Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ

Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в АС, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.

К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:

• процессы функционирования АС;
• оборудование, включая СВТ и компоненты, входящее в состав АС;
• используемое программное обеспечение;
• особые зоны (контролируемая территория, коммуникации, помещения);
• субъекты воздействия угроз (персонал АС);
• информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
• информации о состоянии процессов функционирования АС;
• информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
• сведений о коммерческой деятельности;
• технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
• аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
• специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
• информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
• информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.

3.1. Процессы функционирования

3.1.1. Процессы прикладного уровня

Состав процессов прикладного уровня определяется процедурами обработки информации субъектами доступа с правами пользователей АС.

К ним относятся процессы:

• создание ключей электронных подписей и запросов на сертификаты по заявкам пользователей Удостоверяющего центра (далее – Пользователи);
• формирование ключевых документов, содержащих ключевую информацию сетевого узла  либо ключ электронной подписи и сертификат ключа проверки электронной подписи;
• регистрация сформированного ключевого документа в реестре ключевых документов;
• формирование документов на бумажных носителях, необходимых для документального сопровождения выдачи Пользователям ключевых документов и сертификатов ключей проверки электронных подписей;
• выдача Пользователям ключевых документов и сертификатов ключей проверки электронных подписей, в том числе в форме документов на бумажных носителях;
• формирование и передача пользователям копий дистрибутивов средств криптографической защиты информации.

3.1.2. Процессы организации (управления) обеспечением безопасности информации

Состав процессов управления обеспечением безопасностью информации определяется следующими видами деятельности:

• управления персоналом, в части выполнения требований документов политики безопасности;
• принятия (не принятия) мер, в том числе решений и постановки задач, касающихся процессов обеспечения безопасности информации;
• регулярного выполнение процедур внутреннего и внешнего обследования процедур обеспечения безопасности защищаемых ресурсов АС;
• оценки состояния защищенности АС (оценка эффективности принятых мер, оценка рисков, оценка соответствия требованиям политики безопасности, другие мероприятия по совершенствованию защиты информации);
• регламентации и актуализация мер защиты в процедурах управления, обработки, передачи и защиты информации, в том числе в процедурах взаимодействия между пользователями, администраторами и руководителями, в частности по вопросам совершенствования используемых систем и средств защиты.

3.1.3. Процессы управления инфраструктурными компонентами

Состав процессов управления инфраструктурными компонентами АС определяется следующими видами деятельности:

• в части эксплуатации программно-аппаратных средств АС: процессами:
• администрирования программно-аппаратных комплексов (СВТ);
• планирования и учета технических и программных средств;
• организации и проведения обслуживания технических средств;
• организации ремонта (гарантийного ремонта) технических средств, с целью восстановления их работоспособности и/или исправности;
• обеспечения хранения технических и программных средств в установленных местах с применением специальных средств и методов защиты с целью их поддержания в постоянной готовности к применению;
• организации списания технических и программных средств;
• участия в разработке и ведение необходимой технической и эксплуатационной документации.
• в части работ по сопровождению и технической поддержки: процессами:
• контроля состояния (мониторинг) состояния подсистем АС;
• анализа и устранения инцидентов безопасности;
• восстановления АС в случае сбоев или отказов;
• разработки и ведения отчетной документации;
• организации и обеспечение доступа к ресурсам АС.
• в части участия в создании, вводе в действие и модернизации АС: процессами:
• сбора, обобщения и анализа информации о состоянии СВТ АС;
• разработки предложений по улучшению эксплуатационных характеристик и повышению показателей качества функционирования АС;
• определения технической политики в области совершенствования АС;
• участия в работах по созданию (проектированию, поставке, монтажу и пуско-наладке, вводу в действие) СВТ (компонентов и технологий) АС;
• участия в проведении модернизации АС;
• проведения автономных и предварительных испытаний, опытной эксплуатации, приемочных испытаний и ввода в промышленную эксплуатацию СВТ АС в целом по результатам работ по модернизации.
• в части выполнения мероприятий по обеспечению безопасности информации: процессами:
• обеспечения безопасности информации, внутриобъектового и пропускного режимов при проведении работ по эксплуатации технических средств и программных продуктов;
• обеспечения сохранности информации конфиденциальной информации (ограниченного доступа), а также выполнение комплекса мероприятий по реализации мер, направленных на защиту информации;
• участия в реализации организационных мер по обеспечению безопасности и защиты информации.

