МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №11
по дисциплине «Основы информационной безопасности» ТЕМА: Определение уровня защищенности ИСПДН и реализация
требований к ИС в соответствии с руководящими документами ФСТЭК
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи: описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании. Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля
2021 г
Цель работы
Изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
Основная часть
1. Общие положения.
Данный документ предназначен для проведения анализа уровня защищенности персональных данных в организации «МТС», а именно,
определению угроз безопасности информации, реализация (возникновение)
которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях,
информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах (далее – системы и сети), а
также по разработке моделей угроз безопасности информации систем и сетей.
Оценка угроз производилась на основе документа «Методика оценки угроз безопасности информации», утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК) 5 февраля 2021 г.
Владелец информации: ПАО «МТС».
Подразделения, отвечающие за информационную безопасность на предприятии: отдел информационной безопасности «МТС».
2
2. Описание систем и сетей и их характеристика как объектов
защиты.
«МТС» является оператором услуг: сетевая инфраструктура и система хранения данных.
Класс защищённости ИС – 1Д (автоматизированные системы, в которых циркулируют персональные данные). Классификация приведена в соответствии с Руководящим Документом Гостехкомиссии России
«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Документы и правовые акты:
1.техническое задание на создание системы и локальной сети;
2.программная (конструкторская) документация;
3.эксплуатационная документация;
4.документы-соглашения на предоставление лицензии на ПО (Avast, Microsoft, Lumension Security Inc.);
5.Федеральный закон «О персональных данных» от 14.07.2022 N
152-ФЗ;
Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета,
анализа, документирования процессов, происходящих в производственно-
хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:
1.Автоматизация и управление;
2.Сервисы пользователей;
3.Обслуживание инфраструктуры.
Данная компания в качестве провайдера интернет-услуг обрабатывает и хранит персональные данные клиентов, информацию о договорах/заказах и
3
техническую информацию. Следовательно, данная компания относится к ИСПДн (информационной системе персональных данных) типа И
(исчерпывающие перечни сведений о физических лицах).
Данную информацию собирает корпоративный отдел. Эта информация необходима интернет-провайдеру для обеспечения и поддержания услуг интернет-подключения, управления персоналом, взаиморасчетов с сотрудниками и пользователями, а также для соблюдения требований законодательства в области связи и информационных технологий.
Состав обрабатываемой информации:
1.Сотрудники:
•Имя, адрес, контактная информация и другие персональные данные для обеспечения коммуникации и управления персоналом.
•Информация о квалификации, опыте работы и профессиональных навыках для найма, оценки производительности и роста внутри компании.
•Банковские реквизиты и информация о заработной плате для осуществления оплаты и расчетов с сотрудниками.
•Логины и пароли для доступа к внутренним системам и сервисам компании.
2.Пользователи:
•Имя, адрес, контактные данные, договоры и платежные реквизиты для оформления подключения и предоставления услуг интернет-провайдера.
•Информация о технологиях подключения, уровне сигнала и пропускной способности для обеспечения стабильного и качественного интернет-соединения.
4
•Журналы активности и трафика для технической поддержки, анализа использования услуг и обеспечения безопасности сети.
•Информация о транзакциях, платежах и возможностях оплаты для финансового и бухгалтерского учета.
Для доступа в систему требуется авторизация пользователей. В системе
присутствует деление пользователей по типам доступа на группы:
1.Обычные пользователи – имеют доступ к интернету, могут пользоваться услугами провайдера, но не имеют возможности управлять сетевыми настройками и ресурсами;
2.Администраторы – сотрудники провайдера, имеющие право на управление сетевыми настройками, регистрацию пользователей и контроль работоспособности сети;
3.Техническая поддержка – специалисты, предоставляющие помощь и решающие проблемы пользователей сети;
4.Финансовый отдел – занимается вопросами оплаты услуг и ведением бухгалтерии провайдера;
5.Технический отдел – отвечает за обновление и поддержку оборудования провайдера.
В состав интернет-провайдера входят компоненты:
1.5 АРМ администратора системы;
2.30 АРМ пользователь (сотрудники, бухгалтеры, руководство);
3.Веб-сайт провайдера;
4.СУБД (MySQL);
5.Серверы (сервер БД – Windows Server; веб-сервер – Windows Server;
файловый сервер – Windows Server)
5
Рисунок 1 – Схема расположения и связи компонентов ИС и локальной
сети «МТС»
6
3.Возможные негативные последствия от реализации
(возникновения) угроз информационной безопасности.
Таблица 1 – Виды рисков (ущерба) и типовые негативные последствия от
реализации угроз безопасности информации
|
№ |
|
|
Виды риска (ущерба) |
|
|
|
Возможные типовые негативные |
|
|
|
|
|
|
|
последствия |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• |
Нарушение конфиденциальности |
|
|
|
|
|
|
|
|
(утечка) персональных данных. |
||
|
У1 |
|
Ущерб физическому лицу |
|
• |
Нарушение иных прав и свобод |
|||
|
|
|
|
|
|
|
гражданина, закрепленных в |
||
|
|
|
|
|
|
|
Конституции РФ и федеральных законах. |
||
|
|
|
|
|
|
|
• |
Потеря (хищение) денежных |
|
|
|
|
|
|
|
|
средств. |
||
|
|
|
|
|
|
|
• |
Нарушение штатного режима |
|
|
|
|
|
|
|
|
функционирования автоматизированной |
||
|
|
|
|
Риски юридическому лицу, |
|
системы управления и управляемого |
|||
|
|
|
|
|
объекта и/или процесса. |
||||
|
|
|
|
индивидуальному |
|
||||
|
У2 |
|
|
• |
Невозможность заключения |
||||
|
|
предпринимателю, связанные с |
|
||||||
|
|
|
|
|
договоров, соглашений. |
||||
|
|
|
|
хозяйственной деятельностью |
|
||||
|
|
|
|
|
• |
Причинение имущественного |
|||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
ущерба. |
||
|
|
|
|
|
|
|
• |
Утечка конфиденциальной |
|
|
|
|
|
|
|
|
информации (коммерческой тайны, |
||
|
|
|
|
|
|
|
секретов производства (ноу-хау) и др.) |
||
4. Возможные объекты воздействия угроз безопасности
информации.
Компоненты, указанные на схеме ЭБС и локальной сети библиотеки НГУ (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов в ЭБС: Основные информационные ресурсы и компоненты системы:
1)СУБД;
2)База аутентификационных данных;
3)Файловый сервер;
4)веб-сервер;
5)веб-сайт «МТС»;
6)сервер БД;
7)ПО для администрирования;
8)АРМ (автоматизированные рабочие места);
9)проводные и беспроводные каналы передачи данных.
Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям,
представлены в таблице 2.
Таблица 2 – Определение объектов воздействия и видов воздействия на них
|
Негативные последствия |
|
Объекты воздействия |
|
Виды воздействия |
|
|
|
|
|
Модификация информации и |
|
|
|
АРМ |
|
отправка электронных писем с |
|
|
|
|
|
недостоверной информацией от |
|
Невозможность заключения |
|
|
|
имени руководителя организации |
|
договоров, соглашений |
|
Электронный почтовый |
|
Модификация информации и |
|
|
|
|
отправка электронных писем с |
|
|
|
|
ящик руководителя |
|
|
|
|
|
|
недостоверной информацией от |
|
|
|
|
организации |
|
|
|
|
|
|
имени руководителя организации |
|
|
|
|
|
|
|
|
Нарушение иных прав и |
|
Сервер БД |
|
Утечка баз данных |
|
свобод гражданина, |
|
Файловый сервер |
|
Утечка баз данных |
|
закрепленных в правом |
|
АРМ |
|
Утечка баз данных |
|
Конституции РФ и |
|
|
|
|
|
федеральных законах (У1) |
|
|
|
|
|
Нарушение |
|
База аутентификационных |
|
Утечка аутентификационных |
|
законодательства РФ, |
|
данных |
|
данных пользователей, |
|
необходимость |
|
|
|
защищаемых законом «О |
|
дополнительных затрат на |
|
|
|
персональных данных» |
|
выплаты штрафов |
|
|
|
(предусмотрены штрафы) |
|
Нарушение штатного |
ПО для администрирования |
|
Несанкционированный доступ, |
|
|
режима функционирования |
|
|
|
нарушение функционирования |
|
автоматизированной |
|
|
|
программно-аппаратных средств |
|
системы, невозможность |
|
|
|
администрирования |
|
решения задач или |
|
|
|
|
|
|
АРМ |
|
Нарушение функционирования |
|
|
снижение эффективности |
|
|
|
АРМ |
|
решения задач (У2) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Файловый сервер |
|
Нарушение функционирования |
|
|
|
|
|
ИС (удаление информации, |
|
|
|
|
|
необходимой для решения задач |
|
|
|
|
|
ИС) |
|
|
|
|
|
|
|
|
8 |
|
|
|
Нарушение |
АРМ |
Несанкционированная |
конфиденциальности |
|
модификация информации в |
(утечка) персональных |
|
платежных распоряжениях и |
данных физических лиц |
|
отправка недостоверных |
(У1) |
|
распоряжений от имени |
|
|
финансового директора |
|
АРМ |
Подмена данных, содержащих |
|
|
реквизиты платежных поручений |
|
|
и другой платежной информации |
|
|
на АРМ главного бухгалтера |
Схема описанных выше объектов воздействия и содержащейся в них защищаемой информации приведена на рисунке 2.
