Главная страница
Навигация по странице:

  • 4.1 Архитектура и схема подключений информационной системы

  • 4.2 Описание процессов передачи информации

  • 4.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»

  • 4.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»

  • 4.5 Анализ организационных мер защиты ИСПДн

  • 4.6 Анализ технологического процесса обработки информации, реализованного в информационной системе

  • Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»

  • Характеристика Значение

  • ____3 уровень защищенности 13 .5. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

    		•

    Отчет ПЗ 6.4 Аналитическое обоснование СЗИ. 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации


    Скачать 1.08 Mb.
    Название6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации
    АнкорОтчет ПЗ 6.4 Аналитическое обоснование СЗИ
    Дата10.04.2023
    Размер1.08 Mb.
    Формат файлаdocx
    Имя файлаОтчет ПЗ 6.4 Аналитическое обоснование СЗИ.docx
    ТипОтчет
    #1050274
    страница4 из 5
    1   2   3   4   5

    Общие положения



    Необходимостью создания ТЗКИ в ИСПД «Кадры» ЗАО «Солнышко» является обеспечение защиты информации при ее обработке в информационной системе.

    СЗИ представляет собой совокупность организационных и технических мер, направленных на предотвращение неправомерного или случайного доступа к защищаемой информации, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.

    Система защиты информации должна:

    защищать ИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

    предоставлять доступ конкретным пользователям ИС только к тем ресурсам ИС, к которым он необходим для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, обрабатываемой в ИС, средствам вычислительной техники, аппаратным и программным средствам защиты;

    регистрировать действия пользователей при использовании защищаемых ресурсов ИС в системных журналах и анализировать содержимое этих журналов с целью контроля корректности действий пользователей;

    контролировать целостность среды исполнения программ и ее восстановление в случае нарушения;

    защищать от несанкционированной модификации и контролировать целостность программных средств, а также обеспечить защищу системы от внедрения несанкционированных программ;

    защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;

    своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие их появлению, создавать механизмы оперативного реагирования на угрозы;

    создавать условия для минимизации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.

    Для аналитического обоснования необходимости создания СЗИ использовалась Модель угроз безопасности информации для ИСПДн ЗАО «Солнышко»», разработанная на основании следующих документов:

    ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;

    «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;

    «Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.

    Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ЗАО «Солнышко».

    4. Описание систем и сетей и их характеристика как объектов защиты2


    Угрозы для ИСПДн «Кадры» ЗАО «Солнышко» обусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.

    ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде:

    1. Персональные данные сотрудников организации:

      • фамилия, имя, отчество

      • дата и место рождения

      • пол

      • сведения об образовании

      • сведения о предыдущем месте работы

      • семейное положение (ФИО жены/мужа, ФИО и даты рождения детей)

      • адреса регистрации и фактического проживания

      • номера контактных телефонов

      • индивидуальный номер налогоплательщика

      • номер страхового свидетельства пенсионного страхования

      • номер полиса обязательного медицинского страхования

      • данные водительского удостоверения


    В информационной системе одновременно обрабатываются данные 777 субъектов персональных данных (сотрудников) в пределах Организации.

    4.1 Архитектура и схема подключений информационной системы
    ИСПДн «Кадры» ЗАО «Солнышко» представлена в виде

    Три автоматизированных рабочих места (АРМ) пользователей, сетевой принтер, сервер, коммутационное оборудование.

    Топология: АРМ и сервер составляют сегмент корпоративной вычислительной сети

    Для передачи информации в ИСПДн «Кадры» ЗАО «Солнышко» используется ЛВС, расположенная по адресу: РФ, г. Глухов, ул. Кривая, дом 6, офис 25
    4.2 Описание процессов передачи информации

    В состав каждого АРМ входят два жёстких диска, на первом установлена операционная система, прикладное программное обеспечение и общедоступная справочная информация, на втором - информация, составляющая персональные данные сотрудников Организации.

    1.Комплект АРМ №1-3 (см. схему): Системный блок № XXXXXXX01-03, Монитор Samsung N710 – серийный номер YYYYYYY01-03, клавиатура Genius серийный номер ZZZZZZZZ01-03, графический манипулятор (мышь) Genius серийный номер WWWW01-03.
    2. В состав сервера входят три жестких диска, на первом установлена операционная система, прикладное программное обеспечение, второй и третий объединены в RAID массив, в котором хранится информация, составляющая персональные данные сотрудников Организации.

    Комплект сервера: Системный блок № XXXXXXX04, Монитор Samsung N710 – серийный номер YYYYYYY04, клавиатура Genius серийный номер ZZZZZZZZ04, графический манипулятор Genius серийный номер WWWW04.

    Сервер и коммуникационное оборудование установлены в типовой стойке.

    Сетевой принтер HP LaserJet P2015 серийный номер SSSSSSSSS.

    Коммутатор: Коммутатор Cisco WS-C2960CX-8TC-L.

