МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра ИБ

отчет

по практической работе №11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК.

Студент гр
Преподаватель

Санкт-Петербург

2023

Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

1. Общие положения.

Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации ООО «Интернет решения», а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.

Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.

Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности ООО «Интернет решения».

2. Описание систем и сетей и их характеристика как объектов защиты.

Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:

• Автоматизация и управление;

• Сервисы пользователей;

• Обслуживание инфраструктуры.

Документы и правовые акты:

• техническое задание на создание системы и локальной сети;

• программная (конструкторская) документация;

• эксплуатационная документация;

• документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);

• Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;

• Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.

Определение класса защищенности информационных систем, обрабатывающих персональные данные:

1. Определение категории обрабатываемых персональных данных: предприятие обрабатывает паспортные данные, данные банковских карт, личную информацию пользователей. Следовательно это ИСПДН-И;

2. Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 3 000 субъектов персональных данных в пределах конкретной организации;

3. По результатам п.1 и 2 присваивается один из классов защищенности: уровень защищенности УЗ-3.

3. Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.

№	Виды риска	Возможные типовые негативные последствия
У1	Ущерб физическому лицу	Угроза жизни или здоровью. Унижение достоинства личности. Нарушение свободы, личной неприкосновенности. Нарушение неприкосновенности частной жизни. Нарушение личной, семейной тайны, утрата чести и доброго имени. Нарушение тайны переписки, телефонных переговоров, иных сообщений. Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. Финансовый, иной материальный ущерб физическому лицу. Нарушение конфиденциальности (утечка) персональных данных. "Травля" гражданина в сети "Интернет". Разглашение персональных данных граждан
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Потеря (хищение) денежных средств. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. Невозможность заключения договоров, соглашений. Причинение имущественного ущерба. Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)