Сокращения

АВС – антивирусные средства

АРМ – автоматизированное рабочее место
ВТСС – вспомогательные технические средства и системы
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПИ – программное изделие
ПМВ – программно-математическое воздействие
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
САЗ – система анализа защищенности
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
СОВ – система обнаружения вторжений
ТКУИ – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных

Термины и определения В настоящем документе используются

следующие термины и их определения
Безопасность персональных данных – состояние защищенности
персональных данных, характеризуемое способностью
пользователей, технических средств и информационных технологий
обеспечить конфиденциальность, целостность и доступность
персональных данных при их обработке в информационных
системах персональных данных.
Доверенное лицо - лицо, которое уполномочили действовать от
имени доверителя, нанимателя.
Информационные ресурсы - (базы и файлы данных, контракты и
соглашения, системная документация, научно-исследовательская
информация, документация, обучающие материалы и пр.).
Контролируемая зона – это пространство, в котором исключено
неконтролируемое пребывание сотрудников и посетителей
оператора и посторонних транспортных, технических и иных
материальных средств.
Персональные данные – любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его
фамилия, имя, отчество, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия,
доходы, другая информация.
 Модель угроз
Корпорация Галактика
Введение

Корпорация Галактика - один из ведущих в СНГ разработчиков и

поставщиков информационных технологий управления. Компания была
образована в 1987 году, в настоящее время ее заказчиками являются около
6400 предприятий в Украине, России, Республике Беларусь, Казахстане.
Главная цель корпорации ”Галактика” - эффективная и успешная
деятельность компаний, предприятий и организаций.

Накопленные экспертные знания и богатый практический опыт отражены в

решениях ”Галактики”, каждое из которых создано для применения именно в
условиях бизнес-среды России и стран СНГ.

В комплекс бизнес-решений ”Галактики” входит система Галактика ERP и

отраслевые решения на ее базе (машиностроение, транспорт, строительство,
вузы, энергетика и др); система Галактика Business Intelligence (мониторинг и
анализ деятельности предприятия по ключевым показателям); специальные
решения для поддержки специфических бизнес-процессов (НИОКР; ТОРО;
управление недвижимостью, подготовкой производства и финальной
сборкой изделий; учет форменной спецодежды и вещевого имущества и др.).

Корпорация ”Галактика” является и разработчиком, и поставщиком своих

решений. Компания оказывает заказчикам полный спектр услуг: ИТ-
консалтинг и разработка проектов автоматизации управления; выполнение
заказных разработок; ввод систем автоматизации в эксплуатацию; обучение
пользователей; сопровождение и развитие внедренных решений.

В состав корпорации ”Галактика” входят предприятия, расположенные в

Москве, Минске, Киеве, Алматы, Санкт-Петербурге и Екатеринбурге. В
региональной партнерской сети – более 200 компаний. В любом регионе
заказчики корпорации ”Галактика” обеспечены надежной поддержкой
квалифицированных специалистов корпорации и ее партнеров.

Описание возможностей

Возможности системы позволяют в едином информационном пространстве

оперативно решать главные управленческие задачи, обеспечить менеджеров
различного уровня управления необходимой и достоверной информацией для
принятия управленческих решений.

 Построение системы учета и формирование различных видов

отчетности
 Управление материальными и финансовыми потоками (логистика)
 Финансовое планирование и оперативный финансовый менеджмент,
управленческий учет
  Производственное планирование и управление производством,
контроллинг
 Управление персоналом и кадровой политикой

В состав системы автоматизации управления предприятием Галактика ERP

входят средства и для поддержки специальных управленческих задач:

 Управление техническим обслуживанием и ремонтами оборудования

 Управление качеством продукции
 Управление взаимоотношениями с клиентами
 Управление недвижимостью

Система ERP обладает теми свойствами, которые востребованы

предприятиями сегодня и будут необходимы завтра:

Соответствие концепции ERP и стандарту MRP II,

 Поддержка национальных и международных стандартов финансовой

отчетности,
 Защита конфиденциальной информации,
 Масштабируемость,
 Оптимальное для каждого заказчика соотношение ”цена/качество
решения”,
 Возможность быстрого внедрения.

Корпорация ”Галактика” обладает лицензией на осуществление работ,

связанных с использованием сведений, составляющих государственную
тайну. Это позволяет использовать систему Галактика ERP в организациях
и предприятиях оборонно-промышленного комплекса, а также в структурах,
чья деятельность имеет стратегически важное значение для государства.

