МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 12 по дисциплине «Основы информационной безопасности»
Тема: Спецификация объекта защит и среды безопасности
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Цель работы: изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
1.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
2.Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждѐнный ФСТЭК России 5 февраля
2021 г.
1 Описание функций объекта
Объект – офис предприятия, располагающийся в бизнес-центре г. СанктПетербург. Офис представляет собой несколько помещений, разделенных на 3 группы: рабочий отдел (рабочие места рядовых сотрудников),
административный отдел (рабочие места администраторов), финансовый отдел (рабочие места сотрудников финансового отдела), серверный сегмент (вебсервер, файловый сервер, сервер БД, маршрутизатор).
Вход на территорию офиса осуществляется с помощью пропусков сотрудников.
Офис используется в качестве рабочего пространства сотрудников, оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и т.д.
Объект предназначен для хранения и обработки данных клиентов, организации, рабочих файлов и документов.
Задачи объекта:
1)Хранение информации о клиентах;
2)Хранение информации о сотрудниках;
3)Хранение рабочей документации предприятия;
4)Хранение рабочих файлов предприятия;
5)Обеспечение доступа сотрудников к необходимым файлам;
6)Обеспечение работы сайта и возможности принимать заказы;
7)Предоставление услуг связи, цифровых услуги и сервисов населению и другим организациям»;
8)Обеспечение услуг широкополосного доступа в Интернет, интерактивного телевидения, сотовой связи, местной и дальней телефонной связи, а также сервисов виртуализации и др.
Функции отделов:
3
1. Административный отдел
Задачей административного отдела является обработка при помощи прикладных программ (ПО «Администратор») персональной информации сотрудников (паспортные данные, данные военных билетов), а также обработка данных клиентов (паспортные данные). Суммарная численность обрабатываемых записей превышает 100 000.
2. Финансовый отдел
Задачей финансового отдела является обработка при помощи прикладных программ (ПО «Финансы») данных о проводимых в офисе финансовых операциях. Суммарная численность статей, по которым проводятся транзакции, не превышает 100 000.
3. Рабочий отдел
Задачей рабочего отдела является непосредственная работа с клиентами при помощи прикладных программ (ПО «Сотрудник»), при этом обрабатывается такая информация о клиентах, как фамилия, имя, отчество, дата рождения. Суммарная численность записей о клиентах превышает
100000.
4.Серверный сегмент
Задачей серверного сегмента является обработка запросов от внешних пользователей через Интернет, сетевая фильтрация и маршрутизация информационных потоков между отделами, а также хранения информации о сотрудниках организации (паспортные данные, данные в воинском учѐте), данные клиентов, сведения об устройстве сети.
4
2 Описание структуры и оценка защищенности компании
Структурное описание предприятия, представленное в таблице ниже
выполнено с помощью программы «РискМенеджер – Анализ v3.5».
Модель: ООО «СкайНэт»
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Бухгалтерия
Объект: Финансовый отдел
ПС: Персонал
Объект: Административный отдел
Объект: Рабочий отдел
ПС: Сетевые сервисы
Объект: Интернет-кабель
Объект: Электронная почта
Объект: Firewall
Объект: Веб-сервер
Объект: Сервер БД
Объект: Файловый сервер
Объект: Маршрутизатор
Объект: ПО «Сотрудник»
Объект: ПО «Администратор»
Объект: ПО «Финансы»
ПС: Система управления
Объект: СЭД
Объект: ОС Windows
Объект: АРМ пользователя
Объект: ПК администратора
ЛС: Организация в целом
ПС: Организация программных решений
Объект: Процесс модернизации рабочего процесса
ПС: Веб-отдел
Объект: Процесс организации сайта компании
5
Рисунок 1 – Схема сети рассматриваемогообъекта
Оценка защищенности системы по методике Вихорева представлена ниже.
