Описание объекта информатизации

Общие сведения об анализируемой информации Основными функциями OOO Altius Plus, связанными с обработкой данных, являются:

• — исполнение условий трудовых договоров, заключенных между работниками и OOO Altius Plus;
• — исполнение условий договоров, заключенных между контрагентами и OOO Altius Plus;
• — Резервное копирование и хранение базы ПО, произведенного организацией.
• — Ведение учета отработанного сотрудниками времени и выполненных ими задач;

Основной тип данных, которые требуют защиты составляют:

• — исходные коды и исполняемые файлы для POS-терминалов и сопутствующего оборудования, которые хранятся в базе данных системы контроля версий SVN, которая производит резервное хранение, аудит и версионирование данных.
• — данные почтового сервера организации, на котором хранится переписка с деловыми партнерами по бизнесу, коллегами из организаций, совместно с которыми OOO Altius Plus производит разработку ПО;
• — персональные данные сотрудников организации.

Структурная схема OOO Altius Plus

Структурная схема OOO Altius Plus приведена на рисунке 1.

Рис. 1. Структурная схема OOO Altius Plus

OOO Altius Plus состоит из 3 отделов, каждый из которых выполнен в виде офисного помещения в пределах одного здания. Данные отделы объединены в единую информационно-вычислительную сеть OOO Altius Plus посредством внутренней транслируемой сети. Подключение ЛВС главного здания OOO Altius Plus к сети провайдера телекоммуникационных услуг осуществляется по технологии Ethernet.

OOO Altius Plus построена по топологии «дерево» с использованием коммутационного оборудования фирмы D-Link. Коммутационное оборудование уровня доступа (8-портовые коммутаторы) размещено в помещениях с установленными АРМ сотрудников OOO Altius Plus. Коммутационное оборудование основного уровня (24-портовый коммутатор Dlink DGS-1210−24 Smart Switch) размещено вне помещений, занимаемых сотрудниками OOO Altius Plus, в специально отделенном для этого помещении в серверной стойке. Ключи от помещения хранятся у директора и системного администратора OOO Altius Plus.

Все два сервера и межсетевой экран также расположены в том же специальном помещении.

В качестве среды передачи данных используется неэкранированная медная витая пара, проложенная внутри помещений, занимаемых сотрудниками OOO Altius Plus, и убранная в пластиковые короба соответствующего сечения. Стоит отметить, что вне помещений, занимаемых сотрудниками OOO Altius Plus, каналы связи проложены в труднодоступных местах.

В OOO Altius Plus развернута доменная инфраструктура на базе службы каталога MS Windows Active Directory, объединяющая АРМ пользователей OOO Altius Plus в единую систему. Роль контроллера домена выполняет сервер Reporting Server, функционирующий под управлением ОС MS Windows Server 2003 Standard Edition. Администрирование домена осуществляет системный администратор OOO Altius Plus. OOO Altius Plus имеет одну точку подключения к сети Интернет. Доступ к сети Интернет осуществляется через выделенный межсетевой экран (DrayTek VigorPro-5510), выполняя функции интернет-шлюза и траффик инспектора. Подключение к сети Интернет предназначено:

• — для обеспечения сервисов электронной почты;
• — для получения общедоступной информации;
• — для обновления антивирусного ПО;
• — для обеспечения информационного обмена OOO Altius Plus с третьими.
• — Для тестирования и отладки банковских POS-терминалов с сертифицированными хостами, находящимися за пределами РФ.

Следует отметить, что возможностью доступа к ресурсам сети Интернет обладают все пользователи OOO Altius Plus.

1. Организационно-режимные меры защиты, реализованные в OOO Altius Plus.

Контролируемая зона OOO Altius Plus документально определена и огрницена по внешним ограждающим конструкциям помещений, которые занимает OOO Altius Plus. К тому же, что в офисном здании :

• — отдельные помещения занимают сторонние организации;
• — при входе в здание располагается пункт охраны, охранник присутствует в здании круглосуточно;
• — реализована система контроля доступа сотрудников в здание;
• — по периметру здания и в отдельных частях здания ведется видеонаблюдение;
• — функционирует система охранной сигнализации;
• — помещения с установленными АРМ открыты только в том случае, если в них присутствуют сотрудники, работающие в данном помещении; последний уходящий из помещения сотрудник обязательно закрывает его на ключ;

Границу OOO Altius Plus следует определять именно так, как это указано выше.

Аналитическое обследование OOO Altius Plus показало, что:

• — здание, в котором расположена организация, оборудованы системами пожарной сигнализации;
• — на окнах помещений, занимаемых OOO Altius Plus, не присутствуют шторы / жалюзи;
• — все окна части здания не оборудованы решетками;
• — расположение части мониторов не исключает возможность случайного или преднамеренного просмотра сторонними лицами отображаемой информации (например персоналом, обслуживающим питьевые кулеры).

Лицом, ответственным за обеспечение информационной безопасности в OOO Altius Plus, назначен системный администратор OOO Altius Plus, который также занимается обслуживанием АС OOO Altius Plus и администрированием ИВС.

Следует отметить, что на сотрудников распространяется требование трудового договора о неразглашении конфиденциальной информации и интелектуальной собственности, этому посвящена значительная часть данного договора.

Также согласно трудовому договору, работодатель оставляет за собой право контролировать и просматривать все данные, переданные, или полученные работником в электронном виде, будь то вне, или внутри корпоративной сети, а также все сайты в сети интернет, посещенные работником.