МИНОБРНАУКИ РОССИИ

Санкт-петербургский государственный электротехнический университет

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра Информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА № 12

По дисциплине «Основы информационной безопасности» Тема: Спецификация объекта защит и среды безопасности

Студент гр.
Преподаватель

Санкт-Петербург 2023

ПОСТАНОВКА ЗАДАЧИ

Цель работы: изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.

1. Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.

2. Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждѐнный ФСТЭК России 5 февраля 2021 г.

Описание функций объекта

Объект – офис предприятия, располагающийся в бизнес-центре г. Санкт- Петербург. Офис представляет собой несколько помещений, разделенных на 3 группы: рабочий отдел (рабочие места рядовых сотрудников), административный отдел (рабочие места администраторов), финансовый отдел (рабочие места сотрудников финансового отдела), серверный сегмент (веб- сервер, файловый сервер, сервер БД, маршрутизатор).

Вход на территорию офиса осуществляется с помощью пропусков сотрудников.

Офис используется в качестве рабочего пространства сотрудников, оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и т.д.

Объект предназначен для хранения и обработки данных клиентов, организации, рабочих файлов и документов.

Задачи объекта:

1. Хранение информации о клиентах;

2. Хранение информации о сотрудниках;

3. Хранение рабочей документации предприятия;

4. Хранение рабочих файлов предприятия;

5. Обеспечение доступа сотрудников к необходимым файлам;

6. Обеспечение работы сайта и возможности принимать заказы;

7. Предоставление услуг связи, цифровых услуги и сервисов населению и другим организациям»;

8. Обеспечение услуг широкополосного доступа в Интернет, интерактивного телевидения, сотовой связи, местной и дальней телефонной связи, а также сервисов виртуализации и др.

Функции отделов:

1. Административный отдел

Задачей административного отдела является обработка при помощи прикладных программ (ПО «Администратор») персональной информации сотрудников (паспортные данные, данные военных билетов), а также обработка данных клиентов (паспортные данные). Суммарная численность обрабатываемых записей превышает 100 000.

2. Финансовый отдел

Задачей финансового отдела является обработка при помощи прикладных программ (ПО «Финансы») данных о проводимых в офисе финансовых операциях. Суммарная численность статей, по которым проводятся транзакции, не превышает 100 000.

3. Рабочий отдел

Задачей рабочего отдела является непосредственная работа с клиентами при помощи прикладных программ (ПО «Сотрудник»), при этом обрабатывается такая информация о клиентах, как фамилия, имя, отчество, дата рождения. Суммарная численность записей о клиентах превышает 100 000.

4. Серверный сегмент

Задачей серверного сегмента является обработка запросов от внешних пользователей через Интернет, сетевая фильтрация и маршрутизация информационных потоков между отделами, а также хранения информации о сотрудниках организации (паспортные данные, данные в воинском учѐте), данные клиентов, сведения об устройстве сети.

2 Описание структуры и оценка защищенности компании

Структурное описание предприятия, представленное в таблице ниже выполнено с помощью программы «РискМенеджер – Анализ v3.5».

Модель: ПАО «Мегафон»

Регион: г. Москва

ЛС: Центральный офис

ПС: Бухгалтерия

Объект: Финансовый отдел

ПС: Персонал

Объект: Административный отдел

Объект: Рабочий отдел

ПС: Сетевые сервисы

Объект: Интернет-кабель

Объект: Электронная почта

Объект: Firewall

Объект: Веб-сервер

Объект: Сервер БД

Объект: Файловый сервер

Объект: Маршрутизатор

Объект: ПО «Сотрудник»

Объект: ПО «Администратор»

Объект: ПО «Финансы»

ПС: Система управления

Объект: СЭД

Объект: ОС Windows

Объект: АРМ пользователя

Объект: ПК администратора

ЛС: Организация в целом

ПС: Организация программных решений

Объект: Процесс модернизации рабочего процесса

ПС: Веб-отдел

Объект: Процесс организации сайта компании

Рисунок 1 – Схема сети рассматриваемогообъекта

Оценка защищенности системы по методике Вихорева представлена ниже.

Таблица 3 – оценка приоритетности целей ИБ

	Содержание вопроса	Да	Нет
1	Может ли несанкционированное разглашение защищаемых сведений:
1.1	 привести к срыву реализации стратегических планов развития организации, повлиять на снижение ее деловой активности	+
1.2	 привести к разглашению секретов организации или третьих лиц, ноу-хау, персональных данных, нарушить тайну сообщений	+
1.3	 повлиять на ухудшение взаимоотношений с партнерами, снижение престижа и деловой репутации организации	+
	Сумма положительных («Да») ответов по п.1, («Да») = (КП)К	3
2	Может ли несанкционированное изменение защищаемой информации:

2.1	 привести к принятию ошибочных решений (или непринятию вообще), важных для практической деятельности организации	+
2.3	 привести к полной или частичной дезорганизации деятельности организации или ее подразделений, нарушить взаимоотношения с партнерами	+
2.4	 изменить содержание персональных данных или другие сведения, затрагивающие интересы личности	+
	Сумма положительных («Да») ответов по п.2, («Да») = (КП)Ц	3
3	Может ли задержка в получении защищаемой информации или ее неполучение:
3.1	 привести к невозможности выполнения взятых организацией обязательств перед третьим лицами	+
3.2	 привести к несвоевременному принятию решений (или непринятию вообще), важных для практической деятельности организации	+
3.3	 привести к полной или частичной дезорганизации деятельности организации или ее подразделений	+
	Сумма положительных («Да») ответов по п.1, («Да») = (КП)Д	3