Файл: Утверждаю директор ооо Организация Д. В. Гусев 13 марта 2021г. Модель угроз безопасности информации испдн ооо Организация.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.05.2024
Просмотров: 48
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы.
2.2 Описание процессов передачи информации.
2.3 Перечень программных средств, используемых для обработки персональных данных в ООО «Организация»
2.4 Перечень структурных подразделений работающих с БД ПДн ООО «Организация»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн ООО «Организация»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
7. Актуальные угрозы безопасности информации
| | УТВЕРЖДАЮ Директор ООО «Организация» Д.В. Гусев «13» марта 2021г. |
Модель угроз безопасности информации
ИСПДн ООО «Организация»
| СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. | СОГЛАСОВАНО ______________________________ «____» _______________ 202___ г. |
2021 г.
Содержание
1. Общие положения
Модель угроз безопасности информации для ИСПДн ООО «Организация» разработана на основании следующих документов:
- ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию;
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;
- «Методика оценки угроз безопасности информации», утвержденная Заместителем директора ФСТЭК России 5 февраля 2021 г.
Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта», аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31 октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ООО «Организация».
2. Описание систем и сетей и их характеристика как объектов защиты
Угрозы для ИСПДнобусловлены преднамеренными или непреднамеренными действиями физических лиц, или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.
ИСПДн ООО «Организация» представлена в виде рабочих станций, объединённых в локальную вычислительную сеть, подключенную к сети общего пользования.
2.1 Архитектура и схема подключений информационной системы.
ИСПДн ООО «Организация» представлена в виде локальной вычислительной сети (ЛВС), объединенной в единую информационную систему средствами связи c использованием технологии удаленного доступа, имеющую выход в сеть международного информационного обмена (СМИО) «Интернет».
ИСПДн ООО «Организация» подключена в СМИО «Интернет», доступ в СМИО «Интернет» осуществляется через межсетевой экран с функцией шлюза «D-Link DFL-860». Провайдером, предоставляющим услуги доступа в СМИО «Интернет», является компания «Эр-Телеком».
Для передачи информации в ИСПДн ООО «Организация» используется ЛВС, расположенная по адресу: г. Москва, ул. Сергея Есенина, д. 48, 41.
В процессе обработки персональных данных участвуют две рабочие станции, входящие в состав ЛВС ООО «Организация». Рабочая станция №2 расположенная на ул. Сергея Есенина, д. 48 и предназначенная для перепечатки квитанций, удаленно работает с базой данных, размещенной на рабочей станции №1, расположенной на ул. Сергея Есенина, д. 41 и предназначенной для распечатки на принтерах квитанций с персональными данными.
В состав ЛВС входит сетевое оборудование различных производителей. В серверной, расположенной на ул. Сергея Есенина, д. 48, для организации сетевого взаимодействия используется HUB HP 1810-48g, на ул. Сергея Есенина, д. 41 применяется HUB HP 1410-24g.
ЛВС ООО «Организация» построена по топологии «звезда». Все рабочие станции, подключенные к ЛВС ООО «Организация», входят в состав одной рабочей группы.
Для передачи информации в рамках ЛВС ООО «Организация» используется протокол сетевого уровня TCP/IP, данные передаются по линии связи UTP cat. 5 (витая пара) – 10/100/1000 Мб/с. Для объединения ЛВС на ул. ул. Сергея Есенина, д. 41 с ЛВС на ул. Сергея Есенина, д. 48 используется волоконно-оптический кабель с применением медиаконверторов D-Link DMC-1910.
Схема ЛВС ООО «Организация» представлена на рисунке 1.
Рис. 1 - Схема ЛВС ООО «Организация»
2.2 Описание процессов передачи информации.
В рабочем процессе ОАО «НСК» предоставляет персональные данные в ООО «Организация» в виде файлов формата DBF, данные передаются через открытые каналы СМИО «Интернет» по электронной почте в архиве WinRar.
Обработка персональных данных в ИСПДн ООО «Организация» ведётся на рабочей станции №1 (сервер печати), где полученные от ОАО «НСК» персональные данные загружаются в специализированное программное обеспечение «Диспетчер печати» и далее распечатываются на принтерах. Рабочая станция №2 (перепечатка) имеет доступ к базе с персональными данными на рабочей станции №1 для корректировки и перепечатки вводимых данных.
На рисунке 2 представлена схема потоков персональных данных в ИСПДн ООО «Организация».
Рис. 2 - Схема потоков персональных данных в ИСПДн ООО «Организация»2.3 Перечень программных средств, используемых для обработки персональных данных в ООО «Организация»
Обработка персональных данных в ИСПДн ООО «Организация» ведётся в специализированном программном обеспечении «Диспетчер печати».
Перечень имеющихся программных средств, используемых для обработки персональных данных приведены в таблице 1.
Таблица 1 – Перечень имеющихся программных средств (ПС), используемых для обработки персональных данных ООО «Организация».
Таблица 1
| № п/п | Наименование ПС (ее составной части) | Расположение объекта | Технология обработки (АРМ, ЛВС, Распр) | Субъекты ПДн | Объем обрабатываемых Пдн (количество записей субъектов Пдн в базе данных ИСПДн) | Описание режима работы с базой данных |
| 1 | 2 | 3 | 4 | 9 | 10 | 11 |
| 1 | «Диспетчер печати» | г. Москва, ул. Сергея Есенина, д. 41 – рабочая станция №1, ул. Сергея Есенина, д. 48 – рабочая станция №2 | ЛВС, многопольз. | Не являются сотрудниками оператора | до 100 тыс | Локальная работа с базой на РС. Вход в систему по логину и паролю |
2.4 Перечень структурных подразделений работающих с БД ПДн ООО «Организация»
Перечень структурных подразделений работающих с БД ПДн отображен в таблице 2.
Таблица 2 - Перечень структурных подразделений работающих с БД ПДн ООО «Организация»
Таблица 2
| № п/п | Наименование БД (ее составной части) | Расположение объекта | Структурное подразделение |
| 1 | 2 | 3 | 4 |
| 1 | База данных «Диспетчер печати» | г. Москва, ул. Сергея Есенина, д. 41 – рабочая станция №1, ул. Сергея Есенина, д. 48 – рабочая станция №2 | Инженер, Начальник центра печати, Специалист по доставке |
2.5 Анализ организационных мер защиты ИСПДн
В ходе проведения проверки наличия и полноты методической и организационно-распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.
В зданиях, где находятся помещения ООО «Организация», все двери помещений оборудованы врезными замками. Доступ в помещения, где расположены рабочие станции, ограничен, войти могут только сотрудники.
Пожарная и охранная сигнализация установлена во всех помещениях, где обрабатываются персональные данные. Охрана объекта осуществляется частным охранным предприятием на договорной основе.
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному «Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО), перечисленное в таблице №2.
ИСПДн предназначена для работы в многопользовательском режиме, доступ исполнителей к работе осуществляется по утвержденному списку, пользователи имеют разные права доступа к информации, ИСПДн имеет подключения к открытым информационным системам, передача персональных данных по открытым каналам связи осуществляется c использованием средств криптографической защиты.
Настройку систем защиты для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в ИСПДн администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям.
Уровень подготовки администратора безопасности и пользователей позволяет выполнять возложенные на них обязанности.
2.7. Результаты классификации ИСПДн ООО «Организация»
В соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ООО «Организация» относится к угрозам 3-го типа – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
