МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
ОТЧЕТ
по лабораторной работе №11
по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
1. Общие положения.
Предприятие ОАО «Рольф».
Отдел кредитования: занимается обслуживанием клиентов по вопросам автокредита в сотрудничестве с ПАО «ВТБ». Рабочему персоналу предоставляются рабочие места, оснащенные компьютерами и ноутбуками подключенные к локальной сети (LAN). Программное обеспечение, предоставляемое компанией Microsoft Windows Server и все соответствующие программы для стабильной работы, такие как пакет приложений Microsoft Dynamics CRM, которые полностью интегрированы для работы друг с другом.
Отдел финансов занимается управлением финансов, бюджетированием, отчетностью и налогообложением. Рабочему персоналу предоставляются программа Cash Management Systems. Данные программы специализированы для учета финансовых операция, составления отчетов, налоговой отчетности, используются для анализа финансовых данных, составления бюджетов, прогнозирования.
Отдел закупок: занимается закупкой автомобилей от автопроизводителей. Рабочий отдел оснащает рабочим местом, состоящим из: операционной системы Windows 10, компьютером, интернет соединением. Каждое место оснащено фильтром пакетов, настроенные на виртуальные частные сети для защищенного удаленного доступа (VPN). Большая часть компьютеров данного отдела подключены к локальной сети (LAN).
Для хранения данных используется сервера: HPE 3PAR StoreServ 8400 2-node, Hewlett-Packard (HP) Proliant DL380 Gen10 12LFF 2xIntel.
В качестве ответственных за безопасность на предприятии отвечает отдел информационной безопасности ОАО «Рольф».
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации». Также и по документам:
27.07.2006 ФЗ №152 «О персональных данных».
Постановление Правительства Российской Федерации "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 1 ноября 2012 года № 1119.
ГОСТ Р ИСО/МЭК 15408-2015 "Системы защиты информации. Методы и средства обеспечения безопасности. Оценка безопасности информационных технологий".
ГОСТ Р ИСО/МЭК 27001-2015 "Системы менеджмента информационной безопасности. Требования".
2. Описание систем и сетей и их характеристика как объектов защиты.
Модель угроз разработана для сети дилеров «Рольф».
В предприятии установлена система управления бизнес процессами, ресурсами и операционными задачами в производственных предприятиях, а именно система планирования ресурсов предприятия (ERP), которая является комплексной системой, объединяющей в себе управление производством, управление ресурсами компании, финансовое планирование, управление отношениями с клиентами и другие бизнес-процессы. Система управления цепочкой поставок (SCM) предназначена для управления всей цепочки поставок, начиная от поставщиков и заканчивая конечными потребителями.
Отделы финансы, отделах запуск и снабжения и продажи, и маркетинга оснащены системой управления базой данных(СУБД) такой как Microsoft SQL Server. Отдел управления персоналом оснащен СУБД MySQL.
Инфраструктура сетевых роутеров и коммутационных оборудований, которая обеспечивает безопасность в данной организации Cisco System. Используются маршрутизаторы и роутеры: Cisco 2911R/K9, Cisco 5000 series Enterprise Network Compute System, Cisco 500 Series WPAN Industrial Routers.
Корпоративная сеть предназначается для связи и обмена данными между компьютерами в разных отделах и устройствами, используемыми внутри организации, обработка заказов.
Для организации определена ИСПДн-И. Причины установки именно такого типа ИСПДн-И, основывается на: количество сотрудников в центральной организации 17000 сотрудников, о каждом сотруднике собираются данные и отсылаются на сервер баз данных, где уже обрабатываются. Также присутствует специфика сбора и обработки информации сайтом: Рольф имеет сайт для взаимодействия с заказчиками, где используются cookie-файлы, для определения активности, ip-адреса и статистики пользователя, чтобы по собранной информации предлагать человеку информацию в соответствии с его предпочтениями. Хранение большого количества данных о рабочем персонале и о поставщиках, требует систему крупных объемов персональных данных. Так как системы сетей устроены через маршрутизаторы и switch, присутствует централизованная компьютерная инфраструктура и обширной сети по периметру организации. Данные обрабатываются и хранятся в информационных системах. Наличие информационной системы поможет эффективно управлять данными и обеспечить их безопасность в соответствии с требованиями законодательства по защите персональных данных. Также это позволит эффективно управлять доступом к данным, обеспечивать резервное копирование информации, а также мониторинг защищенности сетевой инфраструктуры.
Тип ИСПДн |
Сотрудники оператора |
Количество субъектов |
Тип актуальности угроз |
||
1 |
2 |
3 |
|||
ИСПДн-С |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 1 |
УЗ 2 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-Б |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-И |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 3 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-О |
Не сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
Сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-И содержит информацию о персональных данных сотрудников и иных физических лиц, которые работают в сети автосалонов. То есть включает в себя данные о сотрудниках, их учетные данные, данные о доходах, медицинские данные и прочую информацию, связанную с личными данными. ИСПДН-И: присутствуют клиентские устройства, такие как компьютеры и рабочие станции сотрудников, используемые для доступа к информационным системам, обработки данных, управления производственными процессами и другими задачами; промышленные роутеры и коммутаторы, которые собирают данные из производственных процессов и передают их в информационную систему.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисах предприятия, заявки на заказы принимаются через сайт компании, компьютеры клиентского отдела имеют доступ в интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенных к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию СУБД, администраторской части веб сервера.
Основным ресурсом является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».
