|
|
Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС. Ооо Наименование организации
ГИС «Наименование системы» представляет собой распределенную систему (комплекс автоматизированных рабочих мест, коммуникационного и серверного оборудования, территориально размещенных в одном или нескольких субъектах РФ и объединенных в единую систему с использованием сетей электросвязи) со следующими характеристиками:
Подключение к сетям электросвязи, включенным в состав единой сети электросвязи Российской Федерации – отсутствует.
Подключение к информационно-телекоммуникационной сети «Интернет» – осуществляется на открытых контурах портала .
В ГИС «Наименование системы» осуществляется взаимодействие с системами и сетями других организаций.
Таблица 5 – Взаимодействие ГИС «Наименование системы» с другими системами
Наименование
системы
|
Цель
взаимодействия
|
Характеристики
взаимодействия
|
Единая система идентификации и аутентификации (ЕСИА)
|
Для соблюдения законодательства по идентификации и аутентификации пользователей в информационной системе
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Система межведомственного электронного взаимодействия(СМЭВ 3.0)
|
Для подключения видов сведений
|
Канал: Сеть связи общего пользования
Способ:
Периодичность: Постоянно
|
Единый портал государственных услуг (ЕПГУ)
|
Интеграция с целью автоматизации оказания муниципальных услуг
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Федеральная государственная информационная система Единого государственного реестра недвижимости(ФГИС ЕГРН)
|
Запрос сведений Единого государственного реестра недвижимости
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Единый государственный реестр юридических лиц (ЕГРЮЛ)
|
Запрос сведений о юридических лицах
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Единая информационная система жилищного строительства (ЕИСЖС)
|
Передача сведений о разрешениях на строительство, внесения в них изменений, прекращения разрешений на строительство, разрешений на ввод объектов в эксплуатацию жилищного строительства
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Государственная информационная система о государственных и муниципальных платежах (ГИС ГМП)
|
Начисление и получение платежей за оказание платных услуг
|
Канал: Сеть связи общего пользования
Способ: СМЭВ 3.0
Периодичность: Постоянно
|
Информационная система управления проектами (ИСУП)
|
Для обмена сведениями об информационных моделях объектов капитального строительства
|
Канал: Сеть связи общего пользования
Способ: API
Периодичность: Постоянно
|
В ГИС «Наименование системы» не осуществляется взаимодействие с другими системами Оператора.
К информационным ресурсам ГИС «Наименование системы» не осуществляется локальный доступ.
К информационным ресурсам ГИС «Наименование системы» осуществляется удаленный доступ. Особенности удаленного доступа приведены в таблице 4.
Таблица 4 – Удаленный доступ
Лица, осуществляющие удаленный доступ
|
Цель доступа
|
Способ доступа
|
Куда осуществляется доступ?
|
Сотрудник организации
|
Администрирование, ведение
|
SSH
|
Ко всем узлам системы
|
Схема интерфейсов взаимодействия и компонетов ГИС «Наименование системы» представлена в Приложении № 2.
Технологии, используемые в ГИС «Наименование системы» отражены в таблице 5.
Таблица 5 – Технологии, используемые в ГИС «Наименование системы»
№
п/п
|
Технология
|
Используется / Не используется
|
1.
|
Съемные носители информации
|
Не используются
|
2.
|
Технология виртуализации
|
Используются
|
3.
|
Технология беспроводного доступа
|
Не используются
|
4.
|
Мобильные технические средства
|
Не используются
|
5.
|
Веб-серверы
|
Используются
|
6.
|
Технология веб-доступа
|
Используются
|
7.
|
Smart-карты
|
Не используются
|
8.
|
Технологии грид-систем
|
Не используются
|
9.
|
Технологии суперкомпьютерных систем
|
Не используются
|
10.
|
Большие данные
|
Не используются
|
11.
|
Числовое программное оборудование
|
Не используются
|
12.
|
Одноразовые пароли
|
Не используются
|
13.
|
Электронная почта
|
Не используется
|
14.
|
Технология передачи видеоинформации
|
Не используется
|
15.
|
Технология удаленного рабочего стола
|
Не используются
|
16.
|
Технология удаленного администрирования
|
Используются
|
17.
|
Технология удаленного внеполосного доступа
|
Не используются
|
18.
|
Технология передачи речи
|
Не используются
|
19.
|
Технология искусственного интеллекта
|
Не используются
|
ГИС «Наименование системы» функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных (далее – ЦОД). Сведения об используемом ЦОД представлены в таблице 6.
Таблица 6 – Сведения о поставщике вычислительных услуг
Характеристика
|
Значение характеристики
|
Поставщик вычислительных услуг
|
|
Модель предоставления вычислительных услуг
|
|
Адрес размещения ЦОД
|
|
Наименование организации, выдавшей аттестат соответствия ЦОД
|
|
Номер аттестата ЦОД
|
|
Дата выдачи аттестата ЦОД
|
|
Срок действия аттестата ЦОД
|
Бессрочно
|
Сведения об оценке угроз безопасности информации поставщиком вычислительных услуг
|
Поставщик услуг оценил угрозы информации и предоставил результаты такой оценки. Результаты представлены в Модели угроз безопасности информации _____________ от __________
|
Условия использования информационно-телекоммуникационной инфраструктуры ЦОД
|
Условия использования ЦОД описаны в документе «Регламент предоставления вычислительных ресурсов (мощностей) в центре обработки данных» (далее – Регламент)
|
Распределение ответственности за защиту информации
|
Распределение ответственности за защиту информации описано в приложении № 2 к Регламенту «Требования по обеспечению информационной безопасности, предъявляемые к информационным системам при их размещении (внедрении) в центре обработки данных»
|
Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
В ходе оценки угроз безопасности информации определяются негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации.
Негативные последствия определяются применительно к нарушению основных (критических) процессов (бизнес-процессов), выполнение которых обеспечивает ГИС «Наименование системы», и применительно к нарушению безопасности информации, содержащейся в ГИС «Наименование системы».
На основе анализа исходных данных ГИС «Наименование системы» определены негативные последствия, которые приводят к видам рисков (ущерба), представленные в таблице 7.
Таблица 7 – Виды рисков (ущерба) и негативные последствия
Идентификатор
|
Негативные последствия
|
Вид риска (ущерба)
|
НП.1
|
Разглашение персональных данных граждан
|
У1. Ущерб физическому лицу
|
НП.2
|
Непредоставление государственных услуг
|
У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности
|
НП.3
|
Нарушение неприкосновенности частной жизни
|
У1. Ущерб физическому лицу
|
НП.4
|
Нарушение личной, семейной тайны, утрата чести и доброго имени
|
У1. Ущерб физическому лицу
|
НП.5
|
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах
|
У1. Ущерб физическому лицу
|
НП.6
|
Нарушение конфиденциальности (утечка) персональных данных
|
У1. Ущерб физическому лицу
|
НП.7
|
Нарушение законодательства Российской Федерации (юридическое лицо, индивидуальный предприниматель)
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.8
|
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.9
|
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций)
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.10
|
Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций)
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.11
|
Принятие неправильных решений
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.12
|
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
|
У2. Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью
|
НП.13
|
Отсутствие доступа к государственной услуге
|
У3. Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах детальности
| |
|
|
Скачать 216.5 Kb.