3. Аналитическое обоснование (1209950), страница 2
Текст из файла (страница 2)
Подсистемы обеспечения информационной безопасности информационной представляет собой совокупность организационных и технических мер для защиты информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий с ней.
Система защиты информации должна:
-
защищать ГИС от вмешательства посторонних лиц в процесс её функционирования (возможность использования ГИС и доступ к её ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
-
предоставлять возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям ГИС для выполнения своих служебных обязанностей, то есть защищать от несанкционированного доступа: к информации, циркулирующей в ГИС, средствам вычислительной техники сегментов, аппаратным и программным средствам защиты, используемым в ГИС;
-
регистрировать действия пользователей при использовании защищаемых ресурсов ГИС в системных журналах и периодически контролировать корректность действий пользователей системы путем анализа содержимого этих журналов;
-
контролировать целостность (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
-
защищать от несанкционированной модификации и контролировать целостность используемых в ГИС программных средств, а также защищать систему от внедрения несанкционированных программ;
-
защищать информацию, хранимую, обрабатываемую и передаваемую по каналам связи, от несанкционированного разглашения или искажения;
-
своевременно выявлять источники угроз безопасности информации, причины и условия, способствующие нанесению ущерба центрам обработки вызовов и субъектам персональных данных, создавать механизм оперативного реагирования на угрозы безопасности информации и негативные тенденции;
-
создавать условия для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, уменьшать негативное влияние и ликвидировать последствия нарушения безопасности информации.
-
Сведения о системе
Система-112 - комплекс программно-аппаратных средств, предназначенных для автоматизированной обработки вызова экстренных оперативных служб по единому номеру «112».
Система-112 – территориально-распределённая автоматизированная система, создаваемая в границах Еврейской автономной области, техническими и программными средствами которой оснащаются дежурные подразделения организаций и ведомств отвечающих за обеспечение безопасности жизнедеятельности на территории области (служба пожарной охраны, служба полиции, служба скорой медицинской помощи и т.д.).
Региональный уровень Системы-112 представлен ЦОВ и РЦОВ.
ЦОВ разворачивается в административном центре Еврейской автономной области – г. Биробиджан, ул. Чапаева, 2.
РЦОВ разворачивается в г. Биробиджан, ул. Ленина 34а.
-
Описание объекта информатизации
Система-112 предназначена для выполнения следующих задач:
– прием по номеру «112» вызовов (сообщений о происшествиях);
– получение от оператора связи сведений о местонахождении лица, обратившегося по номеру «112», и (или) абонентского устройства, с которого был осуществлен вызов (сообщение о происшествии), а также иных данных, необходимых для обеспечения реагирования по вызову (сообщению о происшествии);
– анализ поступающей информации о происшествиях;
– направление информации о происшествиях, в том числе вызовов (сообщений о происшествиях), в дежурно-диспетчерские службы экстренных оперативных служб в соответствии с их компетенцией для организации экстренного реагирования;
– обеспечение дистанционной психологической поддержки лицу, обратившемуся по номеру «112»;
– автоматическое восстановление соединения с пользовательским (оконечным) оборудованием лица, обратившегося по номеру «112», в случае внезапного прерывания соединения;
– регистрация всех входящих и исходящих вызовов (сообщений о происшествиях) по номеру «112»;
– ведение базы данных об основных характеристиках происшествий, о начале, завершении и об основных результатах экстренного реагирования на полученные вызовы (сообщения о происшествиях);
– возможность приема вызовов (сообщений о происшествиях) на иностранных языках.
Персональные данные, обрабатываемые в АС «Система-112», могут включать в себя:
– персональные данные абонентов телефонных сетей, осуществляющих вызовы в Систему-112, в том числе:
– фамилия имя отчество;
– пол;
– дата и место рождения;
– семейное, социальное, имущественное положение;
– образование;
– профессия;
– доходы;
– номер телефона;
– адрес установки телефона фиксированной связи;
– данные о состоянии здоровья;
– данные о национальной принадлежности;
– данные о месте, с которого осуществлялся вызов для телефонов подвижной связи.
– принадлежность обрабатываемых ПДн и количество субъектов персональных данных - более 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
В Системе-112 используется только лицензионное программное обеспечение, проводится регулярное обновление общесистемного ПО и приложений. Прикладные программы, которые используются для обработки ПДн, несанкционированному изменению не подлежат. Антивирусное ПО имеет сертификат ФСТЭК, вирусные базы регулярно обновляются.
Система-112 по своей структуре представляет собой распределенную информационную систему, элементы который расположены в нескольких зданиях, а именно: здание ЦОВ в административном центре и здание РЦОВ.
Система-112 имеет подключение к сетям общего пользования.
Информационная система является многопользовательской, то есть каждый сотрудник, допущенный к работе в информационной системе имеет собственный логин и пароль для аутентификации и авторизации.
Каждый работник, допущенный к работе в информационной системе имеет свои собственные права доступа к информации, перечень разрешенных действий в информационной системе и сферу ответственности.
Топология ГИС «Системы-112» представлена в приложении А на рисунке А.1.
Расположение элементов Системы-112 относительно границ контролируемой зоны уточняется на этапе внедрения подсистемы обеспечения информационной безопасности.
-
Технологическая информация
Исходя из проектной численности персонала в центрах обработки вызовов, минимальное количество автоматизированных рабочих мест равно 19.
