Разработка АС в защищенном исполнении

ИС обрабатывает иные категории персональных данных лиц, не являющихся сотрудниками;

Количество  обрабатываемых субъектов персональных данных менее 100000;

Локальная информационная система;

Режим обработки  персональных данных многопользовательский.

Комиссия, в  соответствии с Постановлением Правительства  от 1 ноября 2012 г. N 1119 «Об утверждении  требований к защите персональных данных при их обработке в информационных системах персональных данных»

РЕШИЛА:

Информационная  система персональных данных ООО «ТЕНТО» должна обеспечивать 3 уровень защищённости.

 

Председатель

Заместитель директора                                                                                    /Макаров В.А.                                                                               

      Члены комиссии:                                               

      Администратор безопасности                                                                           /Липин С.С.

     Системный  администратор                                                                                /Леханов В.В.           

 

 

 

Приложение 3

 

Утверждена 

Генеральный директор

Юрин В.А.

 

 

 

 

 

 

Частная модель

угроз безопасности персональных данных  
при их обработке  в информационной системе ООО «ТЕНТО»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Угрозы утечки информации по техническим каналам  и за счёт НСД	Уровень исходной защищённости (Y1)	Вероятность реализации угрозы (Y2)				Коэффициент реализуемости  угрозы Y=(Y1+Y2)/20	Показатель  опасности угрозы (определяется на основе опроса специалистов)			Вывод об актуальности угрозы
		Малая вероятность (0)	Низкая вероятность (2)	Средняя вероятность (5)	Высокая вероятность (10)	Возможность реализации угрозы	Низкая опасность	Средняя опасность	Высокая опасность
утечка речевой информации	5		+			0.35	+			Не актуальная
						средняя
утечка видовой информации	5		+			0.35	+			Не актуальная
						средняя
утечка информации по ПЭМИН	5		+			0.35		+		актуальная
						средняя
анализ сетевого трафика	5		+			0.35	+			Не актуальная
						средняя
угрозы получения НСД  путем подмены доверенного объекта	5		+			0.35	+			Не актуальная
						средняя
удаленный запуск приложений	5	+				0.25	+			Не актуальная
						низкая
угрозы типа «Отказ в  обслуживании»	5	+				0.25	+			Не актуальная
						низкая
угроза выявления паролей	5				+	0.75			+	актуальная
						высокая
угрозы навязывания  ложного маршрута	5			+		0.5		+		актуальная
						средняя
внедрение вредоносных  программ	5			+		0.5			+	актуальная
						средняя

 

 

Заключение

 

Таким образом, актуальными угрозами безопасности ПДн в ИСПДн 

ООО «ТЕНТО» являются:

утечка информации по ПЭМИН 

угроза выявления  паролей

угрозы навязывания  ложного маршрута

внедрение вредоносных  программ

 

Рекомендуемыми  мерами по предотвращению реализации актуальных угроз,

являются:

1. Установка глушителей электромагнитных сигналов и шумогенераторов
2. Парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;
3. Для борьбы с ложными маршрутами применить специальные алгоритмы: «расщепления горизонта», «триггерные обновления» и «замораживание изменений».
4. Инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.

 

 

 

 

 

Разработал:                                                                                               /Липин С.С.

 

Приложение  №4

Форма технического паспорта на автоматизированную систему

 

 

          УТВЕРЖДАЮ

Руководитель  организации

 

____________/Юрин В.А.

 

                  «5» мая 2013г.

 

 

 

 

 

ТЕХНИЧЕСКИЙ ПАСПОРТ

ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией

 

 

 

 

 

 

 

СОГЛАСОВАНО        РАЗРАБОТАЛ

_______________/Кырнаев А.В.                 _______________/ Пятин Р.О.

(Представитель  подразделения 

по защите информации)

"29"мая  2012  г.

2013

 

1. Общие  сведения об АС

1.1.Наименование  АС: ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией

1.2. Расположение АС: ул. Коммуны 43, офис 48, 6 этаж

1.3. Класс АС: .  № 10 от  10 мая 2013 г. класс системы 1Г

 

2. Состав  оборудования АС

2.1. Состав ОТСС:

Таблица 1

П Е Р Е  Ч Е Н Ь

основных технических  средств и систем,

входящих в  состав АС ИСПДн отдела ООО «ТЕНТО» отдела по работе с архивами

№ п/п	Тип ОТСС	Заводской номер	Сведения по сертификации, специсследованиям и спецпроверкам
1	Ноутбук Toshiba	250X5E	Сертификат ЗАО «Проминформ»
2	Монитор LG	530U3C	Сертификат ЗАО «Проминформ»
3	Монитор LG	G75VX	Сертификат ЗАО «Проминформ»
4	Клавиатура Genius 4L	G55KB	Сертификат ЗАО «Проминформ»
5	Клавиатура Genius 4L	G56KB	Сертификат ЗАО «Проминформ»
6	Системный блок CPU INTEL Core i3	88654KL	Сертификат ЗАО «Проминформ»
7	Системный блок CPU INTEL Core i3	84534KK	Сертификат ЗАО «Проминформ»
8	Сервер HP ProLiant ML110G7	25636873	Сертификат  ЗАО «Проминформ»
9	Сервер HP ProLiant ML110G7	73636873	Сертификат  ЗАО «Проминформ»

 

