6. Правила доступа к сетям и устройствам
Доступ к сети Интернет не осуществляется. Подключаться можно только напрямую к серверам обработки и получения данных
У каждого пользователя в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем.
7. Описание структуры и оценка защищенности компании
Структурная схема «ФИРМА-01» представлена на рис.1
Также было построено структурное описание предприятия:
|
Модель: «Фирма-01» |
Регион: Чечня |
ЛС: Система доступа к серверу |
Объект: ПК с выходом в интернет |
Объект: ПО «специальная программа» |
Объект: Коммутатор |
ПС: АЗ-1 |
Объект: Файрвол |
Объект: Маршрутизатор |
Объект: Локальная сеть |
Объект: Сервер БД |
Объект: Сервер БД |
Объект: OC windows server 2008 |
Объект: OC ASP 2.0 |
Объект: MS SQL 2008 |
Объект: ПК в локальной сети |
Объект: ПК в локальной сети |
Объект: АРМ Администратора |
Объект: АРМ Администратора |
Оценка защищенности объекта проведена по методике С.В. Вихорева (таблица 1).
Таблица 1 – Анкета для получения исходных данных по оценке приоритетности целей ИБ
9. Показатели исходной защищенности испДн
Согласно документу ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 2.
Таблица 2 – Показатель исходного уровня защищенности ИСПДн
В результате анализа, представленного в таблице 2, ИСПДн имеет средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные – низкому уровню защищенности).
Персональные данные, которые обрабатывает «ФИРМА-01»: фамилия, имя, отчество, дата рождения, номер учебной группы. Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".» Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.» Следовательно ИСПДн «Фирма-01» обрабатывает данные, относящиеся к категории общедоступные – ИСПДн-О.
Уровень защищенности ПДн определяется в таблице 3.
Таблица 3 – Уровни защищенности персональных данных
Таким образом, в соответствии с таблицей 3, для ПДн в «ФИРМА-01» характерен уровень защищенности УЗ 2.
В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной ре «Фирма-01»трации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»
Так как «Фирма-01» функционирует в сфере науки, она относится к
КИИ, а именно: электронные образовательные и научные материалы, содержащиеся на файловом сервере и их метаданные, содержащиеся на сервере БД.
На рисунке 3 представлено деление элементов «Фирма-01» на сегменты. Где зеленый – открытый сегмент, оранжевый – сегмент ИСПДн, красный – сегмент КИИ
Заключение о степени защищенности
По итогам выполнения спецификации объекта защиты, «Фирма-01», было проведено описание, представлены структура и схема объекта. Описаны технические характеристики, состав и доступ персонала, права доступа к сети, базовые пункты по обеспечению безопасности объекта.
Оценка защищенности системы проведена по методике С.В. Вихорева, наиболее приоритетными целями ИБ для оцениваемого объекта являются
«Конфиденциальность» и «Доступность».
Проведена оценка уровня исходной защищенности ИСПДн по методике ФСТЭК – уровень средний.
Проведено деление системы на сегменты: объект КИИ, ИСПДн и сегмент общего доступа. Для сегмента КИИ определена и функционирует система физической защиты, для сегмента ИСПДн функционирует физическая защита, но требуется построение защиты при выходе в глобальную сеть