МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ ПО ЛАБАРАТОРНОЙ РАБОТЕ № 11
по дисциплине «Основы информационной безопасности» Тема: «Определение уровня защищенности ИСПДН и реализация требований
к ИС в соответствии с руководящими документами ФСТЭК»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Задача: изучить виды работ по определению необходимого уровня защищенности персональных данных для конкретной организации, провести анализ уровня защищенности информационных систем персональных данных и реализации требований к ИС в соответствии с руководящими документами ФСТЭК
Рекомендуемая структура модели угроз безопасности информации
УТВЕРЖДАЮ
Руководитель органа государственной власти (организации) или иное уполномоченное лицо
« » |
20 г. |
|||||
|
|
|
|
|
|
|
Модель угроз безопасности информации и ИСПДН «Информационная система безопасности ГК Март»
ОБЩИЕ ПОЛОЖЕНИЯ
Модель угроз безопасности информации разработана для организации «ГК Март».
Данный документ предназначен для определение уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия,
нарушителей и сценарий реализации угрозы.
Отдел информационных систем, Отдел сетевых технологий, Управление информационных технологий привлекаются для разработки модели угроз безопасности информации.
ОПИСАНИЕ СИСТЕМ И СЕТЕЙ И ИХ ХАРАКТЕРИСТИКА КАК
ОБЪЕКТОВ ЗАЩИТЫ
Модель угроз безопасности информации разработана для Информационной системы «ГК Март» систем виртуализации и виртуальных машин.
Класс защищенности информационной системы «ГК Март» - К3
(многопользовательская система с разными уровнями доступа и разными уровнями конфиденциальности информации, в которой циркулируют персональные данные).
Компания является компанией оператором услуг: приложения, связующее ПО, ОС, аппаратная платформа и система хранения данных, обработка данных.
Количество субъектов компании меньше 100 000.
В информационной системе обрабатываются только данные, которые публикуются субъектом: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень защищённости ИСПДн – УЗ 2.
Функции информационной системы Март:
•Хранение и обработка личных данных сотрудников;
•Хранение и обработка данных клиентов.
Состав информационной системы в целом
Винформационную систему входят: 30 персональных компьютеров (АРМ сотрудников) с установленной операционной системой Windows 10, веб-сайт,
СУБД (PostgreSQL), 2 сервера: сервер БД (Windows Server), веб-сервер (Windows Server).
АРМ в локальной сети взаимодействуют при помощи коммутаторов, в
серверной расположен маршрутизатор. Схема устройства информационной системы продемонстрирован на рисунке 1.
Отдел по работе с клиентами:
Техническое оснащение: 20 персональных компьютеров с установленной на них операционной системой Windows 10.
Перечень персональных данных пользователей обрабатываемые
информационной системой клиентского отдела:
Данные клиентов:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность: серия,
номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
Отдел кадров:
Техническое оснащение: 10 персональных компьютеров с установленной на них операционной Windows 10.
Данные сотрудников, собираемые отделом кадров:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность: серия,
номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
•Документы об образовании сотрудников;
Сайт:
Данные, которые предоставляются клиентом при использовании сайта:
•ФИО
•Адрес проживания
•Возраст
•Мобильный телефон
•Адрес электронной почты
ВИС Март существуют следующие группы авторизованных пользователей:
1.Сотрудник отдела кадров
2.Сотрудник отдела по работе с клиентами
Доступ к ресурсам информационной системы «ГК Март» обеспечивается удаленно, через сайт компании или с персональных компьютеров работников.
Программное обеспечение, приложение и базы данных ИС Март располагаются на базе локального центра обработки данных в главном офисе ГК Март.
СТРУКТУРА ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Рисунк 1 – структура инфрормационной системы перасональных данных
ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ ОТ РЕАЛИЗАЦИИ
УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Описание видов рисков (ущербов), актуальных для ГК Март, которые могут наступить от нарушения или прекращения основных процессов. Описание негативных последствий, наступление которых в результате реализации
(возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).
Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
№ |
Виды |
Негативные последствия |
|
||
|
риска (ущерба) |
|
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение неприкосновенности частной жизни. |
|||
|
|
Нарушение личной, семейной тайны, утрата чести и |
|||
|
|
доброго имени. Нарушение тайны переписки, |
|||
|
|
телефонных переговоров, иных сообщений. |
|||
|
|
Нарушение иных прав и свобод гражданина, |
|||
|
|
закрепленных |
в |
Конституции |
Российской |
|
|
Федерации и федеральных законах. Финансовый, |
|||
|
|
иной материальный ущерб физическому лицу. |
|||
|
|
Нарушение |
конфиденциальности |
(утечка) |
|
|
|
персональных данных. «Травля» гражданина в сети |
|||
|
|
«Интернет». Разглашение персональных данных |
|||
|
|
граждан |
|
|
|
У2 |
Риски юридическому лицу, |
Нарушение законодательства Российской |
|||
|
индивидуальному |
Федерации. |
|
|
|
|
предпринимателю, связанные с |
|
|
|
|
|
Недополучение ожидаемой (прогнозируемой) |
||||
|
хозяйственной деятельностью |
||||
|
прибыли. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Определения объектов воздействия и видов воздействия на них
Негативные |
Объекты воздействия |
Виды воздействия |
|
последствия |
|
|
|
|
|
|
|
|
База данных |
Утечка идентификационной информации |
|
|
информационной |
граждан из базы данных |
|
|
системы, содержащая |
|
|
|
идентификационную |
|
|
|
информацию граждан |
|
|
Разглашение |
Удаленное |
Утечка идентификационной информации |
|
автоматизированное |
граждан с АРМ пользователя |
||
персональных |
|||
рабочее место (АРМ) |
|
||
данных граждан |
|
||
пользователя |
|
||
(У1) |
|
||
Веб-приложение |
Несанкционированный доступ к |
||
|
|||
|
информационной |
идентификационной информации граждан, |
|
|
системы, |
содержащейся в веб-приложении |
|
|
обрабатывающей |
||
|
информационной системы |
||
|
идентификационную |
||
|
|
||
|
информацию граждан |
|
|
Нарушение |
База данных |
Утечка идентификационной информации |
|
законодательства |
информационной |
граждан из базы данных |
|
Российской |
системы, содержащая |
|
|
идентификационную |
|
||
Федерации. |
|
||
информацию граждан |
|
||
(У2) |
|
||
|
|
||
|
|
|