МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра информационной безопасности
Практическа РАБОТА №12
по дисциплине «Основы Информационной Безопасности»
Тема: Спецификация объекта защит и среды безопасности
Студент гр. _________________
Преподаватель _________________ Воробьев Е.Г.
Санкт-Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
Цель работы: изучение вида работ по спецификации объекта защиты.
Отчет выполняется в форме спецификации объекта защиты и среды безопасности
Материал должен содержать титульный лист, постановку задачи, а также следующие разделы: Описание функций объекта
Доступ на объект
Персонал объекта
Технические характеристики объекта
Безопасность объекта
Правила доступа к сетям и устройствам на предприятии
Описание структуры и оценка защищенности компании (например, при помощи программного обеспечения "РискМенеджер - Анализ v3.5" или согласно методике Вихорева)
Показатели исходной защищенности ИСПДн
Заключение о степени защищенности
Описываемый объект – «ФИРМА-01» и его серверная часть для хранения и обработки данных
1. Описание функций объекта
Назначение «ФИРМА-01»: хранение и обработка информации; обеспечение доступности к информации.
Основные функции «ФИРМА-01»:
1) обеспечение круглосуточного онлайн-доступа к чтению данных, хранящихся на общем сервере;
2) добавление и хранение информации на общем сервере;
3) автоматизированный поиск и обработка данных, находящихся на сервере;
4) Удаленный доступ для пользователей для размещения данных
5) защита данных пользователей и обеспечение информационной безопасности ресурсов.
2. Доступ на объект
«ФИРМА-01» физически располагаются в здании в пределах контролируемой зоны в административном здании АЗ-1. Объект занимает 2 комнаты: административное помещение и серверное помещение.
Доступ в административное и серверное помещения ограничен электромагнитными замками – 1 на двери в администраторскую, 1 на двери в серверную (со считывателями постоянных карт сотрудников «ФИРМА-01»).
3. Персонал объекта
Объект обслуживается:
администраторским отделом;
отделом технического обеспечения «ФИРМА-01».
В администраторский отдел входят: системный администратор – 2 человека
В отдел технического обеспечения «ФИРМА-01» входят: техники – 3 человека.
Данные для каталога предоставляются как частными, так и гос предприятиями.
4. Технические характеристики объекта
Для работы с документами организовано 4 места осуществляющих обработку (размещение, редактирование, обновление) общедоступной информации.
АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов (в читальном зале – 1, в административном помещении – 1) и маршрутизатора (в серверном помещении – 1).
Административное помещение оснащено двумя АРМ с установленным ПО для администрирования сервером с интерфейсом портала (ОС Windows Server 2008 Standard SP2, ASP 2.0) и сервер баз данных (Windows Server 2008 R2 Standard, MS SQL 2008).
В серверном помещении расположены: 1 сервер БД, 1 файловый сервер и 1 веб-сервер. Базовое ПО, используемое для поддержки серверов - Windows Server.
Ежегодно проводится плановый ремонт инженерных коммуникаций на территории университета с заменой устаревшего оборудования и приборов на более экономичные и современные.
5. Безопасность объекта
Данные хранятся на двух серверах: БД аутентификационных данных, БД каталог с метаданными и ссылками на электронные материалы, каталог электронных материалов (на файловом сервере).
Состав обрабатываемой информации:
1) учётные данные пользователей «ФИРМА-01», взаимодействующих с системой: фамилия, имя, отчество, дата рождения, адрес эл. почты, номер мобильного телефона, должность, данные о загрузке информации, история просмотра информации, данные о совершённых операциях с файлами.
2) информационные ресурсы (электронные материалы).
Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации, оператором или экспертом.
Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
• Несущественный ущерб для отрасли, региона.
• «ФИРМА-01» функционирует.
• Функции выполняются.
Можно сделать вывод что в данном случае уровень значимости информации 3 или У3 3 (низкая степень ущерба), поскольку нарушения конфиденциальности, целостности, доступности информации не влечет за собой большой ущерб для производства.
«ФИРМА-01» относится к объектовому масштабу ИС.
Поскольку расположена в пределах контролируемой зоны, в пределах 1 органа государственной власти.
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», «ФИРМА-01» имеет класс К3 (Масштаб информационной системы – объектовый + уровень значимости информации УЗ 3 – в результате нарушения одного из свойств безопасности
информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).
Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.
Веб-сервер предназначен для хостинга сайта «ФИРМА-01». При обмене данными с внешней средой используется сетевой экран (файрволл).
Все помещения оборудованы охранно-пожарной сигнализацией и системой видеонаблюдения. За безопасность объекта в составе университета отвечают Отдел информационной безопасности «ФИРМА-01» и отдел комплексной безопасности «ФИРМА-01».