МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по практической работе №11
по дисциплине «Основы информационной безопасности»
Тема: ОПРЕДЕЛЕНИЕ УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДН И РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ К
ИС В СООТВЕТСТВИИ С РУКОВОДЯЩИМИ ДОКУМЕНТАМИ ФСТЭК
Студент гр.
Преподаватель
Санкт-Петербург
2023
ЦЕЛЬ РАБОТЫ
Изучение вида работ по определению необходимого уровня защищенности
персональных данных в конкретной организации.
2
1.Общие положения
Назначение документа: документ предназначен для выявления актуальных для предприятия ООО «Тбилисский Сахарный Завод» угроз информационной безопасности и предполагается для использования всеми структурными подразделениями упомянутого предприятия.
Наименование обладателя информации: ООО «Тбилисский Сахарный Завод».
Подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей: за обеспечение защиты информации отвечает администратор системы безопасности.
2. Описание систем и сетей и их характеристика как объектов
защиты
Наименование систем и сетей, для которых разработана модель угроз
безопасности информации:
1.Локальная офисная сеть для доступа в интернет в каждом отделе;
2.Система управляющая автоматизированной производственной
линией;
3.Система складского учета;
4.Система безопасности и контроля доступа;
5.Серверная.
Класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных: рассматриваемые системы имеют класс защищенности К2.
Назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим: Основной задачей систем является поддержание работоспособности производственного комплекса и создание необходимой документации.
Основные процессы (бизнес-процессы) обладателя информации,
оператора, для обеспечения которых создаются (функционируют) системы и сети: Производство и реализация сахара и вторичных продуктов производства.
3
Описание групп внешних и внутренних пользователей систем и сетей,
уровней их полномочий и типов доступа: среди сотрудников предприятия можно выделить такие роли, как офисный работник, администратор системы безопасности, технический специалист, IT-специалист.
Задачи офисного работника:
- Создание финансовой документации.
Задачи технического специалиста:
- Поддержание работы производственной линии.
Задачи IT-специалиста:
-Поддержание работы информационных систем на предприятии;
-Проведение ТО оборудования предприятия.
Задачи администратора системы безопасности:
- Поддержание работы системы управления доступом.
Состав и архитектура систем и сетей предприятия представлены на рисунке 1.
Рисунок 1 – Схема сети предприятия.
4
3.Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации
Описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба): Потеря (хищение) денежных средств,
причинение имущественного ущерба, утечка конфиденциальной информации
(коммерческой тайны, секретов производства (ноу-хау) и др.): в результате атаки хакерами серверов предприятия и последующей компрометации данных. Потеря
(хищение) денежных средств, причинение имущественного ущерба: в результате атаки внутренним нарушителем бухгалтерского отдела и последующей замены платежных реквизитов.
4. Возможные объекты воздействия угроз безопасности
информации
Наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации,
или обеспечивают реализацию основных процессов обладателя информации,
оператора:
1)Система безопасности осуществляет управление правами доступа к различной информации для сотрудников предприятия.
2)Серверная хранит финансовую документацию.
3)Компьютер бухгалтера взаимодействует с серверами для получения и отправления финансовой документации.
Описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям: получение более высоких прав доступа при помощи уязвимостей, использование уязвимостей БД.
5.Источники угроз безопасности информации
Характеристика нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз
5
безопасности информации: мошенники, являющиеся представителями криминальных структур, могут реализовывать угрозы ИБ с целью получения финансовой выгоды, любая категория сотрудников может реализовывать угрозы ИБ как с целью получения финансовой выгоды, так и с целью удовлетворения личных мотивов.
Категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации: сотрудники, отвечающие за IT оборудование,
и администратор системы безопасности, потенциальные преступники и хакеры,
криминальные структуры.
Описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей: наибольшими возможностями в системе обладает администратор системы безопасности, хакеры скорее всего обладают базовыми возможностями,
представители криминальных структур могут (и будут) действовать в сговоре с первыми двумя группами, так как их возможностей может оказаться недостаточно.
