МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Отчет
по практической работе №4
по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр. 1363 |
|
Владимиров П.А. |
Преподаватель |
|
Воробьёв Е.Г. |
Санкт-Петербург
2022
Цель работы
Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Основная часть
1. Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «Яндекс.Еда».а именно, определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно- телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Владелец информации: организация «Яндекс.Еда».
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «Яндекс.Еда».
2. Описание систем и сетей и их характеристика как объектов защиты.
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:
Автоматизация и управление;
Сервисы пользователей;
Обслуживание инфраструктуры.
Рисунок 1 – Оценка угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных
Документы и правовые акты:
техническое задание на создание системы и локальной сети;
программная (конструкторская) документация;
эксплуатационная документация;
документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);
Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
Соотнесение типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности:
1) Определение категории обрабатываемых персональных данных: категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
2) Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
3) По результатам п.1 и 2 присваивается один из классов защищенности: класс защищенности (К-З) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
3. Возможные негативные последствия от реализации (возникновения) угроз информационной безопасности.
Таблица 2 – Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные последствия |
У2 |
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
|