7. Правила доступа к сетям и устройствам
Доступ к сети осуществляется с каждого ПК.
У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем. Пользователи в читательском зале используют один общий профиль с известным паролем.
8. Описание структуры и оценка защищенности компании
Компания расположена в Европейской части Российской Федерации в г. Санкт-Петербург, в спокойных метеорологических, сейсмических и гидрологических условиях, не имеющая в непосредственной близости предприятий, и других техногенных сооружений. Наименование систем и сетей, для которых разработана модель угроз безопасности информации: «Saint-Security»
Системы и сети обрабатывают информацию о заказчиках, существующих заказов, налоговая информация, информация о сотрудниках.
Основные процессы (бизнес-процессы), для обеспечения которых создаются (функционируют) системы и сети: контроль исполнения всех пунктов контракта обеими сторонами, структурирование данных о поставщиках, оборудовании и персонале.
На рисунке представлена примерная схема работы предприятия с точки зрения работы ПК – сервер. Они непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора.
9. Определение защищённости испДн
В предприятии установлена система управления бизнес процессами, ресурсами и операционными задачами в производственных предприятиях, а именно система планирования ресурсов предприятия (ERP), которая является комплексной системой, объединяющей в себе управление производством, управление ресурсами компании, финансовое планирование, управление отношениями с клиентами и другие бизнес-процессы. Система управления цепочкой поставок (SCM) предназначена для управления всей цепочки поставок, начиная от поставщиков и заканчивая конечными потребителями.
Отделы финансы, отделах запуск и снабжения и продажи, и маркетинга оснащены системой управления базой данных(СУБД) такой как Microsoft SQL Server. Отдел управления персоналом оснащен СУБД MySQL.
Инфраструктура сетевых роутеров и коммутационных оборудований, которая обеспечивает безопасность в данной организации Cisco System. Используются маршрутизаторы и роутеры: Cisco 2911R/K9, Cisco 5000 series Enterprise Network Compute System, Cisco 500 Series WPAN Industrial Routers.
Корпоративная сеть предназначается для связи и обмена данными между компьютерами в разных отделах и устройствами, используемыми внутри организации, обработка заказов.
Для организации определена ИСПДн-И. Причины установки именно такого типа ИСПДн-И, основывается на: количество сотрудников в центральной организации 17000 сотрудников, о каждом сотруднике собираются данные и отсылаются на сервер баз данных, где уже обрабатываются. Также присутствует специфика сбора и обработки информации сайтом: Рольф имеет сайт для взаимодействия с заказчиками, где используются cookie-файлы, для определения активности, ip-адреса и статистики пользователя, чтобы по собранной информации предлагать человеку информацию в соответствии с его предпочтениями. Хранение большого количества данных о рабочем персонале и о поставщиках, требует систему крупных объемов персональных данных. Так как системы сетей устроены через маршрутизаторы и switch, присутствует централизованная компьютерная инфраструктура и обширной сети по периметру организации. Данные обрабатываются и хранятся в информационных системах. Наличие информационной системы поможет эффективно управлять данными и обеспечить их безопасность в соответствии с требованиями законодательства по защите персональных данных. Также это позволит эффективно управлять доступом к данным, обеспечивать резервное копирование информации, а также мониторинг защищенности сетевой инфраструктуры.
Тип ИСПДн |
Сотрудники оператора |
Количество субъектов |
Тип актуальности угроз |
||
1 |
2 |
3 |
|||
ИСПДн-С |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 1 |
УЗ 2 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-Б |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-И |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 3 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-О |
Не сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
Сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-И содержит информацию о персональных данных сотрудников и иных физических лиц. То есть включает в себя данные о сотрудниках, их учетные данные, данные о доходах, медицинские данные и прочую информацию, связанную с личными данными. ИСПДН-И: присутствуют клиентские устройства, такие как компьютеры и рабочие станции сотрудников, используемые для доступа к информационным системам, обработки данных, управления производственными процессами и другими задачами; промышленные роутеры и коммутаторы, которые собирают данные из производственных процессов и передают их в информационную систему.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисах предприятия, заявки на заказы принимаются через сайт компании, компьютеры клиентского отдела имеют доступ в интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенных к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию СУБД, администраторской части веб сервера.
Основным ресурсом является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».
Определение уровня защищённости
К угрозам второго типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему лицу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДн относится к типу ИСПДн-И, в копании есть собственные работнки тип актуальности угроз – 2. Таким образом, уровень защищенности ИСПДн-И УЗ 2.
10. КИИ
Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (Указ Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”)
Вид опасности |
Нарущаемое свойство безопасности |
Характер чрезвычайной ситуации |
Степень ущерба |
Категория значимости |
Итоговая категория значимости |
Сбой работы техники |
Целостность |
Локальный |
Низкая |
1 |
K2 |
Доступность |
Локальный |
Низкая |
|||
Конфиденциальность |
Локальный |
Низкая |
|||
Утека информации |
Целостность |
Межрегиональный |
Высокая |
3 |
|
Доступность |
Межрегиональный |
Высокая |
|||
Конфиденциальность |
Межрегиональный |
Высокая |
ВЫВОДЫ
Требуется построить ГИС К2, реализовать ИСДн-И УК-2, и требуется построить КИИ 2 категории.
