МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе № 11
по дисциплине «Основы информационной безопасности» Тема: «Определение уровня защищённости ИСПДн и реализация
требований к ИС в соответствии с руководящим документом ФСТЭК»
Студентка гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
Цель работы: изучение вида работ по определению необходимого уровня за-
щищенности персональных данных в конкретной организации.
1. Описываемая область выбирается на основе собранных материалов по кон-
кретному предприятию, организации или компании.
2. Отчет выполняется с проведением анализа уровня защищенности информа-
ционных системах персональных данных и реализации требований к ИС в соответ-
ствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
УТВЕРЖДАЮ Руководитель
ООО "Восток" Петров А.А.
« » 20 г.
Модель угроз безопасности информации
"Корпоративная локальная сеть офиса предприятия"
1. Общие положения
Модель угроз безопасности информации разработана для предприятия ООО
«Восток».
Модель угроз соответствует следующим документам: Методика оценки угроз безопасности информации.
ФЗ №149 «Об информации, информационных технологиях и о защите инфор-
мации.» ФЗ №152 «О персональных данных.»
Обладатель информации, Заказчик, оператор систем и сетей – ООО «Восток».
Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.
2. Описание систем и сетей и их характеристики как объектов защиты
Модель угроз разработана для корпоративной сети офиса ООО «Восток» в г. Хабаровск.
Класс защищенности системы – 1Б (по классификации из Руководящего Доку-
мента Гостехкомиссии России).
В корпоративной сети хранятся и обрабатываются персональные данные кли-
ентов, данные организации, рабочие документы и файлы. Для данной сети акту-
альны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ2 по ИСПДн.
Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №149 «Об информации, информационных технологиях и о за-
щите информации»; ФЗ №152 «О персональных данных.»
Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обра-
ботка заказов.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подклю-
ченными к сети Интернет, локальной сети; рабочего места системного администра-
тора, имеющего больший доступ к системе: доступ к оборудованию серверной, СУБД, администраторской части веб-сервера.
Схема сети представлена на рисунке 1.
Рисунок 1 – Схема сети
3. Возможные негативные последствия от реализации угроз безопасно-
сти
В сети хранятся и циркулируют данные, необходимые для работы организа-
ции, а так же данные, подлежащие защите по закону «О персональных данных».
Таблица 1 –Возможные негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
|
|
|
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
закрепленных в Конституции Российской Фе- |
|
|
дерации и федеральных законах. |
|
|
|
У2 |
Риски юридическому лицу, индивиду- |
Нарушение законодательства Российской Фе- |
|
альному предпринимателю, связанные с |
дерации. |
|
хозяйственной деятельностью |
|
|
Недополучение ожидаемой (прогнозируемой) |
|
|
|
прибыли. |
|
|
|
|
|
Необходимость дополнительных (незаплани- |
|
|
рованных) затрат на выплаты штрафов |
|
|
(неустоек) или компенсаций. |
|
|
|
|
|
Необходимость дополнительных (незаплани- |
|
|
рованных) затрат на закупку товаров, работ |
|
|
или услуг (в том числе закупка программного |
|
|
обеспечения, технических средств, вышед- |
|
|
ших из строя, замена, настройка, ремонт ука- |
|
|
занных средств). |
|
|
|
|
|
Срыв запланированной сделки с партнером. |
|
|
|
4. Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
Нарушение конфиденциальности. |
БД |
Утечка данных о пользова- |
|
|
телях. |
|
|
|
|
Беспроводные каналы связи |
Кража/подмена данных |
|
|
предприятия. |
|
|
|
Финансовый ущерб физическому |
БД, каналы связи |
Утеря данных о проекте. |
лицу. |
|
|
|
|
|
Нарушение иных прав и свобод |
БД, Рабочие места сотруд- |
Раскрытие данных об автор- |
гражданина, закрепленных в Кон- |
ников, системного админи- |
ских проектах, кража объек- |
ституции Российской Федерации и |
стратора |
тов интеллектуальной соб- |
федеральных законах. |
|
ственности. |
|
|
|
Недополучение ожидаемой (про- |
Сайт, веб-сервер, БД, рабо- |
DDoS-атаки на сервер, вре- |
гнозируемой) прибыли. |
чие места сотрудников. |
менная неработоспособ- |
|
|
ность сервера, утеря данных |
Необходимость дополнительных |
|
|
(незапланированных) затрат на вы- |
|
о проектах, ошибки сотруд- |
платы штрафов (неустоек) или |
|
ников. |
компенсаций. |
|
|
|
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, под- |
сеть неавторизованного пользова- |
почта. |
брошенные носители с вре- |
теля. |
|
доносным ПО. |
|
|
|
Схема описанных объектов воздействия показана на рисунке 2, красным поме-
чены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
Рисунок 2 – Схема объектов воздействия
5. Источники угроз безопасности информации
|
|
Таблица 3 – возможные цели реализации угроз |
|
|
|
|
|
Вид нарушителя |
Категория нарушителя |
|
Возможные цели реализации угроз |
|
|
|
|
Конкуренты |
Внешний |
|
Снижение конкурентоспособности органи- |
|
|
|
зации. |
|
|
|
|
Сотрудники |
Внутренний |
|
Непреднамеренные действия, тормозящие |
|
|
|
работу организации. |
|
|
|
|
|
|
|
Преднамеренные действия с целью полу- |
|
|
|
чения выгоды/реализации собственных ин- |
|
|
|
тересов. |
|
|
|
|
Хакеры |
Внешний |
|
Любопытство. Тренировка. Получение вы- |
|
|
|
годы. |
|
|
|
|
Поставщики услуг |
Внешний |
|
Материальная выгода |
связи |
|
|
|
|
|
|
|
Внешние нарушители не имеют непосредственного доступа к оборудованию системы, когда внутренние подразделяются на классы по уровню доступа к обору-
дованию и информации предприятия.
Условно внутреннего нарушителя можно разделить на 3 группы:
|
Таблица 4 – уровни прав доступа внутренних нарушителей |
|
|
|
|
Вид внутреннего нарушителя |
|
Права доступа |
|
|
|
Системный администратор |
|
Доступ к СУБД, серверному железу и ПО, выс- |
|
|
шие права в локальной сети, доступ к рабочим |
|
|
местам сотрудников. |
|
|
|
Сотрудники |
|
Доступ к своим рабочим местам, локальной |
|
|
сети. |
|
|
|
Дополнительный персонал |
|
Доступ во все помещения без доступа к обору- |
|
|
дованию (нет собственных учетных записей) |
|
|
|