Потенциально возможные угрозы и каналы утечки информации

ОБЩАЯ ХАРАКТЕРИСТИКА ОБЪЕКТА ЗАЩИТЫ

Описание объекта защиты

Общая характеристика.

Первый этаж Администрации г. Железногорска расположен: город Курск, улица Ленина. Администрация предоставляет различные услуги для граждан города. Решает проблемы города в разных сферах.

Объекты защиты:

1) ПДн сотрудников

2) ПДн жителей

Задачи сотрудников Администрации включают в себя: включение граждан в учетное дело, выдача справок-дубликатов гражданам, состоящим на жилищном учете, актуализация (перерегистрация) граждан, нуждающихся в улучшении жилищных условий, вопросы постановки на жилищный учет

«Ипотечное кредитование» «Молодежная программа», изменение договоров социального найма (по ст.82 ЖК), закрепление жилой площади, выдача выписок из распоряжений администрации для заключения договоров социального найма,

«Жилищные сертификаты (ЧАЭС, Крайний Север, вынужденные переселенцы)», решение жилищных вопросов воспитанников детских домов, сирот, детей, оставшихся без попечения родителей, «Жилье работникам учреждений системы образования, здравоохранения и социального обслуживания населения», подготовка проектов распоряжений администрации,

автоматизированная коррекция учетных дел граждан, состоящих на жилищном учете, выдача справок-дубликатов гражданам, состоящим на жилищном учете , актуализация (перерегистрация) граждан, нуждающихся в улучшении жилищных условий, подготовка ответов на обращения граждан, «Медицинская комиссия»,

решение жилищных вопросов граждан, вернувшихся из мест лишения свободы,

перевод жилого помещения в нежилое помещение и нежилого помещения в жилое помещение, расселение аварийного жилищного фонда, выдача смотровых листов для получения жилой площади, обеспечение жилой площадью льготных категорий граждан

Организационная структура.

Потенциально возможные угрозы и каналы утечки информации

Целью обеспечения безопасности объектов защиты является организация от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн. Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных. Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите. Состав ИСПДн подлежащих защите, представлен в Перечне ИСПДн, утвержденном директором.

Безопасность объектов информатизации достигается противодействием всем видам угроз, внешним и внутренним, умышленным и непреднамеренным, минимизацией ущерба от возможной реализации УБПДн, исключением несанкционированного, в том числе случайного, доступа к объектам защиты. ПДн подлежат защите в контролируемой зоне и при передаче по каналам связи за ее границы.

Система защиты персональных данных состоится на основании:

· Отчета о результатах проведения внутренней проверки;

· Перечня персональных данных, подлежащих защите;

· Акта классификации информационной системы персональных данных;

· Частной модели угроз безопасности персональных данных;

· Положения о разграничении прав доступа к обрабатываемым персональным данным;

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

· антивирусные средства для рабочих станций пользователей и серверов;

· средства межсетевого экранирования;

· средства криптографической защиты информации, при передаче защищаемой информации по открытым каналам связи.

Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами, прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

· управление и разграничение доступа пользователей;

· регистрацию и учет действий с информацией;

· обеспечение целостности данных;

· обнаружение вторжений.

Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены главным врачом Учреждения или лицом, ответственным за обеспечение защиты ПДн.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД), а также специализированных средств защиты от НСД к информации. Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

СЗПДн строится на основании регулярных внутренних проверок состава ПДн, соответствия уровня защиты составу ПДн, выявления угроз безопасности. Для достижения необходимого уровня безопасности выполняются плановые обучающие, административные и технические мероприятия. В составе СЗПДн действуют следующие стандартные подсистемы:

· управления доступом, регистрации и учета;

· обеспечения целостности и доступности;

· антивирусной защиты;

· межсетевого экранирования;

· анализа защищенности;

· обнаружения вторжений;

· криптографической защиты.

Требования к персоналу по обеспечению защиты ПДн

Все сотрудники, являющиеся пользователями ИСПДн, знают и выполняют установленные правила доступа к защищаемым объектам, соблюдают режим безопасности.

При вступлении в должность нового сотрудника организовано его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн. Проводится обучение навыкам санкционированного использования ИСПДн.

Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами, третьим лицам. При работе с ПДн обеспечивается перекрывание просмотра ПДн третьими лицами.

Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн. По выявленным событиям организуется немедленное реагирование на угрозы безопасности ПДн.