Федеральное государственное автономное образовательное учреждение высшего образования «Санкт-Петербургский государственный электротехнический университет «ЛЭТИ»
им. В.И. Ульянова (Ленина)»
ОТЧЕТ по практической работе №11
по дисциплине «Основы информационной безопасности» Тема: Определение уровня защищенности ИСПДН и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студентка гр. |
____________________ |
Преподаватель: |
____________________ |
Санкт-Петербург, 2023
Цель работы
Изучение вида работ по определению необходимого уровня
защищенности персональных данных в конкретной организации.
2
1. Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «Сберабанк». Именно,
определению угроз безопасности информации, реализация (возникновение)
которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях,
информационнотелекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а
также по разработке моделей угроз безопасности информации систем и сетей.
Для выявления актуальных угроз безопасности персональных данных и определение уровня их защищенности использовались такие документы как: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденная заместителем директора ФСТЭК России 14 февраля 2008г., «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (выписка) утвержденная заместителем директора ФСТЭК России 15 февраля 2008г. А оценка угроз проводилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Владелец информации: организация «Сбербанк».
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «Сбербанк».
3
2. Описание систем и сетей и их характеристика как объектов
защиты.
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета,
анализа, документирования процессов, происходящих в производственно-
хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:
Автоматизация и управление;
Сервисы пользователей;
Обслуживание инфраструктуры.
Рисунок 1 – Оценка угроз безопасности информации в информационной инфраструктуре на базе центра обработки данных
Документы и правовые акты:
4
техническое задание на создание системы и локальной сети;
программная (конструкторская) документация;
эксплуатационная документация;
документы-соглашения на предоставление лицензии на ПО (Kaspersky laboratory, Microsoft, Lumension Security Inc.);
Федеральный закон «О персональных данных» от 14.07.2022 N 152-ФЗ;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
Соотнесение типа информационной системы персональных данных
(ИСПДн) к тому или иному уровню защищенности:
1) Определение категории обрабатываемых персональных данных:
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
2)Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 - одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных в пределах конкретной организации;
3)По результатам п.1 и 2 присваивается один из классов защищенности: класс защищенности (К-З) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
3. Возможные негативные последствия от реализации
(возникновения) угроз информационной безопасности.
Таблица 2 – Виды рисков (ущерба) и типовые негативные последствия
от реализации угроз безопасности информации
5
№ Виды риска (ущерба)
Возможные типовые
негативные последствия
Потеря (хищение) денежных средств.
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого
Риски юридическому
объекта и/или
лицу,
процесса.
индивидуальному
Невозможность
У2 предпринимателю,
заключения
связанные с
договоров,
хозяйственной
соглашений.
деятельностью
Причинение имущественного ущерба.
Утечка
конфиденциальной
информации (коммерческой тайны, секретов производства (ноухау) и др.)
Угрозы утечки информации по техническим каналам
Таблица 3 – Угрозы утечки информации по техническим каналам
Угроза |
Возможность реализации |
|
|
6
Угрозы утечки |
Перехват акустической (речевой) информации может |
акустической |
вестись: |
информации |
Стационарной аппаратурой, размещаемой в |
|
близлежащих строениях; |
|
Портативной возимой аппаратурой, размещаемой в |
|
транспортных средствах; |
|
Автономной автоматической аппаратурой. |
|
|
Угрозы утечки |
Перехват акустической (речевой) информации может |
видовой |
вестись: |
информации |
Стационарной аппаратурой, размещаемой в |
|
близлежащих строениях; |
|
Портативной возимой аппаратурой, размещаемой в |
|
транспортных средствах; |
|
портативной носимой аппаратурой – физическими |
|
лицами при их неконтролируемом пребывании в |
|
служебных помещениях |
|
|
Угрозы утечки |
Перехват ПЭМИН возможен с использованием |
информации по |
электронных устройств перехвата информации, |
каналам побочных |
подключенных к каналам связи или техническим |
электромагнитных |
средствам обработки ПДн. |
излучений и |
|
наводок |
|
|
|
7
Рисунок 2 – Классификационная схема угроз с использованием протоколов
межсетевого взаимодействия
Исходя из классификации, выделим наиболее актуальные угрозы для компании в межсетевом взаимодействии.
1. Анализ сетевого трафика (рисунок 3).
Рисунок 3 - Схема реализации угрозы «Анализ сетевого трафика»
8
В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней.
2. Сканирование сети.
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
3. Внедрение ложного объекта сети.
Рисунок 4 - Схема реализации угрозы «Внедрение ложного объекта сети»
9
4. Возможные объекты воздействия угроз безопасности
информации.
Таблица 4 – Воздействия и видов воздействия на негативные
последствия
|
Негативные |
|
|
Объекты воздействия |
|
|
Виды воздействия |
|
|
последствия |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
Линия связи между |
|
Перехват информации, |
||
|
|
|
|
сервером основного |
|
содержащей |
||
|
|
|
|
центра обработки |
|
идентификационную |
||
|
|
|
|
данных и сервером |
|
информацию граждан, |
||
|
Разглашение |
|
резервного центра |
|
передаваемой по линиям |
|||
|
персональных данных |
|
обработки данных |
|
связи |
|||
|
граждан |
|
База данных |
|
|
|
||
|
|
|
|
информационной |
|
Утечка идентификационной |
||
|
|
|
|
системы, содержащая |
|
информации граждан из |
||
|
|
|
|
идентификационную |
|
базы данных |
||
|
|
|
|
информацию граждан |
|
|
|
|
Финансовый ущерб |
|
БД, каналы связи |
|
Утеря данных о проекте. |
||||
физическому лицу. |
|
|
|
|
|
|
||
|
|
|
|
|
||||
Нарушение |
|
БД |
|
Утечка данных о |
||||
конфиденциальности. |
|
|
|
|
пользователях. |
|||
|
|
|
|
|
|
|
||
|
|
|
|
Беспроводные каналы |
|
Кража/подмена данных |
||
|
|
|
|
связи |
|
предприятия. |
||
|
|
|
|
|
|
|
Несанкционированная |
|
|
|
|
|
|
|
|
модификация информации в |
|
|
|
|
|
АРМ финансового |
|
платежных распоряжениях и |
||
|
|
|
|
директора |
|
отправка недостоверных |
||
|
|
|
|
|
|
|
распоряжений от имени |
|
|
|
|
|
|
|
|
финансового директора |
|
|
|
|
|
|
|
|
Модификация информации |
|
|
|
|
|
Электронный почтовый |
|
в платежных распоряжениях |
||
|
|
|
|
ящик финансового |
|
и отправка недостоверных |
||
|
|
|
|
директора |
|
распоряжений от имени |
||
|
|
|
|
|
|
|
финансового директора |
|
|
|
|
|
|
|
|
Подмена данных, |
|
|
|
|
|
АРМ главного |
|
содержащих реквизиты |
||
|
|
|
|
бухгалтера |
|
платежных поручений и |
||
|
|
|
|
|
|
|
другой платежной |
|
|
|
|
10 |
|
|
|
|
|