6. Правила доступа к сетям и устройствам

Работники имеют доступ только к своему ПК (за исключением технических специалистов) и исключительно к тем документам, которые необходимы им для работы. Также у каждого сотрудника в системе имеется свой профиль, защищенный паролем. Все документы передаются между сотрудниками по локальной сети либо на переносных цифровых носителях. Доступ разграничивается с помощью межсетевых экранов.

Доступ к сети Интернет осуществляется с любых доступный устройств и АРМ. У каждого пользователя в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем.

7. Описание структуры и оценка защищенности компании

Структурная схема компании приведена на рисунке 1.

Рисунок 1 – Схема компании

8. Показатели исходной защищенности испДн

Данные, обрабатываемые системой относятся к категории ИСПДн-И, а именно: персональные данные пассажиров, данные о заказах, рабочие документы предприятия, данные сотрудников, рабочие файлы.

Персональные данные, которые обрабатывает компания «МАКр»: фамилия, имя, отчество, дата рождения, юридический адрес компании.

Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных"».

Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных».

Уровень защищенности ПДн определяется в таблице 3.

Таблица 3 – Уровни защищенности персональных данных

ИСПДн-И	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 2	УЗ 3
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора	УЗ 1	УЗ 3	УЗ 4

Из таблицы 3 видно, что объект имеет уровень защищенности УЗ 4 и относится к категории ИСПДн-И.

В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Определение категории КИИ

Так как АО «МАКр» функционирует в области предоставления услуг связи, локальная сеть организации относится к КИИ, объектом чего являются информационные системы и сетей, сервер баз данных для которых расположен в серверном сегменте. Согласно Постановлению Правительства от 8 февраля 2018 г N 127, категория сети объекта – III (см. табл. 4).

6. Заключение о степени защищенности

По итогам выполнения спецификации объекта защиты локальной сети компании «МАКр», было проведено описание, представлены структура и схема объекта. Описаны технические характеристики, состав и доступ

персонала, права доступа к сети, базовые пункты по обеспечению безопасности объекта.

Оценка защищенности системы проведена по методике С.В. Вихорева, все цели ИБ являются приоритетными для оцениваемого объекта наиболее приоритетными целями ИБ для оцениваемого объекта.

Проведена оценка уровня исходной защищенности ИСПДн по методике ФСТЭК – уровень средний.

ВЫВОДЫ

В ходе проведения работы было установлено, что для рассматриваемого

объекта нужно построить ИСПНДн типа И (иные), для которой

были определены следующие характеристики:

 класс защищенности ГИС – К2.

 уровень защищенности персональных данных– УЗ 4;

 категория КИИ – III.