- •Санкт-петербургский государственный электротехнический университет
- •Кафедра Информационной безопасности
- •По дисциплине «Основы информационной безопасности» Тема: Спецификация объекта защит и среды безопасности
- •Описание функций объекта
- •3 Доступ на объект
- •4 Персонал объекта
- •5 Техническая характеристика объекта
- •6 Безопасность объекта
- •Определение класса гис
- •Определение типа испДн
- •Определение уровня защищенности
- •Определение категории кии
- •Распределение сегментов в соответствии с классификацией
- •Правила доступа к сетям и устройствам на предприятии
Определение типа испДн
Так как исследуемый объект осуществляет сбор персональных данных, то на неѐ наложены обязательства обеспечения неограниченного доступа к документу, определяющему еѐ политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных
при их обработке в информационных системах персональных данных.
На рассматриваемом объекте обрабатываются такие персональные данные, как паспортные данные и данные воинского учѐта сотрудников предприятия и паспортные данные клиентов организации.
Используемая в объекте ИСПДн не обрабатывает специальную, биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И (иное).
Определение уровня защищенности
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДн относится к категории ИСПДн-И, в компании есть
собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищѐнности ИСПДн – УЗ 3.
Определение категории кии
Так как ПАО «Мегафон» функционирует в области предоставляения услуг связи, локальная сеть организации относится к КИИ, объектом чего являются информационные системы и сетей, сервер баз данных для которых расположен в серверном сегменте. Согласно Постановлению Правительства от 8 февраля 2018 г N 127, категория сети объекта – III (см. табл. 4).
. Таблица 4 - Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и
их значений
|
Показатель |
|
Значение показателя |
|
|
|
III категория |
II категория |
I категория |
I. Социальная значимость |
||||
1. |
Причинение ущерба жизни и здоровью людей (человек) |
более или равно 1, но менее или равно 50 |
более 50, но менее или равно 500 |
более 500 |
2. |
Прекращение 1 или нарушение функционирования 2 об ъектов обеспечения жизнедеятельности населения 3, оцениваемые: |
|
|
|
|
а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения; |
в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородско й территории города федерального значения |
выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
|
б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек) |
более или равно 2, но менее 1000 |
более или равно 1000, но менее 5000 |
более или равно 5000 |
3. |
Прекращение 1 или нарушение функционирования 2 об ъектов транспортной инфраструктуры, |
|
|
|
|
транспортных средств, в том числе высокоавтоматизирова нных транспортных средств, оцениваемые: |
|
|
|
|
а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг; |
в пределах территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородско й территории города федерального значения |
выход за пределы территории одного муниципального образования (численностью от 2 тыс. человек) или одной внутригородской территории города федерального значения, но не за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
выход за пределы территории одного субъекта Российской Федерации или территории города федерального значения |
|
б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек) |
более или равно 2, но менее 1000 |
более или равно 1000, но менее 5000 |
более или равно 5000 |
4. |
Прекращение 1 или нарушение функционирования 2 се ти связи, оцениваемые по количеству абонентов, для которых могут быть недоступны услуги связи (тыс. человек) |
более или равно 3, но менее 1000 |
более или равно 1000, но менее 5000 |
более или равно 5000 |
5. |
Отсутствие доступа к государственной услуге, оцениваемое: |
|
|
|
|
а) в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов) |
менее или равно 24, но более 12 |
менее или равно 12, но более 6 |
менее или равно 6 |
|
б) во времени с |
менее или равно |
более 30, но менее |
более 70 |
|
момента приема запроса о предоставлении государственной услуги органом, предоставляющим государственную услугу, или подведомственной государственному органу организацией, участвующей в предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана (в процентах от времени предоставления услуги, предусмотренного административным регламентом) |
