МИНОБРНАУКИ РОССИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра Информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА №11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищённости ИСПДн и реализация требований к ИС в соответствии в руководящим документом ФСТЭК

Студент гр.
Преподаватель

Санкт-Петербург

2023

ПОСТАНОВКА ЗАДАЧИ

Цель работы: изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

1. Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.

2. Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.

1. Общие положения

Модель угроз безопасности информации разработана для предприятия ПАО «Мегафон».

Модель угроз соответствует следующим документам:

• Методика оценки угроз безопасности информации.

• ФЗ №149 «Об информации, информационных технологиях и о защите информации.»

• ФЗ №152 «О персональных данных».

Обладатель информации, Заказчик, оператор систем и сетей – ПАО «Мегафон».

Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.

2. Описание систем и сетей и их характеристики как объектов защиты

Модель угроз разработана для корпоративной сети офиса ПАО «Мегафон» в г. Москва.

В корпоративной сети хранятся и обрабатываются персональные данные клиентов, данные организации, рабочие документы и файлы. Для данной сети актуальны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ2 по ИСПДн.

Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №519 «Об информации, информационных технологиях и о защите информации»; ФЗ №152 «О персональных данных».

Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обработка заказов.

Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.

Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.

Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенными к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию серверной, СУБД, администраторской части веб-сервера.

Схема сети представлена на рисунке 1.

Рисунок 1 – Схема сети

На рассматриваемом объекте обрабатывается конфиденциальная информация о клиентах и сотрудниках. Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной, обрабатывается в бухгалтерском и административном сегментах компании. Исследуемый объект обрабатывает персональные данные. Эта информация, обрабатываемая в компании, имеет высший уровень защищенности (УЗ 3), согласно п. 1. Информационная система, используемая в компании «Скайнэт», имеет региональный масштаб, так как она функционирует 10 только на территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях). Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (объектовый, федеральный, региональный). То есть при уровне защиты УЗ 3 и региональном масштабе ИС, искомый класс защиты – К3.

Таким образом, на основании проведѐнного анализа необходимо наличие ГИС класса защиты К3. 8.

Определение типа ИСПДн

Так как исследуемый объект осуществляет сбор персональных данных, то на неѐ наложены обязательства обеспечения неограниченного доступа к документу, определяющему еѐ политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных 11 при их обработке в информационных системах персональных данных. На рассматриваемом объекте обрабатываются такие персональные данные, как паспортные данные и данные воинского учѐта сотрудников предприятия и паспортные данные клиентов организации. Используемая в объекте ИСПДн не обрабатывает специальную, биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И (иное). 9.

Определение уровня защищенности

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы). К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы. К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами. ИСПДн относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищѐнности ИСПДн – УЗ 3.