МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА №11

по дисциплине «Основы информационной безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК.

Студент гр
Преподаватель

Санкт-Петербург

2023

Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

Общие сведения

Предприятие: ООО «ЯНДЕКС.ЕДА».

Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности ООО «ЯНДЕКС.ЕДА».

Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.

Описание систем и сетей и их характеристика как объектов защиты.

Информационная инфраструктура предприятия представляет собой систему обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия.

Информационные системы предприятия ориентированы на:

1. Автоматизация и управление предприятием

2. Сервера пользователей и владельцев предприятий-партнеров

3. Техническая поддержка

Документы и правовые акты:

• техническое задание на создание системы и локальной сети;

• программная (конструкторская) документация;

• эксплуатационная документация;

• документы-соглашения на предоставление лицензии на ПО

• Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;

• Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.

Определение категорий информационной системы ПД: Перечислим основные категории ПД, чтобы определить необходимую, после указания категории следует обоснование выбора или отказа данной ПД:

• Специальная(С) — не является необходимой ПД, так как данный тип обрабатывает информацию религиозную, философскую, политическую и тд.

• Биометрические(Б) - не является необходимой ПД, так как данный тип содержат информацию о биологии и физиологии субъекта, с помощью которой становится возможной идентификация его персоны.

• Общедоступные(О) — является необходимой ПД, они хранят персональные данные большого количества людей. Использует их в работе.

• Иные(И) используют данные, отсутствующие в предыдущих группах.

Объёмы обрабатываемых личных данных в ИСПДн делятся на две группы: до 100 000 и более 100 000. Выбранная ИСПДн относится к группе, обрабатываемая более 100 000 пользователей.

Вывод: категория ИСПДн — И, для работы с более 100 000 пользователей.

Определим уровень защищенности ИСПДн: УЗ-2, так как присутсвует возможность реализации угроз I,II типа и на предприятии осуществляется работа с личными данными большого количества пользователей.

Угрозы первого типа присутствуют, если в системном ПО для обработки ИСПДн есть недокументированные возможности. Угрозы второго типа присутствуют, если недокументированные возможности есть в прикладном ПО.

Для данного предприятия характерны негативные последствия от реализации угроз ИБ класса УЗ-2.

Основными элементами ИСПДн являются:

• персональные данные, содержащиеся в базах данных, как совокупность информации и ее носителей, используемых в ИСПДн — База данных предприятия;

• информационные технологии, применяемые при обработке ПДн;

• технические средства, осуществляющие обработку ПДн (средства вычислительной техники);

• программные средства (операционные системы, системы управления базами данных и т. п.);

• средства защиты информации;

• вспомогательные технические средства и системы (ВТСС) – технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях.

Рисунок 1 — Схема ИСПДн предприятия

№	Виды риска (ущерба)	Возможные негативные последствия
У1	Ущерб физическому лицу	Нарушение конфиденциальности.
		Финансовый ущерб физическому лицу.
		Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
У2	Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью	Нарушение законодательства Российской Федерации.
		Недополучение ожидаемой (прогнозируемой) прибыли.
		Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
		Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
		Срыв запланированной сделки с партнером.