6. Способы реализации (возникновения) угроз безопасности
информации
Описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий: угроза внедрения вредоносного кода в BIOS, угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам, угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением, угроза некорректного использования функционала программного и аппаратного обеспечения, угроза несанкционированного использования привилегированных функций BIOS.
Описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации:
1)Сайт предприятия
6
2)АРМ сотрудников и администраторов
3)Сервера
7.Актуальные угрозы безопасности информации
Перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей: хищение (копирование) информации и средств ее обработки,
утрата (неумышленная потеря, утечка) информации и средств ее обработки,
модификация (искажение) информации, уничтожение информации и средств ее обработки, создание условий для реализации угрозы ИБ.
Виды рисков (ущерба) и типовые негативные последствия отреализации угроз безопасности информации
№ |
Виды риска (ущерба) |
Возможные типовые негативные |
|
|
последствия |
У2 |
Риски юридическому лицу, |
Потеря (хищение) денежных средств. Причинение |
|
индивидуальному |
имущественного ущерба. Утечка конфиденциальной |
|
предпринимателю, связанные с |
информации (коммерческой тайны, секретов |
|
хозяйственной деятельностью |
производства (ноу-хау) и др.) |
|
|
|
Примеры определения объектов воздействия и видоввоздействия на них
Негативные |
Объекты воздействия |
Виды воздействия |
последствия |
|
|
|
|
|
Хищение денежных |
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты |
средств со счета |
|
платежных поручений и другой платежной |
организации (У2) |
|
информации на АРМ главного бухгалтера |
|
|
|
7
Возможные цели реализации угроз безопасности информации нарушителями
№ |
Виды |
Категории |
Возможные цели реализации угроз |
||
вида |
нарушителя |
нарушителя |
безопасности информации |
||
|
|
|
|
|
|
1 |
Отдельные физические |
Внешний |
Получение |
финансовой или |
иной |
|
лица (хакеры) |
|
материальной выгоды. |
|
|
|
|
|
Любопытство |
или |
желание |
|
|
|
самореализации (подтверждение статуса) |
||
2 |
Авторизованные |
Внутренний |
Получение финансовой или иной |
|
|
|
пользователи систем и |
|
материальной выгоды. |
|
|
|
сетей |
|
Непреднамеренные, неосторожные или |
||
|
|
|
неквалифицированные действия |
|
|
Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможныхнегативных последствий и видов ущерба от их реализации
Виды |
|
Возможные цели реализации угроз |
Соответствие |
||
наруши |
|
|
безопасности информации |
целей видам |
|
телей |
Нанесение |
|
Нанесение |
Нанесение ущерба |
риска (ущерба) |
|
ущерба |
|
ущерба |
государству в области |
и возможным |
|
физическом |
|
юридическому |
обеспечения обороны |
негативным |
|
у лицу |
|
лицу, |
страны, безопасности |
последствиям |
|
|
|
индивидуал |
государстваи правопорядка, |
|
|
|
|
ьному |
а также в социальной, |
|
|
|
|
предприним |
экономической, |
|
|
|
|
ателю |
политической, |
|
|
|
|
|
экологической |
|
|
|
|
|
сферах деятельности |
|
Отдельные |
- |
|
+ |
+ |
У2 |
физические |
|
|
Хищение средств |
Утечка конфиденциальной |
|
|
|
|
|||
лица |
|
|
|
информации |
|
(хакеры) |
|
|
|
|
|
|
