Файл: 4. 1 Разработка модели угроз безопасности информации.docx
Добавлен: 04.02.2024
Просмотров: 137
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.2 Описание процессов передачи информации.
2.4 Перечень структурных подразделений, работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
7. Актуальные угрозы безопасности информации
2.4 Перечень структурных подразделений, работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
Перечень структурных подразделений, работающих с БД ИСПДн «Кадры» ЗАО «Солнышко» отображен в таблице 2.
Таблица 2 - Перечень структурных подразделений, работающих с БД ПДн «Кадры» ЗАО «Солнышко»
| № п/п | Наименование БД (ее составной части) | Расположение объекта | Структурное подразделение |
| 1 | 2 | 3 | 4 |
| 1 | «1С:Зарплата и кадры государственного учреждения 8» | РФ, г. Глухов, ул. Кривая, дом 6, офис 25. | Отдел кадров Заместитель директора |
2.5 Анализ организационных мер защиты ИСПДн
В ходе проведения проверки наличия и полноты методической и организационно-распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.
В зданиях, где находятся помещения ИСПДн «Кадры» ЗАО «Солнышко», все двери помещений оборудованы врезными замками. Доступ в помещения, где расположены рабочие станции, ограничен, войти могут только сотрудники.
Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному «Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.
ИСПДн «Кадры» ЗАО «Солнышко» предназначена для работы в одновременном режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют различные права доступа к информации, ИСПДн не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.
Обработка персональных данных сотрудников включает весь перечень действий.
К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.
Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.
Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.
Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.
Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.
Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ЗАО «Солнышко» относится к угрозам 3 типа1 – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ЗАО «Солнышко» (таблица 3).
Таблица 3 - Классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ЗАО «Солнышко»
| № | Характеристика | Значение |
| 1 | Категория персональных данных2 | Иные категории ПДн |
| 2 | Субъекты ПДн3 | Сотрудники организации |
| 3 | Объем обрабатываемых ПДн4 | <100000 |
| 4 | Количество рабочих станций, входящих в состав ИСПДн | АРМ 1-3 Сервер |
| 5 | Структура ИСПДн5 | ИСПДн относится к сегменту корпоративной вычислительной сети |
| 6 | Количество пользователей, допущенных к работе в ИСПДн | 4 |
| 7 | Режим обработки ПДн в ИСПДн6 | Многопользовательская с различными правами доступа |
| 8 | Разграничению прав доступа пользователей7 | Права доступа разграничены |
| 9 | Подключение ИСПДн к локальным (распределенным) сетям общего пользования8 | Не имеется |
| 10 | Тип ИСПДн9 | Типовая |
| 11 | Местонахождение технических средств ИСПДн | РФ, г. Глухов, ул. Кривая, дом 6, офис 25. |
| 12 | Тип актуальных угроз10 (на основании разработанной модели угроз и анализа актуальных угроз в ИСПДн) | Угрозы 3 типа |
По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной модели угроз ИСПДн «Кадры» ЗАО «Солнышко» присвоен 4 уровень защищенности11.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
К основным негативным последствиям от реализации угроз12 безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» определены в таблице видов рисков (ущерба) и негативных последствий от реализации угроз безопасности информации (таблица 4).
Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.
Таблица 4 - Виды рисков (ущерба) и негативных последствий от реализации угроз безопасности информации
| № | Виды риска (ущерба) | Актуальность | Возможные типовые негативные последствия |
| У1 | Ущерб физическому лицу | Возможно | Финансовый, иной материальный ущерб физическому лицу. |
| Актуально | Нарушение конфиденциальности (утечка) персональных данных. | ||
| Актуально | Разглашение персональных данных граждан | ||
| У2 | Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью | Актуально | Нарушение законодательства Российской Федерации. |
| Актуально | Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. | ||
| Возможно | Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. | ||
| Возможно | Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. | ||
| Возможно | Нарушение деловой репутации. | ||
| Возможно | Простой информационной системы или сети. | ||
| Актуально | Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций). |