К угрозам первого типа относятся наличие не декларированных,
то есть не задокументированных возможностей в системном ПО (ОС,
сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например,
бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДН относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищённости ИСПДн – УЗ 3.
10. КИИ Субъекты критической информационной инфраструктуры –
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ),
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка, топливно-
энергетического комплекса, в области атомной энергии, оборонной, ракетно-
космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Компания «Сбербанк» принадлежит АСУ и вид ее деятельности кредитование, открытие и обслуживание депозитов, выпуск дебетовых и кредитных карт, инвестирование в ценные бумаги, страхование являются
11
критически важным. Следовательно, необходимо определить категорию значимости. Ниже приведены таблицы, по которым определялась категория значимости.
Таблица 1 – Таблица-алгоритм определения класса защищенности
В |
Наруша |
Характ |
Ст |
Кате |
Итог |
ид |
емое |
ер |
епень |
гория |
овая |
опаснос |
свойство |
чрезвы |
ущерба |
знач |
катег |
ти |
безопас |
чайной |
|
имости |
ория |
|
ности |
ситуац |
|
|
знач |
|
|
ии |
|
|
имости |
|
|
|
|
|
|
Сбой |
Целостность |
Локальных |
Низкая |
2 |
КЗ 3 |
работы |
|
характер |
|
|
|
техники |
|
|
|
|
|
Доступность |
Локальный |
Низкая |
|
|
|
|
|
характер |
|
|
|
|
|
|
|
|
|
|
Конфиденциа |
Региональн |
Средняя |
|
|
|
льность |
ый характер |
|
|
|
|
|
|
|
|
|
Утечка |
Целостность |
Межрегиона |
Высокая |
3 |
|
информ |
|
льный |
|
|
|
ации |
|
характер |
|
|
|
|
|
|
|
|
|
|
Доступность |
Межрегиона |
Высокая |
|
|
|
|
льный |
|
|
|
|
|
характер |
|
|
|
|
|
|
|
|
|
|
Конфиденциа |
Межрегиона |
Высокая |
|
|
|
льность |
льный |
|
|
|
|
|
характер |
|
|
|
|
|
|
|
|
|
12
Вывод: в компании «Сбербанк» реализована защита по классу K3
ГИС, по уровню защиты 3 ИСПДн-И. Бизнес-процессы компании относятся к критическим и имеют категорию значимости 3.
13
ПРИЛОЖЕНИЕ 1
ОПРОСНЫЙ ЛИСТ
Опросный лист компании "Норникель"
Уважаемые сотрудники и партнеры компании "Норникель"! Мы ценим ваше мнение и хотели бы услышать ваши рефлексии по следующим вопросам. Пожалуйста, подчеркните наиболее подходящие варианты или добавьте комментарии, где это возможно.
1. Оценка рабочей среды:
Рабочая среда: Отличная, Хорошая, Удовлетворительная,
Неудовлетворительная Аспекты требующие улучшения: комментарии
2. Технические условия работы:
Мнение о технических условиях: Отличные, Хорошие,
Удовлетворительные, Неудовлетворительные Улучшения для повышения производительности: комментарии
3. Корпоративная социальная ответственность (CSR):
Значимые программы CSR: указать
Пути улучшения социальной ответственности: комментарии
4. Отношения с сотрудниками:
Удовлетворение программами поощрения: Высокое, Среднее, Низкое Желаемые изменения в корпоративной культуре: комментарии
5. Экологические инициативы:
Оценка экологических инициатив: Положительная, Нейтральная,
Отрицательная Предложения по улучшению экологической устойчивости:
комментарии
6. Управление и стратегия:
Мнение о текущей стратегии: Положительное, Нейтральное,
Отрицательное Идеи для улучшения управления: комментарии
14
7. Общие комментарии:
Дополнительные комментарии и предложения: ваше сообщение
8. Личные данные (для идентификации, необязательно):
Имя:
Должность/роль в компании:
Благодарим вас за уделенное время и вклад в улучшение компании
"Норникель". Ваше мнение для нас очень важно.
15