МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №12 по дисциплине «Основы информационной безопасности»
Тема: Спецификация объекта защит и среды безопасности
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: изучение вида работ по спецификации объекта
защиты.
3.Отчет выполняется в форме спецификации объекта защиты и среды безопасности
4.Материал должен содержать титульный лист, постановку задачи, а также следующие разделы:
a.Описание функций объекта
b.Доступ на объект
c.Персонал объекта
d.Технические характеристики объекта
e.Безопасность объекта
f.Правила доступа к сетям и устройствам на предприятии
g.Описание структуры и оценка защищенности компании (например, при помощи программного обеспечения "РискМенеджер - Анализ v3.5" или согласно методике Вихорева)
h.Показатели исходной защищенности ИСПДн
i.Заключение о степени защищенности
2
1.Описание функций объекта
Объект – офис предприятия, располагающийся в бизнес-центре г. Сочи. Офис представляет собой несколько помещений, разделенных на 2 группы: рабочий отдел (рабочие места рядовых сотрудников) и технический отдел (рабочие места системных администраторов, веб-сервера, сервера БД). Вход на территорию офиса осуществляется с помощью пропусков сотрудников.
Офис используется в качестве рабочего пространства сотрудников, оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и т.д.
Объект предназначен для хранения и обработки данных клиентов, организации, рабочих файлов и документов.
Основные задачи офиса:
1)Хранение информации о клиентах;
2)Хранение информации о сотрудниках;
3)Хранение рабочей документации предприятия;
4)Хранение рабочих файлов предприятия;
5)Обеспечение доступа сотрудников к необходимым файлам;
6)Обеспечение работы сайта и возможности принимать заказы.
3
2.Доступ на объект
Офис располагается в бизнес-центре города Сочи, офис разделен на 2 основные части:
1)Технический отдел
2)Рабочий отдел
Доступ в офис возможен только по пропускам, никто кроме системного администратора не имеет доступа в его кабинет, в котором располагаются в т.ч. web-сервер и база данных предприятия.
Доступ в бизнес-центр осуществляется по другим пропускам, позволяющим перемещаться по территории бизнес-центра, на входе в здание бизнес-центра расположена СКУД (турникеты), контролируемые охранной организацией, в бизнес-центре имеются СВК.
Система разграничения доступа, действующая на предприятии призвана:
4
1)Контроль доступа в различные помещения предприятия, на территорию предприятия.
2)Контроль времени прихода/ухода сотрудников.
3)Контроль доступа к оборудованию.
3.Персонал объекта
Объект обслуживается:
•техническим отделом;
•рабочим отделом.
Втехнический отдел входят: системный администратор – 5 человек.
Врабочий отдел входят: члены проектных команд – 30 человек. Дополнительный персонал (уборщики, сантехники и тд) – 10 человек.
Работники имеют различные права доступа к помещениям и оборудованию предприятия.
4.Техническая характеристика объекта
В распоряжении каждого сотрудника (за исключением дополнительного персонала) находится собственный кабинет, оснащенный ПК с ОС Windows 10 или одним из дистрибутивов Linux, подключенным к Сети.
Рабочее место системного администратора доступно исключительно по пропуску системного администратора, в этой зоне располагаются веб-сервер и база данных предприятия.
5.Безопасность объекта
Состав обрабатываемой информации: 1) Персональные данные клиентов
5
2)Данные о заказах
3)Рабочие документы предприятия
4)Данные о сотрудниках
5)Рабочие файлы
Для защиты данных на объекте используется шифрование данных, техническим отделом регулярно создаются резервные копии данных, на всех устройствах стоит защитное ПО, доступ к устройствам осуществляется при помощи индивидуальных авторизационных данных сотрудников, локальная сеть предприятия отделена от общей сети межсетевым экраном.
Уровень |
Федеральный |
Региональный |
Объектовый |
значимости |
масштаб ИС |
масштаб ИС |
масштаб ИС |
Уровень |
Класс 1 |
Класс 1 |
Класс 1 |
значимости 1 |
|
|
|
Уровень |
Класс 1 |
Класс 2 |
Класс 2 |
значимости 2 |
|
|
|
Уровень |
Класс 2 |
Класс 3 |
Класс 3 |
значимости 3 |
|
|
|
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», ООО ДТел имеет класс К3 (Масштаб информационной системы – объектовый + уровень значимости информации УЗ 3 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).
6
6. Правильна доступа к сетям и устройстам
Доступ к сети Интернет осуществляется только с установленных АРМ.
У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем.
7. Описание структуры и оценка защищенности компании
Структурное описание предприятия, представленное в таблице ниже выполнено с помощью программы «РискМенеджер – Анализ v3.5».
Таблица 2 – структурное описание предприятие
Рисунок 2 – Структурное описание предприятия Оценка защищенности системы по методике Вихорева представлена ниже.
|
Таблица 1 – оценка приоритетности целей ИБ |
|
|
Содержание вопроса |
Да Нет |
1 |
Может ли несанкционированное разглашение защищаемых сведений: |
Х |
1.1 |
привести к срыву реализации стратегических планов развития организации, |
|
|
повлиять на снижение ее деловой активности |
Х |
1.2 |
привести к разглашению секретов организации или третьих лиц, ноу-хау, |
|
|
персональных данных, нарушить тайну сообщений |
|
|
7 |
|
1.3 |
повлиять на ухудшение взаимоотношений с партнерами, снижение |
Х |
|
престижа и деловой репутации организации |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)К |
2 |
2 |
Может ли несанкционированное изменение защищаемой информации: |
Х |
2.1 |
привести к принятию ошибочных решений (или непринятию вообще), |
|
|
важных для практической деятельности организации |
Х |
|
привести к полной или частичной дезорганизации деятельности |
2.3организации или ее подразделений, нарушить взаимоотношения с партнерами
2.4 |
изменить содержание персональных данных или другие сведения, |
Х |
|
затрагивающие интересы личности |
|
|
Сумма положительных («Да») ответов по п.2, («Да») = (КП)Ц |
3 |
3 |
Может ли задержка в получении защищаемой информации или ее неполучение: |
Х |
3.1 |
привести к невозможности выполнения взятых организацией обязательств |
|
|
перед третьим лицами |
Х |
3.2 |
привести к несвоевременному принятию решений (или непринятию |
|
|
вообще), важных для практической деятельности организации |
Х |
3.3 |
привести к полной или частичной дезорганизации деятельности |
|
|
организации или ее подразделений |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)Д |
2 |
8. Показатели исходной защищенности ИСПД н
Согласно документу ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 2.
Таблица 2 – описание уровня защищенности
Технические и эксплуатационные характеристики Уровень защищенности ИСПДн
|
Высокий |
Средний |
Низкий |
|
1. По территориальному размещению: |
|
|
|
|
локальная ИСПДн, развернутая в пределах одного здания |
+ |
– |
– |
|
распределенная ИСПДн, которая охватывает несколько |
– |
– |
+ |
|
областей, краев, округов или государство в |
||||
|
|
|
||
целом; |
|
|
|
|
городская ИСПДн, охватывающая |
– |
– |
+ |
|
не более одного населенного пункта (города, поселка); |
|
|
|
|
8 |
|
|
|
корпоративная |
распределенная |
– |
||
ИСПДн, |
охватывающая |
многие подразделения |
||
одной организации; |
|
|
|
|
локальная |
(кампусная) |
ИСПДн, |
– |
|
развернутая в пределах нескольких близко |
||||
расположенных зданий |
|
|
||
2. По наличию соединения с сетями общего пользования: |
|
|||
ИСПДн, имеющая одноточечный выход в сеть общего |
– |
|||
пользования; |
|
|
|
|
ИСПДн, имеющая многоточечный |
– |
|||
выход в сеть общего пользования |
|
|||
ИСПДн, физически отделенная от |
+ |
|||
сети общего пользования |
|
|
||
3. По встроенным (легальным) операциям с записями баз персональных данных:
запись, удаление, сортировка; –
чтение, поиск; |
|
|
+ |
модификация, передача |
|
- |
|
4.По разграничению доступа к персональным данным: |
|
||
ИСПДн, к которой имеют доступ определенные перечнем |
– |
||
сотрудники организации, являющейся владельцем ИСПДн, |
|
||
либо субъект ПДн; |
|
|
|
ИСПДн, к которой имеют доступ все |
|
|
|
сотрудники |
организации, являющейся |
- |
|
владельцем ИСПДн; |
|
|
|
ИСПДн с открытым доступом |
|
- |
|
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
|
||
ИСПДн, в которой используется одна база персональных |
+ |
||
данных, принадлежащая организации – |
|
|
|
владельцу данной ИСПДн |
|
|
|
интегрированная |
ИСПДн |
(организация |
|
использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем
всех используемых баз |
- |
|
|
персональных данных); |
6. По уровню обобщения (обезличивания) ПДн: |
|
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне
+
9
+–
+–
+–
–+
– –
+ –
- 
- - +
+–
-+
- +
– –
-+
- -
организации, отрасли, области, |
|
региона и т.д.); |
|
ИСПДн, в которой данные обезличиваются только при |
|
передаче в другие организации и не обезличены при |
|
предоставлении |
- |
пользователю в организации;
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, не предоставляющая никакой информации.
ИСПДн, предоставляющая всю базу |
- |
||
данных с персональными данными; |
|||
|
|||
ИСПДн, |
не предоставляющая |
+ |
|
никакой информации. |
|||
|
|||
Итого |
|
29% |
|
10
+-
- +
- -
57% 14%