Рисунок 2 – Схема объектов воздействия и содержащейся в них защищаемой информации
9
5. Источники угроз безопасности информации.
Актуальными нарушителями (антропогенными источниками угроз)
безопасности информации для ИС и локальной сети «МТС» являются:
1)Преступные группы (криминальные структуры);
2)Хакеры;
3)Конкурирующие организации;
4)Разработчики программных, программно-аппаратных средств;
5)Авторизованные пользователи ИС;
6)Системные администраторы и администраторы безопасности.
Таблица 3 – Возможные цели реализации угроз безопасности информации нарушителям
|
№ |
|
|
Виды нарушителя |
|
|
Категории |
|
|
Возможные цели реализации угроз ИБ |
|
||
|
вида |
|
|
|
|
нарушителя |
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Преступные группы |
|
|
|
|
Получение финансовой или иной |
||||
1 |
|
|
(криминальные |
|
Внешний |
|
материальной выгоды. Дестабилизация |
||||||
|
|
|
|
структуры) |
|
|
|
|
деятельности организаций |
|
|
||
1 |
|
|
Хакеры |
|
Внешний |
|
Получение |
финансовой |
или |
||||
|
|
|
|
|
|
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
Конкурирующие |
|
|
|
|
Получение конкурентных |
|
|
||
2 |
|
|
|
Внешний |
|
преимуществ. Получение финансовой |
|||||||
|
|
организации |
|
|
|||||||||
|
|
|
|
|
|
|
|
или иной материальной выгоды |
|||||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Внедрение дополнительных |
|||
|
|
|
|
|
|
|
|
|
|
функциональных возможностей в |
|||
|
|
|
|
Разработчики |
|
|
|
|
программные или программно- |
||||
|
|
|
|
|
|
|
|
аппаратные средства на этапе |
|||||
|
|
|
|
программных, |
|
|
|
|
|||||
3 |
|
|
|
Внутренний |
|
разработки. Получение конкурентных |
|||||||
|
|
программно-аппаратных |
|
|
|||||||||
|
|
|
|
|
|
|
|
преимуществ. Получение финансовой |
|||||
|
|
|
|
средств |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
или иной материальной выгоды. |
|||||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
Непреднамеренные, неосторожные или |
|||
|
|
|
|
|
|
|
|
|
|
неквалифицированные действия |
|||
|
|
|
|
|
|
|
|
|
|
Получение финансовой или иной |
|||
|
|
|
|
|
|
|
|
|
|
материальной выгоды. |
|
|
|
5 |
|
|
Авторизованные |
|
Внутренний |
|
Непреднамеренные, неосторожные или |
||||||
|
|
пользователи ИС |
|
|
неквалифицированные действия. |
||||||||
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Получение конкурентных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
преимуществ |
|
|
|
|
|
|
|
|
|
|
|
|
Получение финансовой и |
|
|
|
|
|
|
|
Системные |
|
|
|
|
материальной выгоды. Месть за ранее |
||||
6 |
|
|
администраторы и |
|
Внутренний |
|
совершенные действия. Любопытство |
||||||
|
|
администраторы |
|
|
или желание самореализации. |
||||||||
|
|
|
|
|
|
|
|
||||||
|
|
|
|
безопасности |
|
|
|
|
Непреднамеренные, неосторожные или |
||||
|
|
|
|
|
|
|
|
|
|
неквалифицированные действия |
|||
|
|
|
|
|
|
10 |
|
|
|
|
|
|
|