МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ ПО ЛАБАРАТОРНОЙ РАБОТЕ № 12
по дисциплине «Основы информационной безопасности» Тема: «Спецификация объекта защит и среды безопасности»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Задача: изучить виды работ по спецификации объекта защит и среды безопасности. Описать функции объекта, доступ на объект персонал объекта,
технические характеристики объекта, безопасность объекта, правила доступа к сетям и устройствам на предприятии. Описать угрозы, структуру и оценку защищенность компании (при помощи ПО «РискМенеджер – Анализ v3.5» и
методике оцени угроз ФСТЭК от 2021 г. Определить класс защищённости ГИС.
Перечислить показатели исходной защищенности ИСПДн и сделать вывод о требуемом уровне защищенности ПДн. Сделать заключение о наличии значимых объектов КИИ, определить уровень значимости и требуемого класса защиты.
Сделать заключение об уровне защищенности предприятия.
ОПИСАНИЕ ФУНКЦИЙ ОБЪЕКТА
Основные функции информационной системы «ПАО Телфин»:
1)Обеспечение круглосуточного онлайн-доступа к сайту компании для предоставления услуг компании;
2)Регистрация и авторизация пользователей (клиентов) на сайте;
3)Хранение данных для регистрации/авторизации в базе данных;
4)Хранение персональных данных клиентов в базе данных;
5)Хранение персональных данных сотрудников в базе данных;
6)Работа персонала отдела кадров с информационной системой;
7)Работа персонала отдела по работе с клиентами с информационной системой;
8)Авторизация сотрудников компании в локальной сети предприятия;
9)Защита данных пользователей и сотрудников и обеспечение информационной безопасности ресурсов.
ДОСТУП НА ОБЪЕКТ
Информационная система «ПАО Телфин» физически располагается в главном офисе компании в г. Санкт-Петербург. Описываемый объект занимает
3 помещения: отдел кадров, отдел по работе с клиентами, серверная.
Доступ в помещение отдела кадров только у сотрудников данного отдела посторонним лицам вход запрещен. Доступ в отдел по работе с клиентами имеют сотрудники данного отдела в качестве авторизованных пользователей, и клиенты, для их обслуживания.
Доступ в серверное помещение ограничен электромагнитным замком на двери со считывателем постоянных карт сотрудников «ПАО Телфин».
Уровень доступа в данное помещение имеют только сетевые администраторы и администраторы безопасности.
ПЕРСОНАЛ ОБЪЕКТА
Персонал объекта составляют:
Сотрудники отдела кадров – 10 чел.
Сотрудники по работе с клиентами – 30 чел.
Системные администраторы – 4 чел.
Сетевые администраторы – 5 чел.
Администраторы безопасности – 3 чел.
Техники – 7 чел.
ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ ОБЪЕКТА
Для работы отдела кадров организовано 10 АРМ (Персональные компьютеры с установленной системой Windows 10) с доступом в интернет,
объединенных в локальную сеть. Для работы отдела по работе с клиентами организованно 30 АРМ (Персональные компьютеры с установленной системой Windows 10) с доступом в интернет, объединенных в локальную сеть.
В обоих отделах персональные компьютеры, объединенные в локальную сеть, взаимодействуют при помощи коммутаторов (1 в отделе кадров, 1 в
отделе по работе с клиентами). С базой данных, находящейся на сервере в серверном помещении, АРМ взаимодействую с помощью маршрутизатора,
находящемся в серверном помещении.
Всерверном помещении расположены: 1 сервер БД – Windows Server –
споднятой на нем СУБД «PostgreSQL» и 1 веб-сервер – Windows Server – на котором располагается сайт компании.
Ежегодно проводится плановый ремонт инженерных коммуникаций на территории объекта с заменой устаревшего оборудования и приборов на более экономичные и современные.
БЕЗОПАСНОСТЬ ОБЪЕКТА
Все данные хранятся на сервере БД, где подняты сразу 3 базы данных:
для персональных данных сотрудников, для персональных данных клиентов,
для электронных материалам по услугам компании.
Состав обрабатываемой информации:
1)Учетные данные клиентов компании, а именно: фамилия, имя,
отчество, адрес электронной почты, адрес фактического проживания, номер телефона, платежные данные;
2)Учетные данные сотрудников компании, а именно: фамилия, имя,
отчество, адрес электронной почты, адрес фактического проживания, паспортные данные, номер телефона, информация об образовании, информация из налоговой, возраст;
3)Электронные материалы по услугам компании, а именно: тип услуги, название, стоимость услуги, содержание услуги, метод оказания услуги.
Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3
степени ущерба, которые определяются обладателем информации,
оператором или экспертом.
Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
•Несущественный ущерб для отрасли, региона.
•ГИС функционирует.
•Функции выполняются.
Можно сделать вывод что в данном случае уровень значимости информации 3 или У3 3 (низкая степень ущерба), поскольку нарушения
конфиденциальности, целостности, доступности информации не влечет за собой большой ущерб для производства.
Информационная система относится к региональному масштабу ИС, т.к. расположена на территории субъекта РФ, на территории нескольких субъектов РФ.
|
Уровень значимости |
|
|
Федеральный |
|
|
Региональный |
|
|
Объектовый |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
||||||||||
|
|
|
масштаб ИС |
|
|
масштаб ИС |
|
|
масштаб ИС |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Уровень значимости |
|
|
Класс 1 |
|
Класс 1 |
|
|
Класс 1 |
||
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
Уровень значимости |
|
|
Класс 1 |
|
|
Класс 2 |
|
|
Класс 2 |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
||||||
|
Уровень значимости |
|
Класс 2 |
|
Класс 3 |
|
Класс 3 |
||||
|
3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», информационная система
«ПАО Телфин» имеет класс К2, (Масштаб информационной системы – региональный + уровень значимости информации УЗ 2 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).
Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.
Веб-сервер предназначен для хостинга сайта компании. При обмене данными с внешней средой используется сетевой экран (файрволл).
Все помещения оборудованы охранно-пожарной сигнализацией и системой видеонаблюдения. За безопасность объекта Отдел информационной безопасности Телфин и отдел комплексной безопасности Телфин.
ПРАВИЛА ДОСТУПА К СЕТЯМ И УСТРОЙСТВАМ
Доступ к сети Интернет осуществляется только с установленных в компании в отделах АРМ.
Каждый сотрудник отдела имеет доступ только к закрепленному за ним
АРМ.
У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем.
Описание структуры и оценка защищенности компании Структурная схема информационной системы «ПАО Телфин»
приведена на рисунке 1.
Рисунок 1 – структура ИС «ПАО Телфин»
Структурное описание оцениваемой системы
Модель: Информационная система "ПАО Телфин "
Комментарий
Регион: Санкт-Петербург
ЛС: Главный офис