МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практическому заданию № 12
по дисциплине «Основы информационной безопасности»
Тема: Спецификация объекта защиты и среды безопасности
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель: Изучение вида работ по спецификации объекта защиты.
ОБЩИЕ ПОЛОЖЕНИЯ
Данная модель угроз безопасности разработана для компании ПАО
«НеваТрансРесурс» (НТР). Данный документ предназначен для определения уровня защищенности ИСПДН. Он документирует риск (ущерб), негативные последствия, нарушителей и сценарии реализации угроз.
СПЕЦИФИКАЦИЯ ОБЪЕКТА
1. Описание объекта.
Компания НТР – российская горно-металлургическая компания.
Крупнейший в мире производитель никеля и палладия. Обладает наибольшими запасами никелевой руды. Производит также платину, медь,
серебро, золото, кобальт и другие цветные металлы.
Штаб-квартира компании расположена в «Москва-Сити», в небоскрёбе
«Меркурий» по адресу: Российская Федерация, 123100, г. Москва, 1-й
Красногвардейский проезд, д. 15.
2. Доступ на объект
Въезд (выезд) транспортных средств на территорию охраняемого
(защищаемого) объекта осуществляется через КПП, оборудованные
досмотровыми площадками (эстакадами). Порядок прохода через них рабочих и служащих для выполнения возложенных обязанностей определяется Инструкцией. Проход контролируется охранником, у работников есть пропуска, а для обычных, не работающих здесь, людей, которые пришли,
например, на собеседование выдают одноразовый пропуск. Проход оснащен камерами видеонаблюдения.
2
3. Персонал объекта
В компании работает около 84554 постоянных сотрудников, в их числе:
начальники отделов, шахтеры, бухгалтеры, менеджеры, системные администраторы.
4. Технические характеристики объекта
На предприятии 84554 рабочих мест, каждое из которых оснащено нужным оборудованием. Компьютеры соединены в локальную сеть,
посредством которой можно передавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Интернет. Компьютеры соединены ethernet-кабелями. Кроме того, стоят Wi-Fi-маршрутизаторы для личного пользования сотрудниками.
В одном из кабинетов находится серверная баз данных, оборудованная системой бесперебойного питания. Предприятие оснащено принтерами и проекторами. Здание находится под охраной камер видеонаблюдения.
5. Безопасность объекта
Физическая безопасность объектов в главном офисе осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной
(СКУД), системы пожарной и охранной сигнализации (СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих и находящихся на складе машин, и водителей.
Информационную безопасность обеспечивают инженеры по ИБ с помощью алгоритмов шифрования, надежных паролей и систем защиты
(например, антивирусов).
3
6. Правила доступа к сетям и устройствам на предприятии
Работники имеют доступ только к своему компьютеру (за исключением тех. экспертов) и исключительно к тем документам, которые необходимы им для работы. Все документы передаются между сотрудниками по локальной сети либо на переносных цифровых носителях. Доступ разграничивается с помощью межсетевых экранов.
7. Описание структуры и оценка защищенности компании
Компания расположена в Европейской части Российской Федерации в г.
Москва, в спокойных метеорологических, сейсмических и гидрологических условиях, не имеющая в непосредственной близости предприятий, и других техногенных сооружений. Наименование систем и сетей, для которых разработана модель угроз безопасности информации: «НТР»
Основные процессы (бизнес-процессы), для обеспечения которых создаются (функционируют) системы и сети: контроль исполнения всех пунктов контракта обеими сторонами, структурирование данных о поставщиках, оборудовании и персонале.
8. Определение класса ГИС
В компании «НТР» обрабатывается конфиденциальная информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной,
обрабатывается в бухгалтерском и административном сегментах компании.
4
Компания «НТР» обрабатывает одну информацию: персональные данные. Эта информация, обрабатываемая в компании, имеет высший уровень значимости (УЗ 3), так как для свойства безопасности информации определена высокая степень ущерба. Возможны умеренные негативные последствия в социальной, политической, международной, областях деятельности, однако, в
экономической и финансовой этот ущерб высокий.
Информационная система, |
используемая в компании «НТР», |
имеет региональный масштаб, так |
как она функционирует только на |
территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или)
подведомственных и иных организациях).
Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы
(объектовый, федеральный, региональный).
После определения уровня значимости и масштаба системы класс вычисляется по таблице, представленной на рисунке 2.
Таким образом, на пересечении УЗ 3 и объектового масштаба находится класс защиты К3.
5
Рисунок 1 – Таблица для вычисления класса защиты ГИС
Таким образом, на основании проведённого анализа необходимо наличие ГИС класса защиты К3.
