МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

Отчет

по практической работе №11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК

Студент гр.
Преподаватель

Санкт-Петербург

2023

Постановка задачи: описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании. Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г

Цель работы

Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

Основная часть

1. Общие положения.

Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «Скайнэт», а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.

Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.

Владелец информации: организация «Скайнэт».

Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «Скайнэт».

2. Описание систем и сетей и их характеристика как объектов защиты.

«Скайнет» является оператором услуг: сетевая инфраструктура и система хранения данных.

Класс защищённости ИС – 1Д (автоматизированные системы, в которых циркулируют персональные данные). Классификация приведена в соответствии с Руководящим Документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Документы и правовые акты:

1. техническое задание на создание системы и локальной сети;

2. программная (конструкторская) документация;

3. эксплуатационная документация;

4. документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);

5. Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;

Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:

1. Автоматизация и управление;

2. Сервисы пользователей;

3. Обслуживание инфраструктуры.

Данная компания в качестве провайдера интернет-услуг обрабатывает и хранит персональные данные клиентов, информацию о договорах/заказах и техническую информацию. Следовательно, данная компания относится к ИСПДн (информационной системе персональных данных) типа И (исчерпывающие перечни сведений о физических лицах).

Данную информацию собирает корпоративный отдел. Хранится на серверах БД. Эта информация необходима интернет-провайдеру для обеспечения и поддержания услуг интернет-подключения, управления персоналом, взаиморасчетов с сотрудниками и пользователями, а также для соблюдения требований законодательства в области связи и информационных технологий.

Состав обрабатываемой информации:

1. Сотрудники:

• Имя, адрес, контактная информация и другие персональные данные для обеспечения коммуникации и управления персоналом.

• Информация о квалификации, опыте работы и профессиональных навыках для найма, оценки производительности и роста внутри компании.

• Банковские реквизиты и информация о заработной плате для осуществления оплаты и расчетов с сотрудниками.

• Логины и пароли для доступа к внутренним системам и сервисам компании.

2. Пользователи:

• Имя, адрес, контактные данные, договоры и платежные реквизиты для оформления подключения и предоставления услуг интернет-провайдера.

• Информация о технологиях подключения, уровне сигнала и пропускной способности для обеспечения стабильного и качественного интернет-соединения.

• Журналы активности и трафика для технической поддержки, анализа использования услуг и обеспечения безопасности сети.

• Информация о транзакциях, платежах и возможностях оплаты для финансового и бухгалтерского учета.

Для доступа в систему требуется авторизация пользователей. В системе

присутствует деление пользователей по типам доступа на группы:

1. Обычные пользователи – имеют доступ к интернету, могут пользоваться услугами провайдера, но не имеют возможности управлять сетевыми настройками и ресурсами;

2. Администраторы – сотрудники провайдера, имеющие право на управление сетевыми настройками, регистрацию пользователей и контроль работоспособности сети;

3. Техническая поддержка – специалисты, предоставляющие помощь и решающие проблемы пользователей сети;

4. Финансовый отдел – занимается вопросами оплаты услуг и ведением бухгалтерии провайдера;

5. Технический отдел – отвечает за обновление и поддержку оборудования провайдера.

В состав интернет-провайдера входят компоненты:

1. 5 АРМ администратора системы;

2. 30 АРМ пользователь (сотрудники, бухгалтеры, руководство);

3. Веб-сайт провайдера;

4. СУБД (Oracle);

5. Серверы (сервер БД – Windows Server; веб-сервер – Windows Server; файловый сервер – Windows Server)

Рисунок 1 – Схема расположения и связи компонентов ИС и локальной сети «Скайнет»