Федеральное государственное автономное образовательное учреждение высшего образования «Санкт-Петербургский государственный электротехнический университет «ЛЭТИ»
им. В.И. Ульянова (Ленина)»
ОТЧЕТ по практической работе №12
по дисциплине «Основы информационной безопасности» Тема: Спецификация объекта защит и среды безопасности
Студентка гр. |
____________________ |
Преподаватель: |
____________________ |
Санкт-Петербург, 2023
Цель работы
Изучение вида работ по спецификации объекта защиты.
2
1. Общие положения.
Данная модель угроз безопасности разработана для компании ПАО
«Сбербанк». Данный документ предназначен для определения уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия, нарушителей и сценарии реализации угроз.
Обладателем информации, заказчиком и оператором систем и сетей является ПАО «Сбербанк.
Спецификация объекта
1. Описание объекта.
Компания Сбербанк – российский финансовый конгломерат,
крупнейший универсальный банк России и Восточной Европы. Находится среди крупнейших банков мира по размеру активов. Также включён Банком России в перечень системно значимых кредитных организаций.
2. Доступ на объект Допуск посетителям доступен в определенные банковские
помещения: операционные залы, отделы по работе с физическими и юридическими лицами, расчетные кассы, помещения с банкоматами. Проход в другие служебные зоны закрыт для посетителей за счет установки средств индивидуальной идентификации.
Проход с служебные зоны для сотрудников контролируется охранником, у работников есть пропуска, а у людей, которые не работают в данной организации они отсутствуют. Проход оснащен камерами видеонаблюдения.
3. Персонал объекта В компании работает около 288000 постоянных сотрудников, в
их числе: начальники отделов, бухгалтеры, менеджеры, системные администраторы.
4. Технические характеристики объекта
3
На предприятии 288000 рабочих мест, каждое из которых оснащено нужным оборудованием. Компьютеры соединены в локальную сеть, посредством которой можно передавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Интернет. Компьютеры соединены ethernet-кабелями. Кроме того, стоят Wi-Fi-маршрутизаторы для личного пользования сотрудниками.
В одном из кабинетов находится серверная баз данных,
оборудованная системой бесперебойного питания. Предприятие оснащено принтерами. Здание находится под охраной камер видеонаблюдения.
5. Безопасность объекта Физическая безопасность объектов в главном офисе
осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной (СКУД), системы пожарной и охранной сигнализации
(СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих и находящихся на складе машин, и
водителей.
Информационную безопасность обеспечивают инженеры по ИБ с помощью алгоритмов шифрования, надежных паролей и систем защиты.
6. Правила доступа к сетям и устройствам на предприятии Работники имеют доступ только к своему компьютеру (за
исключением тех. экспертов) и исключительно к тем документам, которые необходимы им для работы. Все документы передаются между сотрудниками по локальной сети либо на переносных цифровых носителях. Доступ разграничивается с помощью межсетевых экранов.
7. Описание структуры и оценка защищенности компании Компания расположена в Европейской части Российской
Федерации в г. Москва, в спокойных метеорологических, сейсмических и
4
гидрологических условиях, не имеющая в непосредственной близости предприятий, и других техногенных сооружений. Наименование систем и сетей, для которых разработана модель угроз безопасности информации: «Сбербанк»
Основные процессы (бизнес-процессы), для обеспечения которых создаются (функционируют) системы и сети: контроль исполнения всех пунктов контракта обеими сторонами, структурирование данных о поставщиках, оборудовании и персонале.
8. Определение класса ГИС В компании «Сбербанк» обрабатывается конфиденциальная
информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной,
обрабатывается в бухгалтерском и административном сегментах компании.
Компания «Сбербанк» обрабатывает одну информацию:
персональные данные. Эта информация, обрабатываемая в компании, имеет высший уровень значимости (УЗ 3), так как для свойства безопасности информации определена высокая степень ущерба. Возможны умеренные негативные последствия в социальной, политической, международной,
областях деятельности, однако, в экономической и финансовой этот ущерб высокий.
Информационная система, используемая в компании «Сбербанк»,
имеет федеральный масштаб, созданный посредством серверных комплексов,
которые расположены в аппарате каждого территориального банка и в центральном аппарате. Серверные комплексы работают независимо друг от друга, взаимодействие между центральным аппаратом и территориальными
5
банками происходит через специальный модуль межфилиального взаимодействия.
Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы
(объектовый, федеральный, региональный).
После определения уровня значимости и масштаба системы класс вычисляется по таблице, представленной на рисунке 2.
