МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №11
по дисциплине «Основы информационной безопасности» ТЕМА: Определение уровня защищенности ИСПДН и реализация
требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр.
Преподаватель
Санкт-Петербург
2023
ЦЕЛЬ РАБОТЫ
Изучение вида работ по определению необходимого уровня
защищенности персональных данных в конкретной организации.
1.Общие положения
Назначение документа: документ предназначен для выявления актуальных для предприятия ООО «Тбилисский Сахарный Завод» угроз информационной безопасности и предполагается для использования всеми структурными подразделениями упомянутого предприятия.
Наименование обладателя информации: ООО «Тбилисский Сахарный Завод».
Подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей: за обеспечение защиты информации отвечает администратор системы безопасности.
2. Описание систем и сетей и их характеристика как объектов
защиты
Наименование систем и сетей, для которых разработана модель угроз
безопасности информации:
1.Локальная офисная сеть для доступа в интернет в каждом отделе;
2.Система управляющая автоматизированной производственной
линией;
3.Система складского учета;
4.Система безопасности и контроля доступа;
5.Серверная.
Класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных: рассматриваемые системы имеют класс защищенности К2.
Назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим: Основной задачей систем является поддержание работоспособности производственного комплекса и создание необходимой документации.
Основные процессы (бизнес-процессы) обладателя информации,
оператора, для обеспечения которых создаются (функционируют) системы и сети: Производство и реализация сахара и вторичных продуктов производства.
3
Описание групп внешних и внутренних пользователей систем и сетей,
уровней их полномочий и типов доступа: среди сотрудников предприятия можно выделить такие роли, как офисный работник, администратор системы безопасности, технический специалист, IT-специалист.
Задачи офисного работника:
- Создание финансовой документации.
Задачи технического специалиста:
- Поддержание работы производственной линии.
Задачи IT-специалиста:
-Поддержание работы информационных систем на предприятии;
-Проведение ТО оборудования предприятия.
Задачи администратора системы безопасности:
- Поддержание работы системы управления доступом.
Состав и архитектура систем и сетей предприятия представлены на рисунке 1.
Рисунок 1 – Схема сети предприятия.
4
3.Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации
Описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба): Потеря (хищение) денежных средств,
причинение имущественного ущерба, утечка конфиденциальной информации
(коммерческой тайны, секретов производства (ноу-хау) и др.): в результате атаки хакерами серверов предприятия и последующей компрометации данных.
Потеря (хищение) денежных средств, причинение имущественного ущерба: в
результате атаки внутренним нарушителем бухгалтерского отдела и последующей замены платежных реквизитов.
4. Возможные объекты воздействия угроз безопасности
информации
Наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации,
или обеспечивают реализацию основных процессов обладателя информации,
оператора:
1)Система безопасности осуществляет управление правами доступа к различной информации для сотрудников предприятия.
2)Серверная хранит финансовую документацию.
3)Компьютер бухгалтера взаимодействует с серверами для получения и отправления финансовой документации.
Описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям: получение более высоких прав доступа при помощи уязвимостей, использование уязвимостей БД.
5.Источники угроз безопасности информации
Характеристика нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз
5
безопасности информации: мошенники, являющиеся представителями криминальных структур, могут реализовывать угрозы ИБ с целью получения финансовой выгоды, любая категория сотрудников может реализовывать угрозы ИБ как с целью получения финансовой выгоды, так и с целью удовлетворения личных мотивов.
Категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации: сотрудники, отвечающие за IT
оборудование, и администратор системы безопасности, потенциальные преступники и хакеры, криминальные структуры.
Описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей: наибольшими возможностями в системе обладает администратор системы безопасности, хакеры скорее всего обладают базовыми возможностями, представители криминальных структур могут (и будут)
действовать в сговоре с первыми двумя группами, так как их возможностей может оказаться недостаточно.
