Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx

2. 1   2   3   4   5

---

Принятые сокращения

АВС	–	антивирусные средства
АРМ	–	автоматизированное рабочее место
АС	–	автоматизированная система
ГИС	–	государственная информационная система
ГОСТ	–	государственный стандарт
ИБ	–	информационная безопасность
ИС	–	информационная система, обрабатывающая информацию
КЗ	–	контролируемая зона
ИТ	–	информационные технологии
ЛВС	–	локальная вычислительная сеть
НДВ	–	не декларированные возможности
НЖМД	–	накопитель на жестких магнитных дисках
НСД	–	несанкционированный доступ
ОЗУ	–	оперативное запоминающее устройство
ОПО	–	общесистемное программное обеспечение
ОС	–	операционная система
ОТСС	–	основные технические средства и системы
ПДн	–	персональные данные
ПК	–	программный комплекс
ПО	–	программное обеспечение
ПС	–	программные средства
ПТС	–	программно-технические средства
ПЭВМ	–	персональная электронно-вычислительная машина
РД	–	руководящий документ
СВТ	–	средства вычислительной техники
СЗИ	–	система защиты информации
СКЗИ	–	средства криптографической защиты информации
СПО	–	специальное программное обеспечение
СрЗИ	–	средства защиты информации
ТЗ	–	техническое задание
ТС	–	технические средства
ТП	–	технический проект
ФСБ	–	Федеральная служба безопасности
ФСТЭК	–	Федеральная служба технического и экспортного контроля

---

3. 1   2   3   4   5

---

Общие положения

Необходимостью создания ТЗКИ в ИСПД «Кадры» ЗАО «Солнышко» является обеспечение защиты информации при ее обработке в информационной системе.

СЗИ представляет собой совокупность организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к защищаемой информации, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.

Система защиты информации должна:

защищать ИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

предоставлять доступ конкретным пользователям ИС только к тем ресурсам ИС, к которым он необходим для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, обрабатываемой в ИС, средствам вычислительной техники, аппаратным и программным средствам защиты;

регистрировать действия пользователей при использовании защищаемых ресурсов ИС в системных журналах и анализировать содержимое этих журналов с целью контроля корректности действий пользователей;

контролировать целостность среды исполнения программ и ее восстановление в случае нарушения;

защищать от несанкционированной модификации и контролировать целостность программных средств, а также обеспечить защищу системы от внедрения несанкционированных программ;

защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;

своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие их появлению, создавать механизмы оперативного реагирования на угрозы;

создавать условия для минимизации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.

Для аналитического обоснования необходимости создания СЗИ использовалась Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»», разработанная на основании следующих документов:

---

ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;

«Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.

Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».

4. Описание систем и сетей и их характеристика как объектов защиты²

Угрозы для ИСПДн «Кадры» ЗАО «Солнышко» обусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.

ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:

1. 
   Персональные данные сотрудников организации:
   

• 
  фамилия, имя, отчество
  
• 
  дата и место рождения
  
• 
  пол
  
• 
  сведения об образовании
  
• 
  сведения о предыдущем месте работы
  
• 
  семейное положение (ФИО жены/мужа, ФИО и даты рождения детей)
  
• 
  адреса регистрации и фактического проживания
  
• 
  номера контактных телефонов
  
• 
  индивидуальный номер налогоплательщика
  
• 
  номер страхового свидетельства пенсионного страхования
  
• 
  номер полиса обязательного медицинского страхования
  
• 
  данные водительского удостоверения
  

В информационной системе одновременно обрабатываются данные 777 субъектов персональных данных (сотрудников) в пределах Организации.

4.1 Архитектура и схема подключений информационной системы
ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде

Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.

Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети

---