ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.04.2024
Просмотров: 50
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
в случае обеспечения безопасности информации без использования СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России; -
в случае определения необходимости обеспечения безопасности информации с использованием СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России и ФСБ России.
-
Перечень нормативных правовых актов, методических документов и национальных стандартов, используемый для оценки угроз безопасности информации и разработки Модели угроз, представлен в Приложении № 1.
-
Оцениваемые угрозы-
Модель угроз содержит результаты оценки антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, и техногенных источников угроз. При этом в настоящей Модели угроз не рассматриваются угрозы, связанные с техническими каналами утечки информации (далее – ТКУИ), по причинам, перечисленным в таблице 1.
-
Таблица 1 – Обоснования исключения угроз, реализуемых за счет ТКУИ
№ п/п | Угрозы, связанные с техническими каналами утечки информации | Обоснование исключения |
1. | Угрозы утечки акустической (речевой) информации* | Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящую специализированную аппаратуру, регистрирующую акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки информации, ВТСС и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз |
2. | Угрозы утечки видовой информации* | Характеризуются наличием высококвалифицированных нарушителей, использующих специализированные оптические (оптико-электронные) средства для просмотра информации с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав системы. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз |
3. | Угрозы утечки информации по каналам ПЭМИН | Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящие специализированные технические средства перехвата побочных (не связанных с прямым функциональным значением элементов системы) информативных электромагнитных полей и электрических сигналов, возникающих при обработке информации техническими средствами системы. Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз |
* За исключением угроз, характеризующихся использованием нарушителями портативных (мобильных) устройств съема информации (планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).
-
Ответственность за обеспечение защиты информации (безопасности)-
Ответственными за обеспечение безопасности ГИС «Наименование системы» приказом Руководителя назначены должностные лица , представленные в таблице 2.
-
Таблица 2 – Ответственные за обеспечение защиты информации (безопасности)
№ п/п | Роль подразделения / должностного лица | Должностное лицо |
1. | Ответственный за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения составляющие государственную тайну | Должность |
2. | Ответственный за планирование и контроль мероприятий по обеспечению информационной безопасности | Должность |
3. | Ответственный за управление (администрирование) системой защиты информации (подсистемой безопасности) | Должность |
4. | Ответственный за выявление компьютерных инцидентов и реагирование на них | Должность |
5. | Сотрудник, которому разрешены действия по внесению изменений в конфигурацию | Должность |
-
Особенности пересмотра Модели угроз-
Настоящая Модель угроз может быть пересмотрена:
-
-
по решению ________________ на основе периодически проводимых анализа и оценки угроз безопасности защищаемой информации с учетом особенностей и (или) изменений ГИС «Наименование системы»; -
в случае возникновения (обнаружения) новых уязвимостей и угроз безопасности информации; -
в случае изменения федерального законодательства в части оценки угроз безопасности информации; -
в случае появления новых угроз в используемых источниках данных об угрозах безопасности информации; -
в случае изменения структурно-функциональных характеристик, применяемых информационных технологий или особенностей функционирования ГИС «Наименование системы»; -
в случае появления сведений и (или) фактов о новых возможностях потенциальных нарушителей; -
в случаях выявления инцидентов информационной безопасности в ГИС «Наименование системы» и (или) взаимодействующих (смежных) системах.
-
Описание систем и сетей и их характеристика как объектов защиты-
Общее описание объекта оценки угроз-
Настоящая Модель угроз разработана в отношении ГИС «Наименование системы». -
Основные характеристики ГИС «Наименование системы»: -
Основания создания (функционирования):
-
-
-
…, -
….. -
…..
-
Назначение: ______________________________. -
Состав обрабатываемой информации:
-
Персональные данные; -
Информация, содержащаяся в ГИС (__________________).
-
Основные процессы (бизнес-процессы), для обеспечения которых создана ГИС «Наименование системы»:
-
Прием и заполнение запросов о предоставлении государственных или муниципальных услуг (Предполагает осуществление мероприятий по приему запросов о предоставлении государственных или муниципальных услуг, в том числе посредством автоматизированных информационных систем многофункциональных центров, а также прием комплексных запросов); -
Представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги (Предполагает: представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги; представление интересов заявителей при взаимодействии с организациями, участвующими в предоставлении государственных и муниципальных услуг, в том числе с использованием информационно-технологической и коммуникационной инфраструктуры); -
Реализация межведомственного взаимодействия (Реализует функции информационного взаимодействия: с другими ведомствами в рамках процессов исполнения функций; с централизованными региональными и федеральными информационными ресурсами).