6. Способы реализации (возникновения) угроз безопасности
информации
Описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий: угроза внедрения вредоносного кода в BIOS, угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам, угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением, угроза некорректного использования функционала программного и аппаратного обеспечения, угроза несанкционированного использования привилегированных функций BIOS.
Описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации:
1)Сайт предприятия
6
2)АРМ сотрудников и администраторов
3)Сервера
7.Актуальные угрозы безопасности информации
Перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей: хищение (копирование) информации и средств ее обработки,
утрата (неумышленная потеря, утечка) информации и средств ее обработки,
модификация (искажение) информации, уничтожение информации и средств ее обработки, создание условий для реализации угрозы ИБ.
Виды рисков (ущерба) и типовые негативные последствия отреализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные |
|
|
последствия |
У2 |
Риски юридическому лицу, |
Потеря (хищение) денежных средств. Причинение |
|
индивидуальному |
имущественного ущерба. Утечка конфиденциальной |
|
предпринимателю, связанные с |
информации (коммерческой тайны, секретов производства |
|
хозяйственной деятельностью |
(ноу-хау) и др.) |
|
|
|
Примеры определения объектов воздействия и видоввоздействия на них
Негативные |
Объекты воздействия |
Виды воздействия |
последствия |
|
|
|
|
|
Хищение денежных |
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты |
средств со счета |
|
платежных поручений и другой платежной |
организации (У2) |
|
информации на АРМ главного бухгалтера |
|
|
|
|
|
|
7
Возможные цели реализации угроз безопасности информации нарушителями
№ |
Виды |
Категории |
Возможные цели реализации угроз |
|||
вида |
нарушителя |
нарушителя |
безопасности информации |
|
||
|
|
|
|
|
|
|
1 |
Отдельные физические |
Внешний |
Получение |
финансовой |
или |
иной |
|
лица (хакеры) |
|
материальной выгоды. |
|
|
|
|
|
|
Любопытство |
или |
|
желание |
|
|
|
самореализации (подтверждение статуса) |
|||
2 |
Авторизованные |
Внутренний |
Получение финансовой или иной |
|
|
|
|
пользователи систем и |
|
материальной выгоды. |
|
|
|
|
сетей |
|
Непреднамеренные, неосторожные или |
|||
|
|
|
неквалифицированные действия |
|
|
|
Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможныхнегативных последствий и видов ущерба от их реализации
Виды |
|
Возможные цели реализации угроз |
Соответствие |
|
нарушит |
|
безопасности информации |
целей видам |
|
елей |
Нанесение |
Нанесение |
Нанесение ущерба государству |
риска (ущерба) и |
|
ущерба |
ущерба |
в области обеспечения обороны |
возможным |
|
физическому |
юридическому |
страны, безопасности |
негативным |
|
лицу |
лицу, |
государстваи правопорядка, а |
последствиям |
|
|
индивидуаль |
также в социальной, |
|
|
|
ному |
экономической, политической, |
|
|
|
предпринима |
экологической |
|
|
|
телю |
сферах деятельности |
|
Отдельные |
- |
+ |
+ |
У2 |
физические |
|
Хищение средств |
Утечка конфиденциальной |
|
|
|
|||
лица |
|
|
информации |
|
(хакеры) |
|
|
|
|
|
|
|
|
|
Авторизова |
+ |
+ |
- |
У2 |
нные |
Непреднамеренн |
Хищение средств |
|
|
пользовател |
ые, |
|
|
|
и систем и |
