Файл: 4. 1 Разработка модели угроз безопасности информации.docx
Добавлен: 04.02.2024
Просмотров: 330
Скачиваний: 8
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.2 Описание процессов передачи информации.
2.4 Перечень структурных подразделений, работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
7. Актуальные угрозы безопасности информации
Отчёт слушателя курса ИБ1222 9 поток: | |
Тема: | 4.1 Разработка модели угроз безопасности информации | |
Вид занятия: | Практическое занятие | |
Срок предоставления отчёта: | Выложить в СДО |
Негосударственное образовательное учреждение
дополнительного профессионального образования
«Институт информационных технологий «АйТи»
Информационная безопасность.
Техническая защита конфиденциальной информации
(Тема 4.1. Практикум)
Москва 2022
Описание информационной системы персональных данных организации ИСПДн «Кадры»
Организация: ЗАО «Солнышко».
Директор: Иванов Иван Иванович.
Заместитель директора: Петрова Тамара Васильевна.
Начальник отдела ИБ: Семенов Семен Семенович.
Начальник отдела кадров: Южина Мария Ивановна.
Сотрудники отдела кадров: Сидорова Александра Павловна,
Копылова Юлия Фёдоровна.
Описание ИСПДн:
Состав:
-
Персональные данные сотрудников организации:
-
фамилия, имя, отчество -
дата и место рождения -
пол -
сведения об образовании -
сведения о предыдущем месте работы -
семейное положение (ФИО жены/мужа, ФИО и даты рождения детей) -
адреса регистрации и фактического проживания -
номера контактных телефонов -
индивидуальный номер налогоплательщика -
номер страхового свидетельства пенсионного страхования -
номер полиса обязательного медицинского страхования -
данные водительского удостоверения
В информационной системе одновременно обрабатываются данные 777 субъектов персональных данных (сотрудников) в пределах Организации.
-
Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (см. схему).
Схема ИСПД «Кадры» ЗАО «Солнышко»
Корпоративная сеть Организации не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.
В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.
1. Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.
Состав ПО для обработки ПД:
1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.
Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.
Состав ПО для обработки ПД:
1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Сервер и коммуникационное оборудование установлены в типовой стойке.
Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.
Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.
Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
-
Технология обработки персональных данных:
Обработка персональных данных сотрудников включает весь перечень действий.
К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.
Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.
Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.
Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.
Режим работы - одновременный.
Расположение: Отдельный кабинет по адресу: РФ, г. Глухов, ул. Кривая, дом 6, офис 25. Помещение офиса оборудовано охранной сигнализацией и в нерабочее время сдается под охрану. Доступ в помещение ограничен распорядительными актами Организации и автоматизированной системой контроля и управления доступа.
| Приложение 1 УТВЕРЖДЕНО директором ЗАО «Солнышко» приказом от 25 января 2023 года № 4ИБ _____ Иванов И.И. |
Модель угроз безопасности информации
ИСПДн
«Кадры»
(наименование ИСПДн)
СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. | СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. |
2023г.
Содержание
1. Общие положения
Настоящий документ разработан в соответствии с требованием п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119.
Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»» разработана на основании следующих документов:
- Федеральный закон №152-ФЗ от 27 июля 2006 года «О персональных данных»;
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Национальный стандарт РФ ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 374-ст);
- Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375);
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;
«Методика оценки угроз безопасности информации» утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.
Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».
2. Описание систем и сетей и их характеристика как объектов защиты
Угрозы для ИСПДн «Кадры» ЗАО «Солнышко» обусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде: трех автоматизированных рабочих места (АРМ) пользователей, сетевого принтера, сервера, коммутационного оборудования. АРМ и сервер составляют сегмент корпоративной вычислительной сети.
-
Архитектура и схема подключений информационной системы.
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде трех автоматизированных рабочих места (АРМ) пользователей, сетевого принтера, сервера, коммутационного оборудования.
Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (Рисунок 1).
Корпоративная сеть Организации не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.
В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.
В комплект АРМ №1-3 состоит из:
Системный блок № XXXXXXX01-03,
Монитор Samsung N710 – серийный номер YYYYYYY01-03,
Клавиатура Genius серийный номер ZZZZZZZZ01-03,
Графический манипулятор (мышь) Genius серийный номер WWWW01-03.
В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.
Комплект сервера:
Системный блок № XXXXXXX04,
Монитор Samsung N710 – серийный номер YYYYYYY04,
Клавиатура Genius серийный номер ZZZZZZZZ04,
Графический манипулятор Genius серийный номер WWWW04.
Сервер и коммуникационное оборудование установлены в типовой стойке.
Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.
Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.
Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
Для передачи информации в ИСПДн «Кадры» ЗАО «Солнышко» используется ЛВС, расположенная по адресу: РФ, г. Глухов, ул. Кривая, дом 6, офис 25.
В процессе обработки персональных данных участвуют сотрудники отдела кадров и заместитель директора.
Схема ИСПДн «Кадры» ЗАО «Солнышко» представлена на рисунке 1.
Рисунок 1 – Схема ИСПД «Кадры» ЗАО «Солнышко»
2.2 Описание процессов передачи информации.
Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся на следующем ПО:
-
Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). -
Диспетчер печати. -
Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). -
Диспетчер печати.
2.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»
Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся в специализированном программном обеспечении:
-
«1С:Зарплата и кадры государственного учреждения 8» - клиентская часть. -
«1С:Зарплата и кадры государственного учреждения 8» - серверная часть. -
Диспетчер печати.
Перечень имеющихся программных средств, используемых для обработки персональных данных приведены в таблице 1.
Таблица 1 – Перечень имеющихся программных средств (ПС), используемых для обработки персональных данных ИСПДн «Кадры» ЗАО «Солнышко».
№ п/п | Наименование ПС (ее составной части) | Расположение объекта | Технология обработки (АРМ, ЛВС, Распр) | Субъекты ПДн | Объем обрабатываемых Пдн (количество записей субъектов Пдн в базе данных ИСПДн) | Описание режима работы с базой данных |
1 | 2 | 3 | 4 | 9 | 10 | 11 |
1 | «1С:Зарплата и кадры государственного учреждения 8» - клиентская часть | РФ, г. Глухов, ул. Кривая, дом 6, офис 25. Рабочие станции пользователей | Многопользовательская | хранится информация, составляющая персональные данные сотрудников Организации | обрабатываются данные 777 субъектов персональных данных (сотрудников) | Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ |
2 | «1С:Зарплата и кадры государственного учреждения 8» - серверная часть | РФ, г. Глухов, ул. Кривая, дом 6, офис 25. Сервер | Многопользовательская | хранится информация, составляющая персональные данные сотрудников Организации | обрабатываются данные 777 субъектов персональных данных (сотрудников) | Сотрудники имеют разрешение на чтение информации из каталога «Личные дела» на сервере |