-
Класс защищенности ГИС: 2. -
Уровень защищенности ПДн: 3. -
Группы внешних и внутренних пользователей ГИС «Наименование системы», уровни их полномочий и типов доступа
В ГИС «Наименование системы» предусмотрено разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и определены следующие роли:
-
лица, осуществляющие администрирование и обеспечение функционирования подсистемы информационной безопасности (системы защиты информации), сотрудники Оператор (далее – Администраторы ИБ); -
лица, осуществляющие системное администрирование ГИС «Наименование системы» на основании действующего контракта технической поддержки, разработчики прикладного ПО (далее – Разработчики); -
лица, обеспечивающие функционирование виртуальной инфраструктуры, сетевого и коммутационного оборудования, сотрудники Оператора (далее – Ответственные за функционирование).
Все вышеперечисленные группы относятся к категории внутренних пользователей согласно разделу по идентификации и аутентификации пользователей методического документа «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России от 11 февраля 2014 г.), где указано, что:
-
к внутренним пользователям относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи. -
в качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
К внешним пользователям в ГИС «Наименование системы» относятся:
-
граждане РФ и других стран, государственные и муниципальные служащие (далее – Пользователи).
Для перечисленных групп пользователей установлены соответствующие уровни полномочий и типы доступа (Таблица 2).
Таблица 2 – Уровни полномочий и типы доступа групп пользователей | |||
№ п/п | Наименование защищаемого ресурса | Условное имя группы пользователей | Типы доступа в соответствии со структурно-функциональными характеристиками ГИС |
| Обрабатываемая информация | Пользователи | Чтение |
Администраторы ИБ | |||
Ответственные за функционирование | |||
Разработчики | Полный доступ (чтение, запись, удаление) Чтение всех ресурсов системы | ||
| Управляющая информация средств защиты информации (конфигурационные параметры и настройки средств защиты информации) | Администраторы ИБ | Полный доступ (чтение, запись, удаление, выполнение) |
Разработчики | Чтение | ||
Ответственные за функционирование | Нет доступа | ||
Пользователи | |||
| Средства администрирования операционной системы серверов, средства системы управления базами данных, средства администрирования прикладного ПО ГИС | Разработчики | Полный доступ (чтение, запись, удаление, выполнение) |
Администраторы ИБ | Чтение | ||
Ответственные за функционирование | Нет доступа | ||
Пользователи | |||
| Средства администрирования виртуальной инфраструктуры | Ответственные за функционирование | Полный доступ (чтение, запись, удаление, выполнение) |
Пользователи | Нет доступа | ||
Разработчики | |||
Администраторы ИБ |
-
Состав и архитектура объекта оценки-
Состав ГИС «Наименование системы» определен в таблице 3.
-
Таблица 3 – Состав ГИС «Наименование системы»
№ п/п | Характеристика | Значение характеристики |
| Виртуальные сервера | Сервер приложений – 4 Файловое хранилище – 1 Сервер баз данных – 4 |
| Программно-аппаратные средства | АРМ администратора – 1 АРМ администратора ИБ – 1 |
| Пользовательский сегмент | Государственные и муниципальные служащие – в полном объеме функциональных прав для работы со своими объектами управления и с доступом на чтение всех ресурсов ГИС «Наименование системы». Граждане РФ и других стран без ограничений – доступ к публичным ресурсам и сервисам ГИС «Наименование системы». Пользователи работают в системе через веб-интерфейс с любого браузера. Все сведения вносятся в базы данных, расположенные на серверах; хранение информации локально не осуществляется. |
| Общесистемное программное обеспечение | Операционные системы серверов: Astra Special Edition «Смоленск» 1.6 Операционные системы АРМ: Microsoft Windows 10 Pro |
| Прикладное программное обеспечение Служебного контура | Сервер приложений:
Сервер приложений 2:
Сервер БД, Сервер БД2:
ГИС-сервер, ГИС-Сервер 2: Geoserver Файловое хранилище: FileStorage |
| Прикладное программное обеспечение открытого контура | Сервер приложений:
ГИС-сервер: Geoserver Сервер БД:
|
| Средства защиты информации | Средства защиты информации отсутствуют |
1 2 3 4 5 6 7 8 9 ... 14