МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №11 по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищённости ИСПДн и реализация требований к ИС в соответствии в руководящим документом ФСТЭК
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Цель работы: изучение вида работ по определению необходимого уровня
защищенности персональных данных в конкретной организации.
1.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
2.Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС
всоответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждѐнный ФСТЭК России 5 февраля 2021 г.
1. Общие положения
Модель угроз безопасности информации разработана для предприятия ООО
«Скайнэт».
Модель угроз соответствует следующим документам:
Методика оценки угроз безопасности информации.
ФЗ №149 «Об информации, информационных технологиях и о защите информации.»
ФЗ №152 «О персональных данных».
Обладатель информации, Заказчик, оператор систем и сетей – ООО
«СкайНэт».
Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.
2. Описание систем и сетей и их характеристики как объектов защиты
Модель угроз разработана для корпоративной сети офиса ООО «Скайнэт» в г. Санкт-Петербург.
Класс защищенности системы – 1Д (по классификации из Руководящего Документа Гостехкомиссии России).
В корпоративной сети хранятся и обрабатываются персональные данные клиентов, данные организации, рабочие документы и файлы. Для данной сети актуальны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ2 по ИСПДн.
Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №149 «Об информации, информационных технологиях и о защите информации»; ФЗ №152 «О персональных данных.»
Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обработка заказов.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенными к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию серверной, СУБД, администраторской части веб-сервера.
Схема сети представлена на рисунке 1.
Рисунок 1 – Схема сети
3. Возможные негативные последствия от реализации угроз
безопасности
В сети хранятся и циркулируют данные, необходимые для работы
организации, а так же данные, подлежащие защите по закону «О персональных
данных».
Таблица 1 –Возможные негативные последствия от реализации угроз
|
|
|
|
|
№ |
|
Виды риска (ущерба) |
|
Возможные негативные последствия |
|
|
|
|
|
У1 |
|
Ущерб физическому лицу |
|
Нарушение конфиденциальности. |
|
|
|
|
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
|
|
|
|
|
гражданина, закрепленных в |
|
|
|
|
|
Конституции Российской Федерации и |
|
|
|
|
|
федеральных законах. |
|
|
|
|
|
|
У2 |
Риски |
юридическому |
лицу, |
Нарушение законодательства Российской |
|
|
индивидуальному |
предпринимателю, |
Федерации. |
||
|
связанные |
с |
хозяйственной |
|
|
|
деятельностью |
|
|
Недополучение ожидаемой |
|
|
|
|
|
|
|
|
|
|
|
|
(прогнозируемой) прибыли. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость дополнительных |
|
|
|
|
|
(незапланированных) затрат на выплаты |
|
|
|
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость дополнительных |
|
|
|
|
|
(незапланированных) затрат на закупку |
|
|
|
|
|
товаров, работ или услуг (в том числе |
|
|
|
|
|
закупка программного обеспечения, |
|
|
|
|
|
технических средств, вышедших из |
|
|
|
|
|
строя, замена, настройка, ремонт |
|
|
|
|
|
указанных средств). |
|
|
|
|
|
|
|
|
|
|
|
Срыв запланированной сделки с |
|
|
|
|
|
партнером. |
3.Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
|
Негативные последствия |
|
Объекты воздействия |
|
Виды воздействия |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Нарушение конфиденциальности. |
БД |
|
Утечка данных о |
|
|
|
|
|
|
|
пользователях. |
|
|
|
|
|
|
|
|
|
|
Беспроводные каналы связи |
|
Кража/подмена данных |
|
|
|
|
|
|
|
предприятия. |
|
|
|
|
|
|
|
|
|
Финансовый ущерб физическому |
БД, каналы связи |
|
Утеря данных о |
|
|
|
лицу. |
|
|
|
проекте. |
|
|
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
|
Раскрытие данных об |
|
|
|
гражданина, закрепленных в |
сотрудников, системного |
|
авторских проектах, |
|
|
|
Конституции Российской |
администратора |
|
кража объектов |
|
|
|
Федерации и федеральных законах. |
|
|
|
интеллектуальной |
|
|
|
|
|
|
собственности. |
|
|
|
|
|
|
|
|
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
временная |
|
|
неработоспособность |
|
|
сервера, утеря данных о |
Необходимость дополнительных |
|
|
|
проектах, ошибки |
|
(незапланированных) затрат на |
|
|
|
сотрудников. |
|
выплаты штрафов (неустоек) или |
|
|
|
|
|
компенсаций. |
|
|
|
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
сеть неавторизованного |
почта. |
подброшенные |
пользователя. |
|
носители с |
|
|
вредоносным ПО. |
|
|
|
Схема описанных объектов воздействия показана на рисунке 2, красным помечены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
Рисунок 2 – Схема объектов воздействия
5. Источники угроз безопасности информации
Таблица 3 – возможные цели реализации угроз
|
|
|
|
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
|
|
|
|
|
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
|
организации. |
|
|
|
|
|
Сотрудники |
Внутренний |
Непреднамеренные |
действия, |
|
|
тормозящие работу организации. |
|
|
|
|
|
|
|
Преднамеренные действия с целью |
|
|
|
получения выгоды/реализации |
|
|
|
собственных интересов. |
|
|
|
|
|
Хакеры |
Внешний |
Любопытство. Тренировка. |
|
|
|
Получение выгоды. |
|
|
|
|
|
Поставщики услуг |
Внешний |
Материальная выгода |
|
связи |
|
|
|
|
|
|
|
Внешние нарушители не имеют непосредственного доступа к оборудованию системы, когда внутренние подразделяются на классы по уровню доступа к оборудованию и информации предприятия.
