Пояснительная записка (1208543), страница 11
Текст из файла (страница 11)
Приложение А
Заключение по результатам аудита информационной системы персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.
(выписка)
В информационной системе отдела обрабатываются персональные данные иной категории персональных данных. Персональные данные обрабатываются на 5 АРМ и 1 сервере.
Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Параметры информационной системы отдела представлены в таблице А.1.
Таблица А.1– Параметры информационной системы отдела
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории ПДн |
| Вид доступа | Применяется технология беспроводного доступа |
Рисунок А1-Размещение элементов ИСПДн относительно границ контролируемой зоны здания компании ссылку
Приложение Б
Модель вероятного нарушителя и угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности.
(выписка)
Наиболее вероятными нарушителями являются:
-
лица, зашедшие в здание компании, лица, находящиеся близ здания компании, бывшие сотрудники, знакомые и родственники сотрудников (внешние нарушители);
-
пользователи ИСПДн (внутренние нарушители).
С учетом указанных видов нарушителей был определен потенциал нарушителя – базовый (низкий).
Наиболее вероятными целями (мотивацией) реализации угроз для указанных видов нарушителей являются:
-
любопытство или желание самореализации (подтверждение статуса);
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
месть за ранее совершенные действия.
С целью создания определенного запаса прочности предполагается, что нарушитель владеет всей необходимой информацией, достаточными навыками и знаниями для реализации угроз, а также обладает всеми средствами реализации угроз, соответствующими потенциалу нарушителя.
Актуальными угрозами для информационной системы персональных данных отдела являются:
Угрозы безопасности информации, реализуемые за счет НСД к информационной системе:
-
Угроза аппаратного сброса пароля BIOS ;
-
Угроза деавторизации санкционированного клиента беспроводной сети;
-
Угроза использования альтернативных путей доступа к ресурсам;
-
Угроза использования слабостей протоколов сетевого/локального обмена данными;
-
Угроза неправомерного ознакомления с защищаемой информацией
-
Угроза неправомерных действий в каналах связи;
-
Угроза несанкционированного доступа к системе по беспроводным каналам;
-
Угроза подключения к беспроводной сети в обход процедуры аутентификации;
-
Угроза подмены беспроводного клиента или точки доступа;
-
Угроза приведения системы в состояние «отказ в обслуживании»;
-
Угроза утраты вычислительных ресурсов;
-
Угроза изменения компонентов системы;
-
Угроза длительного удержания вычислительных ресурсов пользователями;
-
Угроза доступа к защищаемым файлам с использованием обходного пути;
-
Угроза избыточного выделения оперативной памяти;
-
Угроза нарушения целостности данных кеша;
-
Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS;
-
Угроза несанкционированного доступа к аутентификационной информации;
-
Угроза несанкционированного изменения аутентификационной информации;
-
Угроза несанкционированного редактирования реестра;
-
Угроза несанкционированного создания учётной записи пользователя;
-
Угроза несанкционированного удаления защищаемой информации;
-
Угроза несанкционированного управления буфером;
-
Угроза обхода некорректно настроенных механизмов аутентификации;
-
Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;
-
Угроза повреждения системного реестра;
-
Угроза подбора пароля BIOS;
-
Угроза подделки записей журнала регистрации событий;
-
Угроза удаления аутентификационной информации;
-
Угроза форматирования носителей информации;
-
Угроза неправомерного шифрования информации;
-
Угроза несанкционированного использования системных и сетевых утилит;
-
Угроза несанкционированного изменения параметров настройки средств защиты информации;
-
Угроза внедрения вредоносного кода в дистрибутив программного обеспечения;
-
Угроза использования уязвимых версий программного обеспечения;
-
Угроза искажения вводимой и выводимой на периферийные устройства информации;
-
Угроза доступа/перехвата/изменения HTTP cookies;
-
Угроза деструктивного изменения конфигурации/среды окружения программ;
-
Угроза использования информации идентификации/аутентификации, заданной по умолчанию;
-
Угроза заражения компьютера при посещении неблагонадёжных сайтов;
-
Угроза скрытного включения вычислительного устройства в состав бот-сети.
Угрозы утечки информации по техническим каналам:
-
Угроза утечки информации по электромагнитному (радио) каналу с использованием портативных средств радиоразведки.
Техногенные угрозы безопасности информации:
-
Угроза отказа и неисправности технических средств, обрабатывающих информацию;
-
Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств);
-
Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа;
Угрозы безопасности информации в случае принятия решения об использовании в информационной системе СКЗИ для обеспечения безопасности конфиденциальной информации:
-
Проведение атаки при нахождении в пределах контролируемой зоны;
-
Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Приложение В
Аналитическое обоснование необходимости создания системы защиты персональных данных, обрабатываемых в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности
(выписка)
Затраты на технические и программные средства защиты
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1
Таблица В.1 – Ориентировочная стоимость предлагаемых технических средств
| № п/п | Продукт | Примерная стоимость, рублей |
| | Средство защиты от несанкционированного доступа на 6 рабочих мест и 1 сервер | 142 500,00 |
| | Средство анализа защищенности | 20 000,00 |
| | Средство межсетевого экранирования и криптографической защиты | 640 000,00 |
| | Антивирус | 12 000,00 |
| ИТОГО: | 814500,00 | |
Затраты на установку и настройку средств защиты информации специалистами
К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации. Расчет стоимости работ по установке СЗИ приведен в таблице В.2
Таблица В.2 – Затраты работа на установку и настройки СрЗИ
| № п/п | Продукт | Примерная стоимость, рублей |
| | Установка и настройка средств защиты от несанкционированного доступа на 6 рабочих машин и 1 сервера | 14 000,00 |
| | Установка и настройка средства анализа защищенности | 5000,00 |
| | Установка и настройка средства межсетевого экранировании я и криптографической защиты | 70000,00 |
| ИТОГО: | 89 000,00 | |
Приложение Г
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на создание системы защиты персональных данных в информационной системе персональных данных Акционерного общество «Акционерная компания «Железные дороги Якутии» отдела бухгалтерского учета и отчетности
(выписка)
В таблице Г.4 представлен конечный набор организационных и технических мер, которые необходимо реализовать для каждого сегмента.
Таблица Г.4 – Перечень мер по обеспечению безопасности информации
| № меры | Содержание мер по обеспечению безопасности персональных данных |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора |
| ИАФ. 2 | Идентификация и аутентификация стационарных устройств. |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей. |
| УПД.2 | Реализация ролевого метода, типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, а также между информационными системами |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| УПД.11 | Разрешение действий пользователей, разрешенных до аутентификации |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники |
| III. Ограничение программной среды (ОПС) | |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| IV. Защита машинных носителей персональных данных (ЗНИ) | |
| ЗНИ.1 | Учет машинных носителей |
| ЗНИ.2 | Управление доступом к машинным носителям информации |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
| V. Регистрация событий безопасности (РСБ) | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
| РСБ. 7 | Защита информации о событиях безопасности |
| VI. Антивирусная защита (АВЗ) | |
| АВ3.1 | Реализация антивирусной защиты |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| XII. Защита технических средств (ЗТС) | |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) |
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов |
| ЗИС.20 | Защиты беспроводных соединений, применяемых в информационной системе |
| ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание у нарушителя ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы |
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при её взаимодействии с иными информационными система и информационно-телекоммуникационными сетями |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационный системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информации и системы защиты персональных данных |
Приложение Д
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
