ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.04.2024
Просмотров: 49
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
ГИС «Наименование системы» представляет собой распределенную систему (комплекс автоматизированных рабочих мест, коммуникационного и серверного оборудования, территориально размещенных в одном или нескольких субъектах РФ и объединенных в единую систему с использованием сетей электросвязи) со следующими характеристиками:-
Подключение к сетям электросвязи, включенным в состав единой сети электросвязи Российской Федерации – отсутствует. -
Подключение к информационно-телекоммуникационной сети «Интернет» – осуществляется на открытых контурах портала . -
В ГИС «Наименование системы» осуществляется взаимодействие с системами и сетями других организаций.
-
Таблица 5 – Взаимодействие ГИС «Наименование системы» с другими системами
Наименование системы | Цель взаимодействия | Характеристики взаимодействия |
Единая система идентификации и аутентификации (ЕСИА) | Для соблюдения законодательства по идентификации и аутентификации пользователей в информационной системе | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Система межведомственного электронного взаимодействия(СМЭВ 3.0) | Для подключения видов сведений | Канал: Сеть связи общего пользования Способ: Периодичность: Постоянно |
Единый портал государственных услуг (ЕПГУ) | Интеграция с целью автоматизации оказания муниципальных услуг | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Федеральная государственная информационная система Единого государственного реестра недвижимости(ФГИС ЕГРН) | Запрос сведений Единого государственного реестра недвижимости | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Единый государственный реестр юридических лиц (ЕГРЮЛ) | Запрос сведений о юридических лицах | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Единая информационная система жилищного строительства (ЕИСЖС) | Передача сведений о разрешениях на строительство, внесения в них изменений, прекращения разрешений на строительство, разрешений на ввод объектов в эксплуатацию жилищного строительства | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Государственная информационная система о государственных и муниципальных платежах (ГИС ГМП) | Начисление и получение платежей за оказание платных услуг | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
Информационная система управления проектами (ИСУП) | Для обмена сведениями об информационных моделях объектов капитального строительства | Канал: Сеть связи общего пользования Способ: API Периодичность: Постоянно |
-
В ГИС «Наименование системы» не осуществляется взаимодействие с другими системами Оператора. -
К информационным ресурсам ГИС «Наименование системы» не осуществляется локальный доступ. -
К информационным ресурсам ГИС «Наименование системы» осуществляется удаленный доступ. Особенности удаленного доступа приведены в таблице 4.
Таблица 4 – Удаленный доступ
Лица, осуществляющие удаленный доступ | Цель доступа | Способ доступа | Куда осуществляется доступ? |
Сотрудник организации | Администрирование, ведение | SSH | Ко всем узлам системы |
-
Схема интерфейсов взаимодействия и компонетов ГИС «Наименование системы» представлена в Приложении № 2.
-
Технологии, используемые в ГИС «Наименование системы» отражены в таблице 5.
Таблица 5 – Технологии, используемые в ГИС «Наименование системы»
№ п/п | Технология | Используется / Не используется |
1. | Съемные носители информации | Не используются |
2. | Технология виртуализации | Используются |
3. | Технология беспроводного доступа | Не используются |
4. | Мобильные технические средства | Не используются |
5. | Веб-серверы | Используются |
6. | Технология веб-доступа | Используются |
7. | Smart-карты | Не используются |
8. | Технологии грид-систем | Не используются |
9. | Технологии суперкомпьютерных систем | Не используются |
10. | Большие данные | Не используются |
11. | Числовое программное оборудование | Не используются |
12. | Одноразовые пароли | Не используются |
13. | Электронная почта | Не используется |
14. | Технология передачи видеоинформации | Не используется |
15. | Технология удаленного рабочего стола | Не используются |
16. | Технология удаленного администрирования | Используются |
17. | Технология удаленного внеполосного доступа | Не используются |
18. | Технология передачи речи | Не используются |
19. | Технология искусственного интеллекта | Не используются |
-
ГИС «Наименование системы» функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных (далее – ЦОД). Сведения об используемом ЦОД представлены в таблице 6.
