ЗАДАНИЕ для слушателя курса ТЗКИ 512:

Иванов Иван Иванович

Тема:	4.1.2 Определение актуальных угроз несанкционированного доступа к информации
Вид занятия:		Практическое занятие
Срок предоставления отчёта:		В СДО не выкладывать

При обработке ПДн на автоматизированном рабочем месте, не имеющем

подключения к сетям связи общего пользования и (или) сетям

международного информационного обмена, возможна реализация

следующих УБПДн:

• 
  угроз утечки информации по техническим каналам;
  
• 
  угроз НСД к ПДн, обрабатываемым в автоматизированном рабочем месте.
  

Угрозы утечки информации по техническим каналам включают в себя:

• 
  угрозы утечки акустической (речевой) информации;
  
• 
  угрозы утечки видовой информации;
  
• 
  угрозы утечки информации по каналу ПЭМИН.
  

Угрозы НСД к ПДн, обрабатываемым в автоматизированном рабочем месте включают в себы:

• 
  угрозы, реализуемые в ходе загрузки операционной системы
  

и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

• 
  угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной 65 системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);
  
• 
  угрозы внедрения вредоносных программ.
  

Описание информационной системы персональных данных организации ИСПДн «Кадры»

---

Организация: ЗАО «Солнышко».

Директор: Иванов Иван Иванович.

Заместитель директора: Петрова Тамара Васильевна.

Начальник отдела ИБ: Семенов Семен Семенович.

Начальник отдела кадров: Южина Мария Ивановна.

Сотрудники отдела кадров: Сидорова Александра Павловна,

Копылова Юлия Фёдоровна.
Описание ИСПДн:
Состав:

1. 
   Персональные данные сотрудников организации:
   

• 
  фамилия, имя, отчество
  
• 
  дата и место рождения
  
• 
  пол
  
• 
  расовая и национальная принадлежность
  
• 
  религиозные убеждения
  
• 
  сведения об образовании
  
• 
  сведения о предыдущем месте работы
  
• 
  семейное положение (ФИО жены/мужа, ФИО и даты рождения детей)
  
• 
  адреса регистрации и фактического проживания
  
• 
  номера контактных телефонов
  
• 
  индивидуальный номер налогоплательщика
  
• 
  номер страхового свидетельства пенсионного страхования
  
• 
  номер полиса обязательного медицинского страхования
  
• 
  данные водительского удостоверения
  

В информационной системе одновременно обрабатываются данные 863 субъектов персональных данных (сотрудников) в пределах Организации.

2. 
   Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.
   

Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети (см. схему).


Схема ИСПД «Кадры» ЗАО «Солнышко»
Корпоративная сеть Организации не имеет подключения к сетям связи общего пользования и сетям международного информационного обмена.

В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.

1. Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.

Состав ПО для обработки ПД:

1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках

---

, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). 

2. Диспетчер печати.
2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.

Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.

Состав ПО для обработки ПД:

1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). 

2. Диспетчер печати.
Сервер и коммуникационное оборудование установлены в типовой стойке.

Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.

Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.

Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.

3. 
   Технология обработки персональных данных:
   

Обработка персональных данных сотрудников включает весь перечень действий.

К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.

Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.

Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.

Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.

Режим работы - одновременный.
Расположение: Отдельный кабинет по адресу: РФ, г. Глухов, ул. Кривая, дом 6, офис 25. Помещение офиса оборудовано охранной сигнализацией и в нерабочее время сдается под охрану. Доступ в помещение ограничен распорядительными актами Организации и автоматизированной системой контроля и управления доступа.

ЗАДАНИЕ:

1. Изучить «Методику оценки угроз безопасности» методический документ» Утвержден ФСТЭК России 5 февраля 2021 г.

---

2. Изучить «Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г., а именно:

Глава 5. Угрозы несанкционированного доступа к информации в информационной системе персональных данных (стр. 21).

Глава 6. Типовые модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных (стр. 63).

3. Составить перечень актуальных угроз безопасности персональным данным обрабатываемым в ИСПДн «Кадры» ЗАО «Солнышко».
ПРИМЕР «Перечня актуальных угроз безопасности …»:

Таким образом для персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности:

1. ….

---

Смотрите также файлы

• Общие цели и задачи работы.pptx

• Доклад по отчету Место прохождение практики предприятие Место прохождения практики ао Уралнефтесервис.docx

• Нарушение прав человека собянина елизавета л22 (9).pptx

• М униципальное бюджетное общеобразовательное учреждение.docx

• Сканеры и программное обеспечение распознавания символов.docx