Назначение структура и основаные характеристики Галактика

ERP

Интегрированная система автоматизации управления приносит компании ряд

неоспоримых преимуществ: сокращение издержек, повышение
производительности труда, снижение себестоимости продукции, рост
прозрачности и конкурентоспособности бизнеса.

Однако для того, чтобы система стала надежным и удобным в использовании

инструментом управления, недостаточно только ее отличных
функциональных возможностей. Масштабируемость, быстродействие,
возможность выбора для работы системы различных аппаратных средств,
эргономичность и удобство администрирования, умеренная стоимость
сопровождения и развития системы – каждая из этих характеристик играет
важную роль в получения максимального эффекта от работы ERP-решения.

Именно поэтому в корпорации ”Галактика” уделяется особое внимание

технологиям построения и архитектуре системы Галактика ERP, что
находит отражение в использовании современных и хорошо себя
зарекомендовавших методик, концепций, средств.

Масштабируемость

В зависимости от задач и ресурсов компания имеет возможность построения

и использования любой конфигурации системы Галактика ERP, оптимально
соответствующей конкретным потребностям предприятия, причем с
максимальным сохранением инвестиций. При увеличении количества
пользователей сохраняются производительность системы, эффективность и
бесперебойность ее работы, благодаря чему Галактика ERP может успешно
применяться на очень крупных предприятиях.

Быстродействие

Специалисты корпорации ”Галактика” регулярно проводят тестовые

испытания нагрузки на систему Галактика ERP, что позволяет с каждой
новой версией повышать быстродействие системы и рекомендовать каждому
заказчику оптимальную для него конфигурацию системы и оборудования.
Испытания проводятся совместно с компаниями IBM, Hewlett Packard, Sun,
Microsoft.

Трехуровневая архитектура

В системе Галактика ERP реализована трехуровневая архитектура (клиент –

сервер приложений – сервер базы данных) и возможность комбинирования
двух- и трехуровневой архитектуры в рамках одной инсталляции. Это
позволяет добиться существенного снижения стоимости владения
информационной системой.
Версионность компонентов

В системе Галактика ERP реализована концепция компонентной модели:

все единицы системы сформированы в компоненты, взаимодействующие
между собой через специальные интерфейсы. Компоненты логически
объединены в модули системы Галактика ERP. Наличие версий у
компонентов позволяет перейти от обновления системы к обновлению
отдельных компонентов.

Открытость для интеграции с любым программным обеспечением

Поддержка открытых стандартов разработки (XML, COM, ActiveX, ODBC)

предоставляет заказчику широкие возможности интеграции системы
Галактика ERP с любым специализированным или отраслевым программным
обеспечением и офисными приложениями, а также возможность замены
компонентов и подсистем Галактики ERP собственными разработками.
Дополнительные возможности для интеграции Галактики ERP с
продуктами сторонних производителей и построения глобальных
распределенных систем дает реализация в системе сервис-ориентированной
архитектуры (SOA) и технологий web-сервисов.

Модульная структура

Система состоит из нескольких функциональных блоков – контуров, каждый

их которых решает комплекс задач: управление финансами, производством,
логистикой, взаимоотношениями с клиентами и другие.
Каждый контур состоит из нескольких модулей, нацеленных на выполнение
более узких задач. Модульная структура Галактики ERP позволяет
приобретать и использовать только те модули и контуры, которые
необходимы конкретному предприятию. С развитием бизнеса и появлением
новых управленческих задач, предприятие имеет возможность
последовательно производить закупку необходимых компонент системы.

Филиальность

Система Галактика ERP позволяет вести учет хозяйственной деятельности

корпорации (холдинга), в состав которой входят несколько юридических лиц
(филиалов), в одной базе данных. При этом не допускается
несанкционированный доступ из одного филиала к информации других
филиалов. В тоже время есть возможность получения консолидированной
отчетности по корпорации в целом с возможностью группировать и
фильтровать данные в разрезе филиалов.

Поддержка национальных алфавитов

Система Галактика ERP поддерживает русский, белорусский, украинский и

казахский языки.

Организация удаленного доступа без дополнительных расходов

Система Галактика ERP обеспечивает удаленный доступ пользователей к
своим ресурсам без дополнительного лицензирования и обслуживания, с
использованием каналов с низкой пропускной способностью.

