• 
  в случае обеспечения безопасности информации без использования СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России;
  
• 
  в случае определения необходимости обеспечения безопасности информации с использованием СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России и ФСБ России.
  

1. 
   Перечень нормативных правовых актов, методических документов и национальных стандартов, используемый для оценки угроз безопасности информации и разработки Модели угроз, представлен в Приложении № 1.
   
1. 
   Оцениваемые угрозы
   
   1. 
      Модель угроз содержит результаты оценки антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, и техногенных источников угроз. При этом в настоящей Модели угроз не рассматриваются угрозы, связанные с техническими каналами утечки информации (далее – ТКУИ), по причинам, перечисленным в таблице 1.
      

Таблица 1 – Обоснования исключения угроз, реализуемых за счет ТКУИ

№ п/п	Угрозы, связанные с техническими каналами утечки информации	Обоснование исключения
1.	Угрозы утечки акустической (речевой) информации*	Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящую специализированную аппаратуру, регистрирующую акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки информации, ВТСС и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз
2.	Угрозы утечки видовой информации*	Характеризуются наличием высококвалифицированных нарушителей, использующих специализированные оптические (оптико-электронные) средства для просмотра информации с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав системы. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз
3.	Угрозы утечки информации по каналам ПЭМИН	Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящие специализированные технические средства перехвата побочных (не связанных с прямым функциональным значением элементов системы) информативных электромагнитных полей и электрических сигналов, возникающих при обработке информации техническими средствами системы. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз

---

* За исключением угроз, характеризующихся использованием нарушителями портативных (мобильных) устройств съема информации (планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).

4. 
   Ответственность за обеспечение защиты информации (безопасности)
   
   1. 
      Ответственными за обеспечение безопасности ГИС «Наименование системы» приказом Руководителя назначены должностные лица , представленные в таблице 2.
      

Таблица 2 – Ответственные за обеспечение защиты информации (безопасности)

№ п/п	Роль подразделения / должностного лица	Должностное лицо
1.	Ответственный за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения составляющие государственную тайну	Должность
2.	Ответственный за планирование и контроль мероприятий по обеспечению информационной безопасности	Должность
3.	Ответственный за управление (администрирование) системой защиты информации (подсистемой безопасности)	Должность
4.	Ответственный за выявление компьютерных инцидентов и реагирование на них	Должность
5.	Сотрудник, которому разрешены действия по внесению изменений в конфигурацию	Должность

5. 
   Особенности пересмотра Модели угроз
   
   1. 
      Настоящая Модель угроз может быть пересмотрена:
      

• 
  по решению ________________ на основе периодически проводимых анализа и оценки угроз безопасности защищаемой информации с учетом особенностей и (или) изменений ГИС «Наименование системы»;
  
• 
  в случае возникновения (обнаружения) новых уязвимостей и угроз безопасности информации;
  
• 
  в случае изменения федерального законодательства в части оценки угроз безопасности информации;
  
• 
  в случае появления новых угроз в используемых источниках данных об угрозах безопасности информации;
  
• 
  в случае изменения структурно-функциональных характеристик, применяемых информационных технологий или особенностей функционирования ГИС «Наименование системы»;
  
• 
  в случае появления сведений и (или) фактов о новых возможностях потенциальных нарушителей;
  
• 
  в случаях выявления инцидентов информационной безопасности в ГИС «Наименование системы» и (или) взаимодействующих (смежных) системах.
  

---

3. 
   Описание систем и сетей и их характеристика как объектов защиты
   
   1. 
      Общее описание объекта оценки угроз
      
      1. 
         Настоящая Модель угроз разработана в отношении ГИС «Наименование системы».
         
      2. 
         Основные характеристики ГИС «Наименование системы»:
         
      3. 
         Основания создания (функционирования):
         

• 
  …,
  
• 
  …..
  
• 
  …..
  

1. 
   Назначение: ______________________________.
   
2. 
   Состав обрабатываемой информации:
   

• 
  Персональные данные;
  
• 
  Информация, содержащаяся в ГИС (__________________).
  

1. 
   Основные процессы (бизнес-процессы), для обеспечения которых создана ГИС «Наименование системы»:
   

• 
  Прием и заполнение запросов о предоставлении государственных или муниципальных услуг (Предполагает осуществление мероприятий по приему запросов о предоставлении государственных или муниципальных услуг, в том числе посредством автоматизированных информационных систем многофункциональных центров, а также прием комплексных запросов);
  
• 
  Представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги (Предполагает: представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги; представление интересов заявителей при взаимодействии с организациями, участвующими в предоставлении государственных и муниципальных услуг, в том числе с использованием информационно-технологической и коммуникационной инфраструктуры);
  
• 
  Реализация межведомственного взаимодействия (Реализует функции информационного взаимодействия: с другими ведомствами в рамках процессов исполнения функций; с централизованными региональными и федеральными информационными ресурсами).
  

