МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра Информационной безопасности
отчет
по лабораторной работе №11
по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель работы.
Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «Яндекс.Еда».а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно- телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Владелец информации: организация «Яндекс.Еда».
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «Яндекс.Еда».
Описание систем и сетей и их характеристика как объектов защиты.
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:
Автоматизация и управление;
Сервисы пользователей;
Обслуживание инфраструктуры.
Рисунок 1 – Оценка угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных
Документы и правовые акты:
техническое задание на создание системы и локальной сети;
программная (конструкторская) документация;
эксплуатационная документация;
документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);
Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
Соотнесение типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности:
1) Определение категории обрабатываемых персональных данных: категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
2) Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
3) По результатам п.1 и 2 присваивается один из классов защищенности: класс защищенности (К-З) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|
Возможные объекты воздействия угроз безопасности информации.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Потеря (хищение) денежных средств |
Банк-клиент |
Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения |
АРМ финансового директора |
Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
Электронный почтовый ящик финансового директора |
Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора |
|
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
|
Невозможность заключения договоров, соглашений |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
Электронный почтовый ящик руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
|
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |
АРМ главного инженера |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
|
Причинение имущественного ущерба |
АРМ главного инженера |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
АРМ оператора |
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК |
|
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе |
Несанкционированная модификация (изменение) логики работы или уставок коммутационного контроллера, которая приводит к открытию (или не закрытию) аварийной задвижки при нарушении герметичности нефтепровода |
|
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
АРМ руководителя организации |
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации |