Пак636329237700917012 (1206720), страница 3
Текст из файла (страница 3)
от 12.03.2014) "О коммерческой тайне".Данный Федеральный закон предназначен для регулирования отношений,связанных с установлением, изменением и прекращением режима коммерческойтайны в отношении информации, 15 которая имеет действительную илипотенциальную коммерческую ценность в силу неизвестности ее третьимлицам. 45Согласно пункту первому статьи номер четыре, данного Федеральногозакона, право на отнесение информации к информации, составляющейкоммерческую тайну, и на определение перечня и состава такой информациипринадлежит обладателю 42 данной информации с учетом положений 15 этогоФедерального закона.Состав мер по охране данного вида информации регламентируется пунктомпервым статьи десятой.
Согласно этому пункту меры по охране 39 должнывключать:определение перечня информации, составляющей коммерческую тайну;ограничение доступа 43 данной информации, путем установления порядкаобращения с 51 ней и контроля за соблюдением такого порядка; 45ведение учета лиц, получивших доступ к 42 коммерческой тайне и лиц,которым данная информация была предоставлена или передана;регулирование отношений по использованию информации, составляющейкоммерческую тайну, работниками на основании трудовых 15 договоров;нанесение на материальные носители, содержащие информацию, 239составляющую коммерческую тайну, или включение в состав реквизитовдокументов, содержащих такую информацию, грифа "Коммерческая тайна" суказанием обладателя такой информации.
23Согласно пункту второму статьи десятой Федерального закона «Окоммерческой тайне» после выполнения владельцем информации всехвышеперечисленных мер режим коммерческой тайны считается установленным.Помимо коммерческой тайны информационная система данной организациихранит и обрабатывает персональные данные, как клиентов, так и сотрудниковорганизации. Обработка такого вида данных в автоматизированных системахрегламентируется Федеральным законом от 27.07.2006 N 152-ФЗ (ред.
от22.02.2017) "О персональных данных". 15 Этот Федеральный закон регулируетотношения, связанные с 15 обработкой персональных данных, и доступ к такимперсональным данным.Согласно данного Федерального закона, а именно статьи 19 под названием« Меры по обеспечению безопасности персональных данных при их обработке»,оператор при обработке персональных данных обязан принимать необходимыеправовые, организационные и технические меры или обеспечивать их принятиедля защиты персональных данных от неправомерного или случайного доступа кним, уничтожения, изменения, блокирования, копирования, предоставления,распространения персональных данных, а также от иных неправомерныхдействий в отношении персональных данных.
1Так же обеспечение безопасности таких данных достигается и за счет:определения угроз безопасности персональных данных при их обработкев информационных системах персональных данных;применения организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных, необходимых для выполнения требований кзащите персональных данных, исполнение которых обеспечиваетустановленные Правительством Российской Федерации уровни защищенностиперсональных данных; 210применения 2 сертифицированных средств защиты информации;оценки эффективности принимаемых мер по обеспечению безопасностиперсональных данных до ввода в эксплуатацию информационной системыперсональных данных;учета машинных носителей персональных данных;обнаружения фактов несанкционированного доступа к персональнымданным и принятием мер;восстановления персональных данных, модифицированных илиуничтоженных вследствие несанкционированного доступа к ним;установления правил доступа к персональным данным, обрабатываемымв информационной системе персональных данных, а также обеспечениемрегистрации и учета всех действий, совершаемых с персональными данными винформационной системе персональных данных;контроля за принимаемыми мерами по обеспечению безопасностиперсональных данных и уровня защищенности информационных системперсональных данных.
2Так как информационная система рассматриваемой организации необрабатывает государственную тайну можно руководствоваться документом« Состав и содержание организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных» 2 утвержденным 29 приказом ФСТЭК России от 18февраля 2013 г. N 21.
