3. Модель угроз (1209964), страница 2
Текст из файла (страница 2)
ПТС – программно-технические средства
ПЭВМ – персональная электронно-вычислительная машина
РД – руководящий документ
СВТ – средства вычислительной техники
СЗИ – система защиты информации
СКЗИ – средства криптографической защиты информации
СПО – специальное программное обеспечение
СрЗИ – средства защиты информации
ТЗ – техническое задание
ТС – технические средства
ТП – технический проект
ФСБ – Федеральная служба безопасности
ФСТЭК – Федеральная служба технического и экспортного контроля
-
Общие положения
Модель угроз подготовлена и составлена в связи выполнением работ анализа угроз безопасности в информационной системе персональных данных в сегменте информационной системы телекоммуникационной компании общества с ограниченной ответственностью «Рэдком – Розничные Услуги» и подчиняется генеральному директору телекоммуникационной компании.
Настоящий документ содержит частную модель угроз информационной безопасности, обрабатываемой в информационной системе персональных данных информационной системы.
Данный документ используется для разработки системы защиты персональных данных, выполнения мероприятий для обеспечения безопасности информации согласно уровню защищенности ИСПДн. Так же, этот документ используется для проведения ряда мероприятий для предотвращения несанкционированного доступа к информационной системе, содержащей персональные данные и конфиденциальную информацию, угрозы передачи информации лицам, не имеющим прав доступа к такой информации, недопущения воздействия на технические средства ИСПДн, контроля обеспечения уровня защищенности персональных данных
Данный документ является необходимым условием для обеспечения к дифференцированному подходу, чтобы защитить персональные данные при их обработке в информационной системе персональных данных и направлена на определение угроз безопасности персональных данных в информационной системе персональных данных и мер, и мероприятий, направленных на предотвращения и устранение.
Документ разработан в соответствии с нормативной документацией и стандартами, к которым относят:
-
Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27.07.2006 г. №152-ФЗ (ред. От 22.02.2017) «О персональных данных»;
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. №1119
-
Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора Федеральной службы по техническому и экспортному контролю России);
-
Перечень мер, направленных на обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденный постановлением Правительства Российской Федерации от 21.03.2012 г. №211;
-
Методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный Заместителем директора Федеральной службы по техническому и экспортному контролю России 14 февраля 2008 г.;
-
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены руководством 8 Центра Федеральной службы безопасности России 21 февраля 2008 года № 149/6/6-622);
-
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра Федеральной службы безопасности России 21 февраля 2008 г. №149/54-144)
-
Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Актуальные угрозы определяются на основе источников:
-
Банк данных угроз безопасности информации, разработанный Федеральной службы по техническому и экспортному контролю России;
-
Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. Заместителем директора Федеральной службы по техническому и экспортному контролю России);
-
Описание информационной системы
-
Цели информационной системы и её задачи
Информационная система персональных данных телекоммуникационной компании позволяет вести учет, собирать, хранить, использовать, уничтожать персональные данные клиентов и сотрудников в базе данных с целью предоставления услуг связи клиентам, изменение тарификации, способов оплаты, проведения расчетов списывания платы за услуги, проведение расчетов плат сотрудников, формирования различных внутренних отчетов и проектов.
Основные задачи подразделения телекоммуникационной компании.
-
Прием заявок на подключение от физических лиц, которые еще не обслуживаются телекоммуникационной компанией;
-
Прием заявок на подключение дополнительных услуг от физических лиц, которые обслуживаются телекоммуникационной компанией;
-
Прием заявок на изменение услуг или тарифов от физических лиц, которые обслуживаются телекоммуникационной компанией;
-
Прием заявок на подключение от юридических лиц, которые еще не обслуживаются телекоммуникационной компанией;
-
Прием заявок на подключение дополнительных услуг от юридических лиц, которые обслуживаются телекоммуникационной компанией;
-
Прием заявок на изменение услуг или тарифов от юридических лиц, которые обслуживаются телекоммуникационной компанией;
-
Создание полной и фактической информации о всех процессах и делах подразделения, необходимых для быстрого руководства и управления, а также для передачи отчетов в надзорные организации, такие как налоговые, банковские органы, инвесторы, поставщики, и иные заинтересованные организации.
