МИНОБРНАУКИ РОССИИ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ
ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №12
по дисциплине «Основы информационной безопасности»
Тема: "Спецификация объекта защит и среды безопасности
Студентка гр. |
|
|
Преподаватель |
|
. |
Санкт-Петербург
2023
Постановка задачи
Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
Цель работы: изучение вида работ по спецификации объекта защиты;
Отчёт выполняется в форме спецификации объекта защиты и среды безопасности.
Описание функций объекта
Объект – офис предприятия, располагающийся в бизнес-центре г. Хабаровск. Офис представляет собой несколько помещений, разделенных на 2 группы: рабочий отдел (рабочие места рядовых сотрудников) и технический отдел (рабочие места системных администраторов, веб-сервера, сервера БД).
Вход на территорию офиса осуществляется с помощью пропусков сотрудников.
Офис используется в качестве рабочего пространства сотрудников, оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и т.д.
Объект предназначен для хранения и обработки данных клиентов, организации, рабочих файлов и документов.
Задачи объекта:
Хранение информации о клиентах;
Хранение информации о сотрудниках;
Хранение рабочей документации предприятия;
Хранение рабочих файлов предприятия;
Обеспечение доступа сотрудников к необходимым файлам;
Обеспечение работы сайта и возможности принимать заказы;
Предоставление услуг связи, цифровых услуги и сервисов населению и другим организациям»;
Обеспечение услуг широкополосного доступа в Интернет, интерактивного телевидения, сотовой связи, местной и дальней телефонной связи, а также сервисов виртуализации и др.;
Описание структуры и оценка защищенности компании
Структурное описание предприятия, представленное в таблице ниже выполнено с помощью программы «РискМенеджер – Анализ v3.5».
|
Модель: Ростелеком |
Регион: Москва |
ЛС: Центральный офис |
ПС: Система безопасности |
Объект: Процесс безопасной разработки |
Объект: Отдел охраны |
Объект: Отдел специального документооборота |
ПС: Бухгалтерия |
Объект: Финансовый отдел |
Объект: Отдел реализации документов |
ПС: Персонал |
Объект: Отдел подбора персонала |
Объект: Отдел кадров |
Регион: Организация в целом |
ЛС: Отдел по работе с клиентами |
ПС: Отдел по работе с ключевыми клиентами |
Объект: Процесс организации работы с клиентами |
ЛС: Отдел разработки |
ПС: Организация программных решений |
Объект: Процесс модернизации рабочего процесса |
ПС: Веб-отдел |
Объект: Процесс организации сайта компании |
Рисунок 1 – Структурное описание предприятия
Оценка защищенности системы по методике Вихорева представлена ниже.
Таблица 3 – оценка приоритетности целей ИБ
|
Содержание вопроса |
Да |
Нет |
1 |
Может ли несанкционированное разглашение защищаемых сведений: |
|
|
1.1 |
привести к срыву реализации стратегических планов развития организации, повлиять на снижение ее деловой активности |
+ |
|
1.2 |
привести к разглашению секретов организации или третьих лиц, ноу-хау, персональных данных, нарушить тайну сообщений |
+ |
|
1.3 |
повлиять на ухудшение взаимоотношений с партнерами, снижение престижа и деловой репутации организации |
+ |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)К |
3 |
|
2 |
Может ли несанкционированное изменение защищаемой информации: |
|
|
2.1 |
привести к принятию ошибочных решений (или непринятию вообще), важных для практической деятельности организации |
+ |
|
2.3 |
привести к полной или частичной дезорганизации деятельности организации или ее подразделений, нарушить взаимоотношения с партнерами |
+ |
|
2.4 |
изменить содержание персональных данных или другие сведения, затрагивающие интересы личности |
+ |
|
|
Сумма положительных («Да») ответов по п.2, («Да») = (КП)Ц |
3 |
|
3 |
Может ли задержка в получении защищаемой информации или ее неполучение: |
|
|
3.1 |
привести к невозможности выполнения взятых организацией обязательств перед третьим лицами |
+ |
|
3.2 |
привести к несвоевременному принятию решений (или непринятию вообще), важных для практической деятельности организации |
+ |
|
3.3 |
привести к полной или частичной дезорганизации деятельности организации или ее подразделений |
+ |
|
|
Сумма положительных («Да») ответов по п.1, («Да») = (КП)Д |
3 |
|