Файловый архив студентов. Файловый архив студентов.
1311 вуз, 5244 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Основы информационной безопасности
Файл:
лаба_11 / лаб_11_15_3.docx
Скачиваний:
1
Добавлен:
27.10.2025
Размер:
764.94 Кб
Скачать
►Содержание►

МИНОБРНАУКИ РОССИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА №11

По дисциплине «Основы информационной безопасности»

Тема: «Определение уровня защищённости ИСПДн и реализация требований к ИС в соответствии в руководящим документом ФСТЭК»

Студент гр.

Преподаватель

Санкт-Петербург

2023

Постановка задачи

Цель работы: изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

  1. Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.

  2. Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.

УТВЕРЖДАЮ

Генеральный директор Кильдияров А.В.

«10» декабря 2023 г.

Модель угроз безопасности информации

«Электронная система торговли АО Вибратор»

  1. Общие положения

Модель угроз безопасности информации разработана для организации

АО «Вибратор».

Модель угроз разработана в соответствии со следующими нормативными и методологическими документами:

ФЗ № 149 «Об информации, информационных технологиях и о защите информации»;

ФЗ № 152 «О персональных данных»;

Методический документ «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.

Обладатель информации, заказчик и оператор систем и сетей – АО Вибратор.

За обеспечение защиты информации (безопасности) систем и сетей несёт ответственность отдел информационной безопасности АО «Вибратор».

  1. Описание систем и сетей и их характеристика как объектов защиты

Модель угроз безопасности информации разработана для электронной системы торговли (ЭСТ).

ЭСТ имеет 5 класс защищённости по ФСТЭК, т.к. имеет дискреционный принцип контроля доступа, тестовую и проектную документации, руководство пользователя, проходит через несколько этапов тестирования.

В ЭСТ обрабатываются общедоступные персональные данные пользователей: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень защищённости ИСПДн - 2УЗ.

Нормативные правовые акты РФ, в соответствии с которыми функционируют указанные система и сеть: ФЗ №152 «О персональных данных», ФЗ №273 «Об образовании в Российской Федерации», Указ Президента РФ №188 «Об утверждении Перечня сведений конфиденциального характера», ФЗ №78 «О библиотечном деле», ФЗ №5351- 1 «Об авторском праве и смежных правах».

Назначение ЭСТ: интернет-торговля продукцией предприятия, оказание технической поддержки.

Основные задачи (функции) ЭСТ:

    1. обеспечение круглосуточного онлайн-доступа к чтению электронной документации, хранящихся на общем сервере;

    2. возможность удалённого доступа к ЭСТ через Личный кабинет на сайте предприятия;

    3. защита данных пользователей и обеспечение информационной безопасности ресурсов.

Состав обрабатываемой информации:

  1. Перечень персональных данных пользователей обрабатываемые информационной системой:

  2. Фамилия, имя, отчество (при наличии);

  3. Дата и место рождения;

  4. Пол;

  5. Страховой номер индивидуального лицевого счёта (СНИЛС) (при наличии);

  6. Гражданство;

  7. Данные паспорта или иного документа, удостоверяющего личность: серия, номер, дата выдачи, срок действия (при наличии), код

  8. подразделения и орган, выдавший документ;

  9. Адрес регистрации и фактического проживания;

  10. Адрес электронной почты;

  11. Номер мобильного телефона;

  12. Образование и его уровень, квалификация, страна и город получения образования;

  13. Документ об образовании: серия, номер, регистрационный номер, дата выдачи, организация, выдавшая документ об образовании и

  14. квалификации;

  15. Сведения о владение иностранными языками;

  16. Сведения о заключенном договоре о экзаменах для повышения квалификации

  17. Сведения о состоянии здоровья (сведения об инвалидности, ограниченных возможностях здоровья);

  18. Сведения о свидетельстве о признании иностранного образования;

  19. Личные данные сотрудников

В системе присутствует деление пользователей по типам доступа на группы:

  1. покупатель – предоставляется доступ к полному объему ресурсов сайта.

  2. администратор ЭСТ – создают группы пользователей, управляют их доступом к системе и имеют возможность смотреть пользовательскую и групповую статистику;

  3. каталогизатор ЭСТ – выполняет операции каталогизации и систематизации позиций на сайте, т. е. функции по формированию баз данных каталогов ЭСТ.

Доступ к ресурсам ЭСТ обеспечивается удалённо, через сайт предприятия.

Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия.

Основными элементами базовой модели угроз безопасности персональных данных являются (Рис. 1):

источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;

среда распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Рисунок 1 – Обобщенная схема канала реализации угроз безопасности персональных данных

В состав ЭСТ входят компоненты: 1 АРМ администратора системы, 1 АРМ каталогизатора, 3 АРМ пользователей, веб-сайт, 3 сервера: серверное хранилище (Windows Server), веб-сервер (Windows Server) и сервер электронной торговли (Windows Server).

АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов, в серверной находится маршрутизатор. При обмене данными с внешней средой используется межсетевой экран (файрволл). Схема расположения и связи компонентов показана на рисунке 1.

Рисунок 1 – Схема расположения и связи компонентов ЭСТ

ЭСТ является оператором услуг: приложения, связующее ПО, ОС, аппаратная платформа, сетевая инфраструктура и система хранения данных.

Соседние файлы в папке лаба_11
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности