5. Технический проект (1209966), страница 2
Текст из файла (страница 2)
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
АВС
–
антивирусные средства
АРМ
–
автоматизированное рабочее место
АС
–
автоматизированная система
ГИС
–
государственная информационная система
ГОСТ
–
государственный стандарт
ДСП
–
для служебного пользования
ИБ
–
информационная безопасность
ИСПДн
–
информационная система, обрабатывающая персональные данные
КЗ
–
контролируемая зона
ИТ
–
информационные технологии
ЛВС
–
локальная вычислительная сеть
НДВ
–
не декларированные возможности
НЖМД
–
накопитель на жестких магнитных дисках
НСД
–
несанкционированный доступ
ОЗУ
–
оперативное запоминающее устройство
ОПО
–
общесистемное программное обеспечение
ОС
–
операционная система
ОТСС
–
основные технические средства и системы
ПДн
–
персональные данные
ПК
–
программный комплекс
ПО
–
программное обеспечение
ПС
–
программные средства
ПТС
–
программно-технические средства
ПЭВМ
–
персональная электронно-вычислительная машина
РД
–
руководящий документ
СВТ
–
средства вычислительной техники
СЗИ
–
система защиты информации
СКЗИ
–
средства криптографической защиты информации
СПО
–
специальное программное обеспечение
СрЗИ
–
средства защиты информации
ТЗ
–
техническое задание
ТС
–
технические средства
ТП
–
технический проект
ФСБ
–
Федеральная служба безопасности
ФСТЭК
–
Федеральная служба технического и экспортного контроля
-
Общие положения
-
Наименование разработки
Наименование работы: «Разработка профиля защиты информации в сегменте информационной системы телекоммуникационной компании»
Шифр –ТП ИСПДн «Ссегмент ИС телекоммуникационной компании».
-
Основание для разработки
Основанием для разработки изделия послужили:
-
Техническое задание на разработку системы защиты информационной системы персональных данных ООО «Рэдком – Розничные Услуги»;
-
Модель нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Рэдком – Розничные Услуги»;
-
Аналитическое обоснование необходимости создания системы защиты информационной системы персональных данных ООО «Рэдком – Розничные Услуги»;
-
Заключение по результатам аудита информационной системы персональных данных ООО «Рэдком – Розничные Услуги».
-
Организации, участвующие в разработке
Заказчик: Общество с ограниченной ответственностью «Рэдком – Розничные Услуги»
Исполнитель: студент группы 24Б Починков Вячеслав.
-
Цель работы
Целью работы является разработка технического проекта, позволяющего осуществить разработку профиля системы защиты информации (СЗИ) в информационной системе персональных данных в сегменте телекоммуникационной компании.
-
Назначение
Основным назначением работы является разработка технического проекта на создание комплексной системы защиты информации в информационной системе персональных данных в соответствии с нормами и требованиями законодательства РФ в области обеспечения безопасности ПДн при их обработке в информационных системах и технической защиты конфиденциальной информации.
-
Область использования результатов разработки
Результаты работы ориентированы на применение средств защиты для исключения НСД к информации в информационной системе персональных данных в сегменте телекоммуникационной компании.
-
Нормативно-методическая документация, используемая при разработке проекта системы защиты ИСПДн
При разработке СЗИ использовались следующие нормативно-методические документы:
-
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» утверждены приказом Гостехкомиссии России от 30 августа 2002 г. №282;
-
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утверждено постановлением Госстандарта СССР от 29 декабря 1990 г. № 3469;
-
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» утверждено постановлением Госстандарта СССР от 27 декабря 1990 г. № 3399;
-
«Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 № 17;
-
«Методический документ. Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014;
-
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено приказом ФСТЭК России от 18.02.2013 № 21;
-
«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ от 01.11.2012 № 1119;
-
Описание объекта информатизации
-
Общая информация
Элементы ИСПДн расположены в одной контролируемой зоне по адресу г. Хабаровск, улица Волочаевская, 124. Месторасположение подразделения можно увидеть на рисунке 1.
Рис. 4.1 – Расположение элементов ИСПДн
Объектом информатизации является информационная система персональных данных телекоммуникационной компании, в которой обрабатываются иные категории персональных данных на 21 АРМ
Персональные данные хранятся распределено, на серверах ЦОД-а и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
-
Физические лица, имеющие доступ к ресурсам и (или) в помещения, в которых располагаются элементы сегмента
Физические лица, имеющие санкционированный доступ к ресурсам ГИС, подразделяются на следующие категории:
-
пользователь ИСПДн, осуществляющий обработку ПДн в рамках своих полномочий;
-
Сотрудник ТОА ИСПДн с обязанностями администратора безопасности информации.
В ИСПДн одновременно обрабатывается как информация ограниченного доступа, так и общедоступная информация, при этом не все сотрудники имеют равный доступ к информации ограниченного доступа.
У каждого пользователя информационной системы есть роль и, в соответствии с этой ролью, права доступа и разрешенные действия. Матрица доступа представлены в таблице 4.1
Таблица 4.1 – Матрица доступа ИСПДн Техникума
| Привилегии и права, ресурс | Администратор домена и ИС Техникума | Администратор ИБ | Пользователи ИСПДн |
| Привилегии и права | |||
| Изменение настроек политик AD | + | - | - |
| Запрет изменения системных файлов на серверах БД | - | - | + |
| Удаленный доступ к АРМ пользователей | + | - | - |
| Вывод защищаемой информации на принтер | + | + | + |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | - | - |
| Запрет изменения системных файлов АРМ пользователей | - | + | + |
| Изменение личного пароля пользователя | + | - | - |
| Работа с системным журналом ОС | + | + | - |
| Возможность создания личных ресурсов на локальных АРМ | + | + | + |
| Возможность создания ресурсов на серверах БД | + | - | - |
| Восстановление информационных ресурсов серверов БД | + | - | - |
| Работа с системным журналом СЗИ | - | + | - |
| Установка, настройка, сопровождение СЗИ | - | + | - |
| Ресурс | |||
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA | RWA |
| Доступ к локальным папкам пользователей | RWAXD | - | RWAXD |
| Центральные БД ИСПДн | RWAXD | - | RWXD |
| Доступ к средствам управления БД | RWAXD | - | - |
| Доступ к средствам управления СЗИ | RWAXDS | ||
-
R - разрешение на открытие файлов только для чтения;
-
W - разрешение на открытие файлов для записи;
-
A - разрешение на создание файлов на диске/создание таблиц в БД;
-
D - разрешение на удаление файлов/записи в БД;
-
Х - разрешение на запуск программ;
-
S - разрешение на настройку средств защиты
-
Характеристики информационной системы компании
В таблице 4.2 представлены структурно-функциональные характеристики и параметры информационной системы Техникума.
Таблица 4.2 – Параметры информационной системы Техникума
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в КЗ |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории персональных данных |
-
Характеристики и состав аппаратного и программного обеспечения
В таблице 4.3 представлены характеристики ОТСС, используемых в ИСПДн компании. В таблице 4.4 представлен перечень программного обеспечения, установленного на ОТСС ИСПДн компании
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
