Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 26.10.2023
Просмотров: 2293
Скачиваний: 211
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
- 1 2 3 4 5 6
Принятые сокращения
АВС | – | антивирусные средства |
АРМ | – | автоматизированное рабочее место |
АС | – | автоматизированная система |
ГИС | – | государственная информационная система |
ГОСТ | – | государственный стандарт |
ИБ | – | информационная безопасность |
ИС | – | информационная система, обрабатывающая информацию |
КЗ | – | контролируемая зона |
ИТ | – | информационные технологии |
ЛВС | – | локальная вычислительная сеть |
НДВ | – | не декларированные возможности |
НЖМД | – | накопитель на жестких магнитных дисках |
НСД | – | несанкционированный доступ |
ОЗУ | – | оперативное запоминающее устройство |
ОПО | – | общесистемное программное обеспечение |
ОС | – | операционная система |
ОТСС | – | основные технические средства и системы |
ПДн | – | персональные данные |
ПК | – | программный комплекс |
ПО | – | программное обеспечение |
ПС | – | программные средства |
ПТС | – | программно-технические средства |
ПЭВМ | – | персональная электронно-вычислительная машина |
РД | – | руководящий документ |
СВТ | – | средства вычислительной техники |
СЗИ | – | система защиты информации |
СКЗИ | – | средства криптографической защиты информации |
СПО | – | специальное программное обеспечение |
СрЗИ | – | средства защиты информации |
ТЗ | – | техническое задание |
ТС | – | технические средства |
ТП | – | технический проект |
ФСБ | – | Федеральная служба безопасности |
ФСТЭК | – | Федеральная служба технического и экспортного контроля |
- 1 2 3 4 5 6
Общие положения
Необходимостью создания ТЗКИ в ИСПД «Кадры» ЗАО «Солнышко» является обеспечение защиты информации при ее обработке в информационной системе.
СЗИ представляет собой совокупность организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к защищаемой информации, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.
Система защиты информации должна:
защищать ИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
предоставлять доступ конкретным пользователям ИС только к тем ресурсам ИС, к которым он необходим для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, обрабатываемой в ИС, средствам вычислительной техники, аппаратным и программным средствам защиты;
регистрировать действия пользователей при использовании защищаемых ресурсов ИС в системных журналах и анализировать содержимое этих журналов с целью контроля корректности действий пользователей;
контролировать целостность среды исполнения программ и ее восстановление в случае нарушения;
защищать от несанкционированной модификации и контролировать целостность программных средств, а также обеспечить защищу системы от внедрения несанкционированных программ;
защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;
своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие их появлению, создавать механизмы оперативного реагирования на угрозы;
создавать условия для минимизации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.
Для аналитического обоснования необходимости создания СЗИ использовалась Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»», разработанная на основании следующих документов:
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;
«Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.
Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».
4. Описание систем и сетей и их характеристика как объектов защиты2
Угрозы для ИСПДн «Кадры» ЗАО «Солнышко» обусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:
Персональные данные сотрудников организации:
-
фамилия, имя, отчество -
дата и место рождения -
пол -
сведения об образовании -
сведения о предыдущем месте работы -
семейное положение (ФИО жены/мужа, ФИО и даты рождения детей) -
адреса регистрации и фактического проживания -
номера контактных телефонов -
индивидуальный номер налогоплательщика -
номер страхового свидетельства пенсионного страхования -
номер полиса обязательного медицинского страхования -
данные водительского удостоверения
В информационной системе одновременно обрабатываются данные 863 субъектов персональных данных (сотрудников) в пределах Организации.
4.1 Архитектура и схема подключений информационной системы
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:
Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Топология: АРМ и сервер составляют сегмент корпоративной вы-числительной сети (см. схему).