2. Модель угроз (1209949), страница 2
Текст из файла (страница 2)
Модель угроз безопасности защищаемой информации при ее обработке в ГИС «Система-112» предназначена для:
-
определения перечня угроз безопасности информации;
-
определения перечня актуальных угроз безопасности информации;
-
определение типов актуальных угроз безопасности персональным данным в соответствии с п.6 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» и п.14 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
-
установления уровня защищенности персональных данных в автоматизированной системе;
-
установления класса защищенности автоматизированной системы в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
-
разработки состава и содержания мер по обеспечению безопасности защищаемой информации, направленных на нейтрализацию актуальных угроз безопасности информации.
В процессе развития информационной системы персональных данных предполагается конкретизировать и пересматривать модель угроз.
Модель угроз безопасности ГИС «Система-112» разработана в соответствии со следующими нормативными методическими документами и национальными стандартами:
-
Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской федерации от 01.11.2012 г. №1119;
-
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Перечень мер, направленных на обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденный постановлением Правительства Российской Федерации от 21.03.2012 г. №211;
-
Методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный Заместителем директора ФСТЭК России 14 февраля 2008 г.;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
-
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622);
-
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/54-144)
-
Приказ ФАПСИ от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Источниками, на основе которых определяются актуальные угрозы, являются:
-
Банк данных угроз безопасности информации, разработанный ФСТЭК России;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
-
Заключение об аудите сегмента информационной системы АПК «Безопасный город».
На основе составленного перечня УБИ с помощью Методики выявлены актуальные угрозы для ГИС «Система-112».
-
Описание информационной системы и особенностей её функционирования
-
Цель и задачи, решаемые информационной системой
Система-112 предназначена для информационного обеспечения единых дежурно-диспетчерских служб (ЕДДС) муниципальных образований, а также дежурно-диспетчерских служб (ДДС) экстренных оперативных служб (ЭОС), действующих на территории Еврейской автономной области.
Вызов экстренных оперативных служб также может быть обеспечен каждому пользователю услугами связи посредством набора отдельного номера, предназначенного для непосредственного вызова соответствующей экстренной оперативной службы. Система-112 предназначена для решения следующих основных задач:
1) прием по номеру «112» вызовов (сообщений о происшествиях);
2) получение от оператора связи сведений о местонахождении лица, обратившегося по номеру «112», и (или) абонентского устройства, с которого был осуществлен вызов (сообщение о происшествии), а также иных данных, необходимых для обеспечения реагирования по вызову (сообщению о происшествии);
3) анализ поступающей информации о происшествиях;
4) направление информации о происшествиях, в том числе вызовов (сообщений о происшествиях), в дежурно-диспетчерские службы экстренных оперативных служб в соответствии с их компетенцией для организации экстренного реагирования;
5) обеспечение дистанционной психологической поддержки лицу, обратившемуся по номеру «112»;
6) автоматическое восстановление соединения с пользовательским (оконечным) оборудованием лица, обратившегося по номеру «112», в случае внезапного прерывания соединения;
7) регистрация всех входящих и исходящих вызовов (сообщений о происшествиях) по номеру «112»;
8) ведение базы данных об основных характеристиках происшествий, о начале, завершении и об основных результатах экстренного реагирования на полученные вызовы (сообщения о происшествиях);
9) возможность приема вызовов (сообщений о происшествиях) на государственных языках, а также иностранных языках согласно утвержденному перечню.
-
Характер обрабатываемой информации и классификация Системы-112
В Системе-112 обрабатываются:
− персональные данные - информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
− служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
− сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Состав и содержание УБИ определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ИОД.
Совокупность таких условий и факторов формируется с учетом характеристик ГИС «Система-112», свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угроз.
Исходя из того, что:
− Система-112 является государственной информационной системой, имеющей региональный масштаб;
− уровень значимости обрабатываемой в системе информации является низким вследствие того, что нарушение любого одного из свойств безопасности обрабатываемой информации (конфиденциальности, целостности, доступности) может привести к незначительным негативным последствиям в социальной, политической, международной, экономической, финансовой или иных областях деятельности и ( или) к тому, что Система-112 и ( или) оператор ( обладатель информации) не смогут выполнять возложенные на них функции с достаточной эффективностью или выполнение функций будет возможно только с привлечением дополнительных сил и средств;
В соответствии с Приказом ФСТЭК № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» необходимо обеспечить третий класс защищенности.
Система-112 является информационной системой персональных данных (далее ИСПДн).
В ИСПДн Система-112 необходимо обеспечить второй уровень защищенности персональных данных в соответствии с пунктом 10 Приказа ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», т.к. для информационной системы актуальны угрозы 3го типа и информационная система предназначена для обработки специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Однако в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. №17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности информационной системы персональных данных. Исходя из вышеизложенного, в Системе-112 необходимо обеспечить второй класс защищенности.
-
Описание структурно-функциональных характеристик информационной системы
Параметры информационной системы представлены в таблице 4.1.
Таблица 4.1 – Параметры информационной системы
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная с удаленным доступом пользователей |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах нескольких контролируемых зон |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системы | Без разделения |
| Сегментирование информационной системы | Система с сегментированием |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные и специальные (информация о состоянии здоровья) категории ПДн |
-
Перечень объектов и субъектов доступа
К объектам доступа относятся защищаемая информация и средства доступа и процессы, обеспечивающие доступ к ней. В частности:
− таблицы СУБД SQL;
− записи, поля записей СУБД SQL;
− каталоги файловой системы NTFS;
− файлы файловой системы NTFS;
− процессы ОС Windows;
− программные средства защиты информации;
− сервер СУБД;
− АРМ пользователей;
− АРМ администраторов;
− сетевое оборудование;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