Основной ЦОВ:
-
Операторский персонал – 9 человек
-
Технический персонал - 3 человека
Резервный ЦОВ:
-
Операторский персонал – 4 человека
-
Технический персонал - 3 человека
-
Структура обработки ПДн
-
Режим обработки ПДн
Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение персональных данных.
Все пользователи АС «Система-112» имеют собственные роли и, в соответствии с ролью, права доступа и разрешенные действия.
В таблице 8.1 и 8.2 представлен список ролей в виде матрицы доступа АС «Система-112».
Таблица 8.1 – Матрица доступа АС «Система-112»
| Привилегии и права, ресурс | Администратор АС «Система-112» | Администратор ИБ | Пользователи АС |
| Привилегии и права | |||
| Изменение настроек политик AD | + | - | - |
| Запрет изменения системных файлов на серверах БД | - | - | + |
| Удаленный доступ к АРМ пользователей | + | - | - |
| Вывод защищаемой информации на принтер | + | + | + |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | - | - |
| Запрет изменения системных файлов АРМ пользователей | - | + | + |
| Изменение личного пароля пользователя | + | - | - |
| Работа с системным журналом ОС | + | + | - |
| Возможность создания личных ресурсов на локальных АРМ | + | + | + |
| Возможность создания ресурсов на серверах БД | + | - | - |
| Восстановление информационных ресурсов серверов БД | + | - | - |
| Работа с системным журналом СЗИ | - | + | - |
| Установка, настройка, сопровождение СЗИ | - | + | - |
| Ресурс | |||
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA | RWA |
| Доступ к локальным папкам пользователей | RWAXD | - | RWAXD |
| Центральные БД ГИС | RWAXD | - | RWXD |
| Доступ к средствам управления БД | RWAXD | - | - |
| Доступ к средствам управления СЗИ | RWAXDS | ||
-
R - разрешение на открытие файлов только для чтения;
-
W - разрешение на открытие файлов для записи;
-
A - разрешение на создание файлов на диске/создание таблиц в БД;
-
D - разрешение на удаление файлов/записи в БД;
-
Х - разрешение на запуск программ;
-
S - разрешение на настройку средств защиты
-
Модель угроз безопасности ПДн и актуальные угрозы безопасности информации
В целях определения адекватных мер защиты персональных данных была проведена оценка актуальных угроз безопасности персональных данных и возможных источников этих угроз (нарушителей). Результатом оценки актуальности угроз безопасности ПДн является Модель вероятного нарушителя и угроз безопасности персональных данных, обрабатываемых в сегменте информационной системы АПК «Безопасный город».
Модель угроз безопасности персональных данных должна подвергаться периодическому пересмотру со стороны ответственных лиц (ответственный за обеспечение безопасности, ответственный за организацию обработки ПДн) и экспертной комиссией с целью поддержания соответствия перечня актуальных угроз особенностям обработки персональных данных в сегментах.
В ходе анализа исходных данных были выявлены актуальные угрозы и предложены меры противодействия им, представленные в таблице 8.1.
Таблица 8.1 – актуальные угрозы и меры по противодействию им
| № п/п | Наименование угрозы | Меры по противодействию угрозе | |
| Технические | Организационные | ||
| 1 | Уничтожение, хищение аппаратных средств АС носителей информации путем физического доступа к элементам АС; | Настройка технических средств защиты, реализующих регистрацию действий пользователей и резервное копирование | Разработка инструкции пользователя, правил и порядка доступа в помещения, в которых установлены технические средства, опечатывание корпусов компьютеров |
| 2 | Утечка видовой информации по техническим каналам; | Жалюзи на окна, расположение монитора | Инструкция пользователя |
| 3 | Обхода системы идентификации и аутентификации сообщений; | Настройка технических средств защиты от НСД, |
|
| 4 | Модификация базовой системы ввода/вывода (BIOS); | Настройка средств доверенной загрузки, установка паролей BIOS | Инструктаж работников |
| 5 | Угроза НСД с применением стандартных функций ОС; | Ограничить права на изменение настроек |
|
| 6 | Угроза НСД с применением прикладных программ; | Ограничить права на изменение настроек |
|
| 7 | Утечка информации с использованием копирования ее на машинные носители; |
| Исключение возможности несанкционированного доступа к носителям, пропускной режим |
| 8 | Внедрение вредоносных программ с использованием съемных носителей; | Настройка антивирусного средства и регулярное обновление антивирусных баз | Разработка инструкции по антивирусной защите |
| 9 | Перехват и взлом паролей; | Установка и настройка средств межсетевого экранирования, средств анализа защищенности | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей |
| 10 | Угроза подбора паролей доступа |
| Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей |
| 11 | Угроза НСД с использованием ошибок программного кода операционных систем | Контроль правил генерации и смены паролей пользователей, разработка парольной политики, инструкции пользователей | |
| 12 | Угроза НСД к информации при её передаче по каналам связи, имеющим выход за пределы контролируемой зоны. | Установка и настройка средств криптографической защиты информации |
|
-
Технические средства зашиты информации, предлагаемые для использования в Системе-112
Для всестороннего обеспечения безопасности информации, помимо организационных мер и встроенных средств защиты (в программных комплексах и операционных системах), необходимо использование дополнительных средств защиты информации, формирующих подсистема обеспечения информационной безопасности в Системе-112.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
