ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.04.2024
Просмотров: 49
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
ГИС «Наименование системы» представляет собой распределенную систему (комплекс автоматизированных рабочих мест, коммуникационного и серверного оборудования, территориально размещенных в одном или нескольких субъектах РФ и объединенных в единую систему с использованием сетей электросвязи) со следующими характеристиками:-
Подключение к сетям электросвязи, включенным в состав единой сети электросвязи Российской Федерации – отсутствует. -
Подключение к информационно-телекоммуникационной сети «Интернет» – осуществляется на открытых контурах портала . -
В ГИС «Наименование системы» осуществляется взаимодействие с системами и сетями других организаций.
-
Таблица 5 – Взаимодействие ГИС «Наименование системы» с другими системами
| Наименование системы | Цель взаимодействия | Характеристики взаимодействия |
| Единая система идентификации и аутентификации (ЕСИА) | Для соблюдения законодательства по идентификации и аутентификации пользователей в информационной системе | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Система межведомственного электронного взаимодействия(СМЭВ 3.0) | Для подключения видов сведений | Канал: Сеть связи общего пользования Способ: Периодичность: Постоянно |
| Единый портал государственных услуг (ЕПГУ) | Интеграция с целью автоматизации оказания муниципальных услуг | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Федеральная государственная информационная система Единого государственного реестра недвижимости(ФГИС ЕГРН) | Запрос сведений Единого государственного реестра недвижимости | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Единый государственный реестр юридических лиц (ЕГРЮЛ) | Запрос сведений о юридических лицах | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Единая информационная система жилищного строительства (ЕИСЖС) | Передача сведений о разрешениях на строительство, внесения в них изменений, прекращения разрешений на строительство, разрешений на ввод объектов в эксплуатацию жилищного строительства | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Государственная информационная система о государственных и муниципальных платежах (ГИС ГМП) | Начисление и получение платежей за оказание платных услуг | Канал: Сеть связи общего пользования Способ: СМЭВ 3.0 Периодичность: Постоянно |
| Информационная система управления проектами (ИСУП) | Для обмена сведениями об информационных моделях объектов капитального строительства | Канал: Сеть связи общего пользования Способ: API Периодичность: Постоянно |
-
В ГИС «Наименование системы» не осуществляется взаимодействие с другими системами Оператора. -
К информационным ресурсам ГИС «Наименование системы» не осуществляется локальный доступ. -
К информационным ресурсам ГИС «Наименование системы» осуществляется удаленный доступ. Особенности удаленного доступа приведены в таблице 4.
Таблица 4 – Удаленный доступ
| Лица, осуществляющие удаленный доступ | Цель доступа | Способ доступа | Куда осуществляется доступ? |
| Сотрудник организации | Администрирование, ведение | SSH | Ко всем узлам системы |
-
Схема интерфейсов взаимодействия и компонетов ГИС «Наименование системы» представлена в Приложении № 2.
-
Технологии, используемые в ГИС «Наименование системы» отражены в таблице 5.
Таблица 5 – Технологии, используемые в ГИС «Наименование системы»
| № п/п | Технология | Используется / Не используется |
| 1. | Съемные носители информации | Не используются |
| 2. | Технология виртуализации | Используются |
| 3. | Технология беспроводного доступа | Не используются |
| 4. | Мобильные технические средства | Не используются |
| 5. | Веб-серверы | Используются |
| 6. | Технология веб-доступа | Используются |
| 7. | Smart-карты | Не используются |
| 8. | Технологии грид-систем | Не используются |
| 9. | Технологии суперкомпьютерных систем | Не используются |
| 10. | Большие данные | Не используются |
| 11. | Числовое программное оборудование | Не используются |
| 12. | Одноразовые пароли | Не используются |
| 13. | Электронная почта | Не используется |
| 14. | Технология передачи видеоинформации | Не используется |
| 15. | Технология удаленного рабочего стола | Не используются |
| 16. | Технология удаленного администрирования | Используются |
| 17. | Технология удаленного внеполосного доступа | Не используются |
| 18. | Технология передачи речи | Не используются |
| 19. | Технология искусственного интеллекта | Не используются |
-
ГИС «Наименование системы» функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных (далее – ЦОД). Сведения об используемом ЦОД представлены в таблице 6.
