2. Технические характеристики объекта

На предприятии 600 рабочих мест, каждое из которых оснощен компьютером с ОС Windows 10, соеденненым в локальную сеть, посредством которой можно пердавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Итернет, компьютеры соеденены enternet-кабелями. Кроме того, стоят Wi-Fi-маршрутизаторы для личного пользования сотрудниками.

Рабочее место системного администратора доступно исключительно по пропуску системного администратора, в этой зоне располагаются веб-сервер и база данных предприятия.

АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов (в кабинете сотрудника – 1, в административном помещении – 1) и маршрутизатора (в серверном помещении – 1).

В серверном помещении расположены: серверы БД, файловый серверы .

Ежегодно проводится плановый ремонт инженерных коммуникаций на территории предприятия с заменой устаревшего оборудования и приборов на более экономичные и современные.

3. Безопасность объекта

Физическая безопасность объектов в главном офисе осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной (СКУД), системы пожарной и охранной сигнализации (СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих и находящихся на складе машин, и водителей.

Информационную безопасность обеспечивают специалисты по ИБ с помощью алогоритмов шифрования, криптостойких паролей и систем защиты(такие как антивирус).

Данные хранятся на трёх серверах: БД аутентификационных данных, БД каталог заказов и услуг, каталог договорных актов (на файловом сервер).

Состав обрабатываемой информации:

Учётные данные пользователей и сотрудников компании, взаимодействующих с системой: фамилия, имя, отчество, дата рождения, адрес эл. почты, номер мобильного телефона, юридический адресс компании, должность.

Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации (заказчика) и (или) оператора от нарушения конфиденциальности(неправомерный доступ, копирование, предоставление или распространение), целостности(уничтожение или модефецирование) или доступности(блокирование) информации.

Средняя степень ущерба наступает, если хотя бы для одного из свойств безопасности (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Это влечет за собой один или несколько вариантов развития событий, а именно:

• Существенные потери материальных активов;

• Существенные потери конфидециальной информации;

• Значительный урон репутации комапнии.

При описании потенциальных угроз безопасности информации были приняты в рассмотрение следующие факторы: актуальные нарушители, уровни их возможностей, объекты воздействия предприятия, основные способы реализации угроз и негативные последствия.

Актуальные угрозы безопасности информации:

7. Угроза остановки работы веб-сервера

8. Угроза удаления данных

9. Угроза хищения данных

В распоряжении каждого сотрудника (за исключением дополнительного персонала) находится собственный кабинет, оснащенный ПК с ОС Windows 10, подключенным к Сети. Рабочее место системного администратора доступно исключительно по пропуску системного администратора, в этой зоне располагаются веб-сервер и база данных предприятия.

Безопасность объекта

Состав обрабатываемой информации:

1) Персональные данные клиентов

2) Паспортные данные сотрудников

3) Рабочие документы предприятия

4) Рабочие файлы

Для защиты данных на объекте используется шифрование данных, техническим отделом регулярно создаются резервные копии данных, на всех устройствах стоит защитное ПО, доступ к устройствам осуществляется при помощи индивидуальных авторизационных данных сотрудников, локальная

сеть предприятия отделена от общей сети межсетевым экраном.

Определение класса ГИС

На рассматриваемом объекте обрабатывается конфиденциальная

информация о клиентах и сотрудниках. Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной, обрабатывается в бухгалтерском и административном сегментах компании.

Исследуемый объект обрабатывает персональные данные. Эта информация, обрабатываемая в компании, имеет средний уровень защищенности.

Информационная система, используемая в компании «Аквариус», имеет региональный масштаб, так как она функционирует только на территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях).

Таким образом, на основании проведѐнного анализа необходимо наличие ГИС класса защиты К2.

Можно сделать вывод что в данном случае уровень значимости информации 2 или УЗ 2 (средняя степень ущерба), поскольку нарушения конфиденциальности, целостности, доступности информации влечет за собой существенные ущербы производстава и конфидециальности для корпоративная сети компании «Аквариус».

Компания «Аквариус» относится к объектовому масштабу ИС.

Уровень значимости	Федеральный масштаб ИС	Региональный масштаб ИС	Объектовый масштаб ИС
Уровень значимости 1	Класс 1	Класс 1	Класс 1
Уровень значимости 2	Класс 1	Класс 2	Класс 2
Уровень значимости 3	Класс 2	Класс 3	Класс 3

Согласно Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (последняя редакция) компания «Аквариус» имеет класс К2 (Масштаб информационной системы – объектовый + уровень значимости информации УЗ 2 – в результате нарушения одного из свойств безопасности информации возможны значительные негативные последствия в областях деятельности организации).

Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.

Веб-сервер предназначен для хостинга сайта компании «Аквариус». При обмене данными с внешней средой используется сетевой экран (файрволл).