2018-01-21
1183
Пред проектное обследование информационных систем
Общее число персонала и совокупность средств автоматизации ГКУЗ «ЯНОСДР», представленная информационными системами персональных данных представляет объект защиты.
На первом шаге исследования (осмотра) общего состояния защищенности информации в учреждении проводится обследование информационных систем персональных данных, состоящее из:
1. комплексный анализ процесса обработки информации направлен на обнаружение всех информационных систем и баз данных, хранящих и обрабатывающих персональные данные, а также объемов и категорий этих данных;
2. выявление действующего списка служащих и их автоматизированных рабочих мест (далее - АРМ), принимающих участие в процессе обработки персональных данных;
3. анализ структуры локальной вычислительной сети (далее – ЛВС), обеспечивающей работоспособность АРМ, конкретизацию методов подключения ЛВС к сетям общего доступа и/или международного информационного обмена;
4. сбор информации, необходимой для составления технического паспорта на ИСПДн – перечень программного обеспечения, установленного на каждом АРМ, обнаружение аспектов функционирования информационных систем, в которых непосредственно выполняется обработка персональных данных;
|
|
|
5. формирование планов помещений ГКУЗ «ЯНОСДР»,в которых непосредственно размещены аппаратные компоненты ИСПДн (АРМ, сетевое, серверное, коммутационное оборудование ЛВС);
6. указание месторасположения основных и вспомогательных средств и систем (далее ОТСС и ВТСС, соответственно) с привязкой к планам помещений, указанием пролегания слаботочных линий связи и линий электропитания;
7. анализ утвержденной и введенной организационно-распорядительной документации, согласно которой осуществляется безопасность информации в ГКУЗ «ЯНОСДР», проверка соответствия данной документации текущим требованиям нормативно-правовых актов и законодательных, актуальных на территории Российской Федерации.
Анализ организации безопасности ПДн
После сбора всех необходимых данных следует провести обработку собранных данных.
Первым шагом требуется провести анализ организации безопасности ПДн. Предназначение этого шага заключается в обнаружении «слабых мест» в процессе обработки ПДн. Были выявлены следующие нарушения не соответствующие требованиям нормативных правовых актов Российской Федерации и методических документов ФСТЭК и ФСБ России, которые были разделены на две группы:
· По состоянию
· По документации
По состоянию
· Ответственные должностные лица за обеспечение безопасности персональных данных и за непосредственное выполнение работ по защите персональных данных при их обработке в информационных системах не назначены.
|
|
|
· Средства контроля и разграничения доступа отсутствуют.
· Отсутствуют средства защиты информации.
· Антивирусная защита осуществляется польщователями с применением программного средства Kaspersky Endipoint Security 8 для Windows.
· Выход в сети связи общего пользования осуществляется с АРМ социального работника.
· Присутствует средство криптографической защиты информации КриптоПроCSP.
По документации
· Перечень ПДн, подлежащих защите в ИСПДн, утвержден, но не соответствует действительности.
· Правила учета носителей ПДн не утверждены.
· Правила допуска лиц в помещения, в которых ведется работа с персональными данными, не определены.
· Классификация ИСПДн не проведена.
· Места размещения технических средств ИСПДн не определены.
· Правила, определяющие порядок разбирательства по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению уровня конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, не предоставлены.
· Правила, определяющие порядок приостановки предоставления ПДн в случае обнаружения нарушений требований по защите информации, не предоставлены.
· Порядок обучения сотрудников правилам использования СЗИ не определен.
· Правила (инструкции) по контролю за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией, не определены.
· Инструкции, определяющие порядок резервирования и восстановления ПДн, не предоставлены.
· Правила (инструкции), определяющие порядок восстановления работоспособности ИСПДн, баз данных и средств защиты, не определены.
· Правила парольной защиты не определены.
· Частная модель угроз для ИСПДн не составлена.
· Требования по обеспечению безопасности ПДн при их обработке в ИСПДн не составлены.
