Pastein: Как упоминалось ранее, критически важная информация с рабочих станций уходит на хранение в серверную комнат

Загрузка данных
Как упоминалось ранее, критически важная информация с рабочих станций уходит на хранение в серверную комнату компании. Помимо выделенного автоматизированного рабочего места (АРМ) системного администратора, там находится производительный физический сервер, используемый для поддержания доменной инфраструктуры Active Directory и безопасного хранения данных.  
Его аппаратный состав выглядит следующим образом:  
процессор: 12 ядер / 24 потока, тактовая частота 3.30 GHz;  
объем оперативной памяти — 256 ГБ;  
блок питания: 1000Вт 80+ Gold с поддержкой горячей замены по схеме 1+1;  
дисковый массив (объем накопителей) — 50 Тб.  
На базе данного физического сервера с помощью гипервизора 1 уровня VMware ESXi развернут изолированный виртуальный сервер, на котором функционирует СУБД с базами данных клиентов, инвесторов и транзакций. Для функционирования виртуального сервера выделены следующие аппаратные ресурсы физического хоста:  
процессор: 6 ядер / 12 потоков, 3.30 GHz;  
объем оперативной памяти — 64 ГБ;  
объем выделенного дискового пространства под БД — 10 Тб.  
3 Анализ политик информационной безопасности объекта информатизации
Главным организационным и концептуальным документом в процессе построения и эксплуатации системы защиты информации МФО ООО «Казачки» является Политика информационной безопасности. Она определяет ключевую стратегию руководства в области противодействия киберугрозам, правила допустимого использования корпоративных ресурсов сотрудниками, а также объемы финансирования и материально-технических ресурсов для её обеспечения.  
Разрабатываемая политика безопасности ООО «Казачки» основывается на требованиях следующих нормативно-правовых актов РФ и отраслевых стандартов:  
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ — регулирует общественные отношения при поиске, передаче и распространении данных, а также устанавливает легитимность применения мер защиты информации;  
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ — жестко регламентирует процессы обработки, хранения и передачи персональных данных граждан, требуя исключения утечек;  
Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ — регулирует правовые отношения, связанные с введением режима коммерческой тайны в отношении скоринговых моделей и бизнес-показателей компании;  
Указ Президента РФ от 06.03.1997 № 188 (в актуальной редакции) «Об утверждении Перечня сведений конфиденциального характера»;  
«Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Гостехкомиссией РФ от 25.11.1994 г.);  
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;  
Нормативные акты и стандарты Банка России (в т.ч. Положение ЦБ РФ № 757-П) — устанавливают обязательные требования к обеспечению защиты информации для некредитных финансовых организаций (включая МФО) при осуществлении деятельности на финансовом рынке.
Критическое замечание по тексту (Правда без прикрас): В твоем исходном шаблоне для IT-компании был указан 3 уровень защищенности персональных данных (3 УЗ). Для МФО ООО «Казачки» это грубейшая ошибка, за которую компанию оштрафуют и закроют.
Поскольку ООО «Казачки» обрабатывает биометрические данные (фото паспорта в руках, СКУД), а также специальные категории данных (сведения о судимости при скоринге, финансовое положение) миллионов граждан, согласно Постановлению Правительства РФ № 1119 и Приказу ФСТЭК № 21, информационная система компании имеет 2 уровень защищенности (УЗ-2) (а при объеме базы более 100 000 субъектов — может достигать и УЗ-1). Поэтому требования к СИБ здесь значительно жестче.
  
В соответствии с Приказом ФСТЭК России № 21, для обеспечения требуемого УЗ-2 в отношении защиты информационных активов ООО «Казачки», в политику безопасности закладывается обязательное развертывание и функционирование следующих подсистем защиты:  
идентификация и аутентификация субъектов доступа и объектов доступа (внедрение строгой двухфакторной аутентификации для входа в СУБД и CRM);  
управление доступом субъектов доступа к объектам доступа (матрица доступа: оператор контакт-центра не должен видеть финансовые отчеты компании, а бухгалтер — иметь доступ к управлению сервером);  
ограничение программной среды (запрет на установку стороннего софта и запуск нерасширенных исполняемых файлов на рабочих местах сотрудников);  
защита машинныx носителей информации, на которых хранятся и обрабатываются персональные данные заемщиков (полный запрет и блокировка USB-портов для флеш-карт, контроль печати документов на принтерах);  
регистрация событий безопасности (сбор всех действий системных администраторов и пользователей в логи);  
антивирусная защита (развертывание централизованного антивирусного комплекса класса EDR на серверах и АРМ);  
обнаружение и предотвращение вторжений (внедрение систем класса IDS/IPS на периметре сети);  
контроль и анализ защищенности персональных данных (регулярный сканер уязвимостей сети и проведение тестов на проникновение);  
обеспечение целостности информационной системы и персональных данных (контроль отсутствия несанкционированных изменений в базах данных);  
обеспечение доступности персональных данных (настройка регулярного резервного копирования бэкапов на изолированный сервер СХД).
Больше возможностей при регистрации:
