Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС. Ооо Наименование организации

Название	Ооо Наименование организации
Дата	29.01.2023
Размер	216.5 Kb.
Формат файла
Имя файла	Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС.docx
Тип	Документы #911458
страница	2 из 14

1 2 3 4 5 6 7 8 9 ... 14

* За исключением угроз, характеризующихся использованием нарушителями портативных (мобильных) устройств съема информации (планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).

Ответственность за обеспечение защиты информации (безопасности)
1. Ответственными за обеспечение безопасности ГИС «Наименование системы» приказом Руководителя назначены должностные лица , представленные в таблице 2.

Таблица 2 – Ответственные за обеспечение защиты информации (безопасности)

№ п/п	Роль подразделения / должностного лица	Должностное лицо
1.	Ответственный за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения составляющие государственную тайну	Должность
2.	Ответственный за планирование и контроль мероприятий по обеспечению информационной безопасности	Должность
3.	Ответственный за управление (администрирование) системой защиты информации (подсистемой безопасности)	Должность
4.	Ответственный за выявление компьютерных инцидентов и реагирование на них	Должность
5.	Сотрудник, которому разрешены действия по внесению изменений в конфигурацию	Должность

Особенности пересмотра Модели угроз
1. Настоящая Модель угроз может быть пересмотрена:

по решению ________________ на основе периодически проводимых анализа и оценки угроз безопасности защищаемой информации с учетом особенностей и (или) изменений ГИС «Наименование системы»;
в случае возникновения (обнаружения) новых уязвимостей и угроз безопасности информации;
в случае изменения федерального законодательства в части оценки угроз безопасности информации;
в случае появления новых угроз в используемых источниках данных об угрозах безопасности информации;
в случае изменения структурно-функциональных характеристик, применяемых информационных технологий или особенностей функционирования ГИС «Наименование системы»;
в случае появления сведений и (или) фактов о новых возможностях потенциальных нарушителей;
в случаях выявления инцидентов информационной безопасности в ГИС «Наименование системы» и (или) взаимодействующих (смежных) системах.

Описание систем и сетей и их характеристика как объектов защиты
1. Общее описание объекта оценки угроз
  1. Настоящая Модель угроз разработана в отношении ГИС «Наименование системы».
  2. Основные характеристики ГИС «Наименование системы»:
  3. Основания создания (функционирования):

…,
…..
…..

Назначение: ______________________________.
Состав обрабатываемой информации:

Персональные данные;
Информация, содержащаяся в ГИС (__________________).

Основные процессы (бизнес-процессы), для обеспечения которых создана ГИС «Наименование системы»:

Прием и заполнение запросов о предоставлении государственных или муниципальных услуг (Предполагает осуществление мероприятий по приему запросов о предоставлении государственных или муниципальных услуг, в том числе посредством автоматизированных информационных систем многофункциональных центров, а также прием комплексных запросов);
Представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги (Предполагает: представление интересов заявителей при взаимодействии с органами, предоставляющими государственные и муниципальные услуги; представление интересов заявителей при взаимодействии с организациями, участвующими в предоставлении государственных и муниципальных услуг, в том числе с использованием информационно-технологической и коммуникационной инфраструктуры);
Реализация межведомственного взаимодействия (Реализует функции информационного взаимодействия: с другими ведомствами в рамках процессов исполнения функций; с централизованными региональными и федеральными информационными ресурсами).

Класс защищенности ГИС: 2.
Уровень защищенности ПДн: 3.
Группы внешних и внутренних пользователей ГИС «Наименование системы», уровни их полномочий и типов доступа

В ГИС «Наименование системы» предусмотрено разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и определены следующие роли:

лица, осуществляющие администрирование и обеспечение функционирования подсистемы информационной безопасности (системы защиты информации), сотрудники Оператор (далее – Администраторы ИБ);
лица, осуществляющие системное администрирование ГИС «Наименование системы» на основании действующего контракта технической поддержки, разработчики прикладного ПО (далее – Разработчики);
лица, обеспечивающие функционирование виртуальной инфраструктуры, сетевого и коммутационного оборудования, сотрудники Оператора (далее – Ответственные за функционирование).

Все вышеперечисленные группы относятся к категории внутренних пользователей согласно разделу по идентификации и аутентификации пользователей методического документа «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России от 11 февраля 2014 г.), где указано, что:

к внутренним пользователям относятся должностные лица оператора (пользователи, администраторы), выполняющие свои должностные обязанности (функции) в соответствии с должностными регламентами (инструкциями) утвержденными оператором и которым в информационной системе присвоены учетные записи.
в качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и (или) оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы (ремонт, гарантийное обслуживание, регламентные и иные работы) в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.

К внешним пользователям в ГИС «Наименование системы» относятся:

граждане РФ и других стран, государственные и муниципальные служащие (далее – Пользователи).

Для перечисленных групп пользователей установлены соответствующие уровни полномочий и типы доступа (Таблица 2).

Таблица 2 – Уровни полномочий и типы доступа групп пользователей
№ п/п	Наименование защищаемого ресурса	Условное имя группы пользователей	Типы доступа в соответствии со структурно-функциональными характеристиками ГИС
	Обрабатываемая информация	Пользователи	Чтение
		Администраторы ИБ
		Ответственные за функционирование
		Разработчики	Полный доступ (чтение, запись, удаление) Чтение всех ресурсов системы
	Управляющая информация средств защиты информации (конфигурационные параметры и настройки средств защиты информации)	Администраторы ИБ	Полный доступ (чтение, запись, удаление, выполнение)
		Разработчики	Чтение
		Ответственные за функционирование	Нет доступа
		Пользователи
	Средства администрирования операционной системы серверов, средства системы управления базами данных, средства администрирования прикладного ПО ГИС	Разработчики	Полный доступ (чтение, запись, удаление, выполнение)
		Администраторы ИБ	Чтение
		Ответственные за функционирование	Нет доступа
		Пользователи
	Средства администрирования виртуальной инфраструктуры	Ответственные за функционирование	Полный доступ (чтение, запись, удаление, выполнение)
		Пользователи	Нет доступа
		Разработчики
		Администраторы ИБ

Состав и архитектура объекта оценки
1. Состав ГИС «Наименование системы» определен в таблице 3.

Таблица 3 – Состав ГИС «Наименование системы»

№ п/п	Характеристика	Значение характеристики
	Виртуальные сервера	Сервер приложений – 4 Файловое хранилище – 1 Сервер баз данных – 4
	Программно-аппаратные средства	АРМ администратора – 1 АРМ администратора ИБ – 1
	Пользовательский сегмент	Государственные и муниципальные служащие – в полном объеме функциональных прав для работы со своими объектами управления и с доступом на чтение всех ресурсов ГИС «Наименование системы». Граждане РФ и других стран без ограничений – доступ к публичным ресурсам и сервисам ГИС «Наименование системы». Пользователи работают в системе через веб-интерфейс с любого браузера. Все сведения вносятся в базы данных, расположенные на серверах; хранение информации локально не осуществляется.
	Общесистемное программное обеспечение	Операционные системы серверов: Astra Special Edition «Смоленск» 1.6 Операционные системы АРМ: Microsoft Windows 10 Pro
	Прикладное программное обеспечение Служебного контура	Сервер приложений: КриптоПро Amber SmevIntegration Solr Nginx Docker КриптоПро Java CSP Сервер приложений 2: Diamond Dotnet Docker Nginx Libre Office Сервер БД, Сервер БД2: PostGis PostgreSQL ГИС-сервер, ГИС-Сервер 2: Geoserver Файловое хранилище: FileStorage
	Прикладное программное обеспечение открытого контура	Сервер приложений: Agate nginx Solr Docker ГИС-сервер: Geoserver Сервер БД: PostGis PostgreSQL
	Средства защиты информации	Средства защиты информации отсутствуют

1 2 3 4 5 6 7 8 9 ... 14