30 |
или равно 70 |
|
II. Политическая значимость |
||||
6. |
Прекращение 1 или нарушение функционирования 2 го сударственного органа в части невыполнения возложенной на него функции (полномочия) |
прекращение 1 и ли нарушение функционирова ния 2 органа государственной власти субъекта Российской Федерации или города федерального значения |
прекращение 1 или нарушение функционирования 2 федерального органа государственной власти |
прекращение 1 или нарушение функционирования 2 А дминистрации Президента Российской Федерации, Правительства Российской Федерации, Федерального Собрания Российской Федерации, Совета Безопасности Российской Федерации, Верховного Суда Российской Федерации, Конституционного Суда Российской Федерации |
7. |
Нарушение условий международного договора Российской Федерации, срыв |
нарушение условий договора межведомственн |
нарушение условий межправительственн ого договора (срыв переговоров или |
нарушение условий межгосударственного договора (срыв переговоров или |
|
переговоров или подписания планируемого к заключению международного договора Российской Федерации, оцениваемые по уровню международного договора Российской Федерации |
ого характера (срыв переговоров или подписания) |
подписания) |
подписания) |
III. Экономическая значимость |
||||
8. |
Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно- промышленного комплекса, стратегическим акционерным обществом 4, стратегическим предприятием 4, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов от годового объема доходов, усредненного за прошедший 5-летний период) |
более или равно 1, но менее или равно 10 |
более 10, но менее или равно 20 |
более 20 |
9. |
Возникновение ущерба бюджету Российской Федерации, оцениваемого в |
более 0,0003, но менее или равно 0,0006 |
более 0,0006, но менее или равно 0,001 |
более 0,001 |
|
снижении выплат (отчислений) в бюджет, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3- летний период) |
|
|
|
1 0. |
Прекращение 1 или нарушение 2 проведени я клиентами операций по осуществлению перевода денежных средств, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, кредитной организацией, выполняющей функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитной организацией, значимой на рынке платежных услуг, оператором услуг платежной инфраструктуры, оказывающим услуги платежной инфраструктуры в рамках системно значимых платежных систем, оцениваемые |
менее или равно 70 |
более 70, но менее или равно 120 |
более 120 |
|
среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений) |
|
|
|
1 0 1. |
Прекращение 1 или нарушение 2 проведени я операций по |
менее 1 |
более или равно 1, но менее 10 |
более или равно 10 |
|
исполнению |
|
|
|
|
обязательств, |
|
|
|
|
осуществляемых |
|
|
|
|
субъектом критической |
|
|
|
|
информационной |
|
|
|
|
инфраструктуры, |
|
|
|
|
являющимся |
|
|
|
|
центральным |
|
|
|
|
контрагентом, |
|
|
|
|
среднедневной размер |
|
|
|
|
обязательств которого |
|
|
|
|
по передаче денежных |
|
|
|
|
средств в валюте |
|
|
|
|
Российской Федерации |
|
|
|
|
по итогам клиринга за |
|
|
|
|
последние 12 месяцев |
|
|
|
|
(трлн. рублей) |
|
|
|
1 0 2. |
Прекращение 1 или нарушение 2 проведени я учетно-расчетных |
менее 10 |
более или равно 10, но менее 25 |
более или равно 25 |
|
операций, |
|
|
|
|
осуществляемых |
|
|
|
|
субъектом критической |
|
|
|
|
информационной |
|
|
|
|
инфраструктуры, |
|
|
|
|
являющимся |
|
|
|
|
центральным |
|
|
|
|
депозитарием и |
|
|
|
|
регистратором |
|
|
|
|
финансовых |
|
|
|
|
транзакций, |
|
|
|
|
среднедневное |
|
|
|
|
количество ценных |
|
|
|
|
бумаг (ISIN) |
|
|
|
|
российских эмитентов, |
|
|
|
|
которые учитывались |
|
|
|
|
на счетах в |
|
|
|
|
центральном депозитарии (оцениваемые за последние 12 месяцев в тыс. штук) |
|
|
|
1 0 3. |
Прекращение 1 или нарушение 2 проведени я операций по выплатам, передаче и |
более или равно 50, но менее 1000 |
более или равно 1000, но менее 2000 |
более или равно 2000 |
|
размещению денежных |
|
|
|
|
средств, |
|
|
|
|
осуществляемых |
|
|
|
|
субъектом критической |
|
|
|
|
информационной |
|
|
|
|
инфраструктуры, |
|
|
|
|
являющимся него суд |
|
|
|
|
ар ств енным |
|
|
|
|
пенсионным фондом, |
|
|
|
|
которые оцениваются |
|
|
|
|
суммой пенсионных |
|
|
|
|
накоплений и |
|
|
|
|
пенсионных резервов |
|
|
|
|
негосударственного |
|
|
|
|
пенсионного фонда |
|
|
|
|
(млрд. рублей) |
|
|
|