Удобство администрирования

В состав системы Галактика ERP включены средства для централизованной

настройки параметров системы, ее обновления, установки необходимых
приложений. Это существенно повышает безопасность системы, улучшает
защиту от несанкционированного доступа и значительно облегчает процесс
ее администрирования.

Максимальная совместимость и преемственность

Для удобства заказчиков процесс обновления версий системы Галактика

ERP значительно упрощен: при наличии сервера приложений отпадает
необходимость установки новой версии на каждую рабочую станцию. При
смене версий в полной мере обеспечивается преемственность функционала и
пользовательского интерфейса.

Модель вероятного нарушителя информационной безопасности

Программа учета договоров автоматизирует бизнес-процедуры, связанные с

заключением, исполнением и учетом договоров и контрактов. Он может
использоваться для автоматизации договорной деятельности во многих
отраслях промышленности, транспорта, торговли и т.д. Даже если работа
предприятия реализована не по договорной схеме, ”условный” договор по
контрагенту может служить в качестве отправной точки при планировании
хозяйственной деятельности в сфере закупок, поставок и платежей, для
контроля их исполнения.

Упрощается решение следующих задач:

 Заключение договоров (конкретных и рамочных), связанных, в первую

очередь, со снабжением и сбытом. Учет расчетов по договорам, в том
числе векселями и ценными бумагами.
  Конкретизация рамочных договоров путем периодического заключения
дополнительных соглашений, уточняющих взаимоотношения сторон
на определенный период.
 Формирование календарных планов движения товаров, услуг и
платежей. Расчет штрафов за нарушение условий и сроков отгрузки и
оплаты.
 Формирование наряд-заказов на отгрузку товаров на внутренний рынок
и на экспорт.
 Организация транспортировки и формирование платежных
документов. При этом выполняется расчет потребности в единицах
подвижного состава и транспортных средствах, формируются счета на
предоплату за товары/услуги по транспортировке. Возможна отгрузка
товаров железнодорожным и автомобильным транспортом с
формированием сопроводительных документов. При этом
определяются приоритеты отгрузок, формируются распоряжения на
отгрузку, разнарядки, накладные на отпуск.
 Составление исковых заявлений по договорам на взыскание долга и
уплату пени, а также регистрация решений суда по искам.
 Формирование отчетности и проведение окончательных расчетов. На
этом этапе, на основании товарно-сопроводительных документов,
осуществляется учет выполнения наряд-заказов, формируются
платежные документы для оплаты услуг по транспортировке,
контролируется дебиторская и кредиторская задолженности,
анализируется состояние взаиморасчетов. Для этого используются
акты сверки взаиморасчетов, в которых фиксируются объемы
отгруженных товаров и расходы на транспортировку в стоимостном
выражении, суммы платежей, суммы оказанных услуг, наличие
задолженности.

Предложения об имеющейся у нарушителя информации об

обьектах реализации угроз

Система Галактика ERP – это полномасштабная управленческая

информационная система, разработанная специально для крупных и средних
предприятий России и стран СНГ. По своим функциональным
возможностям, полноте реализации процессов планирования
система Галактика ERP не имеет аналогов среди российских ИТ-решений.
Отличием от западных систем является отсутствие избыточного
функционала.
Основные угрозы системы Галактика ERP:

 Угроза системы учета и формирование различных видов отчетности

 Угроза материальными и финансовыми потоками (логистика)
 Угроза Финансовое планирование и оперативный финансовый
менеджмент, управленческий учет
 Производственное планирование и управление производством,
контроллинг
 Угроза персоналом и кадровой политикой
 Угроза техническим обслуживанием и ремонтами оборудования
 Угроза качеством продукции
 Угроза взаимоотношениями с клиентами
 Угроза недвижимостью
Предположения об имеющихся у нарушителя средствах
реализации угроз
АВС – антивирусные средства
АРМ – автоматизированное рабочее место
ВТСС – вспомогательные технические средства и системы
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПИ – программное изделие
ПМВ – программно-математическое воздействие
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
САЗ – система анализа защищенности
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
СОВ – система обнаружения вторжений
ТКУИ – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных

Предположения об имеющихся у нарушителя средствах

реализаци угроз

Формирование документов-оснований на закупку/продажу объектов учета и

накладных осуществляется в системе с использованием
модулей Управление снабжением, Управление сбытом. Если
предварительно заключаются договоры на покупку/продажу, то используется
модуль Управление договорами.