неосторожные |
|
|
|
сетей |
|
|
|
|
или |
|
|
|
|
|
|
|
|
|
|
неквалифициров |
|
|
|
|
анныедействия |
|
|
|
8
Уровни возможностей нарушителей
по реализации угроз безопасности информации
№ |
Уровень |
|
Возможности нарушителей по реализации угроз |
|
Виды нарушителей |
|||||||||||
|
возможностей |
|
|
безопасностиинформации |
|
|
|
|
|
|
||||||
|
нарушителей |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Н1 |
Нарушитель, |
|
|
Имеет |
возможность |
при |
реализации |
угроз |
Физическое лицо (хакер) |
|||||||
|
обладающий |
|
|
безопасности информации |
использовать |
|
только |
|
|
|
|
|||||
|
базовыми |
|
|
известные уязвимости, скрипты и инструменты. |
|
Авторизованные |
||||||||||
|
возможностями |
|
Имеет |
возможность |
использовать |
средства |
пользователи систем исетей |
|||||||||
|
|
|
|
|
реализации |
угроз |
|
(инструменты), |
свободно |
|
|
|
|
|||
|
|
|
|
|
распространяемые в сети «Интернет» и разработанные |
|
|
|
|
|||||||
|
|
|
|
|
другими лицами, имеет минимальные знания |
|
|
|
|
|||||||
|
|
|
|
|
механизмов их функционирования, доставки и |
|
|
|
|
|||||||
|
|
|
|
|
выполнения вредоносного программного обеспечения, |
|
|
|
|
|||||||
|
|
|
|
|
эксплойтов. |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
Обладает базовыми компьютерными знаниями и |
|
|
|
|
|||||||
|
|
|
|
|
навыками на уровне пользователя. |
|
|
|
|
|
|
|||||
|
|
|
|
|
Имеет возможность реализации угроз за счет |
|
|
|
|
|||||||
|
|
|
|
|
физических воздействий на технические средства |
|
|
|
|
|||||||
|
|
|
|
|
обработки и хранения информации, линий связи и |
|
|
|
|
|||||||
|
|
|
|
|
обеспечивающие системы систем и сетей при наличии |
|
|
|
|
|||||||
|
|
|
|
|
физического доступа к ним. |
|
|
|
|
|
|
|
||||
|
|
|
|
|
Таким образом, нарушители с базовыми |
|
|
|
|
|||||||
|
|
|
|
|
возможностями имеют возможность реализовывать |
|
|
|
|
|||||||
|
|
|
|
|
только известные угрозы, направленные на |
|
|
|
|
|||||||
|
|
|
|
|
известные (документированные) уязвимости, с |
|
|
|
|
|||||||
|
|
|
|
|
использованием общедоступных инструментов |
|
|
|
|
|||||||
|
|
|
|
Примеры результата определения актуальных нарушителей |
||||||||||||
|
|
|
|
|
приреализации угроз безопасности информации и |
|||||||||||
|
|
|
|
|
|
соответствующие им возможности |
|
|
|
|||||||
|
|
№ |
Виды риска (ущерба) и |
|
|
Виды |
|
Категория |
|
Уровень |
|
|||||
|
|
п/п |
возможные негативные |
|
|
актуального |
|
нарушителя |
возможностей |
|
||||||
|
|
|
|
последствия* |
|
|
нарушителя** |
|
|
|
|
нарушителя |
|
|||
|
|
|
У2: Потеря (хищение) |
|
Отдельные |
|
Внешний |
|
Н1 |
|
||||||
|
|
|
денежных средств. |
|
|
физические лица |
|
|
|
|
|
|
||||
|
|
|
Причинение имущественного |
|
(хакеры) |
|
|
|
|
|
|
|
||||
|
|
1 |
ущерба. Утечка |
|
|
Авторизованные |
|
Внутренний |
|
Н1 |
|
|||||
|
|
конфиденциальной |
|
|
пользователи систем и |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
информации (коммерческой |
|
сетей |
|
|
|
|
|
|
|
||||
|
|
|
тайны, секретов производства |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
(ноу-хау) и др.) |
|
|
|
|
|
|
|
|
|
|
|
||
Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их
возможности
9
№ |
Вид нарушителя |
Категория |
Объект воздействия |
Доступные |
Способы |
|
п/п |
|
нарушителя |
|
|
интерфейсы |
реализации |
1 |
Отдельные |
Внешний |