    Маршрутизатор: Маршрутизатор Cisco Small Business RV340-K8-RU.
    Схема ИСПДн «Кадры» ЗАО «Солнышко»


    Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся:

    К работе на АРМ допущены сотрудники отдела кадров и заместитель директора.

    Полный доступ ко всей информации на АРМ и сервере имеют заместитель директора и начальник отдела кадров.

    Сотрудники отдела кадров имеют полный доступ только к каталогу «Личные дела», размещённой на диске №2 своего АРМ, и только на чтение информации из каталога «Личные дела» на сервере.

    Системный администратор сегмента сети не имеет доступа к информации, составляющей персональные данные. Имеет права на инсталляцию, настройку программного обеспечения, программных (программно-аппаратных) средств защиты сервера и АРМ № 1-3.

    Режим работы - одновременный.
    4.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»
    Обработка персональных данных в ИСПДн «Кадры» ЗАО «Солнышко» ведётся в специализированном программном обеспечении

    Состав ПО для обработки ПД:

    1. Клиентская часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). 

    2. Диспетчер печати.

    Состав ПО для обработки ПД:

    1. Серверная часть ПО «1С:Зарплата и кадры государственного учреждения 8» хранит информацию о сотрудниках, кандидатах и соискателях (в версии КОРП) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (https://v8.1c.ru/statehrm/dlya-kadrovoy-sluzhby/). 

    2. Диспетчер печати.
    4.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
    Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко» отображен в таблице 2.
    Таблица 2 - Перечень структурных подразделений работающих с БД ПДн «Кадры» ЗАО «Солнышко»


    п/п
    Наименование БД

    (ее составной части)
    Расположение объекта
    Структурное подразделение

    1
    2
    3
    4

    1
    «Личные дела»
    Сервер
    Отдел кадров

    2
    «Личные дела»
    На диске №2 своего АРМ
    Отдел кадров















    4.5 Анализ организационных мер защиты ИСПДн
    В ходе проведения проверки наличия и полноты методической и организационно-распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.

    В зданиях, где находятся помещения ИСПДн «Кадры» ЗАО «Солнышко», все двери помещений оборудованы врезными замками. Доступ в помещения, где расположены рабочие станции, ограничен, войти могут только сотрудники.

    Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
    4.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
    Согласно представленному «Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.

    Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.

    ИСПДн «Кадры» ЗАО «Солнышко» предназначена для работы в _одновременном__ режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют _ораничение_ права доступа к информации, ИСПДн __не имеет___(имеет, не имеет) подключения к сетям связи общего пользования и сетям международного информационного обмена.

    Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.

    Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.



      1. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»


    В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ЗАО «Солнышко» относится к угрозам _3_ типа3 – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

    В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в ИСПДн «Кадры» ЗАО «Солнышко», таблица 3.


    Таблица 3
    Характеристика
    Значение

    1
    Категория персональных данных4
    3

    2
    Субъекты ПДн5
    работники

    3
    Объем обрабатываемых ПДн6
    Менее 100 тыс.

    4
    Количество рабочих станций, входящих в состав ИСПДн
    3

    5
    Структура ИСПДн7
    АРМ

    6
    Количество пользователей, допущенных к работе в ИСПДн
    3

    7
    Режим обработки ПДн в ИСПДн8

    1. многопользовательская ИСПДн с разными правами доступа

    8
    Разграничению прав доступа пользователей9
    С разграничением

    9
    Подключение ИСПДн к локальным (распределенным) сетям общего пользования10

    1. Имеется

    10
    Тип ИСПДн11
    Типовая

    11
    Местонахождение технических средств ИСПДн
    Внутри КЗ

    12
    Тип актуальных угроз12 (на основании разработанной модели угроз и анализа актуальных угроз в ИСПДн)
    3


    По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной модели угроз ИСПДн «Кадры» ЗАО «Солнышко» присвоен ____3 уровень защищенности13.

    5. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

    К основным негативным последствиям от реализации угроз14 безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» определены (таблица 4).

    Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.

    Таблица 4
    Виды

    риска (ущерба)
    Актуальность
    Возможные типовые негативные

    последствия

    У1
    Ущерб физическому лицу




    Угроза жизни или здоровью.

    Унижение достоинства личности.

    Нарушение свободы, личной неприкосновенности.

    Нарушение неприкосновенности частной жизни.

    Нарушение личной, семейной тайны, утрата чести и доброго имени.

    Нарушение тайны переписки, телефонных переговоров, иных сообщений.

    Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.

    Финансовый, иной материальный ущерб физическому лицу.

    Нарушение конфиденциальности (утечка) персональных данных.

    "Травля" гражданина в сети "Интернет".

    Разглашение персональных данных граждан

    У2
    Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью




    Нарушение законодательства Российской Федерации.

    Потеря (хищение) денежных средств.

    Недополучение ожидаемой (прогнозируемой) прибыли.

    Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.

    Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).

    Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса.

    Срыв запланированной сделки с партнером.

    Необходимость дополнительных (незапланированных) затрат на восстановление деятельности.
    1   2   3   4   5

    написать администратору сайта