Файл: Тема 2 Проверка выполнения требований по безопасности информации от утечки по техническим каналам и по требованиям по защите информации от нсд.docx
Добавлен: 07.12.2023
Просмотров: 894
Скачиваний: 120
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы.
2.2 Описание процессов передачи информации.
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ООО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
2. Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (см. схему).
2.1 Архитектура и схема подключений информационной системы.
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:
Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Для передачи информации в ИСПДн «Кадры» ЗАО «Солнышко» используется ЛВС, расположенная по адресу:
г. Краснодар, пр-д Большой, д. 8, помещение № 113, второй этаж.
В процессе обработки персональных данных участвуют:
В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.
1. Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.
2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.
Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.
Сервер и коммуникационное оборудование установлены в типовой стойке.
Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.
Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.
Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
Схема ИСПДн «Кадры» ООО «Солнышко» представлена на рисунке 1.
Рисунок 1 – Схема ИСПД «Кадры» ООО «Солнышко»
2.2 Описание процессов передачи информации.
Обработка персональных данных в ИСПДн «Кадры» ООО «Солнышко» ведётся:
К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.
Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.
Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.
Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.
Режим работы - одновременный.
2.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ООО «Солнышко»
Обработка персональных данных в ИСПДн «Кадры» ООО «Солнышко» ведётся в специализированном программном обеспечении:
Состав ПО для обработки ПД:
1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Состав ПО для обработки ПД:
1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Перечень имеющихся программных средств, используемых для обработки персональных данных приведены в таблице 1.
Таблица 1 – Перечень имеющихся программных средств (ПС), используемых для обработки персональных данных ИСПДн «Кадры» ООО «Солнышко».
| № п/п | Наименование ПС (ее составной части) | Расположение объекта | Технология обработки (АРМ, ЛВС, Распр) | Субъекты ПДн | Объем обрабатываемых Пдн (количество записей субъектов Пдн в базе данных ИСПДн) | Описание режима работы с базой данных |
| 1 | 2 | 3 | 4 | 9 | 10 | 11 |
| 1 | «1С:Зарплата и кадры государственного учреждения 8» | Клиентская часть | АРМ | сотрудники отдела кадров и заместитель директора | 777 | Одновременно |
| 2 | «1С:Зарплата и кадры государственного учреждения 8» | Серверная часть | АРМ | сотрудники отдела кадров и заместитель директора | 777 | Одновременно |
2.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ООО «Солнышко»
Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ООО «Солнышко» отображен в таблице 2.
Таблица 2 - Перечень структурных подразделений работающих с БД ПДн «Кадры» ООО «Солнышко»
| № п/п | Наименование БД (ее составной части) | Расположение объекта | Структурное подразделение |
| 1 | 2 | 3 | 4 |
| 1 | «Личные дела» | Сервер | Отдел кадров |
| 2 | «Личные дела» | диске №2 своего АРМ | Отдел кадров |
2.5 Анализ организационных мер защиты ИСПДн
В ходе проведения проверки наличия и полноты методической и организационно-распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.
В зданиях, где находятся помещения ИСПДн «Кадры» ООО «Солнышко», все двери помещений оборудованы врезными замками. Доступ в помещения, где расположены рабочие станции, ограничен, войти могут только сотрудники.
Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному «Технологическому процессу обработки информации» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.
ИСПДн «Кадры» ООО «Солнышко» предназначена для работы в одновременном режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют ораничение права доступа к информации, ИСПДн не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.
Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.
Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.
2.7. Результаты классификации ИСПДн «Кадры» ООО «Солнышко»
В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ЗАО «Солнышко» относится к угрозам 3 типа3 – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ООО «Солнышко», таблица 3.
Таблица 3
| № | Характеристика | Значение |
| 1 | Категория персональных данных4 | 3 |
| 2 | Субъекты ПДн5 | работники |
| 3 | Объем обрабатываемых ПДн6 | Менее 100 тыс. |
| 4 | Количество рабочих станций, входящих в состав ИСПДн | 3 |
| 5 | Структура ИСПДн7 | АРМ |
| 6 | Количество пользователей, допущенных к работе в ИСПДн | 3 |
| 7 | Режим обработки ПДн в ИСПДн8 | Многопользовательская ИСПДн с разными правами доступа |
| 8 | Разграничению прав доступа пользователей9 | С разграничением |
| 9 | Подключение ИСПДн к локальным (распределенным) сетям общего пользования10 | Имеется |
| 10 | Тип ИСПДн11 | Типовая |
| 11 | Местонахождение технических средств ИСПДн | Внутри КЗ |
| 12 | Тип актуальных угроз12 (на основании разработанной модели угроз и анализа актуальных угроз в ИСПДн) | 3 |