Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 26.10.2023
Просмотров: 245
Скачиваний: 18
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Отчёт слушателя курса ТЗКИ: | Иванов Иван Иванович |
Тема: | 6.4. Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации | |
Вид занятия: | Практическое занятие | |
Срок предоставления отчёта: | Выложить в СДО |
Негосударственное образовательное учреждение
дополнительного профессионального образования
«Институт информационных технологий «АйТи»
Информационная безопасность.
Техническая защита конфиденциальной информации
(Тема 6.4. Разработка аналитического обоснования необходимости создания системы защиты
информации на объекте информатизации)
Практикум
Описание информационной системы персональных данных организации ИСПДн «Кадры»
Организация: ЗАО «Солнышко».
Директор: Иванов Иван Иванович.
Заместитель директора: Петрова Тамара Васильевна.
Главный конструктор: Старков Игорь Анатольевич
Руководитель службы: безопасности Жарков Петр Петрович
Начальник отдела ИБ: Семенов Семен Семенович.
Начальник отдела кадров: Южина Мария Ивановна.
Сотрудники отдела кадров: Сидорова Александра Павловна,
Копылова Юлия Фёдоровна.
Руководитель предпроектного обследования: Краснов Иван Иванович
Описание ИСПДн:
Состав:
-
Персональные данные сотрудников организации:
-
фамилия, имя, отчество -
дата и место рождения -
пол -
сведения об образовании -
сведения о предыдущем месте работы -
семейное положение (ФИО жены/мужа, ФИО и даты рождения детей) -
адреса регистрации и фактического проживания -
номера контактных телефонов -
индивидуальный номер налогоплательщика -
номер страхового свидетельства пенсионного страхования -
номер полиса обязательного медицинского страхования -
данные водительского удостоверения
В информационной системе одновременно обрабатываются данные 777 субъектов персональных данных (сотрудников) в пределах Организации.
-
Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (см. схему).
Схема ИСПД «Кадры» ЗАО «Солнышко»
Корпоративная сеть Организации не имеет подключение к сетям связи общего пользования и сетям международного информационного обмена.
В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.
1. Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.
Состав ПО для обработки ПД:
1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.
Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.
Состав ПО для обработки ПД:
1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/).
2. Диспетчер печати.
Сервер и коммуникационное оборудование установлены в типовой стойке.
Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.
Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.
Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
-
Технология обработки персональных данных:
Обработка персональных данных сотрудников включает весь перечень действий.
К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.
Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.
Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.
Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.
Режим работы - одновременный.
Расположение: Отдельный кабинет по адресу: РФ, г. Глухов, ул. Кривая, дом 6, офис 25. Помещение офиса оборудовано охранной сигнализацией и в нерабочее время сдается под охрану. Доступ в помещение ограничен распорядительными актами Организации и автоматизированной системой контроля и управления доступа.
| УТВЕРЖДАЮ1 ______________________________________ (должность руководителя организации) ______________________________________ (подпись) «_____» __________ 202 ____г. |
Аналитическое обоснование необходимости создания системы защиты информации на объекте информатизации ИСПДн «Кадры»
__________________________________________________________________
(наименование ИСПДн)
СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. | СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. |
202_ г.
Содержание
1. Термины и определения……………………………………………….. | |
2. Принятые сокращения…………………………………………………. | |
3. Общие положения……………………………………………………… | |
4. Описание систем и сетей и их характеристика как объектов защиты………………………………………………………………………... | |
4.1 Архитектура и схема подключений информационной системы…… | |
4.2 Описание процессов передачи информации………………………… | |
4.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»………… | |
4.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»………………………………………………. | |
4.5 Анализ организационных мер защиты ИСПДн.…………………… | |
4.6 Анализ технологического процесса обработки информации, реализованного в информационной системе…………………………….... | |
4.7 Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко» | |
5. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации ……………………………….… | |
6. Возможные объекты воздействия угроз безопасности информации.. | |
7. Источники угроз безопасности информации..…………………….. | |
8. Способы реализации (возникновения) угроз безопасности информации……………………………………………………………………… | |
9. Актуальные угрозы безопасности информации……………………… | |
10. ТСЗИ предлагаемые для использования ИСПДн…………………… | |
11. Обоснование необходимости привлечения специальных организаций………………………………………………………………………… | |
12. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение ТСЗИ……………………………………………….. | |
13. Ориентировочные сроки разработки и внедрения ТСЗИ…………. | |
14. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации | |
-
Термины и определения
-
Автоматизированное рабочее место – программно-технический комплекс, предназначенный для автоматизированной деятельности определенного вида. -
Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной информационной системы в установленном штатном режиме работы. -
Администратор защиты (безопасности) информации – лицо, ответственное за защиту автоматизированной информационной системы от несанкционированного доступа к информации. -
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора. -
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. -
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи. -
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. -
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. -
Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных. -
Доступ к информации – возможность получения информации и ее использования. -
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. -
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. -
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц. -
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. -
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. -
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы. -
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. -
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. -
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. -
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. -
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. -
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. -
Объект защиты информации - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации. -
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. -
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. -
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). -
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. -
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. -
Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных. -
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. -
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы. -
Система – совокупность взаимосвязанных и взаимодействующих элементов. -
Средства защиты информации – технические, программные средства, вещества и (или) материал, предназначенные или используемые для защиты информации. -
Средства криптографической защиты информации – аппаратные, программные и программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении. -
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных. -
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. -
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа. -
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п -
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее. -
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов. -
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. -
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. -
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации. -
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
АВС | – | антивирусные средства |
АРМ | – | автоматизированное рабочее место |
АС | – | автоматизированная система |
ГИС | – | государственная информационная система |
ГОСТ | – | государственный стандарт |
ИБ | – | информационная безопасность |
ИС | – | информационная система, обрабатывающая информацию |
КЗ | – | контролируемая зона |
ИТ | – | информационные технологии |
ЛВС | – | локальная вычислительная сеть |
НДВ | – | не декларированные возможности |
НЖМД | – | накопитель на жестких магнитных дисках |
НСД | – | несанкционированный доступ |
ОЗУ | – | оперативное запоминающее устройство |
ОПО | – | общесистемное программное обеспечение |
ОС | – | операционная система |
ОТСС | – | основные технические средства и системы |
ПДн | – | персональные данные |
ПК | – | программный комплекс |
ПО | – | программное обеспечение |
ПС | – | программные средства |
ПТС | – | программно-технические средства |
ПЭВМ | – | персональная электронно-вычислительная машина |
РД | – | руководящий документ |
СВТ | – | средства вычислительной техники |
СЗИ | – | система защиты информации |
СКЗИ | – | средства криптографической защиты информации |
СПО | – | специальное программное обеспечение |
СрЗИ | – | средства защиты информации |
ТЗ | – | техническое задание |
ТС | – | технические средства |
ТП | – | технический проект |
ФСБ | – | Федеральная служба безопасности |
ФСТЭК | – | Федеральная служба технического и экспортного контроля |