2. Модель угроз (1209993), страница 2
Текст из файла (страница 2)
Настоящий документ содержит частную модель угроз безопасности информации, обрабатываемых в государственной информационной системе ЦОД (далее – модель угроз).
Модель угроз – документ, использующийся для:
-
выполнения работ по обеспечению безопасности информации;
-
разработки системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего уровня защищенности МИС;
-
проведения мероприятий, направленных на предотвращение несанкционированного доступа к информации и (или) передачи их лицам, не имеющим права доступа к такой информации;
-
недопущения воздействия на технические средства МИС, в результате которого может быть нарушено их функционирование;
-
контроля обеспечения уровня защищенности персональных данных.
В процессе развития государственной информационной системы ЦОД предполагается конкретизировать и пересматривать модель угроз.
Разработка модели угроз — необходимое условие для дифференцированного подхода к защите государственных информационных ресурсов при их обработке в МИС, и направлена на определение актуальных УБ в МИС и мероприятий, направленных на их нейтрализацию.
Модель угроз безопасности МИС ЦОД разработана в соответствии со следующими нормативными методическими документами и национальными стандартами:
-
Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской федерации от 01.11.2012 г. №1119;
-
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
-
Методические рекомендации по определению актуальных угроз безопасности информации в информационных системах
Источниками, на основе которых определяются актуальные угрозы, являются:
-
Банк данных угроз безопасности информации, разработанный ФСТЭК России;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
-
Заключение об аудите информационной системы Муниципального Казенного Учреждения "Комитет по содержанию объектов муниципальной собственности"
-
Описание информационной системы и особенностей её функционирования
-
Цель и задачи, решаемые информационной системой
-
Главная задача ЦОД – хранение, обработка и передача критично важной для заказчика информации, поэтому в инфраструктуру ЦОД входит множество сложных и резервируемых инженерных систем высокой надёжности. Одной из самых главных характеристик ЦОД является надёжность. В эту характеристику входит множество факторов: надёжность здания, электроснабжение, инженерные системы и коммуникации, установленное оборудование.
Целью защиты информации в системе центров обработки данных является исключение неправомерного доступа к информации, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, а также обеспечение функционирования центров обработки данных в штатном режиме, при котором обеспечивается соблюдение проектных предельных значений параметров выполнения целевых функций центров обработки данных.
Защита информации в ходе создания и эксплуатации системы центров обработки данных должна обеспечиваться в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в пределах компетенции. Защита информации с использованием криптографических (шифровальных) средств защиты информации должна обеспечиваться в соответствии с требованиями Федеральной службы безопасности Российской Федерации.
Система защиты информации в рамках системы центров обработки данных должна:
-
обеспечивать блокирование (нейтрализацию) угроз безопасности информации в системе центров обработки данных;
-
учитывать организационные и юридические аспекты защиты информации;
-
иметь подтверждение соответствия требованиям по защите информации (должна быть аттестована на соответствие требованиям по защите информации);
-
проходить периодический внутренний и внешний контроль состояния защиты информации.
Также необходимо реализовать мероприятия, направленные на обеспечение устойчивости и защищенности сетей связи общего пользования, в том числе от компьютерных атак.
Основными задачами ЦОД являются:
-
Эффективное консолидированное хранение и обработка данных.
-
Реализация конституционных прав граждан Российской Федерации на получение информации.
-
Удовлетворение информационных потребностей пользователей информационной системы.
-
Создание единого информационного пространства на территории поселка Ванино.
-
Предоставление пользователям прикладных сервисов
-
Обеспечение функционирования корпоративных приложений
-
Обеспечение информационной безопасности предоставляемых услуг.
-
Создание необходимых условий для бесперебойного предоставления данных пользователям и обеспечения все пользователей информационной системой необходимыми сервисами.
Правовым основанием обработки данных в ЦОД являются следующие нормативно-правовые акты:
-
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
-
«Трудовой кодекс РФ» от 30.12.2001 г. №197-ФЗ;
-
«Гражданский кодекс РФ»;
-
Конституция Российской Федерации
-
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
-
другие нормативно-правовые акты.
В ГИС (МИС) «ЦОД » обрабатываются следующие виды информации:
-
ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) ;
-
Служебная тайна;
-
Коммерческая тайна;
-
Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, те-лефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д);
-
Сведения, составляющие тайну следствия и судопроизводства;
-
Государственный информационный ресурс;
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
-
Описание структурно-функциональных характеристик информационной системы
В муниципальной информационной системе обрабатываются государственные информационные ресурсы различных категорий субъектов. Информация обрабатывается и хранится на серверах в пределах одной контролируемой зоны. Информация обрабатывается на 127 АРМ и 6 серверах.
Информация субъектов муниципальной информационной системы хранится распределено, на серверах БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Параметры информационной системы ЦОД представлены в таблице 4.2.
Таблица 4.2 – Параметры информационной системы ЦОД
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы |
|
| Используемым ИТ | Системы на основе виртуализации |
| Взаимодействие с иными информационными системами | Подключенная через выделенную инфраструктуру |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Расположенные в пределах одной контролируемой зоны |
| Размещение технических средств | ТС расположенные в пределах одной контролируемой зоны |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Без разделения |
| Сегментирование информационной системы | Система без сегментирования |
| Местонахождение технических средств информационной системы | Расположенные пределах одной контролируемой зоны |
| Объем обрабатываемых персональных данных | Более 100 тысяч субъектов персональных данных |
| Масштаб информационной системы | Объектовый |
-
Топология МИС ЦОД
Топология сети МИС ЦОД приведена в приложении А. Территориальное расположение элементов МИС относительно границ контролируемой зоны представлено в приложении Б.
-
Связь МИС ЦОД с другими организациями
Данный ЦОД предоставляет вычислительные ресурсы отдельным информационным системам, находящимся в здании администрации.
Перечень информационных систем, использующих вычислительные ресурсы ЦОД:
-
Администрация муниципального района
-
Комитет по приватизации и управлению имуществом
-
Контрольно-счетная палата Ванинского муниципального района Хабаровского края
-
Муниципальное Казенное Учреждение "Централизованная бухгалтерия администрации и муниципальных учреждений (МКУ "ЦБАиМУ")"
-
Муниципальное Казенное Учреждение "Централизованная бухгалтерия учреждений образования"
-
Отдел по делам опеки и попечительства по Ванинскому муниципальному району
-
Ванинский районный совет ветеранов войны и труда
-
Структура обработки информации
Информация в ЦОД хранится распределено на серверах и на жестких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
Каждое юридическое лицо при заключении договора на обработку информации указало свой класс защищенности информационной системы. Исходя из данных информационных систем наивысший классом защищенности для муниципальной информационной системы ЦОД является 2 класс защищённости ИС.
-
Модель вероятного нарушителя информационной безопасности
Источниками угроз безопасности информации в МИС могут быть:
-
нарушитель;
-
носитель вредоносной программы;
-
источники, не связанные с деятельностью человека (техногенные источники);
-
стихийные бедствия.
-
Описание возможных нарушителей
По наличию права постоянного или разового доступа в контролируемую зону (КЗ) МИС нарушители подразделяются на два типа:
-
внешние нарушители — физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС;
-
внутренние нарушители — физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС.
Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ИС и контролю порядка проведения работ.
-
Внешний нарушитель
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.
Внешний нарушитель может:
– осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;
– осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного ин-формационного обмена;
– осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИС, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
