МИНОБРНАУКИ РОССИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра информационной безопасности

ОТЧЕТ

по практической работе № 11

по дисциплине «Основы информационной безопасности»

Тема: «Определение уровня защищённости ИСПДн и реализация требований к ИС в соответствии с руководящим документом ФСТЭК»

Студентка гр
Преподаватель

Санкт-Петербург 2023

Постановка задачи

Цель работы: изучение вида работ по определению необходимого уровня за- щищенности персональных данных в конкретной организации.

1. Описываемая область выбирается на основе собранных материалов по кон- кретному предприятию, организации или компании.

2. Отчет выполняется с проведением анализа уровня защищенности информа- ционных системах персональных данных и реализации требований к ИС в соответ- ствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.

УТВЕРЖДАЮ Руководитель ООО "Восток" Петров А.А.

« » 20 г.

Модель угроз безопасности информации "Корпоративная локальная сеть офиса предприятия"

1. Общие положения

Модель угроз безопасности информации разработана для предприятия ООО

«Восток».

Модель угроз соответствует следующим документам: Методика оценки угроз безопасности информации.

ФЗ №149 «Об информации, информационных технологиях и о защите инфор- мации.»

ФЗ №152 «О персональных данных.»

Обладатель информации, Заказчик, оператор систем и сетей – ООО «Восток».

Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.

2. Описание систем и сетей и их характеристики как объектов защиты

Модель угроз разработана для корпоративной сети офиса ООО «Восток» в г.

Хабаровск.

Класс защищенности системы – 1Б (по классификации из Руководящего Доку- мента Гостехкомиссии России).

В корпоративной сети хранятся и обрабатываются персональные данные кли- ентов, данные организации, рабочие документы и файлы. Для данной сети акту-

альны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ2 по ИСПДн.

Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №149 «Об информации, информационных технологиях и о за- щите информации»; ФЗ №152 «О персональных данных.»

Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обра- ботка заказов.

Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.

Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.

Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подклю- ченными к сети Интернет, локальной сети; рабочего места системного администра- тора, имеющего больший доступ к системе: доступ к оборудованию серверной,

СУБД, администраторской части веб-сервера. Схема сети представлена на рисунке 1.

Рисунок 1 – Схема сети

3. Возможные негативные последствия от реализации угроз безопасно- сти

В сети хранятся и циркулируют данные, необходимые для работы организа- ции, а так же данные, подлежащие защите по закону «О персональных данных».

Таблица 1 –Возможные негативные последствия от реализации угроз

№	Виды риска (ущерба)	Возможные негативные последствия
У1	Ущерб физическому лицу	Нарушение конфиденциальности.
		Финансовый ущерб физическому лицу.
		Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Фе- дерации и федеральных законах.
У2	Риски юридическому лицу, индивиду- альному предпринимателю, связанные с хозяйственной деятельностью	Нарушение законодательства Российской Фе- дерации.
		Недополучение ожидаемой (прогнозируемой) прибыли.
		Необходимость дополнительных (незаплани- рованных) затрат на выплаты штрафов (неустоек) или компенсаций.
		Необходимость дополнительных (незаплани- рованных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышед- ших из строя, замена, настройка, ремонт ука- занных средств).
		Срыв запланированной сделки с партнером.