МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра ИБ
отчет
по практической работе №11
по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК.
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
1. Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации ООО «Интернет решения», а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности ООО «Интернет решения».
2. Описание систем и сетей и их характеристика как объектов защиты.
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:
Автоматизация и управление;
Сервисы пользователей;
Обслуживание инфраструктуры.
Документы и правовые акты:
техническое задание на создание системы и локальной сети;
программная (конструкторская) документация;
эксплуатационная документация;
документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);
Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
Соотнесение типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности:
1) Определение категории обрабатываемых персональных данных: категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
2) Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
3) По результатам п.1 и 2 присваивается один из классов защищенности: класс защищенности (К-З) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
3. Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|