ПС: Отдел кадров
Объект: Персонал отдела кадров
Объект: Принтер
Объект: Операционная система Windows 10
Объект: Персональный компьютер
Объект: Коммутатор
ПС: Отдел по работе с клиентами
Объект: Персонал отдела по работе с клиентами
Объект: Операционная система Windows 10
Объект: Персональный компьютер
Объект: Принтер
Объект: Коммутатор
ПС: Серверная
Объект: Сервер БД
Объект: Web-сервер
Объект: Маршрутизатор
Объект: Коммутатор
ПС: Системы физической безопасности
Комментарий
Объект: Охрана
Объект: Система СКУД
Объект: Система пожаробезопасности
ПС: Информационная безопасность
Объект: Сетевой экран (Файрволл)
Объект: Антивирусная защита
ИСПДн:
Модель угроз безопасности информации разработана для Информационной системы «ГК Март» систем виртуализации и виртуальных машин.
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», информационная система
«ГК Март» имеет класс К2, (Масштаб информационной системы – региональный + уровень значимости информации УЗ 2 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).
Компания является компанией оператором услуг: приложения,
связующее ПО, ОС, аппаратная платформа и система хранения данных,
обработка данных.
Количество субъектов компании меньше 100 000.
Состав информационной системы в целом
В информационную систему входят: 30 персональных компьютеров
(АРМ сотрудников) с установленной операционной системой Windows 10,
веб-сайт, СУБД (PostgreSQL), 2 сервера: сервер БД (Windows Server), веб-
сервер (Windows Server).
АРМ в локальной сети взаимодействуют при помощи коммутаторов, в
серверной расположен маршрутизатор. Схема устройства информационной системы продемонстрирован на рисунке 1.
Отдел по работе с клиентами:
Техническое оснащение: 20 персональных компьютеров с установленной на них операционной системой Windows 10.
Перечень персональных данных пользователей обрабатываемые информационной системой клиентского отдела:
Данные клиентов:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность:
серия, номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
Отдел кадров:
Техническое оснащение: 10 персональных компьютеров с
установленной на них операционной Windows 10.
Данные сотрудников, собираемые отделом кадров:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность:
серия, номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
•Документы об образовании сотрудников;
Сайт:
Данные, которые предоставляются клиентом при использовании сайта:
•ФИО
•Адрес проживания
•Возраст
•Мобильный телефон
•Адрес электронной почты
ВИС Март существуют следующие группы авторизованных пользователей:
1.Сотрудник отдела кадров
2.Сотрудник отдела по работе с клиентами
Доступ к ресурсам информационной системы «ГК Март»
обеспечивается удаленно, через сайт компании или с персональных компьютеров работников.
Программное обеспечение, приложение и базы данных ИС Март располагаются на базе локального центра обработки данных в главном офисе ГК Март..
Функции информационной системы Март:
•Хранение и обработка личных данных сотрудников;
•Хранение и обработка данных клиентов.
Винформационной системе обрабатываются только данные, которые публикуются субъектом: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень защищённости ИСПДн – УЗ 3.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей иные категории персональных данных если в ней не обрабатываются персональные данные, указанные в информационной системе, обрабатывающей общедоступные персональные данные.
Следовательно ИСПДн информационной системы «ГК Март» обрабатывает данные, относящиеся к категории иных – ИСПДн-И
КИИ:
Субъекты критической информационной инфраструктуры -
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-
телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка,
топливно-энергетического комплекса, в области атомной энергии,
оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или)
индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Так как информационная система «ГК Март» функционирует в сфере связи, она относится к КИИ и имеет социальную значимость, так как компании принадлежат сети связи внутри страны, и она предоставляет услуги по проведению сети своим клиентам, и, в случае возникновения компьютерных инцидентов на объекте, часть населения останется без связи. Объекты, относящиеся к КИИ: магистральная сеть связи,
развернутая внутри страны, системы управления сетями оператора, портал государственных услуг.
ВЫВОДЫ
В ходе практической работы была определена спецификация объекта защиты, а именно информационной системы «ГК Март», приведено её описание, структура и схема. Описаны технические характеристики, состав персонала, безопасность объекта, доступ к сетям и устройствам.
По итогам проведения оценки уровня защищенности информационной системы персональных данных по методике ФСТЭК уровень был определен как средний (УЗ 2), тип которой ИСПДН-И.
Класс защищенности ГИС – К2, так как региональный масштаб ИС,
уровень значимости 2.
Информационная система «ГК Март» относится к критической информационной инфраструктуре, со следующими объектами КИИ:
магистральная сеть связи, развернутая внутри страны, системы управления сетями оператора, портал государственных услуг.