Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5091 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Основы информационной безопасности
Файл:

ОИБ_11

.docx
Скачиваний:
0
Добавлен:
30.12.2024
Размер:
3.59 Mб
Скачать

МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

Практическа РАБОТА №11

по дисциплине «Основы Информационной Безопасности»

Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК

Студент гр. _______________

Преподаватель _______________ Воробьев Е.Г.

Санкт-Петербург 2023

Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации. На основе документа ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.

  1. Общие положения

Данный документ подразумевает разработку модели угроз безопасности для организации «Фирма 01».

Модель угроз разработана в соответствии со следующими нормативными и методологическими документами:

ФЗ № 149 «Об информации, информационных технологиях и о защите информации»;

ФЗ № 152 «О персональных данных»;

Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной приказом заместителя директора ФСТЭК от 5 февраля 2021 г.;

Базовой модели угроз безопасности персональных данных в информационных системах персональных данных, утвержденной приказом заместителя директора ФСТЭК от 5 февраля 2021 г;

  1. Описание систем и сетей и их характеристика как объектов защиты

Модель угроз разработана для серверной части расположенной в «Фирма 01»

Класс защищённости серверной части – 1Д (многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.). Классификация приведена в соответствии с Руководящим Документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

На серверной части «Фирма 01» обрабатываются общедоступные данные, поэтому уровень защищенности ИСПДн – 2УЗ

Частная организация «Фирма 01» предназначена для хранения и обработки данных

Основные задачи организации «Фирма 01»:

1) Обеспечение круглосуточного онлайн-доступа к чтению данных, хранящихся на общем сервере;

2) Добавление и хранение информации на общем сервере;

3) Автоматизированный поиск и обработка данных, находящихся на сервере;

4) Удаленный доступ для пользователей для размещения данных

5) Защита данных пользователей и обеспечение информационной

Состав обрабатываемой информации:

1) учётные данные пользователей серверов «Фирма 01», взаимодействующих с системой: фамилия, имя, отчество, дата рождения, адрес эл. почты, данные о публикации данных, история просмотра данных.

2) Данные пользователей

Для доступа в систему требуется авторизация пользователей. В системе присутствует деление пользователей по типам доступа на группы:

1) пользователь – предоставляется доступ только к объему ресурсов сервера, который был выделен для пользователя. К данным других пользователей без авторизации через их аккаунт невозможна.

2) администратор АРМ – управляют доступом пользователей к системе и имеют возможность смотреть пользовательскую и групповую статистику.

Адрес «Фирма 01» в сети «Интернет» отсутствует. Доступ к серверам происходит через сеть интернет через специальное программное обеспечение.

В состав «Фирма 01» входят:

2 (два) АРМ системных администраторов, обеспечивающих техническое сопровождение системы;

Ограниченное мощностью сервера количество АРМ пользователей, осуществляющих обработку (размещение, редактирование, обновление) доступной им информации;

2 (два) сервера – сервер с интерфейсом портала (ОС Windows Server 2008 Standard SP2, ASP 2.0) и сервер баз данных (Windows Server 2008 R2 Standard, MS SQL 2008). Сервера и АРМ системных администраторов, операторов размещены в пределах контролируемой зоны в административном здании АЗ-1 по адресу: г. Грозный, пр. Путина д.9.

ЛВС построена по технологии Ethernet с использованием стека протоколов ТСР-IP, имеет доменную архитектуру на основе службы каталогов Active Directory с использованием динамического распределения IP-адресов для пользователей, не осуществляющих обработку информации в системе и статического - для системных администраторов и операторов системы.

Рис.1

Топологическая схема серверной части «Фирма 01»

  1. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

Основным ресурсом «Фирма-01» является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями и сервером, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».

Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы. Негативные последствия, актуальные для серверных данных «Фирма 01», приведены в таблице 1:

  1. Возможные объекты воздействия угроз безопасности информации

Компоненты, указанные на схеме серверной «Фирма 01» (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов на сервере:

Основные информационные ресурсы и компоненты системы:

1) База аутентификационных данных;

2) СУБД;

3) сервер БД;

4) файрвол;

7) ПО для администрирования,

8) ПО для пользователя

9) проводные и беспроводные каналы передачи данных.

Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.

Рисунок 2. Схема объектов воздействия и содержащейся в них защищаемой информации

  1. Источники угроз безопасности информации

Актуальными нарушителями (антропогенными источниками угроз) безопасности информации для серверной части «Фирма 01» являются:

1) хакеры;

2) конкурирующие организации;

3) администраторы серверной;

4) авторизованные пользователи сервера;

Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.

Таблица 3.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Внутренние нарушители имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:

1) Авторизованные пользователи имеют пользовательские права доступа (доступ в личный кабинет, к выделенным данным на сервере).

2) Администраторы серверной части имеют привилегированные права доступа (доступ к соответствующим АРМ и ПО администрирования).

Результат определения актуальных нарушителей при реализации угроз безопасности информации в серверной части представлен в таблице 4.

Таблица 4

  1. Способы реализации (возникновения) угроз безопасности информации

Предполагается, что нарушитель уровня Н1 имеет:

  1. Доступные в свободной продаже технические средства и программное обеспечение.

Предполагается, что нарушитель уровня Н2 имеет:

1) Доступные в свободной продаже технические средства и программное обеспечение;

2) специально разработанные технические средства и программное обеспечение.

Актуальные для серверной части «Фирма 01» способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности) представлены в таблице 5

  1. Актуальные угрозы безопасности информации

Перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей представлен в таблице 6:

Описание возможных сценариев реализации угроз безопасности информации по тактикам показаны в таблице 7:

Вывод: В ходе анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящими документами ФСТЭК: "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" утвержденная заместителем директора ФСТЭК России 5 февраля 2021г.;"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (выписка) утвержденная заместителем директора ФСТЭК России 5 февраля 2021г была составлена модель угроз безопасности информации для серверной части «Фирма 01», а также были рассмотрены различные виды угроз и их реализация. Таким образом было получено что текущая ИСПДн – ИСПДн-И

Соседние файлы в предмете Основы информационной безопасности
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности