 Криптографические методы

3.7 Защита от утечек по техническим каналам

4. Распределенная система

4.1 Управление доступом

4.2 Регистрация и учет

4.3 Обеспечение целостности

4.4 Межсетевое взаимодействие

4.5 Анализ защищенности и обнаружение вторжений

4.6 Криптографические методы

4.7 Защита от утечек по техническим каналам

5. Выбор оптимальных операционных систем и дополнительных средств защиты

Заключение

Приложение

Введение

Защита программных средств - организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий. Одним из основных программных средств, используемых на предприятии, является Операционная система (далее ОС). Автоматизированная система в защищенном исполнении -- автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.

В соответствии с индивидуальным заданием была проведена классификация объектов информатизации учреждения и описаны методы и способы обеспечения безопасности ОС, использующихся в данных объектах, на основе требований, предъявляемых к выявленным классам защищенности.



1. Задание для курсовой работы

Вариант 13

Автономная система

Наличие информации разной степени конфиденциальности: Нет

Категории обрабатываемых данных: ГТ (Государственная тайна)

Подключение к сетям общего доступа: Нет

Режим обработки данных: Индивидуальный

Разграничение прав доступа пользователей: Без

Распределенная система

Наличие информации разной степени конфиденциальности: Да

Категории обрабатываемых данных: Комм., ПДн 2

Объем ПДн: <100 000

Характеристика безопасности: Специальная

Структура системы: Распределенная

Подключение к сетям общего доступа: Да, многоточечный

Режим обработки данных: Коллективный

Разграничение прав доступа пользователей: С разграничением

Местонахождение технических средств: Вне пределов РФ



2. Классификация объектов информатизации

Автономная система - класс 3А

Автоносная система обработки результатов работы НИИ "QuantumComputing"

Подходит для обработки государственной тайны с грифами "секретно" и "совершенно секретно". 3 класс был выбран из-за того, что: индивидуальный режим обработки данных, отсутствие разграничения прав доступа пользователей, информации одной степени конфиденциальности и отсутствует подключение к внешним сетям.

Распределенная система - класс 1Б, К3 (см. Приложения 1 и 2)

Автоматизированная система обработки персональных данных Финляндского филиала Российской компании "Travelling Is Simple" - "Клиенты"

Причины классификации: многопользовательская обработка, разная степень конфиденциальности информации, разграничение доступа пользователей, присутствует подключение к сетям общего доступа, технические средства находятся за пределами РФ



3. Определение требований к подсистемам безопасности операционных систем объектов информатизации. Автономная система

Автономная система

3.1 Управление доступом

- должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

3.2 Регистрация и учет

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа: успешная или неуспешная (при НСД); - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются: дата и время выдачи (обращения к подсистеме вывода); краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку); - должно проводиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации; - должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

3.3 Обеспечение целостности

- должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом: целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ; целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ; - должны осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности; - должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.



3.4 Межсетевое взаимодействие

Внешние подключения в системе отсутствуют - требования не предъявляются.

3.5 Анализ защищенности и обнаружение вторжений

Испытание системы на соответствие требованиям по защищенности информации от угроз безопасности могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):

· наличие необходимой проектной, рабочей и эксплуатационной документации;

· оценка соответствия проектной документации состава и структуры программно-технических средств системы;

· оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;

· испытания подсистемы управления доступом;

· испытания подсистемы регистрации и учета;

· испытания подсистемы обеспечения целостности;

· испытания подсистемы антивирусной защиты;

· испытания подсистемы анализа защищенности;

· испытания подсистемы обнаружения вторжений;

3.6 Криптографические методы

Не применяются



3.7 Защита от утечек по техническим каналам

· применение защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений,

· установление контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

· применение специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений

· выявлением специальных устройств подслушивания



4. Распределенная система

4.1 Управление доступом

- должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю временного действия длиной не менее восьми буквенно-цифровых символов; - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам); - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; - должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

4.2 Регистрация и учет

Подсистема регистрации и учета: - должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа: успешный или неуспешный - несанкционированный; идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; код или пароль, предъявленный при неуспешной попытке; - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа - фактически выданного количества листов в графе "Брак"). В параметрах регистрации указываются: дата и время выдачи (обращения к подсистеме вывода); спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; идентификатор субъекта доступа, запросившего документ; объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный; - должна осуществляться регистрация запуска (завершения) всех программ и процессов (заданий, задач) в АС.

