Файл: Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины).docx
Добавлен: 30.11.2023
Просмотров: 3178
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим
ИСПДн «Профессионал» предназначена для обработки и хранения информации о работниках ООО «ПрофБанкТест», проводящих тестирование, а также о сотрудниках из банков-клиентов, которые проходят тестирование.
Персональные данные работников ООО «ПрофБанкТест» обрабатываются с целью:
-
ведения учета рабочего времени; -
ведения отчетности о деятельности сотрудников.
Персональные данные клиентов ООО «ПрофБанкТест» обрабатываются с целью:
-
ведение клиентской базы; -
ведение отчетности о результатах тестирования; -
сертификация сотрудников по итогам тестирования.
В ИСПДн «Профессионал» обрабатываются следующие персональные данные работников:
-
фамилия, имя, отчество работника; -
контактные данные работника (номер телефона и адрес электронной почты).
В ИСПДн «Профессионал» обрабатываются следующие персональные данные клиентов:
-
фамилия, имя, отчество клиента; -
пол клиента; -
контактные данные клиента (номер телефона и адрес электронной почты); -
дата рождения клиента; -
должность клиента.
Вышеперечисленные персональные данные обрабатываются в соответствии с Трудовым и Налоговым кодексом РФ, Федеральным закон «О бухгалтерском учете» от 06.12.2011 N 402-ФЗ, согласием работника на обработку ПДн.
Описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа
В ИСПДн «Профессионал» обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа.
Режим обработки предусматривает следующие действия с персональными данными сотрудников и клиентов: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование, уничтожение персональных данных.
Все пользователи имеют собственные роли и полномочия. Список пользователей и их типов доступа представлен в виде матрицы доступа в таблице 1.3.
Таблица 1.3 – Матрица доступа к ИСПДн
| Группа пользователей | Уровень доступа к ИСПДн | Полномочия | Сотрудники |
| Системный администратор | Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным. Обладает правами конфигурирования и административной настройки технических средств ИСПДн. | - хранение - систематизация - сбор - накопление | Сотрудники отдела администрирования, допущенные к работе с ИСПДн: Мешков А.Г. Талалаев О.К. |
| Программист, специалист по БД | Обладает правами администратора ИСПДн. Обладает полной информацией об ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных. | - сбор - систематизация - накопление - хранение - уничтожение - уточнение | Сотрудники технического отдела: Троценко В.С. Якимушкин П.А. Миронова М.А. |
Окончание таблицы 1.3
| Группа пользователей | Уровень доступа к ИСПДн | Полномочия | Сотрудники |
| Операторы ИСПДн с правами на чтение и запись | Обладают всеми необходимыми правами и полномочиями, позволяющие осуществлять запись, удаление, изменение в базе данных. | - сбор - накопление - хранение - уничтожение - уточнение - использование | Сотрудники отдела тестирования: Петров И.И. Краснова А.Н. Петухов В.Е. Абраменко О.П. |
Описание групп внешних и внутренних нарушителей
Описание групп внешних и внутренних потенциальных нарушителей для ИСПДн «Профессионал», а также определение их актуальности представлено в таблице 1.4.
Таблица 1.4 – Описание групп внешних и внутренних нарушителей
| № п/п | Вид нарушителя | Категория возможного пользователя/нарушителя | Возможные цели реализации угроз безопасности информации | Уровень возможностей нарушителя | Возможности нарушителя | Возможные к применению тактики | Гипотетическая актуальность |
| 1 | СС иностранных государств | Внешний | Данный тип нарушителя не заинтересован в воздействии на ИСПДн, принадлежащую ООО «ПрофБанкТест», т.к. это не соответствует его целям, описанным в Приложение 6 к Методике оценки угроз безопасности информации ФСТЭК | Н4 | Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы | Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы | Не актуален |
| 2 | Террористические, экстремистские группировки | Внешний | Данный тип нарушителя не заинтересован в воздействии на ИСПДн, принадлежащую ООО «ПрофБанкТест», т.к. это не соответствует его целям, описанным в Приложение 6 к Методике оценки угроз безопасности информации ФСТЭК | Н3 | Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы | Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы | Не актуален |
| 3 | Преступные группы (криминальные структуры) | Внешний | Получение финансовой или иной материальной выгоды | Н2 | Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности | Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10 | Актуален |
Продолжение таблицы 1.4
| № п/п | Вид нарушителя | Категория возможного пользователя/нарушителя | Возможные цели реализации угроз безопасности информации | Уровень возможностей нарушителя | Возможности нарушителя | Возможные к применению тактики | Гипотетическая актуальность |
| | | | | | информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах | | |
| 4 | Отдельные физические лица (хакеры) | Внешний | Получение финансовой или иной материальной выгоды | Н1 | Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации. | Т1, Т2, Т4, Т6, Т10 | Актуален |
| 5 | Конкурирующие организации | Внешний | Получение конкурентных преимуществ, финансовой или иной материальной выгоды | Н2 | Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также | Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10 | Актуален |