В качестве результата пришлите ответы на вопросы в личном кабинете студента на сайте netology.ru.
В каждом задании сформулирован один (или несколько вопросов), и вам нужно найти ответы в соответствующем нормативно-правовом акте (далее – НПА).
Обратите внимание:
- там, где требуется указать понятие, необходимо привести это понятие целиком
- там, где необходимо описать иное (например, ответить на вопрос "в течение какого времени", "какая ответственность" и т.д.) достаточно ответа собственными словами (как вы поняли) и указания номера статьи и пункта.
Обратите внимание, что справочная система КонсультантПлюс в бесплатной редакции не даёт копировать текст документа.
Важно: правовые системы предлагают платную подписку на комментарии, аналитические материалы и подборки ссылок. В рамках нашего курса платная подписка не требуется. Все ДЗ рассчитаны на работу исключительно с бесплатной версией. Поэтому, пожалуйста, нигде не вводите данные своих карт и т.д.
Вопросы:
- Сколько классов АС существует? Исходя из чего производится разделение АС на классы?
- Сколько классов защищённости ГИС существует (в соответствии с 17-ым приказом ФСТЭК)? Какой класс является самым высоким (наибольшее количество требований)?
- Сколько уровней защищённости ПДн существует? Какой уровень является самым высоким (наибольшее количество требований)?
- Сколько классов ИСОП существует? Какой класс является самым высоким (наибольшее количество требований)?
- Сколько категорий значимости объектов КИИ существует? Какая категория является самой высокой (наибольшее количество требований)?
- Сколько классов защищённости АСУ существует? Какой класс является самым высоким (наибольшее количество требований)?
Ответ для каждого пункта предоставляйте в формате:
На основании документа <наименование органа, принявшего документ, название документа> существует <ваш ответ> классов АС:
- <...>
- <...>
- <...>
Разделение на классы производится исходя из <ваш ответ>.
В УК РФ есть статья, регламентирующая ответственность за неправомерное воздействие на КИИ РФ.
Что нас интересует: ответственность за использование программ, изначально рассчитанных на модификацию информации, содержащейся в КИИ РФ, в случае если оно (использование) повлекло тяжкие последствия.
В реестре ГИС Новосибирской области присутствует "Единая государственная информационная система в сфере здравоохранения Новосибирской области".
На основании 17-го приказа ФСТЭК попробуйте определить класс защищённости этой ИС.
Для этого найдите данную ИС в реестре и раскройте информацию о ней (столбец "Инфо" иконка 
). Внимательно изучите паспорт ИС и предоставьте ответ в следующем виде:
В системе <не обрабатываются или обрабатываются> сведения, составляющие государственную тайну
Ущерб в случае нарушения конфиденциальности определён как <ваша экспертная оценка> исходя из <ваши доводы>
Ущерб в случае нарушения целостности определён как <ваша экспертная оценка> исходя из <ваши доводы>
Ущерб в случае нарушения доступности определён как <ваша экспертная оценка> исходя из <ваши доводы>
Уровень значимости = max(<конфиденциальность, степень ущерба>, <целостность, степерь ущерба>, <доступность, степень ущерба>)
Масштаб ИС = <Федеральный или Региональный или Объектовый>
На основании уровня значимости и масштаба ИС класс защищённости определён как <Ваш Ответ>
Важно: в данном случае мы не пытаемся угадать реальный класс защищённости, мы лишь на основании своей экспертной оценки пытаемся его определить.
Если в ИС обрабатываются разные виды тайн, то уровень значимости определяется для каждого, а затем берётся максимальный. Для упрощения, будем считать, что в ИС обрабатывается только врачебная тайна (помимо ПДн).
Кроме того (это не относится к реальной системе), будем считать, что в эта ИС обеспечивает автоматизацию следующей деятельности:
- ведение расписаний работы персонала
- врачебный амбулаторный прием
- фиксация фактов оказания медицинской помощи
- учёт выполнения врачебных назначений и процедур
- выписку рецептов и больничных листов
- проведение курсов процедур
- создания, проведения и хранения данных о проведенных диагностических исследованиях
В случае выхода ИС из строя (временной недоступности, уничтожения или порчи данных), медицинские учреждения не смогут выполнять часть возложенных на них функций, поскольку придётся перейти на ручной режим работы.
Обратите внимание: в соответствии с п.27 17 приказа, если в ГИС обрабатываются ПДн, то производится сопоставление уровня защищённости ПДн (УЗ ПДн) и класса защищённости ИС. Если УЗ ПДн требует более высокого класса ГИС (например, ПДн 2 УЗ могут обрабатываться только в К2 и К1), то производится повышение класса защищённости ГИС до соответствующего УЗ ПДн. Будем считать, что обрабатывается ПДн 2 УЗ .
На всякий случай, мы сохранили PDF-копии Паспорта и Положения, если оригинальные документы недоступны.