Таблица 6 – Сведения о поставщике вычислительных услуг
| Характеристика | Значение характеристики |
| Поставщик вычислительных услуг | |
| Модель предоставления вычислительных услуг | |
| Адрес размещения ЦОД | |
| Наименование организации, выдавшей аттестат соответствия ЦОД | |
| Номер аттестата ЦОД | |
| Дата выдачи аттестата ЦОД | |
| Срок действия аттестата ЦОД | Бессрочно |
| Сведения об оценке угроз безопасности информации поставщиком вычислительных услуг | Поставщик услуг оценил угрозы информации и предоставил результаты такой оценки. Результаты представлены в Модели угроз безопасности информации _____________ от __________ |
| Условия использования информационно-телекоммуникационной инфраструктуры ЦОД | Условия использования ЦОД описаны в документе «Регламент предоставления вычислительных ресурсов (мощностей) в центре обработки данных» (далее – Регламент) |
| Распределение ответственности за защиту информации | Распределение ответственности за защиту информации описано в приложении № 2 к Регламенту «Требования по обеспечению информационной безопасности, предъявляемые к информационным системам при их размещении (внедрении) в центре обработки данных» |
-
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации-
В ходе оценки угроз безопасности информации определяются негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации. -
Негативные последствия определяются применительно к нарушению основных (критических) процессов (бизнес-процессов), выполнение которых обеспечивает ГИС «Наименование системы», и применительно к нарушению безопасности информации, содержащейся в ГИС «Наименование системы». -
На основе анализа исходных данных ГИС «Наименование системы» определены негативные последствия, которые приводят к видам рисков (ущерба), представленные в таблице 7.
-
Таблица 7 – Виды рисков (ущерба) и негативные последствия
| Идентификатор | Негативные последствия | Вид риска (ущерба) |
| НП.1 | Разглашение персональных данных граждан | У1. Ущерб физическому лицу |
| НП.2 | Непредоставление государственных услуг | У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности |
| НП.3 | Нарушение неприкосновенности частной жизни | У1. Ущерб физическому лицу |
| НП.4 | Нарушение личной, семейной тайны, утрата чести и доброго имени | У1. Ущерб физическому лицу |
| НП.5 | Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах | У1. Ущерб физическому лицу |
| НП.6 | Нарушение конфиденциальности (утечка) персональных данных | У1. Ущерб физическому лицу |
| НП.7 | Нарушение законодательства Российской Федерации (юридическое лицо, индивидуальный предприниматель) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.8 | Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.9 | Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.10 | Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.11 | Принятие неправильных решений | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.12 | Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) | У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.13 | Отсутствие доступа к государственной услуге | У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности |
1 2 3 4 5 6 7 8 9 ... 14
-
Возможные объекты воздействия угроз безопасности информации-
В ходе оценки угроз безопасности информации определяются информационные ресурсы и компоненты ГИС «Наименование системы», несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям, определенным в разделе 4 настоящей Модели угроз, – объектов воздействия. -
Объекты воздействия определялись для реальной архитектуры и условий функционирования ГИС «Наименование системы» на основе анализа исходных данных и проведенной инвентаризации. -
Определение объектов воздействия производилось на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей. -
В отношении каждого объекта воздействия определялись виды воздействия на него, которые могут привести к негативным последствиям. Рассматриваемые виды воздействия представлены в таблице 8.
-
Таблица 8 – Виды воздействия
| Идентификатор | Вид воздействия |
| ВВ.1 | утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) |
| ВВ.2 | несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным |
| ВВ.3 | отказ в обслуживании компонентов (нарушение доступности) |
| ВВ.4 | несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) |
| ВВ.5 | несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач |
| ВВ.6 | нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации |
-
Итоговый перечень объектов воздействия со списком возможных видов воздействия на них, реализация которых может привести к негативным последствиям, представлен в таблице 9.
