Файловый архив студентов. Файловый архив студентов.
1310 вузов, 5229 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
north memphis Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный электротехнический университет "ЛЭТИ"
Предмет:
Основы информационной безопасности
Файл:
лаба_12 / лаб_12_07_3.docx
Скачиваний:
0
Добавлен:
27.10.2025
Размер:
526.08 Кб
Скачать
►Содержание►

МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра Информационной безопасности

Практическая работа №12

по дисциплине «Основы информационной безопасности»

Тема: Спецификация объекта защит и среды безопасности

Студент гр.

Преподаватель

Санкт-Петербург

2023

Цель: Изучение вида работ по спецификации объекта защиты.

ОБЩИЕ ПОЛОЖЕНИЯ

Данная модель угроз безопасности разработана для компании ПАО «ГМК Норильский никель». Данный документ предназначен для определения уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия, нарушителей и сценарии реализации угроз.

Обладателем информации, заказчиком и оператором систем и сетей является ПАО «ГМК Норильский никель.

Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия.

Основными элементами базовой модели угроз безопасности персональных данных являются (Рис. 1):

источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;

среда распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Рисунок 1 – Обобщенная схема канала реализации угроз безопасности персональных данных

«Норникель» располагает сегодня передовой современной инфраструктурой, которая помогает решать задачи любой сложности. В работе активно используют нейронные сети и машинное обучение. Информационные системы функционально разделены по направлениям:

  • Автоматизация и управление;

  • Сервисы пользователей;

  • Обслуживание инфраструктуры.

Тип: ИСПДн-И и кадры

Сервер баз данных

Рисунок 2 – Информационная инфраструктура предприятия

Определение класса защищенности информационных систем, обрабатывающих персональные данные:

  1. Определение категории обрабатываемых персональных данных: т. к. перечень специальных данных отсутствует (т.е. нет данных о религиозных взглядов, политики и т. д.), сервер безопасности, который хранит биометрические сведения также отсутствует значит ИСПДН-Б нет, сам Норникель не относится к государственным общедоступным системам, значит, это не ИСПДН-О. Следовательно это ИСПДН-И;

  2. Определение объема персональных данных, обрабатываемых в информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;

  3. По результатам п.1 и 2 присваивается один из классов защищенности: уровень защищенности УЗ-3.

Исходя из классификации, выделим наиболее актуальные угрозы для компании в межсетевом взаимодействии.

1. Анализ сетевого трафика (рисунок 4).

Рисунок 4 - Схема реализации угрозы «Анализ сетевого трафика»

В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней.

2. Сканирование сети.

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

3. Внедрение ложного объекта сети.

Рисунок 5 - Схема реализации угрозы «Внедрение ложного объекта сети»

Спецификация объекта

1. Описание объекта.

Компания Норникель – российская горно-металлургическая компания. Крупнейший в мире производитель никеля и палладия. Обладает наибольшими запасами никелевой руды. Производит также платину, медь, серебро, золото, кобальт и другие цветные металлы.

Компания включает Заполярный филиал, ей также принадлежат Кольская горно-металлургическая компания, «Институт Гипроникель», Енисейское речное пароходство. Штаб-квартира компании расположена в «Москва-Сити», в небоскрёбе «Меркурий» по адресу: Российская Федерация, 123100, г. Москва, 1-й Красногвардейский проезд, д. 15.

2. Доступ на объект

Въезд (выезд) транспортных средств на территорию охраняемого (защищаемого) объекта осуществляется через КПП, оборудованные досмотровыми площадками (эстакадами). Порядок прохода через них рабочих и служащих для выполнения возложенных обязанностей определяется Инструкцией. Проход контролируется охранником, у работников есть пропуска, а для обычных, не работающих здесь, людей, которые пришли, например, на собеседование выдают одноразовый пропуск. Проход оснащен камерами видеонаблюдения.

3. Персонал объекта

В компании работает около 73557 постоянных сотрудников.

Отделы, обеспечивающие стабильную работу компании:

  • Отдел снабжения – отдел, ответственный за эффективное обеспечение организации необходимыми ресурсами и материалами для бесперебойной работы. Кроме того, сотрудники отдела снабжения отвечают за поиск и выбор поставщиков, контроль качества поставляемых товаров и оптимизацию затрат компании;

  • Отдел сбыта – отдел, который занимается продвижением продукции и ее реализацией на рынке. Отдел сбыта отвечает за поиск потенциальных клиентов и партнеров, организацию процесса продаж и установление долгосрочных отношений с клиентами.;

  • Отдел по технике безопасности – обеспечивает контроль за безопасностью на рабочих местах. Это помощь работодателю в разработке инструкций, контроль за наличием средств индивидуальной защиты, участие в проведении СОУТ, расследование произошедших несчастных случаев, аварий, учет и планирование различных мероприятий;

  • Служба безопасности – обеспечение сохранности зданий и помещений предприятия; - сохранность и контроль за перемещением материальных ценностей; - обеспечение пропускного режима (или контроль за допуском граждан в здания и помещения); - сохранность собственной информации о деятельности предприятия; - поддержание противопожарной безопасности;

  • Технический отдел – отдел, отвечающий за разработку, создание и поддержку технических продуктов. В нем работают высококвалифицированные специалисты, такие как разработчики, инженеры, тестировщики и администраторы.;

  • Служба информационной безопасности – это особое подразделение, которое занимается защитой компьютерных систем от внешних и внутренних угроз. Работа СИБ является важной и неотъемлемой частью любой организации, которая имеет доступ к конфиденциальной информации.

Одним из главных отделов является отдел по обработке персональных данных и соблюдению конфиденциальности. В «Норникеле» этим занимается специальная организация (оператор) компания – Дата-центр «Xelent»

Соседние файлы в папке лаба_12
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности