МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Отчет
по практической работе №11
по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студентка гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель работы
Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Основная часть
1. Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «ООО Агроэко», а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно- телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Владелец информации: организация «ООО Агроэко».
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «ООО Агроэко».
2. Описание систем и сетей и их характеристика как объектов защиты.
Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия.
Основными элементами базовой модели угроз безопасности персональных данных являются (Рис. 1):
источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;
среда распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Рисунок 1 – Обобщенная схема канала реализации угроз безопасности персональных данных
«Агроэко» располагает сегодня передовой современной инфраструктурой, которая помогает решать задачи любой сложности. В работе активно используют нейронные сети и машинное обучение. Информационные системы функционально разделены по направлениям:
Автоматизация и управление;
Обслуживание инфраструктуры.
Рисунок 2 – Информационная инфраструктура предприятия
Определение класса защищенности информационных систем, обрабатывающих персональные данные:
Определение категории обрабатываемых персональных данных: т. к. перечень специальных данных отсутствует (т.е. нет данных о религиозных взглядов, политики и т. д.), сервер безопасности, который хранит биометрические сведения также отсутствует значит ИСПДН-Б нет, сам Агроэко не относится к государственным общедоступным системам, значит, это не ИСПДН-О. Следовательно это ИСПДН-И;
Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;