МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №11 по дисциплине «Основы информационной безопасности»
Тема: Определение уровня защищенности ИСПДн и реализация требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Цель работы: изучение вида работ по определению необходимого уровня
защищенности персональных данных в конкретной организации.
1.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
2.Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС
всоответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утвержденный ФСТЭК России 5 февраля 2021 г.
1. Общие положения
Модель угроз безопасности информации разработана для предприятия ООО
«Lux».
Модель угроз соответствует следующим документам:
Методика оценки угроз безопасности информации.
ФЗ №149 «Об информации, информационных технологиях и о защите информации.»
ФЗ №152 «О персональных данных».
Обладатель информации, Заказчик, оператор систем и сетей – ООО
«Lux».
Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.
2. Описание систем и сетей и их характеристики как объектов защиты
Модель угроз разработана для корпоративной сети офиса ООО «Lux» в г. Санкт-Петербург.
Класс защищенности системы – 1Д (по классификации из Руководящего Документа Гостехкомиссии России).
Данные, обрабатываемые системой относятся к категории ИСПДн-И, а именно: персональные данные клиентов, данные о заказах, рабочие документы предприятия, данные сотрудников, рабочие файлы.
Персональные данные, которые обрабатывает компания «Lux»: фамилия, имя, отчество, дата рождения, юридический адрес компании.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных».
В корпоративной сети хранятся и обрабатываются персональные данные клиентов, данные организации, рабочие документы и файлы. Для данной сети актуальны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ 3 по ИСПДн-И.
Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №149 «Об информации, информационных технологиях и о защите информации»; ФЗ №152 «О персональных данных.»
4
Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обработка заказов.
Состав обрабатываемой информации: персональные данные клиентов,
данные о проектах, документы компании, данные сотрудников и т.д.
Функции отделов:
Административный отдел
Задачей административного отдела является обработка при помощи прикладных программ (ПО «Администратор») персональной информации сотрудников (паспортные данные, данные военных билетов), а также обработка данных клиентов (паспортные данные). Суммарная численность обрабатываемых записей превышает 100 000.
Финансовый отдел
Задачей финансового отдела является обработка при помощи прикладных программ (ПО «Финансы») данных о проводимых в офисе финансовых операциях. Суммарная численность статей, по которым проводятся транзакции, не превышает 100 000.
Рабочий отдел
Задачей рабочего отдела является непосредственная работа с клиентами при помощи прикладных программ (ПО «Сотрудник»), при этом обрабатывается такая информация о клиентах, как фамилия, имя, отчество,
дата рождения. Суммарная численность записей о клиентах превышает
100 000.
5
Серверный сегмент
Задачей серверного сегмента является обработка запросов от внешних пользователей через Интернет, сетевая фильтрация и маршрутизация информационных потоков между отделами, а также хранения информации о сотрудниках организации (паспортные данные, данные в воинском учете), данные клиентов, сведения об устройстве сети.
Структура отделов:
Административный отдел – электронный документооборот,
документы компании, документы, на которые распространяется коммерческая тайна.
Финансовый отдел – данные о финансах компании.
Серверный отдел – персональные данные клиентов.
Рабочая точка – данные о заказах.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников c ОС Windows и доступом в Интернет.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК,
подключенными к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию серверной, СУБД, администраторской части веб-сервера.
Схема сети представлена на рисунке 1.
6
Рисунок 1 – Схема сети
3. Возможные негативные последствия от реализации
угрозбезопасности
В сети хранятся и циркулируют данные, необходимые для работы организации, а также данные, подлежащие защите по закону «О персональных данных».
Таблица 1 – Возможные негативные последствия от реализации угроз
№ |
Виды риска (ущерба) |
|
Возможные негативные последствия |
|
|
|
|
У1 |
Ущерб физическому лицу |
|
Нарушение конфиденциальности. |
|
|
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
|
|
Нарушение иных прав и свобод |
|
|
|
гражданина, закрепленных в |
|
|
|
Конституции Российской Федерации и |
|
|
|
федеральных законах. |
|
|
|
|
|
|
7 |
|
У2 |
Риски |
юридическому |
лицу, |
Нарушение законодательства Российской |
|
|
индивидуальному |
предпринимателю, |
Федерации. |
||
|
связанные |
с |
хозяйственной |
|
|
|
деятельностью |
|
|
|
|
|
|
|
Недополучение ожидаемой |
||
|
|
|
|
|
|
|
|
|
|
|
(прогнозируемой) прибыли. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость дополнительных |
|
|
|
|
|
(незапланированных) затрат на выплаты |
|
|
|
|
|
штрафов (неустоек) или компенсаций. |
|
|
|
|
|
|
|
|
|
|
|
Необходимость дополнительных |
|
|
|
|
|
(незапланированных) затрат на закупку |
|
|
|
|
|
товаров, работ или услуг (в том числе |
|
|
|
|
|
закупка программного обеспечения, |
|
|
|
|
|
технических средств, вышедших из |
|
|
|
|
|
строя, замена, настройка, ремонт |
|
|
|
|
|
указанных средств). |
|
|
|
|
|
|
|
|
|
|
|
Срыв запланированной сделки с |
|
|
|
|
|
партнером. |
|
|
|
|
|
|
8
4. Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
|
|
|
Нарушение конфиденциальности. |
БД |
Утечка данных о |
|
|
пользователях. |
|
|
|
|
Беспроводные каналы связи |
Кража/подмена данных |
|
|
предприятия. |
|
|
|
Финансовый ущерб физическому |
БД, каналы связи |
Утеря данных о |
лицу. |
|
проекте. |
|
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
Раскрытие данных об |
гражданина, закрепленных в |
сотрудников, системного |
авторских проектах, |
Конституции Российской |
администратора |
кража объектов |
Федерации и федеральных законах. |
|
интеллектуальной |
|
|
собственности. |
|
|
|
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
временная |
|
|
неработоспособность |
|
|
сервера, утеря данных о |
Необходимость дополнительных |
|
|
|
|
|
(незапланированных) затрат на |
|
проектах, ошибки |
выплаты штрафов (неустоек) или |
|
сотрудников. |
компенсаций. |
|
|
|
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
сеть неавторизованного |
почта. |
подброшенные |
пользователя. |
|
носители с |
|
|
вредоносным ПО. |
|
|
|
Схема описанных объектов воздействия показана на рисунке 2, восклицательным знаком помечены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
9
Рисунок 2 – Схема объектов воздействия
5. Источники угроз безопасности информации
Таблица 3 – возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
|
|
|
|
|
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
|
организации. |
|
|
|
|
|
Сотрудники |
Внутренний |
Непреднамеренные |
действия, |
|
|
тормозящие работу организации. |
|
|
|
|
|
|
|
Преднамеренные действия с целью |
|
|
|
получения выгоды/реализации |
|
|
|
собственных интересов. |
|
|
|
|
|
Хакеры |
Внешний |
Любопытство. Тренировка. |
|
|
|
Получение выгоды. |
|
|
|
|
|
|
10 |
|
|