-
Обеспечение контроля рационального использования производственных ресурсов в соответствии с утвержденными нормами компании.
-
Своевременное реагирование на негативные явления в деятельности телекоммуникационной компании
-
Оценки качества работы компании, для увеличения рабочих мощностей, повышения качества всех услуг, и привлечения большего количества потенциальных клиентов.
-
Описание структурно-функциональных характеристик информационной системы компании
Описание структурно – функциональных характеристик информационной системы телекоммуникационной компании можно увидеть в таблице 1.
Таблица 1. Параметры информационной системы
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | В пределах контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории персональных данных |
Топологию сети и территориальное расположение ИСПДн в подразделении телекоммуникационной компании можно увидеть в документе «Заключение по результатам аудита в ф сегменте информационной системы телекоммуникационной компании».
-
Тип ИСПДн, категории и объем ПДн
В информационной системе телекоммуникационной компании обрабатываются иные категории персональных данных согласно Федеральному закону от 27.07.2006 №152-ФЗ (ред. От 22.02.2017) «О персональных данных».
Субъекты персональных данных, которые обрабатываются в подразделении:
-
Работники ООО «Рэдком-РУ»
-
Физические лица, состоящие в договорных и иных гражданско-правовых отношениях с ООО «Рэдком-РУ»
-
Юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с ООО «Рэдком-РУ»
Подразделение телекоммуникационной компании ООО «Рэдком – РУ» обрабатывает следующий перечень персональных данных сотрудников:
-
Фамилия
-
Имя
-
Отчество
-
Пол
-
Дата рождения
-
Место рождения
-
Место регистрации
-
Место физического проживания
-
Сведение об образовании
-
Сведения о состоянии в браке
-
Сведения о воинском учете
-
Дата начала и конца обучения
-
Квалификация
-
Наименование учебного заведения
-
Информация о повышении квалификации
-
Данные об отпуске
-
Гражданство
-
Данные о детях
-
Сведения о знании языков
-
СНИЛС
-
ИНН
-
Реквизиты документа о присвоении квалификационной категории
-
Табельный номер
-
Должность
-
Подразделение
-
Категория
-
Характер работы
-
Вид работы
-
Стаж работы
-
Основание исчисления стажа
-
Место работы
-
Средний заработок
-
Дата приема на работу
-
Дата увольнения
-
Оклад
-
Ставка
-
Льготы
-
Пособия
-
Выработанные часы
Подразделение телекоммуникационной компании ООО «Рэдком – РУ» обрабатывает следующий перечень персональных данных клиентов:
-
Фамилия
-
Имя
-
Отчество
-
Пол
-
Дата рождения
-
Место рождения
-
Место регистрации
-
Место физического проживания
-
СНИЛС
-
Гражданство
-
Вид и номер документа, удостоверяющего личность (Паспорт, доверенность с копией паспорта)
-
Адрес, по которому предоставляются услуги
-
Контактный телефон
-
Факс
-
Электронный почтовый ящик
-
ИНН
-
Виды предоставляемых услуг
-
Тарификация услуг
-
Текущий баланс лицевого счета
-
Банковский счет
-
Данные подключения
-
Льготы
-
Акции
-
Почтовый адрес
-
Связь ИСПДн с другими системами
Информационная система персональных данных подразделения ООО «Рэдком-РУ» обменивается информацией с центром обработки данных телекоммуникационной компании (обмен осуществляется в электронном виде), так же происходит обмен информации с надзорными организациями в бумажном виде. С иными юридическими и физическими лицами обмен совершается также в бумажных носителях.
-
Обработка персональных данных
Автоматизированная обработка специальных персональных данных работников, физических и юридических лиц, состоящих в гражданско-правовых отношениях с телекоммуникационной компанией, осуществляется на 21 АРМ и серверах, которые находятся в ЦОДе.
ПДн хранятся на серверах БД и на жестких дисках АРМ пользователей, доступ к которым имеет ограниченный перечень лиц. На АРМ работают основные сотрудники и сменные.
Элементы ИСПДн расположены на двух этажах, все АРМ подключены основной ЛВС телекоммуникационной компании через проводной кабель, а передача ПДн от подразделения до ЦОДа осуществляется через волоконно-оптический кабель ведущий в другое здание.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