Руководящий персонал
|
Условная позиция |
Функциональные обязанности |
Должность |
Фамилия, имя, отчество (полностью) |
Телефон |
Примечания |
1. |
Технический директор |
Формирование технической политики |
Главный инженер |
Абдуладзе Р. Ю. |
|
|
2. |
Служба безопасности |
Формирование политики безопасности |
Служба корпоративной защиты |
Федянин А. С. |
|
|
3. |
Администратор безопасности |
Обеспечение управления доступом к системам, данным, ресурсам |
Специалист по ИБ отдела ОФЗиИБ СКЗ филиала |
Вихорьков А. Н. |
|
|
4. |
Администратор хранилищ информации |
Обеспечение безотказной работы устройств хранения информации, резервное копирование, антивирусная защита |
Инженерпрограммист отдела информацион ных технологий СДТУиИТ СКЗ |
Кузнецов Д. В. |
|
|
5. |
Системный администратор |
Обеспечение безотказной работы совокупности технических средств и ПО, составляющих информационную систему, мониторинг состояния системы |
Инженер-программист отдела информацион ных технологий СДТУиИТ СКЗ |
Соколов А. А. |
|
|
6. |
Администратор ЛВС |
Обеспечение безотказного функционирования СКС, ЛВС, шлюзов во внешние сети |
Инженер Отдела телекоммуникаций СДТУиИТ СКЗ |
Солдатов С. В. |
|
|
7. |
Администратор прикладных систем |
Контроль приложений в течение всего жизненного цикла для всех типов платформ (включая инсталляцию, поддержку и удаление ПО) |
Инженер-программист отдела информационных технологий СДТУиИТ СКЗ |
Ануфриев С. В. |
|
|
8. |
Администратор баз данных |
Мониторинг состояния баз данных и серверов баз данных (конфигурация, репликация, разрешение конфликтов) |
Инженер-программист отдела информационной безопасности |
Яковлев А. Н. |
|
|
Серверные платформы
№ |
Сервер |
Характеристики |
ОС |
Назначение |
1 |
- |
2 x AMD EPYC 7763 SP3/ 1024MB/8x72GB |
Windows 2019 Server |
Первичный контроллер домена, резервный сервер DNS, DHCP, WINS, сервер приложений Oracle, сервер печати |
2 |
- |
2 x AMD EPYC 7763 SP3/ 3072MB/8x64GB |
Windows 2019 Server |
Сервер АЦК |
3 |
- |
2 x AMD EPYC 9654 SP5/ 2048Mb/8x64Gb |
Windows 2019 Server |
Сервер Oracle, запись на ленты резервных копий |
4 |
- |
2 x AMD EPYC 9654 SP5/ 512Mb/8x64Gb |
FreeBSD 4.9 |
Прокси-сервер, WEB-сервер, сервер БД Postgress и MySQL, биллинг |
5 |
- |
2 x AMD EPYC 9654 SP5/ 1024Mb/72Gb + 36Gb |
Windows 2019 Server |
Сервер DOS-приложений АЦК |
6 |
- |
2 x AMD EPYC 9654 SP5/ 1024MB/2x136GB + 72GB |
Windows 2019 Server |
Резервный контроллер домена, сервер Lotus Notes, файл-сервер, факс-сервер, сервер DNS, DHCP, WINS, |
7 |
- |
AMD EPYC 7402 SP3/ 256Mb/ 256Gb |
FreeBSD 4.4 |
Шлюз в Интернет, почта, удаленные пользов. АЦК, DNS, MySQL, VPN, маршрутизатор |
8 |
- |
AMD EPYC 7402 SP3/ 16Gb/ 256Gb |
Windows 2019 Server |
WEB-сервер и сервер Oracle для электронных торгов |
9 |
- |
2 x AMD EPYC 7343 SP3/ 896Mb/ 18Gb + 36Gb |
Windows 2019 Server |
Резервный контроллер домена, тестовый сервер Oracle. |
10 |
- |
AMD EPYC 7343 SP3/256Mb/ 20Gb |
Windows 2019 Server |
Резервный контроллер домена, сервер лицензий терминальных служб |
Политика безопасности
Контактное лицо (Служба Безопасности): Березов Р.О. тел.
Наличие единой Политики Безопасности (в виде приложения):
ответственное лицо
Система защиты от НСД АРМ:
Наименование: Антивирус Производитель: Kaspersky Lab Наименование: Брандмауэр Производитель: Cisco
Наименование: Аунтификация Производитель: Microsoft
Наименование: Мониторинг Производитель: Splunk
Система антивирусной защиты АРМ:
Наименование: KAV Производитель: Kaspersky Lab
Наименование: Производитель:
Система антивирусной защиты файловых серверов:
Наименование: KAV Производитель: Kaspersky Lab
Наименование: Производитель:
Система антивирусной защиты электронной почты:
Наименование: KAV Производитель: Kaspersky Lab Наименование: Производитель:
Система антивирусной защиты шлюзов:
Наименование: KAV Производитель: Kaspersky Lab Наименование: Производитель:
Средства криптографической защиты информации:
Наименование: Производитель: Symantec Наименование: Производитель:
Наименование: Производитель:
Наименование: Производитель:
Средства централизованного анализа защищенности АРМ:
Наименование: Производитель: Наименование: Производитель:
Наименование: Производитель:
Наименование: Производитель:
Защита от электромагнитных излучений: Экранирование, Leader Tech
Сокрытие защитных механизмов:
Удобство обслуживания комплекса защиты:
Система контроля вскрытия аппаратуры:
Отходы (мусорная корзина, остатки распечатанных материалов в принтере): Ликвидация в
шредере
Постановка на учет аппаратуры, носителей информации и документации:
Проверка отсутствия посторонней аппаратуры:
Контроль отключения от рабочего контура обмена информации при выводе ее на ремонт и профилактику:
Оперативный просмотр системных журналов:
Защита от атак типа “социальная инженерия”:
Система контроля доступа в помещения
Организационные меры Краткое описание:
Технические меры Краткое описание:
Регламент назначения прав доступа к информационным ресурсам: Предоставление доступа на основании служебной записки руководителей структурных подразделений