Таким образом, на пересечении УЗ 3 и федерального масштаба находится класс защиты К2.
Рисунок 1 – Таблица для вычисления класса защиты ГИС Таким образом, на основании проведённого анализа необходимо
наличие ГИС класса защиты К2.
9. Определение типа ИСПДн Так как компания осуществляет сбор персональных данных, то на
неё наложены обязательства обеспечения неограниченного доступа к документу, определяющему её политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных,
6
создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных.
В компании «Сбербанк» обрабатываются такие персональные данные, как: ФИО, номер телефона, адрес электронной почты, данные банковской карты, паспортные данные сотрудников.
Используемая в компании ИСПДн не обрабатывает специальную,
биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И.
Определение уровня защищенности Уровень исходной защищенности ИСПДн определяется в
соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
|
Технические |
|
|
Уровень защищенности |
|
|
|
и |
|
|
|
|
|
|
|
|
Высокий |
Средний |
Низкий |
|
|
|
|
|
|||
|
эксплуатационные |
|
|
|
|
|
|
характеристики |
|
|
|
|
|
|
ИСПДн |
|
|
|
|
|
|
|
|
|
|
|
|
|
1. По |
|
|
|
|
|
|
территориальному |
|
|
|
|
|
|
размещению: |
|
|
|
|
|
|
|
|
|
|
||
|
Локальная |
+ |
– |
– |
||
|
ИСПДн, |
|
|
|
|
|
|
развернутая в |
|
|
|
|
|
|
пределах одного |
|
|
|
|
|
|
здания |
|
|
|
|
|
|
|
|
|
|
|
|
7
2. По |
|
|
|
|
наличию |
|
|
|
|
соединения с |
|
|
|
|
сетями общего |
|
|
|
|
пользования: |
|
|
|
|
|
|
|
|
|
ИСПДн, |
– |
|
+ |
– |
имеющая |
|
|
|
|
одноточечный |
|
|
|
|
выход в сеть |
|
|
|
|
общего |
|
|
|
|
пользования; |
|
|
|
|
|
|
|
|
|
3. По |
|
|
|
|
встроенным |
|
|
|
|
(легальным) |
|
|
|
|
операциям с |
|
|
|
|
записями баз |
|
|
|
|
персональных |
|
|
|
|
данных: |
|
|
|
|
|
|
|
|
|
чтение, |
+ |
|
– |
– |
поиск; |
|
|
|
|
|
|
|
|
|
4.По |
|
|
|
|
разграничению |
|
|
|
|
доступа к |
|
|
|
|
персональным |
|
|
|
|
данным: |
|
|
|
|
|
|
|
|
|
ИСПДн, к |
– |
|
+ |
– |
которой имеют |
|
|
|
|
|
|
|
|
|
|
|
8 |
|
|
доступ
определенные
перечнем
сотрудники организации,
являющейся
владельцем ИСПДн, либо субъект ПДн;
5. По наличию |
|
|
|
соединений с другими |
|
|
|
базами ПДн иных ИСПДн: |
|
|
|
|
|
|
|
ИСПДн, в которой |
+ |
– |
– |
используется одна база |
|
|
|
ПДн, принадлежащая |
|
|
|
организации – владельцу |
|
|
|
данной ИСПДн |
|
|
|
|
|
|
|
6. По уровню |
|
|
|
обобщения (обезличивания) |
|
|
|
ПДн: |
|
|
|
|
|
|
|
ИСПДн, в которой |
+ |
– |
– |
предоставляемые |
|
|
|
пользователю данные |
|
|
|
являются обезличенными |
|
|
|
(на уровне организации, |
|
|
|
отрасли, области, региона и |
|
|
|
т.д.); |
|
|
|
|
|
|
|
|
9 |
|
|
7. По объему ПДн,
которые
предоставляются сторонни
м пользователям ИСПДн |
|
|
|
без предварительной |
|
|
|
обработки: |
|
|
|
|
|
|
|
ИСПДн, не |
+ |
– |
– |
предоставляющая никакой |
|
|
|
информации. |
|
|
|
|
|
|
|
ИТОГО |
= |
= |
= 0(0%) |
|
5(71,42%) 2(28,57%) |
|
|
Таким образом, для ИСПДн предприятия был определен высокий уровень исходной защищенности.
Уровень защищённости ИСПДн определяется по таблице на рисунке 2, который представлен ниже.
Рисунок 2 – Уровни защищенности персональных данных
10