МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

Практическая работа № 11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК

Студент гр.
Преподаватель

Санкт-Петербург

2023

Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании в части защиты персональных данных.

1. Общие положения.

Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации ООО «НАГ».

Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г, ФЗ № 152 «О персональных данных», ФЗ № 149 «Об информации, информационных технологиях и о защите информации».

Обладатель информации, заказчик и оператор систем и сетей – ООО «НАГ».

Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности ООО «НАГ».

2. Описание систем и сетей и их характеристика как объектов защиты.

Род деятельности ООО «НАГ» связан с дистрибьюцией телекоммуникационного оборудования и систем связи, а также оказание технической поддержки.

В компании ООО «НАГ» в процессе работы обрабатываются конфиденциальная информация о клиентах и сотрудниках, сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности.

Состав обрабатываемой информации для сотрудников: фамилия, имя, отчество, дата рождения, номер мобильного телефона, справки о состоянии здоровья, паспортные данные.

Состав обрабатываемой информации для клиентов: фамилия, имя, отчество, номер телефона, адрес электронной почты.

Компания «НАГ» обрабатывает два вида информации: персональные данные и коммерческая тайна. В соответствии с Приказом ФСТЭК от 5 февраля 2021 года в этом случае уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям УЗ каждого вида информации. Оба вида информации, обрабатываемой в компании, имеют средний уровень значимости (УЗ 2), так как для каждого свойства безопасности информации и каждого её вида определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая. Оба вида имеют средний уровень значимости, поэтому итоговый уровень значимости также УЗ 2.

Информационная система, используемая в компании «НАГ», имеет региональный масштаб, так как она функционирует только на территории ЦФО (на территории Российской Федерации).

Уровень защищённости персональных данных определяется по таблице представленной ниже

Категория ПДн + кол-во	АУ 1 типа	АУ 2 типа	АУ 3 типа
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 1	УЗ 2
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора ИСПДн-Б	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 3	УЗ 4
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 2	УЗ 4
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 2	УЗ 3	УЗ 4

Таким образом, для ПДн для организации «НАГ» соответствует уровню УЗ 2 защищённости.

В состав организации ООО «НАГ» входят следующие компоненты: сервер Базы Данных на OC Windows Server, СУБД (mySQL), 40 АРМ систем для сотрудников фирмы, 1 АРМ система для администратора сети, веб-сервер GNU Linux RedHat; межсетевой экран, маршрутизатор и коммутаторы компании Cisco (Рисунок 2).

Рисунок 2 — Топология сети организации