Удаленное |
|
Доступ через |
Внедрение |
|
физические лица |
|
автоматизированное |
локальную сеть |
вредоносного |
|
|
|
|
|
|
|
|
|
(хакеры) (Н1) |
|
рабочее |
место |
организации |
программного |
|
|
|
нарушение |
|
|
обеспечения |
|
|
|
конфиденциальности |
|
|
|
|
|
|
информации, |
|
Съемные машинные |
Использование |
|
|
|
содержащейся наАРМ |
носители информации, |
уязвимостей |
|
|
|
|
пользователя |
|
подключаемые к АРМ |
конфигурации |
|
|
|
|
|
||
|
|
|
|
|
пользователя |
системы с |
|
|
|
|
|
|
|
|
|
|
|
|
|
доступом к АРМ |
|
|
|
|
|
|
пользователя |
|
|
|
|
|
|
|
2 |
Авторизованные |
Внутренний |
АРМ главного |
|
Локальная сеть |
Преднамеренны |
|
пользователи систем |
|
бухгалтераорганизации: |
организации |
е изменения |
|
|
и сетей (Н1) |
|
Модификация |
|
|
информации на |
|
|
|
платежныхпоручений, |
|
АРМ главного |
|
|
|
|
хранящихся на АРМ |
|
бухгалтера |
|
|
|
|
главного бухгалтера |
|
|
|
|
|
|
|
|
|
|
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности
информации
№ |
Тактика |
Основные техники |
Т1 |
Получение первоначального |
Т1.1. Использование внешних сервисов организации в сетях публичного доступа |
|
доступак компонентам систем |
(Интернет) Примеры: 1) доступ к веб-серверу, расположенному в сети |
|
и сетей |
организации; 2) доступ к |
|
|
интерфейсу электронной почты OutlookWebAccess (OWA) почтового сервера |
|
Тактическая задача: |
организации |
|
нарушитель,находясь вне |
Т1.2. Эксплуатация уязвимостей сетевого оборудования и средств защиты |
|
инфраструктуры сети или |
вычислительныхсетей для получения доступа к компонентам систем и сетей при |
|
системы, стремится получить |
удаленной атаке. |
|
доступ к любому узлу в |
Пример: обход межсетевого экрана путем эксплуатации уязвимостей |
|
инфраструктуре ииспользовать |
реализации правил фильтрации |
|
его как плацдарм для |
Т1.3. Несанкционированный доступ путем подбора учетных данных сотрудника |
|
дальнейших действий |
или легитимного пользователя (методами прямого перебора, словарных атак, |
|
|
паролей производителей по умолчанию, использования одинаковых паролей |
|
|
для разных учетных |
|
|
записей, применения «радужных» таблиц или другими) |
Т2 |
Повышение привилегий по |
Т2.1. Получение данных для аутентификации и авторизации от имени |
|
доступу к компонентам систем |
привилегированной учетной записи путем поиска этих данных в папках и файлах, |
|
и сетей |
поиска в памяти или перехвата в сетевом трафике. Данные для авторизации |
|
|
включают пароли, хэш-суммы паролей, токены, идентификаторы сессии, |
|
Тактическая задача: получив |
криптографические ключи, но не ограничиваются ими |
|
первоначальный доступ к узлу |
Т2.2 Эксплуатация уязвимостей ПО к повышению привилегий. Пример: |
|
с привилегиями, |
эксплуатация уязвимости драйвера службы печати, позволяющей выполнить код |
|
недостаточными для |
с привилегиями системной учетной записи, через доступ к этому драйверу из |
|
совершения нужных ему |
приложения, запущенного от имени непривилегированного пользователя |
|
действий, нарушитель |
Т2.3. Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее |
|
стремится повысить |
строгим контролем доступа к некоторым ресурсам (например, к файловой |
|
полученные привилегии и |
системе) для непривилегированных учетных записей. Пример: подмена на диске |
|
|
10 |