В параметрах регистрации указываются: дата и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа, запросившего программу (процесс, задание); результат запуска (успешный, неуспешный - несанкционированный); - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

В параметрах регистрации указываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная; идентификатор субъекта доступа; спецификация защищаемого файла; имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.); - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная; идентификатор субъекта доступа; спецификация защищаемого объекта [логическое имя (номер)]; имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.); - должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются: дата и время изменения полномочий; идентификатор субъекта доступа (администратора), осуществившего изменения; идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т.п.); спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности); - должен осуществляться автоматический учет создаваемых защищаемых файлов, инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки; - учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); - должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации; - должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой информации; - должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.

4.3 Обеспечение целостности

Подсистема обеспечения целостности: - должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; - должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД.

Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

- должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квартал; автономный канал обработка исследовательский

- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности, а также оперативное восстановление функций СЗИ НСД при сбоях;

- должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.

4.4 Межсетевое взаимодействие

Безопасное межсетевое взаимодействие для информационных систем

1 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:

· фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

· фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

· фильтрацию с учетом любых значимых полей сетевых пакетов;

· фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;

· фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;

· фильтрацию с учетом даты и времени;

· аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети;

· регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

· регистрацию и учет запросов на установление виртуальных соединений;

· локальную сигнализацию попыток нарушения правил фильтрации;

· идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

· предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;

· идентификацию и аутентификацию администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;

· регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

· регистрацию запуска программ и процессов (заданий, задач);

· регистрацию действия администратора межсетевого экрана по изменению правил фильтрации;

· возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;

· контроль целостности своей программной и информационной части;

· контроль целостности программной и информационной части межсетевого экрана по контрольным суммам;

· восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

· регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации

администратора межсетевого, экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

4.5 Анализ защищенности и обнаружение вторжений

Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):

· наличие необходимой проектной, рабочей и эксплуатационной документации;

· оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;

· оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;

· испытания подсистемы управления доступом;

· испытания подсистемы регистрации и учета;

· испытания подсистемы обеспечения целостности;

· испытания подсистемы антивирусной защиты;

· испытания подсистемы анализа защищенности;

· испытания подсистемы обнаружения вторжений;

· испытания подсистемы межсетевого экранирования;

· испытания подсистемы защиты каналов связи;

· испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканнеров безопасности

4.6 Криптографические методы

Криптографическая подсистема: - должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; - доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; - должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.

4.7 Защита от утечек по техническим каналам

· использование технических средств в защищенном исполнении;

· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

· размещение объектов защиты в соответствии с предписанием на эксплуатацию;

· размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;

· обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

· обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.



5. Выбор оптимальных операционных систем и дополнительных средств защиты

Автономная система:

1. Операционная система ОС МСВС 3.0 - по 3 классу СВТ и 2 уровню НДВ

2. Электронная АТС "КВАНТ-ЕУ" - программно-техническое средство обработки информации в защищенном исполнении для объектов 3-й категории на соответствие ТУ и по 3 уровню контроля отсутствия НДВ и классу защищенности 3А по РД АС

Распределенная система

ОС:

1. Встроенные средства защиты ОС MS Windows NT 4.0 Server (English) с пакетом обновления Service Pack 5 (English) - СЗИ НСД по III классу для СУиК

2. OS Windows в сочетании с приведенными ниже средствами

Средства

1. Комплекс СЗИ НСД "Аккорд-NT/2000" v.3.0, функционирующий под управлением ОС Windows в системах терминального доступа, построенных на базе терминальных служб сетевых операционных систем Microsoft Windows, и программного обеспечения Citrix, является программно-техническим средством защиты информации от НСД, соответствует 3 классу для СВТ, 2 уровню для НДВ (может использоваться в 1Б и может использоваться для защиты информации в ИСПДн до 1 класса включительно)

2. Система защиты информации от НСД в ЛВС "Снег-ЛВС" под управлением Advanced/SFT NetWare 2/xx, NetWare 386 3/xx. Исполнение 1 - в состав входит СКЗД "Иней" и "Иней-ЛВС"- по классу 1Б для АС. Исполнение 2 - без СКЗД "Иней и "Иней-ЛВС"- по классу 1В для АС. Все устройства - по 3классу для СВТ

