Пояснительная записка (1209970), страница 6
Текст из файла (страница 6)
Заключение по результатам аудита в сегменте информационной системы телекоммуникационной компании
(выписка)
В информационной системе телекоммуникационной компании обрабатываются персональные данные категории иных персональных данных (Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц. Параметры информационной системы отдела представлены в таблице А.1
Таблица А.1 – Параметры информационной системы телекоммуникационной компании
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | В пределах контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории персональных данных |
Программное обеспечение, установленное на АРМ пользователей представлены в таблице А.2.
Таблица А.2 – Программное обеспечение на АРМ пользователей
| АРМ | Наименование программного обеспечения | Тип программного обеспечения |
| Начальник подразделения | Microsoft Windows 10 PRO | Операционная система |
| 1С: Предприятие 8.2 | Специализированное ПО | |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
| Сотрудник ТОА | Microsoft Windows 10 PRO | Операционная система |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
| SNMPc agent | Специализированное ПО | |
| WinBox | Прикладное ПО |
| Продолжение таблицы А.2 | ||
| АРМ | Наименование программного обеспечения | Тип программного обеспечения |
| Сотрудник вневедомственной охраны | Microsoft Windows 10 PRO | Операционная система |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| Сотрудник по работе с действующими физическими клиентами | Microsoft Windows 10 PRO | Операционная система |
| 1С: Предприятие 8.2 | Специализированное ПО | |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
| Сотрудник по работе с новыми физическими клиентами | Microsoft Windows 10 PRO | Операционная система |
| 1С: Предприятие 8.2 | Специализированное ПО | |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
| Окончание таблицы А.2 | ||
| АРМ | Наименование программного обеспечения | Тип программного обеспечения |
| Сотрудник по работе с действующими бизнес клиентами | Microsoft Windows 10 PRO | Операционная система |
| 1С: Предприятие 8.2 | Специализированное ПО | |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
| Сотрудник по работе с новыми бизнес клиентами | Microsoft Windows 10 PRO | Операционная система |
| 1С:Предприятие 8.2 | Специализированное ПО | |
| Microsoft Office 2016 | Офисное ПО | |
| Kaspersky Endpoint Security РАСШИРЕННЫЙ | СЗИ | |
| WinRAR | Прикладное ПО | |
| Yandex.Browser | Прикладное ПО | |
| 7-Zip | Прикладное ПО | |
| Adobe Acrobat Reader | Офисное ПО | |
Приложение Б
Модель вероятного нарушителя угроз безопасности информации персональных данных обрабатываемых в сегменте информационной системы телекоммуникационной компании
(выписка)
Источниками угрозы персональных данных в ИСПДн могут быть:
-
нарушитель
-
вредоносное по
Наиболее вероятными нарушителями могут быть:
-
террористические, экстремистские группировки;
-
преступные группы (криминальные структуры);
-
внешние субъекты (физические лица);
-
конкурирующие организации;
-
разработчики, производители, поставщики программных, технических и программно-технических средств;
-
бывшие работники (пользователи);
-
технический персонал и обслуживающий персонал, который не допущен к обработке персональных данных;
-
пользователи ИСПДн;
-
разработчики и лица, обеспечивающие поставку, ремонт и сопровождение ТС ИСПДн;
Наиболее вероятными целями (мотивацией) реализации угроз для указанных видов нарушителей являются:
-
любопытство или желание самореализации (подтверждение статуса);
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
месть за ранее совершенные действия;
С целью создания определенного запаса прочности предполагается, что нарушитель владеет всей необходимой информацией, достаточными навыками, и знаниями для реализации угроз, а также обладает всеми средствами реализации угроз, соответствующими потенциалу нарушителя.
Актуальными угрозами для информационной системы персональных данных Техникума являются:
-
кража, модификация и уничтожение информации;
-
несанкционированное отключение средств защиты;
-
модификация ПО базовые системы ввода/вывода (BIOS);
-
загрузка нештатной (не доверенной) операционной системы;
-
действия вредоносных программ (вирусов);
-
установка ПО, не связанного с исполнением служебных обязанностей;
-
утрата атрибутов доступа и ключей;
-
разглашение (например, при разговорах, записывание на бумаге и т.п.) логинов и паролей;
-
неумышленная (случайная) модификация (искажение) доступной информации;
-
неумышленное (случайное) добавление (фальсификация) информации;
-
непреднамеренное отключение средств защиты;
-
доступ к информации сотрудниками, не допущенными к её обработке;
-
перехват информации за пределами контролируемой зоны;
-
угроза «сканирование сети»;
-
угроза выявления паролей;
-
угроза подмены доверенного объекта сети;
-
внедрение ложного объекта сети;
-
угрозы удаленного запуска приложений.
Приложение В
Аналитическое обоснование необходимости создания системы защиты персональных данных в сегменте информационной системы телекоммуникационной компании
(выписка)
Затраты на технические и программные средства защиты
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1
Таблица В.1 – Оориентировочная стоимость предлагаемых технических средств
| Продукт | Примерная стоимость, руб. |
| Средство защиты от несанкционированного доступа на 21 рабочее место | 400 000,00 |
| Средство анализа защищенности | 50 000,00 |
| Средство межсетевого экранирования и криптографической защиты | 500 000,00 |
| ИТОГО, руб. | 950 000,00 |
Затраты на установку и настройку средств защиты информации специалистами
К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты организации, специализирующихся на защиты информации.
Проведение испытаний системы защиты ИСПДн сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ИСПДн.
Проведение работ по оценке соответствия требованиям руководящих документов по защите ПДн в ИСПДн может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации. Стоимость работ приведена в таблице В.2
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