17 Требования к защите персональных данных 1 содержатся вприказе ФСТЭК от 11 февраля 2013г 22 No17 « Об утверждении требований озащите информации, не составляющей государственную тайну, содержащейся вгосударственных информационных системах». 4 Так как состав мер защиты 17 и21 приказа ФСТЭК совпадают.В связи с этим было принято решение об использовании последнегодокумента, так как в шестом пункте данных требований разрешается, поусмотрению обладателя информации или оператора, применение этих11требований и к негосударственным ИС.В данном документе говорится о том, что при проектировании системызащиты информации необходимо определить методы управления доступом, 18типы доступа и правила разграничения доступа субъектов к 18 объектам доступа. 18Для детализации организационных и технических мер 18 защиты информации,был разработан методический документ «Меры защиты информации вгосударственных информационных системах», 18 утвержденного ФСТЭК России11 февраля 2014 18 года.
Данный методический документ разработан всоответствии с вышеупомянутыми Требованиями о защите информации, несоставляющей государственную тайну, содержащейся в государственныхинформационных системах, а 18 значит, может так же применяться и длянегосударственных ИС.Согласно пункту УПД.2, данного методического документа, винформационной системе для управления доступом субъектов к 18 объектамдоступа должны быть реализованы установленные оператором методыуправления доступом, назначены типы доступа и 18 реализованы правиларазграничения доступа. 18Методы управления доступом 18 подбираются в зависимости от особенностей 18работы информационной системы, с учетом угроз безопасности информации идолжны 18 содержать один или комбинацию следующих методов: 18мандатный метод управления доступом;ролевой метод управления доступом;дискреционный метод управления доступом.Для более ясного обоснования выбора необходимо рассмотреть все триметода разграничения доступа подробнее.1.1.1 Мандатный метод управления доступомМандатный метод основан на назначении меток конфиденциальности дляинформации, содержащейся в объектах, и выдаче 31 субъектам разрешений12(допусков) на работу с информацией такого уровня конфиденциальности.Метки доступа, присваиваемые объектам, определяют уровень доступанеобходимый для работы с хранящейся в них информацией, а меткиприсваиваемые субъектам определяют уровень доступа информации, к которойони имеют доступ.
Таким образом, можно сделать 81 вывод о том, что 81 основуреализации мандатного метода управления доступом составляют 52 два шага:сравнение метки субъекта, 52 который запросил доступ, и метки объекта, ккоторому 52 совершен запрос;принятие решения о выдаче доступа на основе определенных правил.Мандатный механизм подчиняется определенным требованиям:каждому объекту и субъекту доступа необходимо сопоставлятьклассификационные метки, выражающие их место в иерархии. Через эти меткисубъектам и объектам необходимо назначать классификационные уровни.
Этиметки должны служить 56 основополагающей мандатного принципаразграничения доступа;система защиты при 52 создании новых данных в информационной системедолжна запрашивать классификационные метки этих данных усанкционированного пользователя. При санкционированном внесении в списокпользователей нового субъекта необходимо назначить ему классификационныеметки. Данные метки должны быть идентичны как у внутренних пользователей,так и у внешних;система защиты должна осуществлять мандатный принцип контролядоступа относительно всех объектов при явном и скрытом 52 доступах со сторонылюбого из субъектов; 52реализация мандатных принципов разграничения доступа должнапредусматривать наличие возможности сопровождения, изменения 56классификационных уровней субъектов и объектов 56 через специальновыделенных субъектов.Мандатная модель разграничения доступа имеет ряд преимуществ, к13которым, например, можно отнести возможность существенного упрощениязадачи администрирования.
Это касается как исходной настройки политикиразграничения доступа, так как не требуется слишком высокой детализацииотношений между субъектами и объектами, так и включения в схемуадминистрирования новых объектов и субъектов в процессе работы системы.Ещё одним несомненным и, пожалуй, самым важным достоинствомявляется то, что субъект не может управлять доступом к ресурсам, которые онсоздает, полностью. Установленная администратором на системе политикабезопасности полностью назначает доступ, и зачастую пользователь не имеетразрешения на установку более свободного доступа к его ресурсам, чем доступ,установленный для него администратором.Также достоинством является тот факт, что такая система запрещаетпользователю или процессу, 31 имеющему определенный уровень доверия, 31получить доступ к информации, процессам или устройствам с более 31 высшимуровнем защищенности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
