МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

Отчет

по практической работе №12

по дисциплине «Основы информационной безопасности»

Тема: Спецификация объекта защиты и среды безопасности

Студент гр
Преподаватель

Санкт-Петербург

2023

Постановка задачи

1. Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.

2. Цель работы: изучение вида работ по спецификации объекта защиты.

3. Отчет выполняется в форме спецификации объекта защиты и среды безопасности

4. Материал должен содержать титульный лист, постановку задачи, а также следующие разделы:

• Описание функций объекта

• Доступ на объект

• Персонал объекта

• Технические характеристики объекта

• Безопасность объекта

• Правила доступа к сетям и устройствам на предприятии

• Описание структуры и оценка защищенности компании (например, при помощи программного обеспечения "РискМенеджер - Анализ v3.5" или согласно методике Вихорева)

• Показатели исходной защищенности ИСПДн

• Заключение о степени защищенности

Описываемый объект – ИС (Автоматизированная система) и локальная сеть «Скайнет».

1. Описание функций объекта

«Скайнет» является оператором услуг: сетевая инфраструктура и система хранения данных.

Информационная инфраструктура предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов, происходящих в производственно-хозяйственной деятельности предприятия. Информационные системы функционально разделены по направлениям:

1. Автоматизация и управление;

2. Сервисы пользователей;

3. Обслуживание инфраструктуры.

2. Доступ на объект

Доступ в главный офис осуществляется с помощью пешеходной проходной (блокирующие устройства – поясные турникеты ZKTeco mTS1000 Pro – 2 шт.) и бюро пропусков, на входе проход также контролирует охранник. Люди, которые не работают постоянно в компании, а приходят, например, на собеседования, имеют возможность получить одноразовый пропуск. Посторонние люди без пропуска попасть в офис не могут. Доступ в административное и серверное помещения ограничен электромагнитными замками – 1 на двери в администраторскую, 1 на двери в серверную (со считывателями постоянных карт сотрудников).

3. Персонал объекта

В компании работает около 85 постоянных сотрудников, в их числе: начальники отделов, бухгалтеры, менеджеры, системные администраторы.

Объект обслуживается:

• администраторским отделом;

• отделом технического обеспечения.

В администраторский отдел входят: системный администратор – 1 человек.

В отдел технического обеспечения «Скайнет» входят: техники – 5 человек.

Информацию для базы данных предоставляются сотрудниками «Скайнет».

4. Технические характеристики объекта

На предприятии 85 рабочих мест, каждое из которых оснащено компьютером. Компьютеры соединены в локальную сеть, посредством которой можно передавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Интернет. Компьютеры соединены ethernet-кабелями. Кроме того, стоят Wi-Fi-маршрутизаторы для личного пользования сотрудниками.

В одном из кабинетов находится серверная, оборудованная системой бесперебойного питания. Предприятие оснащено принтерами и проекторами. Здание находится под охраной камер видеонаблюдения.

5. Безопасность объекта

Данные хранятся на 3 серверах: веб-сервер, файловый сервер, сервер БД.

Состав обрабатываемой информации:

1. Персональные данные клиентов - такие как имена, адреса, номера телефонов, адреса электронной почты и другую информацию, необходимую для установления и поддержания связи с клиентами.

2. Логи активности - информацию о том, какие веб-сайты посещали клиенты, включая URL-адреса, время посещения, объем переданных данных и другие детали активности пользователя.

3. Технические данные - такие как IP-адреса клиентов, MAC-адреса сетевого оборудования, домены, используемые клиентами, и другие технические параметры, необходимые для обеспечения подключения к интернету и предоставления услуг провайдера.

4. Информацию о платежах и финансовых данных - данные о счетах клиентов, истории оплаты, деталях платежей и другую информацию, связанную с финансовыми транзакциями между клиентом и провайдером.

5. Системные журналы и мониторинг - информацию о работе серверов, сетевых устройств и другого оборудования провайдера, а также о мониторинге сетевой активности и безопасности.

6. Контент и данные пользователя - в некоторых случаях провайдеры могут хранить контент, передаваемый или получаемый клиентом, включая электронную почту, файлы, изображения и другие данные.

Физическая безопасность объектов в главном офисе осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной (СКУД), системы пожарной и охранной сигнализации (СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих и находящихся на складе машин, и водителей.

Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», ИС «Скайнет» имеет класс К3 (Масштаб информационной системы – объективный + уровень значимости информации УЗ 3 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).

Информационную безопасность обеспечивают инженеры по ИБ с помощью алгоритмов шифрования, криптостойких паролей и систем защиты (например, антивирусов).

Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.

Веб-сервер предназначен для хостинга сайта библиотеки НГУ. При обмене данными с внешней средой используется сетевой экран (файрволл). Все помещения оборудованы охранно-пожарной сигнализацией. За безопасность объекта в составе университета отвечают Отдел информационной безопасности «Скайнет» и отдел комплексной безопасности «Скайнет».