ПС: Отдел кадров
Объект: Персонал отдела кадров
Объект: Принтер
Объект: Операционная система Windows 10
Объект: Персональный компьютер
Объект: Коммутатор
ПС: Отдел по работе с клиентами
Объект: Персонал отдела по работе с клиентами
Объект: Операционная система Windows 10
Объект: Персональный компьютер
Объект: Принтер
Объект: Коммутатор
ПС: Серверная
Объект: Сервер БД
Объект: Web-сервер
Объект: Маршрутизатор
Объект: Коммутатор
ПС: Системы физической безопасности
Комментарий
Объект: Охрана
Объект: Система СКУД
Объект: Система пожаробезопасности
ПС: Информационная безопасность
Объект: Сетевой экран (Файрволл)
Объект: Антивирусная защита
Модель угроз безопасности информации разработана для Информационной системы «ПАО Ростелеком» систем виртуализации и виртуальных машин.
Класс защищенности информационной системы «ПАО Ростелеком»
- 1Д (многопользовательская система с разными уровнями доступа и разными уровнями конфиденциальности информации, в которой циркулируют персональные данные).
Компания является компанией поставщиком услуг: система хранения данны, сетевая инфраструктура.
В информационной системе обрабатываются общедоступные персональные данные пользователей: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень значимости ИСПДн – УЗ 3.
Функции информационной системы Ростелеком:
•Хранение и обработка личных данных сотрудников;
•Хранение и обработка данных клиентов.
Состав информационной системы в целом
В информационную систему входят: 30 персональных компьютеров
(АРМ сотрудников) с установленной операционной системой Windows 10,
веб-сайт, СУБД (PostgreSQL), 2 сервера: сервер БД (Windows Server)
АРМ в локальной сети взаимодействуют при помощи коммутаторов, в
серверной расположен маршрутизатор. Схема устройства информационной системы продемонстрирован на рисунке 1.
Отдел по работе с клиентами:
Техническое оснащение: 20 персональных компьютеров с установленной на них операционной системой Windows 10.
Перечень персональных данных пользователей обрабатываемые информационной системой клиентского отдела:
Данные клиентов:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность:
серия, номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
Отдел кадров:
Техническое оснащение: 10 персональных компьютеров с
установленной на них операционной Windows 10.
Данные сотрудников, собираемые отделом кадров:
•Фамилия, имя, отчество (при наличии);
•Дата и место рождения;
•Пол;
•Гражданство;
•Данные паспорта или иного документа, удостоверяющего личность:
серия, номер, дата выдачи, срок действия (при наличии), код;
•подразделения и орган, выдавший документ;
•Адрес регистрации и фактического проживания;
•Адрес электронной почты;
•Номер мобильного телефона;
•Документы об образовании сотрудников;
Сайт:
Данные, которые предоставляются клиентом при использовании сайта:
•ФИО
•Адрес проживания
•Возраст
•Мобильный телефон
•Адрес электронной почты
ВИС Ростелеком существуют следующие группы авторизованных пользователей:
1.Сотрудник отдела кадров
2.Сотрудник отдела по работе с клиентами
Доступ к ресурсам информационной системы «ПАО Ростелеком» обеспечивается удаленно, через сайт компании или с персональных
компьютеров работников.
Программное обеспечение, приложение и базы данных ИС Ростелеком располагаются на базе локального центра обработки данных в главном офисе ПАО Ростелеком.
ИСПДн имеет средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные – низкому уровню защищенности).
Персональные данные, которые обрабатывает информационная системы «ПАО Ростелеком»: фамилия, имя, отчество, дата рождения, возраст, адрес электронной почты, номер телефона.
Согласно постановлению правительства РФ №1119 «Информационная
система является информационной системой, обрабатывающей иные категории персональных данных если в ней не обрабатываются персональные данные, указанные в информационной системе, обрабатывающей общедоступные персональные данные.
Следовательно ИСПДн информационной системы «ПАО Ростелеком» обрабатывает данные, относящиеся к категории иных – ИСПДн-И.
В соответствии с 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения,
российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-
телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и
химической промышленности, российские юридические лица и (или)
индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»
Так как информационная система «ПАО Ростелеком» функционирует в сфере связи, она относится к КИИ и имеет социальную значимость, так как компании принадлежат сети связи внутри страны, и она предоставляет услуги по проведению сети своим клиентам, и, в случае возникновения компьютерных инцидентов на объекте, часть населения останется без связи. Объекты, относящиеся к КИИ: магистральная сеть связи,
развернутая внутри страны, системы управления сетями оператора, портал государственных услуг.
ВЫВОДЫ
В ходе практической работы была определена спецификация объекта защиты, а именно информационной системы «ПАО Ростелеком», приведено её описание, структура и схема. Описаны технические характеристики, состав персонала, безопасность объекта, доступ к сетям и устройствам.
По итогам проведения оценки уровня защищенности информационной системы персональных данных по методике ФСТЭК уровень был определен как средний (УЗ 2), тип которой ИСПДН-И с АУ1.
Класс защищенности ГИС – К2, так как региональный масштаб ИС,
уровень значимости 2.
Информационная система «ПАО Ростелеком» относится к критической информационной инфраструктуре, со следующими объектами КИИ:
магистральная сеть связи, развернутая внутри страны, системы управления сетями оператора, портал государственных услуг.