 

 

 

 

2.2. Состав ВТСС  объекта:

Таблица 2

П Е Р Е  Ч Е Н Ь

вспомогательных технических средств, входящих в  состав АС ИСПДн ООО «ТЕНТО»

 

№ п/п	Тип ВТСС	Заводской номер
1	Телефонный  аппарат LG-DM836	548739
2	Кондиционер Lessar	657485
3	Принтер Сanon LBP-810	13789456

 

 

2.3. Состав средств защиты информации:

Таблица 3

ПЕРЕЧЕНЬ

средств защиты информации, установленных на АС ИСПДн ООО «ТЕНТО»

№ п/п	Наименование  и тип технического средства	Заводской номер	Сведения о  сертификате	Место и дата установки
1	MyPasswordManager	36367586	Сертификат  ФСТЭК России № 725 от 06.08.2009	Введен в  эксплуатацию 15.08.2009
2	ESET NOD 32 Titan		Сертификат  ФСТЭК России № 313 от 16.09.2012	Установлен в эксплуатацию 29.09.2012
4	ESET NOD 32 для Windows Server Edition		Сертификат  ФСТЭК России № 643 от 24.08.2013	Установлен  в серверной комнате 03.10.2013
5	BackupPC		Сертификат  ФСТЭК России № 648 от 31.08.2013	Установлен  в эксплуатацию 10.10.2013
6	Карта-идентификатор HID	543NF69	Сертификат  ФСТЭК России № 218 от 18.03.2010	Установлен  в эксплуатацию 20.03.2013

3. Сведения об  аттестации объекта информатизации  на соответствие требованиям  по безопасности информации:

Аттестация  объекта информатизации проводилась  компанией ЗАО «Проминформ», аттестат соответствия № 18563 от  12.07.2012г., помещение  соответствует деятельности, ведущейся  в нем с точки зрения информационной безопасности

 

4. Результаты  периодического контроля.

Таблица 4

Дата проведения	Наименование  организации, проводившей проверку	Результаты  проверки, номер отчетного документа
21.08.2011	ЗАО «Проминформ»	Нарушений не выявлено акт проверки № 826
21.07.2012	ЗАО «Проминформ»	Нарушений не выявлено акт проверки № 826

 

Приложение 5

 

«Утверждаю»                                                                                                        «Утверждаю»

Генеральный директор                                                                                         Генеральный директор

ООО «ТЕНТО»                                                                                                     ООО «ИнформПро»

 

                          /Юрин В.А.                                                                                                   /Чепуштанов К.К.

19 мая 2012г.                                                                                                      19 мая 2012 г.

 

 

Техническое задание 

на создание автоматизированной системы

отдела по работе с конфиденциальной информацией 

 

 

 

 

 

 

 

 

 

 

 

«Согласовано»                                                                                                      «Согласовано»

Администратор безопасности                                                                             Заместитель директора

ООО «ТЕНТО»                                                                                                     ООО «ИнформПро»

 

                           /Липин С.С                                                                                             /Васильев Ю.С.

 

 

 

 

 

 

 

 

 

Содержание

 

1. Общие сведения
2. Назначение и цели создания системы

Назначение  системы

Цели создания системы

3. Характеристика объектов автоматизации
4. Требования к системе

Требования к системе в целом

Требования  к функциям, выполняемым системой

Требования  к видам обеспечения

5. Состав и содержание работ по созданию системы
6. Порядок контроля и приёмки системы
7. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие
8. Требования к документированию
9. Источники разработки 
   

Общие сведения

Полное наименование системы:

Автоматизированная  система отдела по работе с конфиденциальной информацией ООО «ТЕНТО»

Основания для  проведения работ 
Работа выполняется на основании договора № 5 от 17.02.2012 г.

 

Наименование  организаций:

Заказчик: ООО «ТЕНТО» 
Адрес фактический: г. Пермь  ул.Коммуны 43, офис 48, 6 этаж 
Телефон / Факс: +7 (34243) 2900455

Разработчик: ООО  «ИнформПро» 
Адрес фактический: г. Пермь ул. Пушкина 22, офис 133 
Телефон / Факс: +7 (34243) 3349988

Плановые сроки  начала и окончания работы

Провести работы с 20.05.2012 до 27.02.2012 на основании договора №5  от 17.02.2012 г.

 

 

 

 

 

 

 

 

 

 

 

 

 

 Приложение 6

                                                                                                                                                                                                                     Утверждаю

Генеральный директор                                                                                                                                                                                                                                 _Юрин В. А._                                                                                                                                                                                                                              (Ф. И. О.)

“_18_” августа 2012 г.

Матрица полномочий пользователей

отдела по работе с конфиденциальной информацией ООО «ТЕНТО»

Таблица 1

Конф. Инф.       пользователи	Характер и условия заключения договоров с заказчиками продукции.	Самореклама	Сведенья о поставщиках и  количестве поставляемых материалах	Персональные  данные сотрудников фирмы	Сведенья о намерениях и результатах переговоров с потенциальными заказчиками	Прибыль, затраты	Себестоимость продукции
User1	W		R		R		R, W
User2	R	R, W	R		W	R	R
User3				R, W		R, W
Admin	R, M,W,D	R, M,W,D	R, M,W,D	R, M,W,D	R, M,W,D	R, M,W,D	R, M,W,D