МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ ПО ЛАБАРАТОРНОЙ РАБОТЕ № 11
по дисциплине «Основы информационной безопасности» Тема: «Определение уровня защищенности ИСПДН и реализация требований
к ИС в соответствии с руководящими документами ФСТЭК»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Задача: изучить виды работ по определению необходимого уровня защищенности персональных данных для конкретной организации, провести анализ уровня защищенности информационных систем персональных данных и реализации требований к ИС в соответствии с руководящими документами ФСТЭК
Рекомендуемая структура модели угроз безопасности информации
УТВЕРЖДАЮ
Руководитель органа государственной власти (организации) или иное уполномоченное лицо
« » |
20 г. |
|||||
|
|
|
|
|
|
|
Модель угроз безопасности персональных данных «Информационная система персональных данных ПАО Телфин»
ОБЩИЕ ПОЛОЖЕНИЯ
Модель угроз безопасности информации разработана для организации
«ПАО Телфин».
Данный документ предназначен для определение уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия,
нарушителей и сценарий реализации угрозы.
Отдел информационных систем, Отдел сетевых технологий, Управление информационных технологий привлекаются для разработки модели угроз безопасности информации.
ОПИСАНИЕ СИСТЕМ И СЕТЕЙ И ИХ ХАРАКТЕРИСТИКА КАК
ОБЪЕКТОВ ЗАЩИТЫ
Модель угроз безопасности информации разработана для
Информационной системы «ПАО Телфин» систем виртуализации и виртуальных машин.
Класс защищенности информационной системы «ПАО Телфин» - 1Д (многопользовательская система с разными уровнями доступа и разными уровнями конфиденциальности информации, в которой циркулируют
персональные данные).
Компания является компанией поставщиком услуг: система хранения
данны, сетевая инфраструктура.
В информационной системе обрабатываются общедоступные персональные данные пользователей: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень значимости ИСПДн – УЗ 3.
Функции информационной системы Телфин:
Хранение и обработка личных данных сотрудников;
Хранение и обработка данных клиентов.
Состав информационной системы в целом
Винформационную систему входят: 30 персональных компьютеров (АРМ сотрудников) с установленной операционной системой Windows 10, веб-сайт,
СУБД (PostgreSQL), 2 сервера: сервер БД (Windows Server)
АРМ в локальной сети взаимодействуют при помощи коммутаторов, в
серверной расположен маршрутизатор. Схема устройства информационной системы продемонстрирован на рисунке 1.
Отдел по работе с клиентами:
Техническое оснащение: 20 персональных компьютеров с установленной на них операционной системой Windows 10.
Перечень персональных данных пользователей обрабатываемые информационной системой клиентского отдела:
Данные клиентов:
Фамилия, имя, отчество (при наличии);
Дата и место рождения;
Пол;
Гражданство;
Данные паспорта или иного документа, удостоверяющего личность: серия,
номер, дата выдачи, срок действия (при наличии), код;
подразделения и орган, выдавший документ;
Адрес регистрации и фактического проживания;
Адрес электронной почты;
Номер мобильного телефона;
Отдел кадров:
Техническое оснащение: 10 персональных компьютеров с установленной на них операционной Windows 10.
Данные сотрудников, собираемые отделом кадров:
Фамилия, имя, отчество (при наличии);
Дата и место рождения;
Пол;
Гражданство;
Данные паспорта или иного документа, удостоверяющего личность: серия,
номер, дата выдачи, срок действия (при наличии), код;
подразделения и орган, выдавший документ;
Адрес регистрации и фактического проживания;
Адрес электронной почты;
Номер мобильного телефона;
Документы об образовании сотрудников;
Сайт:
Данные, которые предоставляются клиентом при использовании сайта:
ФИО
Адрес проживания
Возраст
Мобильный телефон
Адрес электронной почты
ВИС Телфин существуют следующие группы авторизованных пользователей:
1.Сотрудник отдела кадров
2.Сотрудник отдела по работе с клиентами
Определение категории ИСПДН информационной системы «ПАО Телфин»
Не является ИСПДН-С (Специальной) т.к. в составе обрабатываемых персональных данных не присутствует данных, касающихся рассовой и национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни;
Не является ИСПДН-Б, т.к. не обрабатывается биометрические
персональные данные сотрудников и клиентов (ДНК, отпечатки пальцев,
рисунок сетчатки глаза, овал и строение лица);
Попадает под категорию ИСПДН-О, т.к. в составе обрабатываемых персональных данных присутствуют данные о ФИО, месте рождения,
адреса, абонентского номера, но категория ИСПДН-О не полностью покрывает персональные данные, обрабатываемые информационной системой «ПАО Телфин»;
ИСПДН-И подходит для данной информационной системы, т.к.
присутствуют персональные данные, которые выходят за рамки общедоступных (например, паспортные данные, клиентские данные об оплате)
Исходя из проведенного анализа, категория обрабатываемых персональных
данных рассматриваемой информационной системой – иные, следовательно,
категория будет ИСПДН-И.
СТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Рисунк 1 – структура инфрормационной системы перасональных данных
ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ ОТ РЕАЛИЗАЦИИ
УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Описание видов рисков (ущербов), актуальных для ПАО Телфин, которые могут наступить от нарушения или прекращения основных процессов. Описание негативных последствий, наступление которых в результате реализации
(возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).
Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
№ |
Виды |
Негативные последствия |
|
||
|
риска (ущерба) |
|
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение неприкосновенности частной жизни. |
|||
|
|
Нарушение личной, семейной тайны, утрата чести и |
|||
|
|
доброго имени. Нарушение тайны переписки, |
|||
|
|
телефонных переговоров, иных сообщений. |
|||
|
|
Нарушение иных прав и свобод гражданина, |
|||
|
|
закрепленных |
в |
Конституции |
Российской |
|
|
Федерации и федеральных законах. Финансовый, |
|||
|
|
иной материальный ущерб физическому лицу. |
|||
|
|
Нарушение |
конфиденциальности |
(утечка) |
|
|
|
персональных данных. «Травля» гражданина в сети |
|||
|
|
«Интернет». Разглашение персональных данных |
|||
|
|
граждан |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|||
|
индивидуальному |
Федерации. |
|
|
|
|
предпринимателю, связанные с |
Недополучение ожидаемой (прогнозируемой) |
|||
|
хозяйственной деятельностью |
||||
|
прибыли. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|