|
|
|
|
|
Авторизов |
+ |
|
+ |
- |
У2 |
анные |
Непреднамеренн |
Хищение средств |
|
|
|
пользовате |
ые, |
|
|
|
|
ли систем |
неосторожные |
|
|
|
|
исетей |
или |
|
|
|
|
|
неквалифициров |
|
|
|
|
|
анныедействия |
|
|
|
|
Уровни возможностей нарушителей по реализации угроз безопасности информации
№ |
Уровень |
Возможности нарушителей по реализации |
Виды нарушителей |
|
возможностей |
угроз безопасностиинформации |
|
|
|
8 |
|
|
нарушителей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Н1 |
Нарушитель, |
|
|
Имеет |
возможность |
при |
реализации |
угроз |
Физическое лицо (хакер) |
|||||||||
|
обладающий |
|
|
безопасности информации использовать |
только |
|
|
|
||||||||||
|
базовыми |
|
|
|
известные уязвимости, скрипты и инструменты. |
Авторизованные |
||||||||||||
|
возможностями |
|
Имеет |
возможность |
использовать |
средства |
пользователи систем и |
|||||||||||
|
|
|
|
|
|
реализации угроз (инструменты), |
свободно |
сетей |
|
|
||||||||
|
|
|
|
|
|
распространяемые в сети «Интернет» и |
|
|
|
|||||||||
|
|
|
|
|
|
разработанные |
|
другими |
лицами, |
|
|
имеет |
|
|
|
|||
|
|
|
|
|
|
минимальные |
|
знания |
механизмов |
их |
|
|
|
|||||
|
|
|
|
|
|
функционирования, доставки и выполнения |
|
|
|
|||||||||
|
|
|
|
|
|
вредоносного |
программного |
обеспечения, |
|
|
|
|||||||
|
|
|
|
|
|
эксплойтов. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Обладает базовыми компьютерными знаниями и |
|
|
|
|||||||||
|
|
|
|
|
|
навыками на уровне пользователя. |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Имеет возможность реализации угроз за счет |
|
|
|
|||||||||
|
|
|
|
|
|
физических воздействий на технические |
средства |
|
|
|
||||||||
|
|
|
|
|
|
обработки и хранения информации, линий связи и |
|
|
|
|||||||||
|
|
|
|
|
|
обеспечивающие системы систем и сетей при |
|
|
|
|||||||||
|
|
|
|
|
|
наличии физического доступа к ним. |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Таким образом, нарушители с базовыми |
|
|
|
|||||||||
|
|
|
|
|
|
возможностями |
|
имеют |
|
возможность |
|
|
|
|||||
|
|
|
|
|
|
реализовывать только известные угрозы, |
|
|
|
|||||||||
|
|
|
|
|
|
направленные |
|
|
на |
|
известные |
|
|
|
||||
|
|
|
|
|
|
(документированные) уязвимости, с |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
использованием общедоступных инструментов |
|
|
|
|||||||||
|
|
|
|
|
Примеры результата определения актуальных нарушителей |
|||||||||||||
|
|
|
|
|
|
приреализации угроз безопасности информации и |
||||||||||||
|
|
|
|
|
|
|
соответствующие им возможности |
|
|
|||||||||
|
|
№ |
|
Виды риска (ущерба) и |
|
|
Виды |
|
|
|
Категория |
Уровень |
|
|||||
|
|
п/ |
|
возможные негативные |
|
|
актуального |
|
|
нарушител |
возможностей |
|
||||||
|
|
п |
|
|
последствия* |
|
|
нарушителя** |
|
|
я |
|
нарушителя |
|
||||
|
|
|
У2: Потеря (хищение) |
|
Отдельные |
|
|
|
Внешний |
Н1 |
|
|||||||
|
|
|
денежных средств. |
|
|
физические лица |
|
|
|
|
|
|
|
|||||
|
|
|
Причинение |
|
|
(хакеры) |
|
|
|
|
|
|
|
|
||||
|
|
|
имущественного ущерба. |
|
Авторизованные |
|
|
|
Внутренний |
Н1 |
|
|||||||
|
1 |
Утечка конфиденциальной |
|
пользователи систем |
|
|
|
|
|
|
||||||||
|
|
|
информации (коммерческой |
|
исетей |
|
|
|
|
|
|
|
|
|||||
|
|
