МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №11 Тема: «Определение уровня защищенности ИСПДН и реализация
требований к ИС в соответствии с руководящими документами ФСТЭК»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ВВЕДЕНИЕ
Цель работы: Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Задача: Изучить виды работ по определению необходимого уровня защищенности персональных данных в организации ПАО «ТГК-1».
Предприятие: Филиал «Карельский» ПАО «ТГК-1» (ПАО Территориальная Генерирующая Компания 1).
1. ОБЩИЕ ПОЛОЖЕНИЯ
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации Филиал «Карельский» ПАО «ТГК-1». В точности будут определены угрозы безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационнотелекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а также по разработке моделей угроз безопасности информации систем и сетей.
Модель угроз разработана в соответствии со следующими нормативными и методологическими документами: ФЗ № 149 «Об информации, информационных технологиях и о защите информации»; ФЗ № 152 «О персональных данных»; Методический документ «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
Подразделение, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности.
2. ОПИСАНИЕ СИСТЕМ И СЕТЕЙ И ИХ ХАРАКТЕРИСТИКА КАК ОБЪЕКТОВ ЗАЩИТЫ
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно хозяйственной деятельности предприятия.
Модель угроз безопасности информации разработана для CRM-Системы (Система управления взаимоотношениями с клиентами) филиала «Карельский» ПАО «Тгк-1».
В CRM-Системе обрабатываются персональные данные пользователей: сотрудников и не являющихся сотрудниками организации, актуальны угрозы 1 типа (наличие недекларированных возможностей в системном ПО) – уровень защищённости ИСПДн — УЗ-2.
Нормативные правовые акты РФ, в соответствии с которыми функционируют указанные система и сеть: ФЗ №152 «О персональных данных», ФЗ №273 «Об образовании в Российской Федерации», Указ Президента РФ №188 «Об утверждении Перечня сведений конфиденциального
характера», ФЗ №78 «О библиотечном деле», ФЗ №5351- 1 «Об авторском праве и смежных правах».
Назначение CRM-Системы и локальной сети предприятия: помощь в работе с клиентской базой, отслеживание действий клиентов и сотрудников, автоматизация рутинных операций.
Основные задачи (функции) CRM-Системы и локальной сети предприятия:
•управление клиентской базой;
•управление продажами, финансами, договорами;
•информирование о необходимых платежах;
•оценка различных характеристик клиента на основании имеющихся в системе данных;
•обновление информации; Состав обрабатываемой информации:
•личные данные клиентов предприятия, учетные данные пользователей сайта организации: ФИО, дата рождения, адрес эл. почты, номер мобильного телефона, место работы, должность, постоянное место проживания.
Доступ к системе имеют только работники организации.
•Пользователи (работники службы сбыта);
•Администраторы (сотрудники отдела информационных технологий);
•Администраторы (сотрудники отдела ИБ).
Обращение к системе осуществляется с компьютеров, находящихся в офисе.
В состав CRM-Системы входят следующие компоненты: 1 АРМ администратора системы, 40 АРМ пользователей, СУБД, 3 сервера БД, файловый сервер.
АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов, в серверной находится маршрутизатор. При обмене данными с внешней средой используется межсетевой экран. Схема расположения и связи компонентов показана на рисунке 1.
Рисунок 1 – Схема расположения и связи компонентов
Количество рабочих мест около 50. 30 % работников используют Linux RED OS, остальные Windows 10. Провайдер: Ситилинк.
3. ВОЗМОЖНЫЕ НЕГАТИВНЫЕ ПОСЛЕДСТВИЯ ОТ РЕАЛИЗАЦИИ (ВОЗНИКНОВЕНИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Основным ресурсом CRM-Системы организации являются персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах», хранящася в базах данных.
Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы. Негативные последствия, актуальные для CRMСистемы приведены в таблице 1.
№ |
Виды риска (ущерба) |
|
Возможные негативные последствия |
У1 |
Ущерб физическому лицу. |
1. |
Нарушение конфиденциальности (утечка) |
|
|
персональных данных. |
|
|
|
2. |
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции РФ и |
|
|
|
федеральных законах. |
|
У2 |
Риски юридическому лицу, связанные 1. |
Нарушение законодательства РФ. |
|
|
с хозяйственной деятельностью. |
2. |
Необходимость дополнительных затрат на |
|
|
выплаты штрафов. |
|
3.Нарушение штатного режима функционирования автоматизированной системы.
4.Невозможность решения задач или снижение эффективности решения задач.
5.Публикация недостоверной информации на веб-ресурсах организации.
Таблица 1 – Негативные последствия от реализации угроз безопасности информации
4. ВОЗМОЖНЫЕ ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Компоненты, указанные на схеме локальной сети (рисунок 1) участвуют в обработке и хранении защищаемой информации. Основными информационными ресурсами и компонентами системы являютя:
•СУБД;
•Файловый сервер;
•Сервера БД;
•ПО администрирования;
•АРМ;
•Маршрутизаторы;
•Веб-сервер.
Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение |
Базы данных |
Утечка персональных данных |
конфиденциальности (утечка) |
|
из БД |
персональных данных |
|
|
АРМ, расположенные в офисе |
Кража персональных данных |
|
физических лиц (У1) |
организации |
с АРМ сотрудников. |
|
Проводные и беспроводные |
Перехват информации, |
|
каналы передачи данных |
содержащей персональные |
|
|
данные клиента организации. |
Нарушение законодательства |
База данных |
Утечка персональных и |
РФ, необходимость |
|
аутентификационных данных |
дополнительных затрат на |
|
пользователя, защищаемых |
выплаты штрафов (У2) |
|
законом «О пероснальных |
|
|
данных» |
|
Файловый сервер |
Утечка информации о |
|
|
взаимоотношениях |
|
|
организации и клиентов. |
Нарушение штатного режима |
ПО для администрирования |
Несанкционированный |
работы автоматизированной |
|
доступ, нарушение |
системы, невозможность |
|
функционирования |
решения задач или снижение |
|
программно-аппаратных |
эффективности решения задач |
|
средств администрирования |
(У2) |
|
CRM-Системы |
|
Сервера БД, файловый сервер |
Удаление или искажение |
|
|
информации. |
Таблица 2 – Объекты воздействия и виды негативного воздействия на них
Схема описанных выше объектов воздействия и содержащейся в них защищаемой информации приведена на рисунке 2
Рисунок 2 – Схема объектов воздействия и содержащейся в них защищаемой информации
5. ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Актуальными нарушителями (антропогенными источниками угроз) безопасности информации для CRM-Системы и локальной сети являются:
•Хакеры
•Конкурирующие организации
•Администраторы CRM-Системы
•Пользователи CRM-Системы
Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.
№ |
Виды актуального |
Категория |
Возможные |
цели |
реализации |
угроз |
|
нарушителя |
нарушителя |
безопасности информации |
|
||
1 |
Хакеры |
Внешний |
Получение финансовой или иной выгоды |
|
||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
||
|
организации |
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение материальной выгоды |
|
||
|
системы |
|
Неквалифицированные действия |
|
||
4 |
Пользователи |
Внутренний |
Получение материальной выгоды |
|
||
|
|
|
Неквалифицированные действия |
|
||
|
|
|
Месть за ранее совершенные действия |
|
||
Таблица 3 – Возможные цели реализации угроз безопасности информации для нарушителей
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы.
Внутренние нарушители имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:
1)Администраторы имеют привилегированные права доступа (изменения, удаления, создание).
2)Пользователи имеют ограниченные права доступа (просмотр).
Результат определения актуальных нарушителей при реализации угроз безопасности информации представлен в таблице 4.
№ |
Виды риска (ущерба) и |
Виды актуального |
Категория |
Уровень |
|
возможные негативные |
нарушителя |
нарушителя |
возможностей |
|
последствия |
|
|
нарушителя |
1 |
У1:нарушение |
|
Хакеры |
|
Внешний |
Н2 (базовые |
|
|
конфиденциальности (утечка) |
|
|
|
повышенные |
||
|
персональных данных; |
|
|
|
|
возможности) |
|
|
нарушение иных прав и свобод |
|
|
|
|||
|
Конкурирующие |
Внешний |
Н2 (базовые |
||||
|
гражданина, закрепленных в |
организации |
|
|
повышенные |
||
|
Конституции РФ и федеральных |
|
|
|
возможности) |
||
|
законах |
|
|
|
|
|
|
|
|
Администраторы |
Внутренний |
Н2 (базовые |
|||
|
|
|
|||||
|
|
|
системы |
|
|
повышенные |
|
|
|
|
|
|
|
возможности) |
|
|
|
|
Пользователи |
|
Внутренний |
Н2 (базовые |
|
|
|
|
|
|
|
повышенные |
|
|
|
|
|
|
|
возможности) |
|
2 |
У2: нарушение законодательства |
Хакеры |
|
Внешний |
Н2 (базовые |
||
|
РФ; необходимость |
|
|
|
|
повышенные |
|
|
дополнительных затрат на |
|
|
|
возможности) |
||
|
выплаты штрафов; нарушение |
|
|
|
|||
|
Конкурирующие |
Внешний |
Н2 (базовые |
||||
|
штатного режима |
|
организации |
|
|
повышенные |
|
|
функционирования |
|
|
|
|
возможности) |
|
|
автоматизированной системы; |
|
|
|
|
|
|
|
Администраторы |
Внутренний |
Н2 (базовые |
||||
|
невозможность решения задач |
||||||
|
системы |
|
|
повышенные |
|||
|
или снижение эффективности |
|
|
||||
|
|
|
|
возможности) |
|||
|
решения задач; публикация |
|
|
|
|||
|
Пользователи |
|
Внутренний |
Н2 (базовые |
|||
|
|
|
|
||||
|
|
|
|
|
|
повышенные |
|
|
|
|
|
|
|
возможности) |
|
Таблица 4 – Результат определения актуальных нарушителей при реализации |
|||||||
|
|
угроз безопасности информации |
|
|
|||
6. |
СПОСОБЫ |
РЕАЛИЗАЦИИ |
(ВОЗНИКНОВЕНИЯ) |
УГРОЗ |
|||
БЕЗОПАСНОСТИ ИНФОРМАЦИИ |
|
|
|
|
|||
Предполагается, что нарушитель уровня Н1 имеет доступные в свободной продаже технические средства и программное обеспечение.
Предполагается, что нарушитель уровня Н2 имеет: доступные в свободной продаже технические средства и программное обеспечение, специально разработанные технические средства и программное обеспечение.
Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности) представлены в таблице 5.
№ |
Вид |
Категория |
|
Объекты |
Доступные |
Способы |
|
нарушителя |
нарушителя |
воздействия |
интерфейсы |
реализации |
|
1 |
Хакеры, |
Внешний |
1. |
БД, |
Веб- |
Инъекции, почта, |
|
Конкурирующ |
|
2. |
Файловый |
интерфейс |
нестойкая |
|
ие |
|
сервер |
сайта |
криптография |
|
|
организации |
|
Утечка |
|
|
|
|
(Н2) |
|
персональных |
|
|
|
|
|
|
данных |
|
|
|