В модуле Финансово-расчетные операции производится оформление и

обработка всех видов финансовых документов, сопровождающих движение
денежных средств по объектам учета.
Нарушитель Имеющиеся на предприятии материальные ценности можно
перевести в состав основных средств. Формирование таких операций
осуществляется в модуле Складской учет с помощью накладных на
передачу. Кроме того, при выбытии объектов учета (реализация на сторону)
можно приходовать материальные ценности на склад и формировать
необходимые документы оперативного учета, подтверждающие их продажу.

Подвижной состав в модуле Управление транспортом может

формироваться выбором из картотеки основных средств, созданной в модуле
Основные средства.

Данные нарушитель Основные средства используются также в

модуле Управление ремонтами. Кроме того, из этого модуля (на основании
актов выполненных работ) для основных средства может быть перенесена
общая сумма затрат по ремонту.

В модуле Управление строительством предусмотрены функции ввода

готовых объектов в эксплуатацию с формированием инвентарной карточки в
модуле Основные средства или изменением стоимости основного средства в
результате строительства.

Результаты работы с модулями Основные средства и Нематериальные

активы используются для составления Баланса и налоговых форм отчетов,
Деклараций и т.п. в модуле Бухгалтерская отчетность.

В модуль Налоговый учет передается вся необходимая информация о

состоянии показателей объектов учета, а также суммы амортизационных
отчислений по объектам для формирования пользователями регистров
налогового учета.

Описание объектов и целей реализации угроз информационной

безопасности

В состав системы Галактика ERP включены средства для

централизованной настройки параметров системы, ее обновления, установки
необходимых приложений. Это существенно повышает безопасность
системы, улучшает защиту от несанкционированного доступа и значительно
облегчает процесс ее администрирования.

Максимальная совместимость и преемственность

Для удобства заказчиков процесс обновления версий системы Галактика

ERP значительно упрощен: при наличии сервера приложений отпадает
необходимость установки новой версии на каждую рабочую станцию. При
смене версий в полной мере обеспечивается преемственность функционала и
пользовательского интерфейса.

3 Галактика ERP - контуры системы

Система Галактика ERP обладает модульной структурой. Каждый модуль

предназначен для автоматизации отдельных, узких задач. Модули объединены в
контуры, которые позволяют автоматизировать весь спектр задач одной
предметной области.

3.1 Контур бухгалтерского учета

Контур бухгалтерского учета системы Галактика ERP обеспечивает

эффективное решение всего спектра задач, связанных с ведением
бухгалтерского и налогового учета, формированием соответствующей
отчетности на предприятиях различных отраслей и масштабов, в компаниях с
многофилиальной и территориально-распределенной структурой. Контур
бухгалтерского учета системы Галактика ERP – надежный инструмент для
ведения бухгалтерского и налогового учета.

Его отличительными особенностями являются:

 поддержка нормативных правил и требований законодательства в

области бухгалтерского и налогового учета;
 поддержка ведения учета и формирования отчетности в
международных стандартах (IAS, US GAAP);
 гибкая настройка аналитического учета;
 бухгалтерская отчетность в электронном формате;
 поддержка параллельного учета в нескольких планах счетов
бухгалтерского учета.
В Нарушение бухгалтерского учета предусмотрено формирование всего
спектра финансовых документов, сопровождающих движение денежных
средств (платежные поручения, платежные требования, инкассовые
поручения, заявления на аккредитив, авизо, бухгалтерские справки и т.п.).
Эти документы могут быть связаны с документами-основаниями,
созданными в других контурах системы Галактика ERP.

Описание каналов реализации угроз информационной

безопасности
Возможными каналами реализации угроз информационной безопасности
являются:

– каналы доступа, образованные с использованием штатных средств МИС

. – каналы доступа, образованные с использованием специально

разработанных технических средств и программного обеспечения.

Предполагается, что не являются каналами реализации угроз:

– технические каналы утечки

; – сигнальные цепи;

– источники и цепи электропитания;

– цепи заземления;
– каналы активного воздействия на технические средства с помощью
облучения.

Основные способы реализации угроз информационной

безопасности
Система угроз Галактика ERP обеспечивает обобщение и анализ
информации по всем разделам хозяйственной деятельности предприятия:

Внеоборотные активы: наличие и движение активов, которые относятся к

основным фондам, нематериальным и другим внеоборотным активам, а
также учет операций, связанных с их строительством, приобретением,
выбытием.

Производственные запасы: наличие и движение предметов труда,

предназначенных для обработки, переработки или использования в
производстве (либо для хозяйственных нужд), а также средств труда, в
соответствии с установленным порядком включаемых в состав оборотных
средств, и учет операций, связанных с их заготовлением (приобретением).

Затраты на производство: расходы по видам деятельности предприятия.

Готовая продукция и товары: наличие и движение готовой продукции

(продуктов производства) и товаров.

Денежные средства: наличие и движение денежных средств в национальной

и иностранных валютах, находящихся в кассе и на расчетных (валютных)
счетах, открытых в кредитных организациях на территории страны и за ее
пределами, а также ценных бумаг, платежных и финансовых документов.

Расчеты: все виды расчетов с различными юридическими и физическими

лицами (в т.ч. внутрихозяйственные расчеты).

Капитал: состояние и движение капитала.

Финансовые результаты: доходы и расходы, а также выявленный конечный

финансовый результат деятельности организации за отчетный период.

Реализация в системе Галактика ERP требований ПБУ 18/02 позволяет:

 обеспечить хранение и расчет данных о начислении и погашении сумм

временных и постоянных разниц, возникающих между бухгалтерским
и налоговым учетом;
 отразить в бухгалтерском учете и отчетности взаимосвязь прибыли или
убытка, определенных по нормам бухучета и налоговой базы по налогу
 на прибыль, определенной в соответствии с законодательством о
налогах и сборах;
 отразить в бухгалтерском учете отличие налога на бухгалтерскую
прибыль или убыток от налога на налогооблагаемую прибыль,
сформированную в бухгалтерском учете и отраженную в налоговой
декларации по налогу на прибыль.

Для расходов (доходов), принимаемых к учету одновременно и в налоговом,

и в бухгалтерском учете, настраивается типовая хозяйственная операция
(ТХО), формирующая проводки одновременно в разных планах счетов на
суммы, соответствующие настройке алгоритмов в ТХО. Если признание к
учету производится в различные моменты времени или сумма принимается к
учету только в одном учетном методе, ТХО настраиваются для каждого
плана счетов.

Налоговый учет реализуется:

 регистрацией сумм для налогового учета в первичных документах по

учету основных средств, нематериальных активов, товарно-
материальных запасов, работ, услуг, ценных бумаг, денежных средств
и проч. в ”налоговых” справках;
 отображением доходов и расходов, определяющих налогооблагаемую
базу

Комплект готовых форм налоговых регистров, формируемых на основе

параметров первичных документов, и форма декларации включены в
модуль Налоговый учет системы Галактика ERP. В модуле содержится
свыше 30 готовых регистров налогового учета (регистры-расчеты и
регистры-состояния по амортизируемому имуществу, расходам на оплату
труда, движению денежных средств, финансовым результатам по типам
операций и т.п.).

Кроме того, модуль Налоговый учет предоставляет специализированные

возможности для документирования операций по расходам будущих
периодов, принимаемых к учету в течение нескольких отчетных интервалов.
Для налогового учета можно использовать план счетов, расширенный
синтетическими и аналитическими счетами для целей налогового учета.
Налоговая отчетность строится по данным первичных документов и
сформированных по ним проводкам.

Реализация в системе Галактика ERP требований налогового учета

обеспечивает:

 отражение в учете сумм налога на прибыль, подлежащего уплате в

бюджет, сумм излишне уплаченных, а также сумм, способных оказать
 влияние на величину налога на прибыль в последующих отчетных
периодах;
 документирование налогооблагаемой базы по налогу на прибыль в
соответствии с требованиями главы 25 Налогового кодекса.

Перечень основных угроз безопасности информации

Учитывая особенности обработки персональных данных в Правительстве
Сахалинской области, органах исполнительной власти Сахалинской области
и подведомственных им учреждениях (далее - Органы власти и учреждения),
а также категорию и объем обрабатываемых в информационной системе
персональных данных (далее - ИСПДн), основными характеристиками
безопасности являются конфиденциальность, целостность и доступность.

Конфиденциальность - обязательное для соблюдения Органом власти и

учреждением или иным получившим доступ к персональным данным лицом
требование не допускать их распространение без согласия субъекта
персональных данных или наличия иного законного основания.

Целостность - состояние защищенности информации, характеризуемое

способностью автоматизированной системы обеспечивать сохранность и
неизменность информации при попытках несанкционированных воздействий
на нее в процессе обработки или хранения.

Доступность - состояние информации, при котором субъекты, имеющие

права доступа, могут реализовать их беспрепятственно.

