Автор статьи
Валерия
Эксперт по сдаче вступительных испытаний в ВУЗах
- 1С: Бухгалтерия».
- состав и структура объектов защиты;
- конфигурация и структура ИСПДн;
- режим обработки ПДн;
- перечень лиц участвующих в обработке ПДн;
- права доступа лиц, допущенных к обработке ПДн;
- угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность;
- существующие меры защиты ПДн;
- список необходимых мер защиты ПДн.
| Заданные характеристики безопасности персональных данных | Специальная информационная система |
| Структура информационной системы | Автоматизированное рабочее место/ |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Режим обработки персональных данных | Однопользовательская |
| Режим разграничения прав доступа пользователей | Система без разграничения доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Дополнительная информация | К персональным данным предъявляется требование целостности и (или) доступности |
- паспортные данные сотрудников;
- должность;
- оклад.
- технологическая информация:
- управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
- технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
- информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
- информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
- информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
- служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.
- технические средства обработки:
- общее и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);
- резервные копии общесистемного программного обеспечения;
- инструментальные средства и утилиты систем управления ресурсами ИСПДн;
- аппаратные средства обработки ПДн (АРМ и сервера);
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).
- средства защиты ПДн:
- средства управления и разграничения доступа пользователей;
- средства обеспечения регистрации и учета действий с информацией;
- средства, обеспечивающие целостность данных;
- средства антивирусной защиты;
- средства межсетевого экранирования;
- средства анализа защищенности;
- средства обнаружения вторжений;
- средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.
- каналы информационного обмена и телекоммуникации;
- объекты и помещения, в которых размещены компоненты ИСПДн.
- сотрудник авторизуется на своем рабочем месте в ОС Microsoft Windows 7;
- сотрудник авторизуется в «1С: Бухгалтерия»;
- сотрудник вносит персональные данные о сотрудниках;
- данные отправляются в Федеральную налоговую службу и удаляются с АРМ.
| Группа | Уровень доступа к ПДн | Разрешенные действия |
| Администраторы ИСПДн | Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн. | сбор систематизация накопление хранение уточнение использование уничтожение |
| Администратор безопасности | Обладает правами Администратора ИСПДн. Обладает полной информацией об ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). | сбор систематизация накопление хранение уточнение использование уничтожение |
| Операторы ИСПДн с правами записи | Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. | — сбор — систематизация — накопление — хранение — уточнение — использование — уничтожение |
| Операторы ИСПДн с правами чтения | Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн. | — использование |
| № | Роль | ФИО сотрудника | Подразделение |
| Администратор ИСПДн | Иванов ИИ. | ||
| Администратор ИСПДн | Петров П.П. | ||
| Оператор | Сидорова А.А. |
- 1. Угрозы утечки акустической информации;
- 2. Угрозы утечки видовой информации;
- 3. Угрозы утечки информации по каналам ПЭМИН.
- 1. Кража и уничтожение носителей информации;
- 2. Кража физических носителей ключей и атрибутов доступа;
- 3. Утрата носителей информации;
- 4. Утрата и компрометация ключей и атрибутов доступа.
- 1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа;
- 2. Утечка информации через порты ввода/вывода;
- 3. Воздействие вредоносных программ (вирусов);
- 4. Установка ПО, не связанного с исполнением служебных обязанностей;
- 5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных;
- 6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему.
- 1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны;
- 2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
- 3. Угрозы выявления паролей по сети;
- 4. Угрозы типа «Отказ в обслуживании»;
- 5. Угрозы внедрения по сети вредоносных программ;
- 6.Утечка информации, передаваемой с использованием протоколов беспроводного доступа;
- 7. Перехват, модификация закрытого ключа ЭЦП;
- 8. Угрозы удаленного запуска приложений.
- 1. Разглашение информации;
- 2. Сокрытие ошибок и неправомерных действий пользователей и администраторов;
- 3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей;
- 4. Угроза нарушения политики предоставления и прекращения доступа;
- 5. Непреднамеренная модификация (уничтожение) информации;
- 6. Непреднамеренное отключение средств защиты.
- 1. Стихийное бедствие;
- 2. Выход из строя аппаратно-программных средств;
- 3. Аварии (пожар, потоп, случайное отключение электричества).
| Элемент ИСПДн | Программное средство обработки ПДн | Установленные средства защиты |
| АРМ пользователя | ОС Windows 7 | Средства ОС: |
| Браузер | управление и разграничение доступа пользователей; регистрацию и учет действий с информацией. Антивирус Касперский регистрацию и учет действий с информацией; обеспечивать целостность данных; производить обнаружений вторжений. | |
| СУБД | 1С: Бухгалтерия | Средства БД Средства ОС: управление и разграничение доступа пользователей; регистрацию и учет действий с информацией; обеспечивать целостность данных; производить обнаружений вторжений. |
- в Учреждении осуществляется контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания;
- ведется учет носителей информации;
- носители информации хранятся в сейфе;
- в Учреждении существует отдел/ответственный сотрудник за обеспечение безопасности ПДн;
- в Учреждении проводятся периодические внутренние проверки режима безопасности ПДн;
- введена парольная политика, устанавливающая сложность ключей и атрибутов доступа (паролей), а так же их периодическую смену;
- пользователи осведомлены и проинструктированы о порядке работы и защиты персональных данных;
- осуществляется резервное копирование защищаемой информации;
- в помещениях, где расположены элементы ИСПДн, установлена пожарная сигнализация.
- установка антивирусной защиты;
- парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;
- назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;
- инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа;
- осуществление резервирования ключевых элементов ИСПДн;
- изолирование портов ввода/вывода;
- организация разграничения прав пользователей на установку стороннего ПО, установку аппаратных средств, подключения мобильных устройств и внешних носителей, установку и настройку элементов ИСПДн и средств защиты.
О сайте
Ссылка на первоисточник:
https://ino-professional.ru
Поделитесь в соцсетях: