Пояснительная записка (1208517), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Объём одновременно обрабатываемых ПДн – менее чем 10 000 субъектов ПДн.

В соответствии с Заключением по результатам аудита ИСПДн «ДПР» для ИСПДн актуальны угрозы 3-го типа – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

Тип субъектов персональных данных, обрабатываемых в информационной системе - персональные данные сотрудников оператора

ИСПДн имеет подключения к сетям общего пользования и международного информационного обмена.

Структура ИСПДн – локальная.

Все компоненты ИСПДн «ДПР» располагаются в пределах контролируемой зоны. Помещения ИСПДн оборудованы техническими средствами пожарной сигнализации. На окнах помещений ИСПДн имеются стальные решетки. Также производится резервное копирование данных.

Работа в ИСПДн «ДПР» ведется в многопользовательском режиме с разграничением прав доступа. Пользователями ИСПДн «ДПР» являются сотрудники медицинского Учреждения.

В таблице 1.1.1.1 указан перечень используемых в ИСПДН «ДПР» технических средств.

Таблица 1.1.1.1 – Перечень используемых технических средств

Наименование ТС
Серверы, обрабатывающие ПДн
Рабочие станции пользователей
Сетевое оборудование, участвующее в передаче ПДн по ИСПДн
Кабели питания серверов и рабочих станций, обрабатывающих ПДн
Линии вспомогательных средств и систем, размещенных в помещениях с техническими средствами, обрабатывающими ПДн
Принтеры (локальные и сетевые) и прочие печатающие устройства
Съемные носители информации

В таблице 1.1.1.2 указан перечень используемого в ИСПДн «ДПР» программного обеспечения.

Таблица 1.1.1.2 – Перечень используемого программного обеспечения

	Наименование
ОС для серверов	Windows Server 2008 R2
ОС для рабочих станций	Microsoft Windows 7
Прикладное ПО	1C «Диспансер» версия 8.2, 1С «Зарплата и кадры Учреждения» версия 8.2
Офисные программы	Microsoft Office 2003/2007/2010
Браузеры	Microsoft Internet Explorer 8.0
Антивирусное ПО	Kaspersky Internet Security 2013

1. 1.2 Установление уровней защищённости ПДн в ИС Учреждения

Безопасность персональных данных обеспечивается выполнением комплекса организационных и технических мер защиты, которые определяются в соответствии с нормативно-методическими документами ФСТЭК России и ФСБ России.

В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждённых Постановлением Правительства РФ от 01 ноября 2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», были установлены уровни защищённости для ИСПДн Учреждения.

В данном документе устанавливаются чётыре уровня защищённости персональных данных. Уровень защищённости определяется с учётом следующих показателей:

• тип актуальных угроз;

• категория обрабатываемых персональных данных (специальные, биометрические, иные);

• тип субъектов персональных данных, обрабатываемых в информационной системе;

• количество субъектов ПДн не являющихся сотрудниками оператора.

1.2.1 Установление уровня защищённости ПДн в ИСПДн «ДПР»

В соответствии с Актом установления уровня защищенности персональных данных при их обработке в информационной системе персональных данных «Диспансер» по результатам анализа исходных данных на ИСПДн «ДПР» руководствуясь «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, Моделью угроз безопасности информации, в ИСПДн «ДПР» требуется обеспечение 4-го уровня защищенности персональных данных.

1. 1.3 Актуальные угрозы безопасности информации в ИС Учреждения

1. 1.3.1 Актуальные угрозы в ИСПДн «ДПР»

В соответствии с Моделью угроз безопасности информации в информационной системе «Диспансер» в Учреждении [ссылка на приложение], актуальными угрозами безопасности в ИСПДн «ДПР» являются:

• несанкционированное отключение средств защиты;

• разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке;

• угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ;

• подключение к ИС стороннего оборудования и внешних носителей.

Порядок определения.

ИСПДн «ДПР» имеет следующие технические и эксплуатационные характеристики:

• территориальное размещение ИС – локальная ИС, развернутая в пределах одного здания. Уровень защищенности - высокий.

• наличие соединения с сетями связи общего пользования - ИС, имеющая одноточечный выход в сеть общего пользования. Уровень защищенности - средний.

• встроенные (легальные) операции с записями баз персональных данных – модификация, передача. Уровень защищенности - низкий.

• разграничение доступа к персональным данным - ИС, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИС, либо субъект ПДн. Уровень защищенности - средний.

• наличие соединений с другими базами персональных данных иных ИС – ИС, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИС. Уровень защищенности - высокий.

• уровень обобщения (обезличивания) персональных данных - ИС, в которой предоставляемые пользователю данные не являются обезличенными Уровень защищенности - низкий.

• объем персональных данных, которые предоставляются сторонним пользователям ИС без предварительной обработки - ИС, не предоставляющая никакой информации. Уровень защищенности – высокий.

Определение исходной степени защищенности:

• ИС имеет высокий уровень исходной защищенности, если не менее 70 % характеристик соответствуют уровню «высокий»;

• ИС имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70 % характеристик ИС соответствуют уровню не ниже «средний»;

• ИС имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

В таблице 1.3.1.1 приведено определение исходной защищённости.

Таблица 1.3.1.1 – Определение исходной защищённости

В соответствии с полученными данными устанавливается средний показатель исходной защищенности, значение коэффициента Y₁=5.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИС в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

• маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

• низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

• средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

• высокая вероятность - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y₂, а именно:

• 0 – для маловероятной угрозы;

• 2 – для низкой вероятности угрозы;

• 5 – для средней вероятности угрозы;

• 10 – для высокой вероятности угрозы.

Коэффициент реализуемости угрозы Y будет определяется соотношением:

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

• если , то возможность реализации угрозы признается низкой;

• если , то возможность реализации угрозы признается средней;

• если , то возможность реализации угрозы признается высокой;

• если , то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИС. Этот показатель имеет три значения:

• низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

• средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

• высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Отнесение угроз к актуальным производится по таблице 1.3.1.2.

Таблица 1.3.1.2 – Правила отнесения угрозы к актуальной угрозе

Таблица оценки актуальности угроз представлена в Приложении А.

1. 1.4 Описание возможных нарушителей

Всех нарушителей ИБ целесообразно разделить на две группы:

• внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

• внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

В качестве основных побудительных причин действий нарушителей ИБ ПДн следует рассматривать:

• получение материальной выгоды;

• моральное удовлетворение без получения материальной выгоды;

• халатность, невнимательность, спешка;

• месть;

• деятельность, связанная с промышленным шпионажем и конкурентной борьбой субъектов рынка.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами ИСПДн. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Характеристики

Список файлов ВКР