|
тайны, секретов |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
производства (ноу-хау) и |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
др.) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их
возможности
№ |
Вид |
Категория |
Объект воздействия |
Доступные |
Способы |
п/п |
нарушителя |
нарушителя |
|
интерфейсы |
реализации |
|
|
|
9 |
|
|
1 |
Отдельные |
Внешний |
Удаленное |
|
Доступ через |
Внедрение |
|
физические лица |
|
автоматизированное |
локальную сеть |
вредоносного |
|
|
(хакеры) (Н1) |
|
рабочее |
место |
организации |
программного |
|
|
|
|
(АРМ) |
|
обеспечения |
|
|
|
пользователя: |
|
|
|
|
|
|
Съемные машинные |
Использование |
||
|
|
|
несанкционированный |
|||
|
|
|
носители |
уязвимостей |
||
|
|
|
доступ к |
|
||
|
|
|
|
информации, |
конфигурации |
|
|
|
|
операционной |
|||
|
|
|
подключаемые к |
системы с |
||
|
|
|
|
системе |
||
|
|
|
|
АРМ пользователя |
доступом к |
|
|
|
|
|
АРМ |
||
|
|
|
|
|
АРМ |
|
|
|
|
пользователя; |
|
||
|
|
|
|
пользователя |
||
|
|
|
нарушение |
|
|
|
|
|
|
|
|
|
|
|
|
|
конфиденциальности |
|
|
|
|
|
|
информации, |
|
|
|
|
|
|
содержащейся наАРМ |
|
|
|
|
|
|
пользователя |
|
|
|
2 |
Авторизованные |
Внутренний |
АРМ главного |
Локальная сеть |
Преднамеренн |
|
|
пользователи |
|
бухгалтера |
|
организации |
ые изменения |
|
системи сетей (Н1) |
|
организации: |
|
|
информации |
|
|
|
Модификация |
|
на АРМ |
|
|
|
|
платежныхпоручений, |
|
главного |
|
|
|
|
хранящихся на АРМ |
|
бухгалтера |
|
|
|
|
главного бухгалтера |
|
|
|
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности
информации
№ |
Тактика |
Основные техники |
Т1 |
Получение |
Т1.1. Использование внешних сервисов организации в сетях публичного |
|
первоначального доступак |
доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в |
|
компонентам систем и сетей |
сети организации; 2) доступ к |
|
|
интерфейсу электронной почты OutlookWebAccess (OWA) почтового |
|
Тактическая задача: |
сервера организации |
|
нарушитель,находясь вне |
Т1.2. Эксплуатация уязвимостей сетевого оборудования и средств |
|
инфраструктуры сети или |
защиты вычислительныхсетей для получения доступа к компонентам |
|
системы, стремится получить |
систем и сетей при удаленной атаке. |
|
доступ к любому узлу в |
Пример: обход межсетевого экрана путем эксплуатации уязвимостей |
|
инфраструктуре и |
реализации правил фильтрации |
|
использовать его как |
Т1.3. Несанкционированный доступ путем подбора учетных данных |
|
плацдарм для дальнейших |
сотрудника или легитимного пользователя (методами прямого перебора, |
|
действий |
словарных атак, паролей производителей по умолчанию, использования |
|
|
одинаковых паролей для разных учетных |
|
|
записей, применения «радужных» таблиц или другими) |
Т2 |
Повышение привилегий по |
Т2.1. Получение данных для аутентификации и авторизации от имени |
|
доступу к компонентам |
привилегированной учетной записи путем поиска этих данных в папках и |
|
систем и сетей |
файлах, поиска в памяти или перехвата в сетевом трафике. Данные для |
|
|
авторизации включают пароли, хэш-суммы паролей, токены, |
|
Тактическая задача: получив |
идентификаторы сессии, криптографические ключи, но не ограничиваются |
|
первоначальный доступ к |
ими |
|
|
10 |