2.3 Состав обрабатываемой информации
Категории ПДн:
Специальные категории ПДн: сведения о состоянии здоровья (для расчёта больничных листов);
Биометрические ПДн: фотографии (в личных делах сотрудников);
Иные ПДн: ФИО, паспортные данные, адрес регистрации и проживания, дата и место рождения, ИНН, СНИЛС, сведения о доходах, банковские реквизиты, семейное положение, образование, профессия, контактные телефоны.
Количество субъектов: менее 100 000 (фактическое количество сотрудников – 31 человек, а также контрагенты - физические лица).
2.4 Архитектура и состав системы
Система имеет локальную клиент-серверную архитектуру типа «Звезда»:
Серверный сегмент (серверная комната): Сервер с базами данных 1С (Windows Server, MS SQL, 1С: Предприятие), коммутатор (активное сетевое оборудование).
Клиентский сегмент (помещение бухгалтерии):
АРМ №1 (бухгалтер по расчёту зарплаты) – ПК с ОС Windows 10/11 Pro, 1С, СЗИ,
АРМ №2 (бухгалтер по банку и отчётности) – ПК с ОС Windows 10/11 Pro, 1С, «Клиент-Банк», СЗИ,
МФУ (общее для отдела).
Каналы связи: Обмен данными между отделами и серверной комнатой осуществляется через защищенный канал связи (VPN-туннель)
Топология сети представлена на рисунке 2.1.
Рисунок 2.1 – Топология сети
2.5 Группа пользователей и уровни полномочий
Доступ к ресурсам ИСПДн разграничен по ролям:
Системный администратор: полный доступ к серверу, СУБД, сетевому оборудованию, настройкам ПО, резервному копированию.
Специалист по ИБ: контроль настроек СЗИ, аудит доступа, расследование инцидентов, управление политиками безопасности.
Бухгалтер по расчёту зарплаты: доступ к конфигурации 1С «Зарплата и управление персоналом» (расчёт зарплаты, больничных, отпусков).
Бухгалтер по банку и отчётности: доступ к конфигурации 1С «Бухгалтерия предприятия», системе «Клиент-Банк», отправка отчётности через ЭДО.
Сотрудник отдела кадров (внешний по отношению к ИС): внесение первичных данных сотрудников (интеграция с бухгалтерией).
Субъекты ПДн (сотрудники): доступ только к своим данным через кадровую систему (без прямого доступа к БД).
2.6 Внешние интерфейсы и взаимодействия
Межсетевое взаимодействие: выход в Интернет для отправки отчётности через операторов ЭДО (защищённые каналы) и работы с системами «Клиент-Банк» (VPN/SSL).
Локальные интерфейсы: АРМ используют USB-порты для подключения внешних носителей, МФУ подключено по сети.
2.7 Инфраструктура и ответственность
Система развернута на базе собственной инфраструктуры ООО «ТехноПромСервис» в арендуемом офисе. Сервер находится в охраняемой серверной комнате внутри контролируемой зоны (офиса). Доступ в серверную ограничен (электронный ключ + пин-код) и разрешён только системному администратору, специалисту по ИБ и управляющему. Облачные услуги для хранения ПДн не используются.
3 Определение негативных последствий
В таблице 3.1 представлены негативные последствия, которые могут наступить от реализации угроз безопасности информации.
Таблица 3.1 – Риски и соответствующие им негативные последствия.
№ |
Виды риска (ущерба) |
Негативные последствия |
У1 |
Ущерб физическому лицу (клиент) |
Финансовый, иной материальный ущерб физическому лицу; Нарушение неприкосновенности частной жизни; Нарушение конфиденциальности (утечка) персональных данных; Разглашение персональных данных граждан (в т.ч. специальных категорий и биометрии). |
У2 |
Риски юридическому лицу (ООО «ТехноПромСервис») |
Нарушение законодательства Российской Федерации (152-ФЗ, ПП-1119); Потеря (хищение) денежных средств (со счетов через «Клиент-Банк»); Необходимость дополнительных затрат на выплаты штрафов; Затраты на восстановление работоспособности ИС; Нарушение деловой репутации; Утрата доверия со стороны клиентов и партнёров; Простой информационной системы (невозможность расчёта зарплаты, отправки отчётности); Утечка конфиденциальной информации (коммерческая тайна, данные по зарплате). |