злоумышленник
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
практическая РАБОТА №11
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
1. Общие положения.
Модель угроз безопасности информации разработана для организации ООО «Оптик плюс групп».
Модель угроз разработана в соответствии со следующими нормативными и методологическими документами:
ФЗ No 149 «Об информации, информационных технологиях и о защите информации»;
ФЗ No 152 «О персональных данных»;
Методический документ «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
Обладатель информации, заказчик и оператор систем и сетей – ООО «Оптик плюс групп».
За обеспечение защиты информации (безопасности) систем и сетей несёт ответственность подразделение «Отдел информационной безопасности ООО «Оптик плюс групп».
2. Описание систем и сетей и их характеристика как объектов защиты.
Модель угроз разработана для корпоративной сети офиса ООО «Оптик плюс групп».
В предприятии установлена система управления бизнес процессами, ресурсами и операционными задачами в производственных предприятиях, а именно система планирования ресурсов предприятия (ERP), которая является комплексной системой, объединяющей в себе управление производством, управление ресурсами компании, финансовое планирование, управление отношениями с клиентами и другие бизнес-процессы. Система управления цепочкой поставок (SCM) предназначена для управления всей цепочки поставок, начиная от поставщиков и заканчивая конечными потребителями.
В отделе исследований и разработок, на персональных компьютерах установлена операционная система Rosa Linux. В отделах запуск и снабжения и продажи и маркетинга на рабочих компьютерах стоят ОС Windows Server. В отделе управления персоналом компьютеры имеют ОС Astra Linux.
Отделы финансы, отделах запуск и снабжения и продажи и маркетинга оснащены системой управления базой данных(СУБД) такой как Oracle DataBase и Microsoft SQL Server. Отдел управления персоналом оснащен СУБД Redis.
Инфраструктура сетевых роутеров и коммутационных оборудований, которая обеспечивает безопасность в данной организации Cisco System. Используются маршрутизаторы и роутеры: Cisco 2911R/K9, Cisco 5000 series Enterprise Network Compute System, Cisco 500 Series WPAN Industrial Routers.
Корпоративная сеть предназначается для связи и обмена данными между компьютерами в разных отделах и устройствами, используемыми внутри организации, обработка заказов.
Для организации определена ИСПДн-И. Причины установки именно такого типа ИСПДн-И, основывается на: количество сотрудников в центральной организации 82170 сотрудников, о каждом сотруднике собираются данные и отсылаются на сервер баз данных, где уже обрабатываются. Также присутствует специфика сбора и обработки информации сайтом: ООО «Оптик плюс групп» имеет сайт для взаимодействия с заказчиками, где используются cookie-файлы, для определения активности, ip-адреса и статистики пользователя, чтобы по собранной информации предлагать человеку информацию в соответствии с его предпочтениями. Хранение большого количества данных о рабочем персонале и о заказчиках, требует систему крупных объемов персональных данных. Так как системы сетей устроены через маршрутизаторы и switch, присутствует централизованная компьютерная инфраструктура и обширной сети по периметру организации. Данные обрабатываются и хранятся в информационных системах. Наличие информационной системы поможет эффективно управлять данными и обеспечить их безопасность в соответствии с требованиями законодательства по защите персональных данных. Также это позволит эффективно управлять доступом к данным, обеспечивать резервное копирование информации, а также мониторинг защищенности сетевой инфраструктуры.
ИСПДн-И содержит информацию о персональных данных сотрудников и иных физических лиц, которые работают в организации ООО «Оптик плюс групп». То есть включает в себя данные о сотрудниках, их учетные данные, данные о доходах, медицинские данные и прочую информацию, связанную с личными данными. ИСПДН-И: присутствуют клиентские устройства, такие как компьютеры и рабочие станции сотрудников, используемые для доступа к информационным системам, обработки данных, управления производственными процессами и другими задачами; промышленные роутеры и коммутаторы, которые собирают данные из производственных процессов и передают их в информационную систему.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисах предприятия, заявки на заказы принимаются через сайт компании, компьютеры клиентского отдела имеют доступ в интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенных к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию СУБД, администраторской части веб сервера.
Внешний клиент
Рабочий отдел
Web server
dns
Отдел продаж и маркетинга
сервера
Data center
Отдел финансов
Отдел управления персоналом