Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 06.12.2023
Просмотров: 167
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (см. схему).
Схема ИСПД «Кадры» ЗАО «Солнышко»
Для передачи информации в ИСПДн «Кадры» ЗАО «Солнышко» используется ЛВС, расположенная по адресу:
РФ, г. Глухов, ул. Кривая, дом 6, офис 25.
В процессе обработки персональных данных участвуют:
В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.
1. Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.
2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.
Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.
Сервер и коммуникационное оборудование установлены в типовой стойке.
Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.
Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.
Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
4.2 Описание процессов передачи информации
Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся:
К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.
Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.
Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.
Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.
Режим работы - одновременный.
4.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»
Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся в специализированном программном обеспечении:
Состав ПО для обработки ПД:
1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Состав ПО для обработки ПД:
1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Перечень имеющихся программных средств, используемых для обработки персональных данных приведены в таблице 1.
Таблица 1 – Перечень имеющихся программных средств (ПС), используемых для обработки персональных данных ИСПДн «Кадры» ЗАО «Солнышко».
№ п/п | Наименование ПС (ее составной части) | Расположение объекта | Технология обработки (АРМ, ЛВС, Распр) | Субъекты ПДн | Объем обрабатываемых Пдн (количество записей субъектов Пдн в базе данных ИСПДн) | Описание режима работы с базой данных |
1 | «1С:Зарплата и кадры государственного учреждения 8» | Клиентская часть | АРМ | сотрудники отдела кадров и заместитель директора | 777 | Одновременно |
2 | «1С:Зарплата и кадры государственного учреждения 8» | Серверная часть | АРМ | сотрудники отдела кадров и заместитель директора | 777 | Одновременно |
4.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко» отображен в таблице 2.
Таблица 2 - Перечень структурных подразделений работающих с БД ПДн «Кадры» ЗАО «Солнышко»
№ п/п | Наименование БД (ее составной части) | Расположение объекта | Структурное подразделение |
1 | «Личные дела» | Сервер | Отдел кадров |
2 | «Личные дела» | диске №2 своего АРМ | Отдел кадров |
4.5 Анализ организационных мер защиты ИСПДн
В ходе проведения проверки наличия и полноты методической и организационно-распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.
В зданиях, где находятся помещения ИСПДн «Кадры» ЗАО «Солнышко», все двери помещений оборудованы врезными замками. Доступ в помещения, где расположены рабочие станции, ограничен, войти могут только сотрудники.
Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
4.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному «Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.
ИСПДн «Кадры» ЗАО «Солнышко» предназначена для работы в одновременном режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют ораничение права доступа к информации, ИСПДн не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.
Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.
Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.
-
Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ЗАО «Солнышко» относится к угрозам _3_ типа – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ЗАО «Солнышко», таблица 3.
Таблица 3
№ п\п | Характеристика | Значение |
1 | Категория персональных данных | 3 |
2 | Субъекты ПДн | работники |
3 | Объем обрабатываемых ПДн | Менее 100 тыс. |
4 | Количество рабочих станций, входящих в состав ИСПДн | 3 |
5 | Структура ИСПДн | АРМ |
6 | Количество пользователей, допущенных к работе в ИСПДн | 3 |
7 | Режим обработки ПДн в ИСПДн | Многопользовательская ИСПДн с разными правами доступа |
8 | Разграничению прав доступа пользователей7 | С разграничением |
9 | Подключение ИСПДн к локальным (распределенным) сетям общего пользования | Имеется |
10 | Тип ИСПДн | Типовая |
11 | Местонахождение технических средств ИСПДн | Внутри КЗ |
12 | Тип актуальных угроз (на основании разработанной модели угроз и анализа актуальных угроз в ИСПДн) | 3 |
По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной модели угроз ИСПДн «Кадры» ЗАО «Солнышко» присвоен 3 уровень защищенности.
5. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
К основным негативным последствиям от реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» определены в таблице 4.
Таблица 4
№ п/п | Виды риска (ущерба) | Актуальность | Возможные типовые негативные последствия |
У1 | Ущерб физическому лицу | Возможны | Угроза жизни или здоровью. |
Унижение достоинства личности. | |||
Нарушение свободы, личной неприкосновенности. | |||
Нарушение неприкосновенности частной жизни. | |||
Нарушение личной, семейной тайны, утрата чести и доброго имени. | |||
Нарушение тайны переписки, телефонных переговоров, иных сообщений. | |||
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах. | |||
Финансовый, иной материальный ущерб физическому лицу. | |||
Нарушение конфиденциальности (утечка) персональных данных. | |||
Нарушение конфиденциальности (утечка) персональных данных. | |||
"Травля" гражданина в сети "Интернет". | |||
Разглашение персональных данных граждан | |||
У2 | Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью | Возможны | Нарушение законодательства Российской Федерации. |
Потеря (хищение) денежных средств. | |||
Недополучение ожидаемой (прогнозируемой) прибыли. | |||
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. | |||
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). | |||
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса. | |||
Срыв запланированной сделки с партнером. | |||
Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. |