7. 
   Класс защищенности ГИС: 2.
   
8. 
   Уровень защищенности ПДн: 3.
   
9. 
   Группы внешних и внутренних пользователей ГИС «Наименование системы», уровни их полномочий и типов доступа
   

В ГИС «Наименование системы» предусмотрено разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и определены следующие роли:

---

• 
  лица, осуществляющие администрирование и обеспечение функционирования подсистемы информационной безопасности (системы защиты информации), сотрудники Оператор (далее – Администраторы ИБ);
  
• 
  лица, осуществляющие системное администрирование ГИС «Наименование системы» на основании действующего контракта технической поддержки, разработчики прикладного ПО (далее – Разработчики);
  
• 
  лица, обеспечивающие функционирование виртуальной инфраструктуры, сетевого и коммутационного оборудования, сотрудники Оператора (далее – Ответственные за функционирование).
  

Все вышеперечисленные группы относятся к категории внутренних пользователей согласно разделу по идентификации и аутентификации пользователей методического документа «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России от 11 февраля 2014 г.), где указано, что:

• 
  к внутренним пользователям относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи.
  
• 
  в качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
  

К внешним пользователям в ГИС «Наименование системы» относятся:

• 
  граждане РФ и других стран, государственные и муниципальные служащие (далее – Пользователи).
  

Для перечисленных групп пользователей установлены соответствующие уровни полномочий и типы доступа (Таблица 2).

Таблица 2 – Уровни полномочий и типы доступа групп пользователей
№ п/п	Наименование защищаемого ресурса	Условное имя группы пользователей	Типы доступа в соответствии со структурно-функциональными характеристиками ГИС
	Обрабатываемая информация	Пользователи	Чтение
		Администраторы ИБ
		Ответственные за функционирование
		Разработчики	Полный доступ (чтение, запись, удаление) Чтение всех ресурсов системы
	Управляющая информация средств защиты информации (конфигурационные параметры и настройки средств защиты информации)	Администраторы ИБ	Полный доступ (чтение, запись, удаление, выполнение)
		Разработчики	Чтение
		Ответственные за функционирование	Нет доступа
		Пользователи
	Средства администрирования операционной системы серверов, средства системы управления базами данных, средства администрирования прикладного ПО ГИС	Разработчики	Полный доступ (чтение, запись, удаление, выполнение)
		Администраторы ИБ	Чтение
		Ответственные за функционирование	Нет доступа
		Пользователи
	Средства администрирования виртуальной инфраструктуры	Ответственные за функционирование	Полный доступ (чтение, запись, удаление, выполнение)
		Пользователи	Нет доступа
		Разработчики
		Администраторы ИБ

---

2. 
   Состав и архитектура объекта оценки
   
   1. 
      Состав ГИС «Наименование системы» определен в таблице 3.
      

Таблица 3 – Состав ГИС «Наименование системы»

№ п/п	Характеристика	Значение характеристики
	Виртуальные сервера	Сервер приложений – 4 Файловое хранилище – 1 Сервер баз данных – 4
	Программно-аппаратные средства	АРМ администратора – 1 АРМ администратора ИБ – 1
	Пользовательский сегмент	Государственные и муниципальные служащие – в полном объеме функциональных прав для работы со своими объектами управления и с доступом на чтение всех ресурсов ГИС «Наименование системы». Граждане РФ и других стран без ограничений – доступ к публичным ресурсам и сервисам ГИС «Наименование системы». Пользователи работают в системе через веб-интерфейс с любого браузера. Все сведения вносятся в базы данных, расположенные на серверах; хранение информации локально не осуществляется.
	Общесистемное программное обеспечение	Операционные системы серверов: Astra Special Edition «Смоленск» 1.6 Операционные системы АРМ: Microsoft Windows 10 Pro
	Прикладное программное обеспечение Служебного контура	Сервер приложений: КриптоПро Amber SmevIntegration Solr Nginx Docker КриптоПро Java CSP Сервер приложений 2: Diamond Dotnet Docker Nginx Libre Office Сервер БД, Сервер БД2: PostGis PostgreSQL ГИС-сервер, ГИС-Сервер 2: Geoserver Файловое хранилище: FileStorage
	Прикладное программное обеспечение открытого контура	Сервер приложений: Agate nginx Solr Docker ГИС-сервер: Geoserver Сервер БД: PostGis PostgreSQL
	Средства защиты информации	Средства защиты информации отсутствуют

1   2   3   4   5   6   7   8   9   ...   14

---

Смотрите также файлы

• 04. 11. 2021 жыла жеке зейнетаы шотындаы (шоттарындаы) аша алдытары туралы жне оны озалысы туралы.docx

• Дипломная работа специальность 0105104 Прикладной бакалавр начального образования.docx

• Дисциплина Иностранный язык.doc

• Дипломная работа по современному русскому языку Городецкая О. С. Сарань 2020 Содержание.docx

• 47.doc