1 0 4. |
Прекращение 1 или нарушение 2 проведени я операций по выплатам, |
более или равно 100, но менее 1500 |
более или равно 1500, но менее 5000 |
более или равно 5000 |
|
перестрахованию, |
|
|
|
|
инвестициям, |
|
|
|
|
осуществляемых |
|
|
|
|
субъектом критической |
|
|
|
|
информационной |
|
|
|
|
инфраструктуры, |
|
|
|
|
являющимся страховой |
|
|
|
|
организацией, |
|
|
|
|
оцениваемые объемом |
|
|
|
|
активов (млрд. рублей) |
|
|
|
1 0 5. |
Прекращение 1 или нарушение 2 выполнени я функций по переводу |
более или равно 25, но менее 100 |
более или равно 100, но менее 150 |
более или равно 150 |
|
денежных средств, |
|
|
|
|
осуществляемых |
|
|
|
|
субъектом критической |
|
|
|
|
информационной |
|
|
|
|
инфраструктуры, |
|
|
|
|
являющимся |
|
|
|
|
оператором услуг |
|
|
|
|
информационного |
|
|
|
|
обмена (некредитной |
|
|
|
|
организацией), |
|
|
|
|
который оценивается количеством заключенных договоров с кредитными организациями |
|
|
|
IV. Экологическая значимость |
||||
1 1. |
Вредные воздействия на окружающую среду 5, оцениваемые: |
|
|
|
|
а) на территории, на которой окружающая среда может |
в пределах территории одного |
выход за пределы территории одного муниципального |
выход за пределы территории одного субъекта Российской |
подвергнуться вредным воздействиям; |
муниципального образования |
образования (численностью от 2 |
Федерации или территории города |
|
|
(численностью от 2 тыс. чел.) или одной |
тыс. чел.) или одной внутригородской территории города |
федерального значения, с выходом вредных воздействий |
|
|
внутригородско й территории |
федерального значения, но не за |
за пределы территории субъекта |
|
|
города федерального значения, с |
пределы территории одного субъекта Российской |
критической информационной инфраструктуры |
|
|
выходом вредных |
Федерации или территории города |
|
|
|
воздействий за пределы территории |
федерального значения, с выходом вредных |
|
|
|
субъекта критической |
воздействий за пределы территории |
|
|
|
информационно й инфраструктуры |
субъекта критической информационной |
|
|
|
|
инфраструктуры |
|
|
|
б) по количеству |
более или равно |
более или равно |
более или равно 5000 |
людей, которые могут быть подвержены вредным воздействиям |
2, но менее 1000 |
1000, но менее 5000 |
|
|
(тыс. человек) |
|
|
|
|
V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка |
||||
1 2. |
Прекращение 1 или нарушение функционирования 2 (н евыполнение |
прекращение 1 и ли нарушение функционирова ния 2 пункта |
прекращение 1 или нарушение функционирования 2 пункта управления |
прекращение 1 или нарушение функционирования 2 п ункта управления |
|
установленных показателей) пункта управления |
управления или ситуационного центра органа |
или ситуационного центра федерального органа |
государством или ситуационного центра Администрации |
|
(ситуационного центра), оцениваемые в |
государственной власти субъекта |
государственной власти или |
Президента Российской |
|
уровне (значимости) пункта управления или ситуационного центра |
Российской Федерации или города |
государственной корпорации |
Федерации, Правительства Российской |
|
федерального значения |
|
Федерации, Федерального |
|
|
|
|
Собрания Российской Федерации, Совета Безопасности |
|
|
|
|
Российской Федерации, |
|
|
|
|
Верховного Суда Российской Федерации, |
|
|
|
|
Конституционного Суда Российской |
|
|
|
|
Федерации |
|
1 |
Снижение показателей |
|
|
|
3. |
государственного |
|||
|
оборонного заказа, |
|||
|
выполняемого |
|||
|
(обеспечиваемого) |
|||
|
субъектом критической |
|||
|
информационной |
|||
|
инфраструктуры, |
|||
|
оцениваемое: |
|||
|
а) в снижении объемов продукции (работ, услуг) в заданный |
более 0, но менее или равно 10 |
более 10, но менее или равно 15 |
более 15 |
период времени (процентов заданного |
|
|
|
|
объема продукции); |
|
|
|
|
|
б) в увеличении времени изготовления |
более 0, но менее или равно |
более 10, но менее или равно 40 |
более 40 |
единицы продукции с заданным объемом |
10 |
|
|
|
(процентов установленного времени на |
|
|
|
|
изготовление единицы продукции) |
|
|
|
|
1 4. |
Прекращение 1 или нарушение функционирования 2 (н |
менее или равно 4, но более 2 |
менее или равно 2, но более 1 |
менее или равно 1 |
|
евыполнение установленных |
|
|
|
|
показателей) информационной системы в области |
|
|
|
|
обеспечения обороны страны, безопасности |
|
|
|
|
государства и |
|
|
|