3.1.4. Процессы управления каналами связи и передачи данных

Состав процессов управления каналами связи и передачи данных определяется следующими видами деятельности:

• в части применения по назначению технических средств и программных продуктов, используемых в среде передачи данных, процессами:
• организации ответственным за сопровождение и техническую поддержку защищенных каналов связи с внешними системами (информационно-телекоммуникационными сетями);
• контроля состояния используемых технических средств и программных продуктов;
• контроля качества предоставляемых сетевых сервисов;
• контроля качества арендуемых каналов связи и взаимодействие с провайдерами телекоммуникационных услуг;
• анализа и устранения нештатных ситуаций в процессах функционирования средств и систем телекоммуникации и связи;
• подготовки и выдачи отчетных документов;
• разработки и ведения установленной документации.
• в части оперативно-технического управления СВТ (техническими средствами и программными продуктами), используемыми в АС, процессами:
• разграничения прав и зон ответственности в процессе эксплуатации;
• мониторинга состояния и управления параметрами СВТ;
• управления ресурсами, производительностью и конфигурацией СВТ;
• изменения конфигурации технических средств и программных продуктов с целью восстановления их работоспособности.
• в части технической эксплуатации телекоммуникационного оборудования и каналов связи: процессами:
• проведения систематического контроля и анализа текущего состояния, сбор, обработка и анализ статистических данных по эксплуатации, подготовки предложений по решению выявленных проблем, совершенствования, повышения надежности и развития систем (сетей), подсистем, технических средств и программных продуктов, используемых в АС для обеспечения передачи данных;
• планирования и учет технических средств и программных продуктов;
• организации и проведения опытной эксплуатации, приемочных испытаний и ввод в промышленную эксплуатацию технических средств и программных продуктов;
• организации технического обслуживания в части согласования планов — графиков выполнения работ, допуска на объекты, сопровождения работ по техническому обслуживанию;
• организации проведения планового и текущего ремонта технических средств и программных продуктов с целью восстановления их работоспособности;
• организации и проведения освидетельствования технических средств и программных продуктов (при необходимости);
• обеспечения хранения закрепленных технических средств в установленных местах с применением специальных средств и методов защиты с целью их поддержания в постоянной готовности к применению;
• доработок технических средств и программных продуктов, с целью устранения обнаруженных в процессе эксплуатации ошибок и конструктивных недоработок, а также повышения надежности функционирования средств телекоммуникации и связи;
• организация списания технических средств;
• ведения технической и эксплуатационной документации.
• в части обеспечения развития систем и средств телекоммуникации и связи: процессами:
• сбора, обобщения и анализа данных о потребностях в ресурсах для обеспечения работы информационных и специальных СВТ, используемых в процессах передачи данных.
• планирования развития (реконструкции, модернизации) закрепленных технических средств и программных продуктов с учетом перспективного оборудования, технологий и услуг современного рынка и потребностей АС;
• подготовки и согласования исходных данных, заданий на проектирование и строительно-монтажные работы;
• сопровождения проектных работ;
• надзора за пуско-наладочными работами.

Отдельную категорию объектов воздействия угроз составляют применяемые в АС технические политики, политики обеспечения безопасности, а также стандарты протоколов информационного обмена, нарушение целостности, а в ряде случаев и конфиденциальности которых может привести к срывам в процессах функционирования АС.

3.2. Оборудование

Состав оборудования, используемого в АС, включает в себя следующие группы технических и аппаратных средств:

• Компоненты среды передачи — оборудование структурированной кабельной система (СКС):
• кабеля;
• розетки;
• кроссы, панели.
• Сетевое оборудования:
• коммутаторы;
• маршрутизаторы (межсетевые экраны).
• АРМ и рабочие станции:
• АРМ пользователей.
• Периферийные устройства ввода вывода программно-аппаратных платформ:
• клавиатуры;
• манипуляторы типа «мышь»;
• мониторы.
• Другие устройства и оборудование:
• съемные накопители.
• оборудование систем управления доступом в защищаемые помещения;
• средства защиты физического доступа в помещения и к оборудованию;
• оборудование систем и средств обеспечения бесперебойного питания.

3.3. Программное обеспечение

Программное обеспечение оборудования СВТ, входящего в состав АС, включает в себя:

• Низкоуровневое ПО: в составе:
• ПО устройств сопряжения, управления, обмена.
• Системное ПО: в составе:
• загрузчик операционной системы;
• драйверы устройств;
• ПО ядра операционной системы;
• ПО программных кодеков;
• ПО локальных и сетевых утилит, служб и сервисов.
• Прикладное ПО: в составе:
• пакет офисных приложений;
• специализированное ПО.

3.4. Особые зоны

В границах АС имеют место следующие виды особых зон:

• контролируемая территория, в границах которой расположена оборудование СВТ АС;
• защищаемые помещения (особые зоны) с размещенными в ней СВТ, сетевым оборудованием, компонентами СКС (кроссы, кабели и т.д.), программными и программно-аппаратными СЗИ и СКЗИ;
• хранилища (шкафы, сейфы) бумажных и съемных электронных носителей информации.