Файл: Модель угроз безопасности персональных данных при их обработке в испдн ао "втз".docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 11.01.2024

Просмотров: 518

Скачиваний: 8

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН

3. ОПИСАНИЕ ИСПДН

3.4. ИСПДн «1C: Бухгалтерия 8.3».

3.5. ИСПДн «1C: ЗИК 7.7»

3.6. ИСПДн «1C: Бухгалтерия 7.7»

3.7. ИСПДн «Портал ДПО»

3.8. ИСПДн «old.dpomos.ru»

3.9. ИСПДн «mioo.seminfo.ru»

4. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДН

5. ЗАКЛЮЧЕНИЕ

3.10.3. Описание технологии функционирования и архитектуры системы

Сопровождение: администрирование ОС и ППО – Управление информатизации.

Структура ИСПДн:

ИС состоит из следующих компонентов:

  1. Вебсервер.

  2. Сервер БД и приложений.

Пользователи получают доступ к системе при веб-клиента, для доступа и передачи данных используется незащищенный протокол http.

Сводная информация по компонентам системы представлена в таблице ниже:

Компонент ИСПДн

Установленное ПО




Количество

Размещение

ОС

СУБД

ППО

Компонент ИСПДн

Установленное ПО




Количество

Размещение

ОС

СУБД

ППО

Веб-сервер

Debian 8

-

nginx

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение

Сервер БД и

приложений (виртуальный)

Debian 8.3

MySQL

5.46

-

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение
3.10.4. Описание механизмов и средств защиты

Регистрация событий: регистрируются такие события, как вход и выход пользователя, изменение документов.

Аутентификация: для аутентификации в системе используются локальные учетные записи. Парольная политика не

настроена и не контролируется.

Антивирусная защита: серверы под управлением ОС семейства Linux не подвержены воздействию вредоносного ПО.

3.11. ИСПДн «mioo.ru»

3.11.1. Общее описание

Назначение системы: сайт Института (с формой сбора данных для аттестации директоров школ). Пользователи:

­ работники Института,

­ сотрудники образовательных организаций г. Москвы.
3.11.2. Обрабатываемые в системе персональные данные

Категория

Перечень персональных данных

Хранение данных

субъектов ПДн




Объем (количество записей)

Места и формы хранения

Кандидаты на должность директоров школ

  • ФИО,

  • должность,

  • место работы,

  • дата рождения,

  • номер телефона,

  • адрес электронной почты,

  • сведения об образовании,

  • семейное положение,

  • паспортные данные (в согласии на обработку ПДн),

  • должность а дата назначения на нее,

  • общий трудовой стаж,

  • стаж педагогической работы,

  • решение аттестационной комиссии,  рекомендации аттестационной комиссии.

Около 1000

ПДн содержатся в БД ИС «mioo.ru»
3.11.3. Описание технологии функционирования и архитектуры системы

Сопровождение: администрирование ОС и ППО – Управление информатизации.

Структура ИСПДн:

ИС состоит из следующих компонентов:

  1. Вебсервер.

  2. Сервер БД и приложений.

Пользователи получают доступ к системе при веб-клиента, для доступа и передачи данных используется незащищенный протокол http. Отсканированные документы, которые прикрепляют кандидаты, доступны по внешней ссылке без авторизации любому лицу, знающему ее.

Система разработана на платформе с открытым кодом «joomla!».

Сводная информация по компонентам системы представлена в таблице ниже:

Компонент ИСПДн

Установленное ПО




Количество

Размещение

ОС

СУБД

ППО

Веб-сервер

Debian 8

-

nginx

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение

Сервер БД и

приложений (виртуальный)

Debian 8.3

MySQL

5.46

-

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение
3.11.4. Описание механизмов и средств защиты

Регистрация событий: регистрируются такие события, как вход и выход пользователя, изменение документов.

Аутентификация: для аутентификации в системе используются локальные учетные записи. Парольная политика не

настроена и не контролируется.

Антивирусная защита: серверы под управлением ОС семейства Linux не подвержены воздействию вредоносного ПО.

3.12. ИСПДн «nachalka.seminfo.ru»

3.12.1. Общее описание

Назначение системы: организация дистанционного обучения для учеников начальной школы. Пользователи:

­ работники Института,

­ сотрудники образовательных организаций г. Москвы, ­ обучающиеся.
3.12.2. Обрабатываемые в системе персональные данные

Категория субъектов ПДн

Перечень персональных данных

Хранение данных







Объем (количество записей)

Места и формы хранения




Ученики средней школы - пользователи системы

  • Фамилия и Имя,

  • Страна и город проживания,

  • Фотография,

  • Номер телефона,

  • Адрес электронной почты,  Идентификационные данные онлайн-мессенджеров.

Около 330000

ПДн содержатся в БД

«nachalka.seminfo.ru»

ИС

Учителя

 ФИО.
3.12.3. Описание технологии функционирования и архитектуры системы

Сопровождение: администрирование ОС и ППО – Управление информатизации.

Структура ИСПДн:

ИС состоит из следующих компонентов:

  1. Вебсервер.

  2. Сервер БД.

  3. Сервер приложений.

Пользователи получают доступ к системе при веб-клиента, для доступа и передачи данных используется незащищенный протокол http.

Система разработана на платформе с открытым кодом moodle.

Сводная информация по компонентам системы представлена в таблице ниже:

Компонент ИСПДн

Установленное ПО




Количество

Размещение

ОС

СУБД

ППО

Веб-сервер

Debian 8

-

nginx

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение

Сервер БД

(виртуальный)

Debian 8.3

MySQL

5.46

-

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение

Сервер приложений (виртуальный)

Ubuntu 12.04.5

-

-

1

г. Москва, ул. Тимирязевская, д.36, серверное помещение
3.12.4. Описание механизмов и средств защиты

Регистрация событий: регистрируются такие события, как вход и выход пользователя, изменение документов.

Аутентификация: для аутентификации в системе используются локальные учетные записи. Парольная политика не

настроена и не контролируется.

Антивирусная защита: серверы под управлением ОС семейства Linux не подвержены воздействию вредоносного ПО.

48

4. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДН

4.1. Модель угроз безопасности ПДн, обрабатываемых в ИСПДн «Рабочие станции пользователей»

4.1.1. Уровень исходной защищённости ИСПДн

Документом ФСТЭК России «Методика актуализации угроз ПДн» вводится обобщенный показатель уровня исходной защищенности ИСПДн, зависящий от технических и эксплуатационных характеристик ИСПДн. «Рабочие станции пользователей» (коэффициент Y1).

В соответствии с заданными критериями оценки определяется уровень исходной защищенности ИСПДн «Рабочие станции пользователей»:



Технические и эксплуатационные характеристики ИСПДн

Уровень защищеннос

ти

1. По территориальному размещению

корпоративная распределенная ИСПДн, охватывающая многие

подразделения одной организации

Средний

2. По наличию соединения с сетями общего пользования

ИСПДн, имеющая одноточечный

выход в сеть общего пользования

Средний

3. По встроенным

(легальным) операциям с записями баз

персональных данных

  • чтение, поиск;

  • запись,удаление, сортировка;

  • модификация, передача

Низкий

4. По разграничению доступа к персональным данным

ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн

Средний

5. По наличию соединений с другими базами ПДн иных ИСПДн

Интегрированная ИСПДн

(организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех

используемых баз ПДн)

Низкий

6. По уровню обобщения

(обезличивания) ПДн

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации

Средний

7. По объему ПДн,

которые

ИСПДн, не предоставляющая никакой информации

Высокий

Смотрите также файлы