Таблица 3 – оценка приоритетности целей ИБ
|
Содержание вопроса |
Да |
Нет |
|
|||
|
|
|
|
1 |
Может ли несанкционированное разглашение |
|
|
защищаемых сведений: |
|
|
|
|
|
|
|
|
привести к срыву реализации стратегических планов |
|
|
1.1 |
развития организации, повлиять на снижение ее |
+ |
|
|
деловой активности |
|
|
|
привести к разглашению секретов организации или |
|
|
1.2 |
третьих лиц, ноу-хау, персональных данных, |
+ |
|
|
нарушить тайну сообщений |
|
|
|
повлиять на ухудшение взаимоотношений с |
|
|
1.3 |
партнерами, снижение престижа и деловой |
+ |
|
|
репутации организации |
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
(КП)К |
|
|
|
|
|
|
2 |
Может ли несанкционированное изменение защищаемой |
|
|
информации: |
|
|
|
|
|
|
6
|
привести к принятию ошибочных решений (или |
|
|
|
2.1 |
непринятию вообще), важных для практической |
|
+ |
|
|
деятельности организации |
|
|
|
|
привести к полной или частичной дезорганизации |
|
|
|
2.3 |
деятельности организации или ее подразделений, |
|
+ |
|
|
нарушить взаимоотношения с партнерами |
|
|
|
|
|
|
|
|
2.4 |
изменить содержание персональных данных или |
|
+ |
|
другие сведения, затрагивающие интересы личности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.2, («Да») = |
3 |
|
|
|
(КП)Ц |
|
|
|
3 |
Может ли задержка в получении защищаемой |
|
|
|
информации или ее неполучение: |
|
|
|
|
|
|
|
|
|
3.1 |
привести к невозможности выполнения взятых |
|
+ |
|
организацией обязательств перед третьим лицами |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
привести к несвоевременному принятию решений |
|
|
|
3.2 |
(или непринятию вообще), важных для |
|
+ |
|
|
практической деятельности организации |
|
|
|
3.3 |
привести к полной или частичной дезорганизации |
|
+ |
|
деятельности организации или ее подразделений |
|
|
||
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
|
(КП)Д |
|
|
|
|
|
|
|
3 Доступ на объект
Офис располагается в бизнес-центре города Санкт-Петербург, офис разделен на 4 основные части:
1)Рабочий отдел
2)Финансовый отдел
3)Административный отдел
4)Серверный сегмент
Доступ в офис возможен только по пропускам, никто кроме системного администратора не имеет доступа в его кабинет, в котором располагаются в т.ч. web-сервер и база данных предприятия.
Доступ в бизнес-центр осуществляется по другим пропускам, позволяющим перемещаться по территории бизнес-центра, на входе в здание бизнес-центра расположена СКУД (турникеты), контролируемые охранной организацией, в бизнес-центре имеются СВК.
7
Система разграничения доступа, действующая на предприятии призвана:
1)Контроль доступа в различные помещения предприятия, на территорию предприятия.
2)Контроль времени прихода/ухода сотрудников.
3)Контроль доступа к оборудованию.
4 Персонал объекта
1.Проджект менеджер;
2.Менеджер по продажам;
3.Директор филиала;
4.Руководитель по развитию бизнеса;
5.Сетевой администратор;
6.Директор по цифровой трансформации;
7.Бухгалтер филиала;
8.Менеджер договорного отдела;
9.IT recruiter;
10.Программист;
11.Дополнительный персонал (уборщики, электрики, охрана)
Сотрудники имеют различные права доступа к помещениям и
оборудованию предприятия.
5Техническая характеристика объекта
Враспоряжении каждого сотрудника (за исключением дополнительного
персонала) находится собственный кабинет, оснащенный ПК с ОС Windows 10,
подключенным к Сети.
Рабочее место системного администратора доступно исключительно по пропуску системного администратора, в этой зоне располагаются веб-сервер и база данных предприятия.
8
•Сервера на КНС Групп, Аквариаус, гигабитные сетевые карты,
кластеры соединены в оптоволоконную сеть.
6 Безопасность объекта
Состав обрабатываемой информации:
1)Персональные данные клиентов
2)Паспортные данные сотрудников
3)Рабочие документы предприятия
4)Рабочие файлы
Для защиты данных на объекте используется шифрование данных,
техническим отделом регулярно создаются резервные копии данных, на всех устройствах стоит защитное ПО, доступ к устройствам осуществляется при помощи индивидуальных авторизационных данных сотрудников, локальная сеть предприятия отделена от общей сети межсетевым экраном.
7. Определение класса ГИС
На рассматриваемом объекте обрабатывается конфиденциальная
информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной,
обрабатывается в бухгалтерском и административном сегментах компании. Исследуемый объект обрабатывает персональные данные. Эта информация, обрабатываемая в компании, имеет высший уровень
защищенности (УЗ 3), согласно п. 1. |
|
|
|
|
Информационная |
система, |
используемая |
в |
компании |
«Скайнэт», имеет региональный |
масштаб, так как |
она функционирует |
||
9
только на территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях).
Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы
(объектовый, федеральный, региональный). То есть при уровне защиты УЗ 3
и региональном масштабе ИС, искомый класс защиты – К3.
Таблица 2 – Определение класса защиты
Таким образом, на основании проведѐнного анализа необходимо наличие ГИС класса защиты К3.
8. Определение типа ИСПДн
Так как исследуемый объект осуществляет сбор персональных данных, то на неѐ наложены обязательства обеспечения неограниченного доступа к документу, определяющему еѐ политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных
10