Таблица 6 – Сведения о поставщике вычислительных услуг
Характеристика | Значение характеристики |
Поставщик вычислительных услуг | |
Модель предоставления вычислительных услуг | |
Адрес размещения ЦОД | |
Наименование организации, выдавшей аттестат соответствия ЦОД | |
Номер аттестата ЦОД | |
Дата выдачи аттестата ЦОД | |
Срок действия аттестата ЦОД | Бессрочно |
Сведения об оценке угроз безопасности информации поставщиком вычислительных услуг | Поставщик услуг оценил угрозы информации и предоставил результаты такой оценки. Результаты представлены в Модели угроз безопасности информации _____________ от __________ |
Условия использования информационно-телекоммуникационной инфраструктуры ЦОД | Условия использования ЦОД описаны в документе «Регламент предоставления вычислительных ресурсов (мощностей) в центре обработки данных» (далее – Регламент) |
Распределение ответственности за защиту информации | Распределение ответственности за защиту информации описано в приложении № 2 к Регламенту «Требования по обеспечению информационной безопасности, предъявляемые к информационным системам при их размещении (внедрении) в центре обработки данных» |
-
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации-
В ходе оценки угроз безопасности информации определяются негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации. -
Негативные последствия определяются применительно к нарушению основных (критических) процессов (бизнес-процессов), выполнение которых обеспечивает ГИС «Наименование системы», и применительно к нарушению безопасности информации, содержащейся в ГИС «Наименование системы». -
На основе анализа исходных данных ГИС «Наименование системы» определены негативные последствия, которые приводят к видам рисков (ущерба), представленные в таблице 7.
-
Таблица 7 – Виды рисков (ущерба) и негативные последствия
Идентификатор | Негативные последствия | Вид риска (ущерба) |
НП.1 | Разглашение персональных данных граждан | У1. Ущерб физическому лицу |
НП.2 | Непредоставление государственных услуг | У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности |
НП.3 | Нарушение неприкосновенности частной жизни | У1. Ущерб физическому лицу |
НП.4 | Нарушение личной, семейной тайны, утрата чести и доброго имени | У1. Ущерб физическому лицу |
НП.5 | Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах | У1. Ущерб физическому лицу |
НП.6 | Нарушение конфиденциальности (утечка) персональных данных | У1. Ущерб физическому лицу |
НП.7 | Нарушение законодательства Российской Федерации (юридическое лицо, индивидуальный предприниматель) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.8 | Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.9 | Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.10 | Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.11 | Принятие неправильных решений | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.12 | Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
НП.13 | Отсутствие доступа к государственной услуге | У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности |
1 2 3 4 5 6 7 8 9 ... 14
-
Возможные объекты воздействия угроз безопасности информации-
В ходе оценки угроз безопасности информации определяются информационные ресурсы и компоненты ГИС «Наименование системы», несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям, определенным в разделе 4 настоящей Модели угроз, – объектов воздействия. -
Объекты воздействия определялись для реальной архитектуры и условий функционирования ГИС «Наименование системы» на основе анализа исходных данных и проведенной инвентаризации. -
Определение объектов воздействия производилось на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей. -
В отношении каждого объекта воздействия определялись виды воздействия на него, которые могут привести к негативным последствиям. Рассматриваемые виды воздействия представлены в таблице 8.
-
Таблица 8 – Виды воздействия
Идентификатор | Вид воздействия |
ВВ.1 | утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) |
ВВ.2 | несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным |
ВВ.3 | отказ в обслуживании компонентов (нарушение доступности) |
ВВ.4 | несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) |
ВВ.5 | несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач |
ВВ.6 | нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации |
-
Итоговый перечень объектов воздействия со списком возможных видов воздействия на них, реализация которых может привести к негативным последствиям, представлен в таблице 9.