Условно внутреннего нарушителя можно разделить на 3 группы:
|
Таблица 4 – уровни прав доступа внутренних нарушителей |
||
|
|
|
|
Вид внутреннего нарушителя |
|
Права доступа |
|
|
|
|
|
Системный администратор |
|
Доступ к СУБД, серверному |
|
|
|
оборудованию и ПО, высшие права в |
|
|
|
локальной сети, доступ к рабочим |
|
|
|
местам сотрудников. |
|
|
|
|
|
Сотрудники |
|
Доступ к своим рабочим местам, |
|
|
|
локальной сети. |
|
|
|
|
|
Дополнительный персонал |
|
Доступ во все помещения без доступа к |
|
|
|
оборудованию (нет собственных |
|
|
|
учетных записей) |
|
|
|
|
|
Виды нарушителей и их уровень возможностей представлены в таблице ниже:
Таблица 5 – результат определения актуальных нарушителей
|
Виды риска/ущерба и возможные негативные |
|
Виды и |
|
Уровень |
|
последствия |
|
категория |
|
возможностей |
|
|
|
нарушителя |
|
|
|
Нарушение конфиденциальности. |
|
Хакеры, |
|
H1 |
|
|
|
внешний |
|
|
|
|
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
Сисадмин, |
|
H2 |
|
|
|
внутренний |
|
|
|
|
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
Сотрудники, |
H1 |
|
|
закрепленных в Конституции Российской Федерации |
|
внутренний |
|
|
|
|
|
|
|
|
|
и федеральных законах. |
|
|
|
|
|
|
|
|
|
|
|
Нарушение законодательства Российской Федерации. |
|
Дополнительный |
H1 |
|
|
|
|
персонал, |
|
|
|
|
|
внутренний |
|
|
|
|
|
|
|
|
|
Недополучение ожидаемой |
|
Конкуренты, |
H2 |
|
|
(прогнозируемой) прибыли. |
|
внешний |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Необходимость дополнительных |
|
Поставщики |
H2 |
|
|
(незапланированных) затрат на выплаты штрафов |
|
услуг |
связи, |
|
|
|
внешний |
|
|
|
|
|
|
|
|
|
|
(неустоек) или компенсаций. |
|
|
|
|
|
|
|
|
|
|
6. Способы реализации угроз безопасности информации
|
Таблица 6 – описание уровней нарушителей |
|
|
|
|
Уровень нарушителя |
Возможности |
|
|
|
|
H1 |
Технические средства и программное обеспечение |
|
|
|
|
|
Знания о известных уязвимостях |
|
|
|
|
|
Базовые компьютерные знания и навыки |
|
|
|
|
Н2 |
Возможности нарушителя Н1 |
|
|
|
|
|
Утилиты, доступные в Интернете/разработанные другими |
|
|
|
|
лицами.
Практические знания о эксплуатации систем
Таблица 7 – актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей
Вид нарушителя, |
Объекты |
Доступные интерфейсы |
Способы реализации |
категория |
воздействия |
|
|
Хакеры (H2), |
CУБД, |
Веб-сайт компании, |
Использование |
внешний |
сотрудники |
электронная почта, территория |
уязвимостей, инъекций, |
|
|
предприятия. |
социальной инженерии. |
Конкуренты |
|
|
|
(H2), внешний |
|
|
|
|
|
|
|
Поставщики |
Рабочие |
ПАК предприятия |
Целенаправленный |
услуг связи (H2), |
места |
|
перехват информации, |
сотрудников, |
|
отказ от обслуживания. |
|
внешний |
|
||
вебсервер |
|
|
|
|
|
|
|
|
|
|
|
Сисадмин (H2), |
ПАК |
ПАК предприятия |
Ошибки в настройке, |
внутренний |
предприятия |
|
продажа данных, |
|
|
|
намеренное или случайное |
|
|
|
их удаление. |
|
|
|
|
Сотрудник (H1), |
Рабочие |
Рабочие места сотрудников |
Пользовательские ошибки |
внутренний |
места |
|
|
|
сотрудников |
|
|
|
|
|
|
Дополнительный |
- |
- |
Непреднамеренное |
персонал (H1), |
|
|
причинение вреда ПАК, |
внутренний |
|
|
саботаж |
7. Актуальные угрозы безопасности информации
При описании потенциальных угроз безопасности информации были приняты в рассмотрение следующие факторы: актуальные нарушители, уровни их возможностей, объекты воздействия предприятия, основные способы реализации угроз и негативные последствия.
Актуальные угрозы безопасности информации: