1.Заключение (1208532), страница 4
Текст из файла (страница 4)
Рисунок 6.13 Вероятное место расположения технических средств съема информации №12 на расстоянии 13 метров.
На втором этапе была проверена возможность подключения к беспроводной сети отдела, для проверки использовался ноутбук ASUS K53S. Стойкость пароля не учитывалась. В местах вероятного расположения технических средств съема информации были произведены попытки подключения. Во всех местах подключение с сетью произведено, кроме места под номером 6, где возникла ошибка подключения.
-
Структура обработки ПДн
Автоматизированная обработка иных категорий ПДн работников, физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с компанией осуществляется на 5 АРМ и одном сервере БД в следующих программных комплексах:
-
СБиС++ Управление персоналом Бюджет
-
1С: Предприятие 8.2;
-
СБиС++ Бухгалтерия;
-
Firebird
-
СБиС++ Электронная отчетность и документооборот;
-
ПК «КриптоПро»;
-
ПК «Континент-АП»;
-
ПО «АРМ Клиента СЭД»;
-
ПК «SberSign 5.6».
Также для обработки ПДн используется пакет офисных программ: «Microsoft Windows 7 Service Pack 1»
Персональные данные хранятся на серверах БД и на жестких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц. На всех АРМ работают по одному сотруднику.
С АРМ 4 осуществляется отправка отчетов в контролирующие органы (ПФР, ФНС) в зашифрованном виде с помощью ПК «СБиС++ Электронная отчетность» и ПК «КриптоПро», отправка отчетов в ФСС в зашифрованном виде с помощью ПК «СБиС++ Электронная отчетность» и ПК «КриптоПро». Осуществляется обмен информацией с УФК по Республике Саха (Якутии) в зашифрованном виде с помощью ПК «КриптоПро», ПК «Континент-АП», ПК «SberSign 5.6», ПО «АРМ Клиента СЭД».
Элементы ИСПДн расположены в одном зданиях компании. Все элементы расположены на одном этаже в двух кабинетах. Подключение этих АРМ к основной ЛВС компании осуществляется через проводной кабель. А передача ПДн между АРМ 1-4 осуществляется с помощью технологии беспроводного доступа Wi-Fi.
Аутентификация пользователей ПЭВМ, на которых обрабатываются персональные данные, осуществляется с помощью персонального логина и пароля. Сложность пароль соответствует требованиям безопасности обработки информации конфиденциального характера. Пользователи имеют разные права доступа к сетевым ресурсам. Пользователи получают доступ к ПДн только после прохождения авторизации на собственных АРМ в ОС и специализированном ПО. Согласно доменным политикам, пользователи на своих АРМ ограничены в правах настройки и установки стороннего программного обеспечения.
На сервере БД данные архивируются каждый день. Срок хранения каждого архива – 10 суток.
Таблица 7.1-Перечень используемых технических средств.
| Наименование ТС |
| Серверы, обрабатывающие ПДн |
| Рабочие станции пользователей |
| Технические средства беспроводного доступа. Роутер ASUS RT-N66U,Стандарт: 802.11n Диапазон частот: 2.4Ггц. |
| Сетевое оборудование участвующее в передаче ПДн по ИСПДн |
| Кабели питания серверов и рабочих станций, обрабатывающих ПДн |
| Линии вспомогательных средств и систем, размещенных в помещениях с техническими средствами, обрабатывающими ПДн |
| Принтеры (локальные и сетевые) и прочие печатающие устройства |
| Съемные носители информации |
| Система резервного питания (ИБП) |
-
Режим обработки ПДн
Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение персональных данных.
Все пользователи ИСПДн отдела бухгалтерского учета и отчетности имеют собственные роли и, в соответствии с ролью, права доступа и разрешенные действия.
В таблице 8.1 и 8.2 представлен список ролей в виде матрицы доступа ИСПДн отдела бухгалтерского учета и отчетности.
Таблица 8.1 – Матрица доступа ИСПДн отдела бухгалтерского учета и отчетности.
| Привилегии и права, ресурс | Администратор с обязанностями администратора ИБ | Пользователи ИСПДн |
| Привилегии и права | ||
| Изменение настроек политик AD | + | - |
| Запрет изменения системных файлов на серверах БД | - | + |
| Удаленный доступ к АРМ пользователей | + | - |
| Вывод защищаемой информации на принтер | + | + |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | - |
| Запрет изменения системных файлов АРМ пользователей | - | + |
| Изменение личного пароля пользователя | + | - |
| Работа с системным журналом ОС | + | - |
| Возможность создания личных ресурсов на локальных АРМ | + | + |
| Возможность создания ресурсов на серверах БД | + | - |
| Восстановление информационных ресурсов серверов БД | + | - |
| Работа с системным журналом СЗИ | + | - |
| Установка, настройка, сопровождение СЗИ | + | - |
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA |
| Доступ к локальным папкам пользователей | RWAXD | RWAXD |
| Центральные БД ИСПДн | RWAXD | RWXD |
| Доступ к средствам управления БД | RWAXD | - |
| Доступ к средствам управления СЗИ | RWAXDS | |
-
R - разрешение на открытие файлов только для чтения;
-
W - разрешение на открытие файлов для записи;
-
A - разрешение на создание файлов на диске/создание таблиц в БД;
-
D - разрешение на удаление файлов/записи в БД;
-
Х - разрешение на запуск программ;
-
S - разрешение на настройку средств защиты
Сотрудники, допущенные к обработке персональных данных в ИСПДн отдела бухгалтерского учета и отчетности представлены в таблице 8.2.
Таблица8. 2 – Перечень лиц, допущенных к обработке персональных данных.
№ п/п
Роль
ФИО сотрудника
№ кабинета
№ АРМ на плане
-
Пользователь ИСПДн
Согласно перечню, утвержденному директором
12
АРМ №1,2,3
-
Пользователь ИСПДн
Согласно перечню, утвержденному директором
14
АРМ № 4
-
Администратора ИСПДн
Согласно перечню, утвержденному директором
15, 16(серверная)
АРМ № 5 SERVER DB
(Сервер 1С: Предприятие)
| № п/п | Роль | ФИО сотрудника | № кабинета | № АРМ на плане |
| | Пользователь ИСПДн | Согласно перечню, утвержденному директором | 12 | АРМ №1,2,3 |
| | Пользователь ИСПДн | Согласно перечню, утвержденному директором | 14 | АРМ № 4 |
| | Администратора ИСПДн | Согласно перечню, утвержденному директором | 15, 16(серверная) | АРМ № 5 SERVER DB (Сервер 1С: Предприятие) |
-
Существующие меры защиты информации
Контроль доступа в здания осуществляется штатными работниками Компании (охранник), а также с помощью электронных турникетов с частичным перекрытием проема. Работники компании попадают в здание с помощью электронных пропусков. Граждане, находящиеся с компанией в договорных или иных гражданско-правовых отношениях, могут пройти в здание предварительно выписав бумажный одноразовый пропуск у охраника.
По периметру зданий установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией. Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пульт охраннику, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».
Кабинеты, в которых расположены технические средства ИСПДн отдела бухгалтерского учета и отчетности находятся:
-
На первом этаже здания (см. Приложение Б );
Все кабинеты, где обрабатываются и хранятся ПДн, имеют двери, запирающиеся на ключ. Съемные носители персональных данных хранятся в металлических и обычных шкафах, запираемых на ключ. На окнах кабинетов установлены непрозрачные жалюзи.
Границами контролируемой зоны ИСПДн являются ограждающие конструкции помещений (см. Приложение Б).
В отделе используется собственный контроллер домена, при помощи которого осуществляется администрирование рабочих станций и управление групповыми политиками безопасности. Доступ к управлению настройками контроллеров домена (далее – AD) осуществляется удаленно с АРМ Администратора (АРМ 5) либо непосредственно с самого сервера – контроллера домена, расположенного в серверной.
Во взаимодействие с иными информационными системами используются сертифицированные криптографические средства «КриптоПро CSP» и ПК «Континент-АП».
Антивирусная защита осуществляется с применением сертифицированного ПО « Антивирус Касперского 6.0 для Windows Workstation». Обновление антивирусных баз происходит ежедневно с внутреннего ресурса компании.
Для обеспечения безопасности в беспроводных сетях, используются несертифицированные методы безопасности роутера ASUS RT-N66U, такие как шифрование трафика WEP, WPA, WPA2 и наличие Firewall.
-
Приложение А. Конфигурация ИСПДн и топология ЛВС Предприятия.
Рис А1-Конфигурация ИСПДн отдела бухгалтерского учета и отчетности.
Рис А2-Топология локальной вычислительной сети отдела.
-
Приложение Б. Размещение элементов относительно границ контролируемой зоны
На схемах ниже представлены план здания предприятия с указанием расположения кабинетов и элементов ИСПДн относительно границ контролируемой зоны.
Рис Б-Размещение элементов ИСПДн относительно границ контролируемой зоны здания компании.