3. Система защиты информации от НСД "Страж NT" (версия 2.0) по 3 классу для СВТ, по 2 уровню контроля НДВ и может использоваться в АС класса до 1Б включительно

4. Программно-аппаратный комплекс "Соболь" УВАЛ.00300-58 - по 2 уровню контроля НДВ и может применяться до 1Б для АС (может использоваться для защиты информации в ИСПДн до 1 класса включительно)

5. Система защиты информации "Secret Net" версии 5.1 - по 2 уровню контроля отсутствия НДВ, по 3 классу защищенности для СВТ (может использоваться в 1Б и может использоваться для защиты информации в ИСПДн до 1 класса включительно)

6. Многофункциональный комплекс сетевой защиты "Diamond VPN/FW" - по 3 классу РД СВТ, по 2классу РД МЭ, по 2 уровню НДВ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для защиты информации в ИСПДн до 1 класса включительно.)

7.1. ПАК средств защиты информации от несанкционированного доступа "Аккорд-Win32", под управлением ОС Windows , соответствует 2 уровню по РД НДВ, 3-РД СВТ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для перданных до 1 класса включительно)

7.2 ПАК средств защиты информации от несанкционированного доступа "Аккорд-Win64", под управлением ОС Windows , соответствует 2 уровню по РД НДВ, 3-РД СВТ (может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для перданных до 1 класса включительно)



Заключение

В ходе данного курсового проекта были изучены нормативные требования к операционным системам. В ходе выполнения работы были рассмотрены два вида систем - автономная и распределенная. Автономная система, хоть и была предназначена для обработки информации, составляющей государственную тайну, имела более низкий класс защищенности, чем распределенная система, которая имела много уровней доступа и технические средства которой располагались вне пределов РФ.

Курсовой проект был выполнен на основе руководящих документов и стандартов РФ,



Приложение

Для служебного пользования

Экз. №1

УТВЕРЖДАЮ

Руководитель организации

Достоевский А. П.

13.12.2012

АКТ

классификации автоматизированной системы, предназначенной для обработки конфиденциальной информации

ОАО "Travelling Is Simple"

Комиссия в составе:

Председатель

заместитель руководителя Замятин Е. А.

члены комиссии

заместитель руководителя по вопросам безопасности Стругацкий А. А.

заместитель руководителя по вопросам информатизации Бунин М. И.

рассмотрев исходные систему (АС) данные на автоматизированную ОАО " Travelling Is Simple " условия ее эксплуатации (многопользовательский), с учетом характера обрабатываемой информации (персональные данные) и в соответствии с руководящими документами Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа кинформации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",

РЕШИЛА

Установить АС ООО "Национальная служба взыскания" класс защищенности 1Б

Председатель комиссии Замятин Е. А..

Члены комиссии: Стругацкий А. А.

Бунин М. И.

Приложение 2 УТВЕРЖДАЮ ________________________________ (руководитель органа исполнительной власти) _____________ (подпись) "__" __________ 20__г.

Акт классификации информационной системы персональных данных

Автоматизированная система обработки персональных данных Финляндского филиала Российской компании "Travelling Is Simple" - "Клиенты"

Комиссия в составе:

Председатель

заместитель руководителя Замятин Е. А.

члены комиссии

заместитель руководителя по вопросам безопасности Стругацкий А. А.

заместитель руководителя по вопросам информатизации Бунин М. И.

Рассмотрев исходные данные об информационной системе персональных данных:

1) категория персональных данных ПДн 3, Хпд=3;

2) объем обрабатываемых персональных данных до 10000, Хнпд=3;

3) заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе в соответствии с требованиями подпункта г) пункта 11 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781: СПЕЦИАЛЬНАЯ;

4) структура информационной системы: РАСПРЕДЕЛЕННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА;

5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ДА;

6) режим обработки персональных данных: МНОГОПОЛЬЗОВАТЕЛЬСКИЙ;

7) режим разграничения прав доступа пользователей информационной системы:

С РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА;

8) местонахождение технических средств: ВНЕ ПРЕДЕЛОВ РФ

В соответствии с пунктами 14 и 15 "Порядка проведения классификации информационных систем персональных данных", утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20 и на основании анализа исходных данных, РЕШИЛА:

информационной системе персональных данных ОАО " Travelling Is Simple " установить класс: К3

Председатель комиссии Замятин Е. А..

Члены комиссии: Стругацкий А. А.

Бунин М. И.

"__" __________ 20__

Размещено на Allbest.ru