МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра Информационной безопасности

Практическая работа №11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК

Студентка гр.
Преподаватель

Санкт-Петербург

2023

Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

ОСНОВНАЯ ЧАСТЬ

Данный отчет предназначен для проведения анализа защищенности персональных данных в организации ПАО "ГМК "НОРИЛЬСКИЙ НИКЕЛЬ". А также для определения угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах.

Для выявления актуальных угроз безопасности персональных данных и определение уровня их защищенности использовались такие документы как: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденная заместителем директора ФСТЭК России 14 февраля 2008г., «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (выписка) утвержденная заместителем директора ФСТЭК России 15 февраля 2008г. А оценка угроз проводилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.

Сама компания развивает собственную систему безопасности (СУИБ). СУИБ распространяется на процессы оперативного управления производством, обеспечения сырьем и технологическими материалами, а также контроля выполнения плановых показателей по производству и отгрузке готовой продукции. Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности ПАО "ГМК "НОРИЛЬСКИЙ НИКЕЛЬ".

Описание систем и сетей и их характеристика как объектов защиты

Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия.

Основными элементами базовой модели угроз безопасности персональных данных являются (Рис. 1):

источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;

среда распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Рисунок 1 – Обобщенная схема канала реализации угроз безопасности персональных данных

«Норникель» располагает сегодня передовой современной инфраструктурой, которая помогает решать задачи любой сложности. В работе активно используют нейронные сети и машинное обучение. Информационные системы функционально разделены по направлениям:

• Автоматизация и управление;

• Сервисы пользователей;

• Обслуживание инфраструктуры.

Тип: ИСПДн-И и кадры

Сервер баз данных

Рисунок 2 – Информационная инфраструктура предприятия

Определение класса защищенности информационных систем, обрабатывающих персональные данные:

1. Определение категории обрабатываемых персональных данных: т. к. перечень специальных данных отсутствует (т.е. нет данных о религиозных взглядов, политики и т. д.), сервер безопасности, который хранит биометрические сведения также отсутствует значит ИСПДН-Б нет, сам Норникель не относится к государственным общедоступным системам, значит, это не ИСПДН-О. Следовательно это ИСПДН-И;

2. Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;

3. По результатам п.1 и 2 присваивается один из классов защищенности: уровень защищенности УЗ-3.

Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.

№	Виды риска	Возможные типовые негативные последствия
У1	Ущерб физическому лицу	Угроза жизни или здоровью. Унижение достоинства личности. Нарушение свободы, личной неприкосновенности. Нарушение неприкосновенности частной жизни. Нарушение личной, семейной тайны, утрата чести и доброго имени. Нарушение тайны переписки, телефонных переговоров, иных сообщений. Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. Финансовый, иной материальный ущерб физическому лицу. Нарушение конфиденциальности (утечка) персональных данных. "Травля" гражданина в сети "Интернет". Разглашение персональных данных граждан
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Потеря (хищение) денежных средств. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. Невозможность заключения договоров, соглашений. Причинение имущественного ущерба. Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)

Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации