- •Содержание
- •Нормативно-документационное обеспечение безопасности кт при их обработке в информационных системах
- •Характеристика корпоративной информационно-вычислительной сети чп «Пудель» в части обработки кт
- •Общая информация об объекте обследования
- •Перечень Информационных систем (ис) в чп «Пудель», его подразделениях и филиалах
- •Сведения о построении пс «зуп»
- •Тестирование изменений и обновление пс «зуп»
- •Кт, обрабатываемые в пс «зуп»
- •Управление доступом к пс «зуп»
- •Рабочие станции
- •Перечень сзи
- •Разработка частной модели угроз
- •Обоснование необходимости мероприятий по защите кт
- •Источники разработки
- •Перечень сокращений
- •Приложение а
- •Сетевая структура чп «Пудель» составили:
- •Согласовано:
Сведения о построении пс «зуп»
ПС «ЗУП» является системой управления предприятием, в состав которой входят следующие подсистемы:
расчет заработной платы;
управление персоналом.
Система реализована в файловом варианте для многопользовательской работы и состоит из следующих компонентов:
файловая СУБД;
клиентская часть приложения.
Информационная база ПС хранится на сервере ….
Тестирование изменений и обновление пс «зуп»
Тестирование изменений и обновление ПС не производится.
Ответственным за обновление является сотрудник ЧП «Пудель» ХХХХХ Перед установкой обновлений встроенными средствами ПК «ЗУП» осуществляется резервное копирование системы.
Тестовая среда для проверки обновлений и изменений ПС отсутствует.
Регламент внесения изменений в документально оформленном виде отсутствует.
Кт, обрабатываемые в пс «зуп»
Анализ обрабатываемой в ПС «ЗУП» информации показывает, что в ней ведется обработка КТ. Перечень КТ, обрабатываемых в ПС «ЗУП», приведен в таблице 3.2.
Таблица 3.3 – Перечень информации ограниченного доступа, обрабатываемой в ПС «…»
Наименование обрабатываемой информации |
Гриф конфиденциальности |
Основание для присвоения грифа конфиденциальности |
1. Информация об обязательствах и платежах в фонды обязательного социального страхования |
Коммерческая тайна |
|
2. Информация о налоговых обязательствах и платежах Чп пудель |
Коммерческая тайна |
Управление доступом к пс «зуп»
Документально оформленный регламент предоставления пользователям доступа в систему отсутствует. Предоставление пользователям доступа к ПС «ЗУП» с заведением учетной записи осуществляется ответственным за систему после получения устной заявки или письма по электронной почте от сотрудника отдела заработной платы или отдела по работе с персоналом.
Идентификаторы, права доступа и пароли пользователей хранятся в БД системы. Для доступа каждого пользователя к БД используется отдельная учетная запись. Разграничение доступа пользователей к данным в ПС «ЗУП» реализовано на основе ролевого принципа управления доступом.
Доступ пользователей в ПС «ЗУП» осуществляется посредством прохождения процедур идентификации и аутентификации на основе ввода имени пользователя (логина) и его пароля.
В ходе устного интервьюирования были получены сведения, что применяемая в ПС «ЗУП» парольная политика имеет следующие характеристики:
длина пароля – 6 символов;
срок действия пароля – 1 месяц;
неповторяемость пароля – не реализована;
у пользователей отсутствует возможность самостоятельной смены пароля (пароль генерируется ответственным за систему).
Обеспечение целостности и доступности
В ПС «ЗУП» не предусмотрены механизмы проверки целостности пользовательских и системных данных на предмет их несанкционированной модификации.
Регламент резервного копирования отсутствует. Резервное копирование БД и ПС «ЗУП» осуществляется перед установкой обновлений или внесением изменений в ПО ПС.
Аудит и мониторинг событий в ПС «ЗУП»
Средства аудита представляют собой журнал регистрации событий входа/выхода пользователя в/из системы и времени изменения/удаления записей. Просмотр и анализ журналов осуществляется по мере необходимости.
Взаимодействие и изоляция ПС «ЗУП»
Непосредственное взаимодействие рассматриваемой ПС с другими ПС не осуществляется. Данные из ПС «ЗУП», выгружаемые в файл формата xml, используются ….. Обмен файлами между подсистемами осуществляется посредством сетевого ресурса, доступ к которому имеют пользователи с соответствующими правами.
Использование ПС «ЗУП»
Никаких ограничений по времени использования ПС «ЗУП» не накладывается, кроме случаев внесения изменений в БД, когда на время изменений доступ пользователей к ПС блокируется.
Характеристика ИС на системно-техническом уровне
Серверы
Для обработки КТ в Обществе и филиалах используются серверы БД, ……..
Серверы располагаются как в выделенных помещениях, …….
Серверы, на которых обрабатываются КТ, не выделены в …..).
Перечень серверов, участвующих в обработке КТ, представлен в таблице 4.1.
Управление серверами осуществляется преимущественно как удаленно, так и локально.
системы мониторинга работоспособности, а также производительности и системных ресурсов не используются.
Операции конфигурирования системы и внесения в нее изменений не документируются.
Обновление серверов осуществляется регулярно нерегулярно вручную централизованно. Средства централизованного управления обновлениями не используются.
Таблица 4.4 – Перечень серверов, участвующих в обработке КТ
Список серверов, участвующих в обработке КТ (логическое имя сервера, ip-адрес) |
ОС сервера |
Выполняемая роль |
В составе какой ИС используется |
Физическое расположение сервера |
ЧП «Пудель» |
||||
|
|
|
|
|
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|