Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx

ВУЗ: Не указан

Категория: Отчет по практике

Дисциплина: Не указана

Добавлен: 26.10.2023

Просмотров: 2293

Скачиваний: 211

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
  1. 1   2   3   4   5   6

Принятые сокращения


АВС



антивирусные средства

АРМ



автоматизированное рабочее место

АС



автоматизированная система

ГИС



государственная информационная система

ГОСТ



государственный стандарт

ИБ



информационная безопасность

ИС



информационная система, обрабатывающая информацию

КЗ



контролируемая зона

ИТ



информационные технологии

ЛВС



локальная вычислительная сеть

НДВ



не декларированные возможности

НЖМД



накопитель на жестких магнитных дисках

НСД



несанкционированный доступ

ОЗУ



оперативное запоминающее устройство

ОПО



общесистемное программное обеспечение

ОС



операционная система

ОТСС



основные технические средства и системы

ПДн



персональные данные

ПК



программный комплекс

ПО



программное обеспечение

ПС



программные средства

ПТС



программно-технические средства

ПЭВМ



персональная электронно-вычислительная машина

РД



руководящий документ

СВТ



средства вычислительной техники

СЗИ



система защиты информации

СКЗИ



средства криптографической защиты информации

СПО



специальное программное обеспечение

СрЗИ



средства защиты информации

ТЗ



техническое задание

ТС



технические средства

ТП



технический проект

ФСБ



Федеральная служба безопасности

ФСТЭК



Федеральная служба технического и экспортного контроля



  1. 1   2   3   4   5   6

Общие положения



Необходимостью создания ТЗКИ в ИСПД «Кадры» ЗАО «Солнышко» является обеспечение защиты информации при ее обработке в информационной системе.

СЗИ представляет собой совокупность организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к защищаемой информации, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.

Система защиты информации должна:

защищать ИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

предоставлять доступ конкретным пользователям ИС только к тем ресурсам ИС, к которым он необходим для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, обрабатываемой в ИС, средствам вычислительной техники, аппаратным и программным средствам защиты;

регистрировать действия пользователей при использовании защищаемых ресурсов ИС в системных журналах и анализировать содержимое этих журналов с целью контроля корректности действий пользователей;

контролировать целостность среды исполнения программ и ее восстановление в случае нарушения;

защищать от несанкционированной модификации и контролировать целостность программных средств, а также обеспечить защищу системы от внедрения несанкционированных программ;

защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;

своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие их появлению, создавать механизмы оперативного реагирования на угрозы;

создавать условия для минимизации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.

Для аналитического обоснования необходимости создания СЗИ использовалась Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»», разработанная на основании следующих документов:


ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;

«Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.

Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».

4. Описание систем и сетей и их характеристика как объектов защиты2


Угрозы для ИСПДн «Кадры» ЗАО «Солнышко» обусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:

Персональные данные сотрудников организации:

  • фамилия, имя, отчество

  • дата и место рождения

  • пол

  • сведения об образовании

  • сведения о предыдущем месте работы

  • семейное положение (ФИО жены/мужа, ФИО и даты рождения детей)

  • адреса регистрации и фактического проживания

  • номера контактных телефонов

  • индивидуальный номер налогоплательщика

  • номер страхового свидетельства пенсионного страхования

  • номер полиса обязательного медицинского страхования

  • данные водительского удостоверения

В информационной системе одновременно обрабатываются данные 863 субъектов персональных данных (сотрудников) в пределах Организации.


4.1 Архитектура и схема подключений информационной системы

ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:
Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Топология: АРМ и сервер составляют сегмент корпоративной вы-числительной сети (см. схему).