9. Определение типа ИСПДн
Информационная инфраструктура персональных данных предприятия представляет собой сложную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования процессов,
происходящих в производственно-хозяйственной деятельности предприятия.
Основными элементами базовой модели угроз безопасности персональных данных являются:
источник УБПДн – субъект, материальный объект или физическое явление, создающие УБПДн;
среда распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность,
доступность) ПДн;
6
носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов,
образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
«Агроэко» располагает сегодня передовой современной инфраструктурой, которая помогает решать задачи любой сложности. В
работе активно используют нейронные сети и машинное обучение.
Информационные системы функционально разделены по направлениям:
•Автоматизация и управление;
•Обслуживание инфраструктуры.
Определение класса защищенности информационных систем,
обрабатывающих персональные данные:
• Определение категории обрабатываемых персональных данных: т. к.
перечень специальных данных отсутствует (т.е. нет данных о религиозных
взглядов, политики и т. д.), сервер безопасности, который хранит
биометрические сведения также отсутствует значит ИСПДН-Б нет, сам
Агроэко не относится к государственным общедоступным системам, значит,
это не ИСПДН-О. Следовательно это ИСПДН-И;
• Определение объема персональных данных, обрабатываемых в
информационной системе: объем 3 – одновременно обрабатываются данные около 2 000 субъектов персональных данных в пределах конкретной организации;
Исходя из классификации, выделим наиболее актуальные угрозы для компании в межсетевом взаимодействии.
1. Анализ сетевого трафика В ходе реализации угрозы нарушитель изучает логику работы сети – то
есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления
7
данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней.
2. Сканирование сети.
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
3. Внедрение ложного объекта сети.
Актуальные угрозы безопасности информации.
При разработке описаний возможных угроз безопасности информации учитывались:
1)актуальные нарушители и уровни их возможностей;
2)объекты воздействия, находящиеся в составе Университета;
3)основные способы реализации угроз безопасности информации;
4)возможные негативные последствия реализации угроз.
Исходя из отчета, можно определить, что требуется построить ИСПДН уровня защищенности УЗ-3, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Определение уровня защищенности
Кугрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
Кугрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
Ктретьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
8
ИСПДН относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищённости ИСПДн – УЗ 1.
10. КИИ
Субъекты критической информационной инфраструктуры –
государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ),
функционирующие в сфере здравоохранения, науки, транспорта, связи,
энергетики, банковской сфере и иных сферах финансового рынка, топливно -
энергетического комплекса, в области атомной энергии, оборонной, ракетно-
космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Компания «НТР» принадлежит АСУ и вид ее деятельности горнодобывающая и металлургическая промышленности является критически важным. Следовательно, необходимо определить категорию значимости.
Ниже приведены таблицы, по которым определялась категория значимости.
9
Таблица 1 – Таблица-алгоритм определения класса защищенности
|
Вид |
|
Нарушаемое |
Характер |
Степе |
Категор |
Итогова |
|
опасност |
|
свойство |
чрезвычайной |
нь |
ия |
я |
|
и |
|
безопасности |
ситуации |
ущерб |
значимо |
категори |
|
|
|
|
|
а |
сти |
я |
|
|
|
|
|
|
|
значимо |
|
|
|
|
|
|
|
сти |
|
|
|
|
|
|
|
|
|
Сбой |
|
Целостность |
Локальных |
Низка |
2 |
КЗ 3 |
|
работы |
|
|
характер |
я |
|
|
|
техники |
|
|
|
|
|
|
|
|
Доступность |
Локальный |
Низка |
|
|
|
|
|
|
|
характер |
я |
|
|
|
|
|
|
|
|
|
|
|
|
|
Конфиденциаль |
Региональный |
Средн |
|
|
|
|
|
ность |
характер |
яя |
|
|
|
|
|
|
|
|
|
|
|
Утечка |
|
Целостность |
Межрегиональ |
Высок |
3 |
|
|
информа |
|
|
ный характер |
ая |
|
|
|
ции |
|
|
|
|
|
|
|
|
Доступность |
Межрегиональ |
Высок |
|
|
|
|
|
|
|
ный характер |
ая |
|
|
|
|
|
|
|
|
|
|
|
|
|
Конфиденциаль |
Межрегиональ |
Высок |
|
|
|
|
|
ность |
ный характер |
ая |
|
|
|
|
|
|
|
|
|
|
Таким образом, категория значимости относится к классу.
Вывод: в компании «НТР» реализована защита по классу K3 ГИС, по уровню защиты 3 ИСПДн-И. Бизнес-процессы компании относятся к критическим и имеют категорию значимости 3.
10