Под актуальными угрозами безопасности персональных данных понимается

совокупность условий и факторов, создающих актуальную опасность
несанкционированного, в том числе случайного, доступа к персональным
данным при их обработке в информационной системе, результатом которого
могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, а также иные
неправомерные действия.

Угрозы безопасности персональных данных, актуальные при обработке

персональных данных в ИСПДн, согласно постановлению Правительства
Российской Федерации от 01.11.2012 N 1119 подразделяются на угрозы
первого, второго, третьего типа. В соответствии с пунктом 7 Требований к
защите персональных данных при их обработке в информационных системах
персональных данных, утвержденных постановлением Правительства
Российской Федерации от 01.11.2012 N 1119, определение типа угроз
безопасности персональных данных, актуальных для информационной
системы, производится оператором системы, определенным нормативным
правовым актом Сахалинской области, с учетом оценки возможного вреда.

Для определения актуальных угроз безопасности из общего перечня угроз

безопасности выбираются только те угрозы, которые являются актуальными
для ИСПДн в соответствии с Методикой определения актуальных угроз
безопасности персональных данных при их обработке в информационных
системах персональных данных, утвержденной заместителем директора
ФСТЭК России от 14.02.2008.

Основной целью применения в ИСПДн Органов власти и учреждений СКЗИ

является защита персональных данных при информационном обмене по
сетям связи общего пользования и (или) сетям международного
информационного обмена.

Основными видами угроз безопасности персональным данным в ИСПДн

являются:

- угрозы, связанные с преднамеренными или непреднамеренными

действиями лиц, имеющих доступ к информационным ресурсам ИСПДн,
включая пользователей ИСПДн;

- угрозы, связанные с преднамеренными или непреднамеренными

действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из
внешних сетей связи общего пользования и (или) сетей международного
информационного обмена;

- угрозы, возникновение которых напрямую зависит от свойств техники и

программного обеспечения (далее - ПО), используемого в ИСПДн;

- угрозы, возникающие в результате внедрения аппаратных закладок и

вредоносных программ;

- угрозы, направленные на нарушение нормальной работы технических

средств и средств связи, используемых в ИСПДн;
- угрозы, связанные с недостаточной квалификацией обслуживающего
ИСПДн персонала.

Выводы
1.Ввиду исключительной роли в Галактика ERP лиц категорий I и II в
число этих лиц должны включаться только доверенные лица, к которым
применен комплекс организационных мер по их подбору, принятию на
работу, назначению на должность и контролю выполнения функциональных
обязанностей.

2. Лица категорий III-VIII относятся к вероятным внутренним нарушителям.

3. Среди лиц категорий III-VIII наиболее опасными вероятными

нарушителями являются лица категории III (пользователи МИС) и лица
категории VIII (уполномоченный персонал разработчиков МИС, который на
договорной основе имеет право на техническое обслуживание и
модификацию компонентов МИС).

4. Лица категории III и лица категории VIII в качестве вероятных

нарушителей безопасности информации МИС обладают возможностями,
соответствующими нарушителю второго уровня (в соответствии с
руководящим документом ФСТЭК России «Концепция защиты средств
вычислительной техники и автоматизированных систем от
несанкционированного доступа к информации»).

5. Представленная модель угроз для МИС должна использоваться при

формировании обоснованных требований информационной безопасности
МИС и проектировании СЗПДн ЛПУ.

6. Исходя из анализа угроз безопасности ПДн, а так же учитывая то, что: o

МИС является специальной информационной системой т.к., в ней
обрабатываются персональные данные, касающиеся состояния здоровья
субъектов персональных данных; o в МИС одновременно обрабатываются
данные от 1000 до 100000 субъектов персональных данных;

Модель угроз МИС Минздравсоцразвития России, в МИС не предусмотрено

принятие на основании исключительно автоматизированной обработки
персональных данных решений, порождающих юридические последствия в
отношении субъекта персональных (юридически значимым документом
является «бумажная» история болезни, по которой принимаются решения); o
нарушение безопасности персональных данных, обрабатываемых в МИС,
может привести к незначительным негативным последствиям для субъектов
персональных данных; o класс информационной системы определяется по
решению оператора на основе проведенных им анализа и оценки угроз
безопасности персональных данных.

Учитывая особенности функционирования, небольшое количество

актуальных угроз и незначительность опасности их реализации, МИС
определяется как специальная ИСПДн с требованиями по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, в основном, соответствующими 3-му классу.