МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №12 Тема: «Спецификация объекта защит и среды безопасности»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ВВЕДЕНИЕ
Цель работы: Изучение вида работ по спецификации объекта защиты. Задача: Изучить виды работ по спецификации объекта защиты в
организации ПАО «ТГК-1».
Предприятие: Филиал «Карельский» ПАО «ТГК-1» (ПАО Территориальная Генерирующая Компания 1).
1. ОПИСАНИЕ ФУНКЦИЙ ОБЪЕКТА
Назначение CRM-системы и ее локальной сети: помощь в работе с клиентской базой, отслеживание действий клиентов и сотрудников, автоматизация рутинных операций.
Основные задачи (функции) CRM-системы и локальной сети предприятия:
•управление клиентской базой;
•управление продажами, финансами, договорами;
•информирование о необходимых платежах;
•оценка различных характеристик клиента на основании имеющихся в системе данных;
•обновление информации;
2. ДОСТУП НА ОБЪЕКТ
CRM-система, физически расположена в г. Петрозаводск офис филиала «Карельский» ПАО «Тгк-1».
Доступ в офис осуществляется в несколько этапов: 1. КПП 2. Турникеты и бюро пропусков совместно с охраной. Для доступа людей в офис, не работающих на предприятии, есть возможность заранее получить одноразовый пропуск. Доступ в административное, серверное помещения возможен только для ряда сотрудников, так же по пропускам.
3. ПЕРСОНАЛ ОБЪЕКТА
В компании работает около 1400 постоянных сотрудников: 374 человека на Петрозаводской ТЭЦ, 162 человека на каскаде Выгских ГЭС, 154 человек на каскаде Кемских ГЭС, 91 человек на каскаде Сунских ГЭС. В офисе около 600 рабочих мест из них около 100 сотрудников отдела информационных технологий.
4. ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКА ОБЪЕКТА
Каждое рабочее место оснащено компьютером, 30 % из них на Linux RED OS, остальные на Windows. Компьютеры подключены к локальной сети. АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов. Отдел содержит несколько помещений: 1. Серверное помещение 2. Административное
помещение. Административное помещение оснащено 3 АРМ, коммутатором D- Link DGS-3426, маршрутизатором CISCO 1760, обеспечивающий подключение к сети Интернет через оборудование провайдера. Серверное помещение оснащено 1 файл-сервером, 3 серверами БД, веб-сервером. На АРМ установлено специализированное ПО, ПО для администрирования и СУБД (PostgreSQL).
5. БЕЗОПАСНОСТЬ ОБЪЕКТА
Физическая безопасность объектов осуществляется с помощью камер видеонаблюдения, системы пропусков с охраной, системы пожарной и охранной сигнализации. На объектах присутствует система уровня доступа. Охраной объектов занимается Росгвардия. Также на объектах оружейные комнаты. Информационную безопасность обеспечивает отдел по информационной безопасности. Для этого используются разные способы защиты: DLP-система, межсетевое экранирование, антивирус, алгоритмы шифрования, криптостойкие пароли согласно стандартам и не только.
Данные хранятся на 3 серверах: один из них основной, остальные резервные.
Состав обрабатываемой информации:
Личные данные клиентов предприятия, учетные данные пользователей сайта организации: ФИО, дата рождения, адрес эл. почты, номер мобильного телефона, место работы, должность, постоянное место проживания.
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», CRM-система имеет класс К2.
Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями. Вебсервер предназначен для хостинга сайта филиала. При обмене данными с внешней средой используется межсетевой экран.
6. ПРАВИЛА ДОСТУПА К СЕТЯМ И УСТРОЙСТВАМ НА ПРЕДПРИЯТИИ
Работники имеют доступ только к своему компьютеру, за исключением системных администраторов, главного инженера, директора отдела и отдела информационной безопасности. Документы передаются строго по локальной сети или на переносных носителях информации. У большинства сотрудников usb-порты недоступны, а если и доступны, то к ним могут подключаться только
флеш-накопители, выданные организацией. Каждая АРМ защищена паролем, согласно стандарту.
7. ОПИСАНИЕ СТРУКТУРЫ И ОЦЕНКИ ЗАЩИЩЕННОСТИ КОМПАНИИ
Схема структуры CRM-системы приведена на рис. 1.
Рисунок 1 – Схема CRM-системы
Филиал компании расположен в Европейской части Российской Федерации в г. Петрозаводск, в спокойных метеорологических, сейсмических и гидрологических условиях, не имеющий в непосредственной близости предприятий, и других техногенных сооружений.
В компании обрабатывается конфиденциальная информация о клиентах и
сотрудниках. Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной.
Далее будет представлена таблица «Структурное описание оцениваемой системы».
Структурное описание оцениваемой системы
Модель: Филиал "Карельский" ПАО "ТГК-1" Регион: Карелия
ЛС: Офис Филиала "Карельский"
ПС: Отдел информационных технологий Объект: Вэб Сервер Объект: Файловый Сервер Объект: Сервера БД Объект: Маршрутизатор Объект: Коммутатор Объект: Межсетевой экран
Объект: АРМ администраторов Объект: АРМ пользователей
Таблица 1 — Структурное описание оцениваемой системы Оценка защищенности объекта проведена по методике С.В. Вихорева:
|
Содержание вопроса |
Да |
Нет |
|
|
|
|
1 |
Может ли несанкционированное разглашение защищаемых |
|
|
|
сведений: |
|
|
1.1 |
привести к срыву реализации стратегических планов развития |
+ |
|
|
организации, повлиять на снижение ее деловой активности |
|
|
1.2 |
привести к разглашению секретов организации или третьих лиц, ноу- |
+ |
|
|
хау, персональных данных, нарушить тайну сообщений |
|
|
1.3 |
повлиять на ухудшение взаимоотношений с партнерами, снижение |
+ |
|
|
престижа и деловой репутации организации |
|
|
|
Сумма положительных («Да») ответов по п.1, ∑(« Да »)=(К П)К |
3 |
0 |
2 |
Может ли несанкционированное изменение защищаемой |
|
|
|
информации: |
|
|
2.1 |
привести к принятию ошибочных решений (или непринятию |
+ |
|
|
вообще), важных для практической деятельности организации |
|
|
2.2 |
привести к полной или частичной дезорганизации деятельности |
+ |
|
|
организации или ее подразделений, нарушить взаимоотношения с |
|
|
|
партнерами |
|
|
2.3 |
изменить содержание персональных данных или другие сведения, |
+ |
|
|
затрагивающие интересы личности |
|
|
Сумма положительных («Да») ответов по п.2, ∑(« Да »)=(К П)Ц |
3 |
0 |
3Может ли задержка в получении защищаемой информации или ее неполучение:
3.1привести к невозможности выполнения взятых организацией + обязательств перед третьим лицами
3.2 |
привести к несвоевременному принятию решений (или непринятию |
+ |
|
|||
|
во-обще), важных для практической деятельности организации |
|
|
|
||
3.3 |
привести к полной или частичной дезорганизации деятельности |
+ |
|
|||
|
организации или ее подразделений |
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, ∑(« Да »)=(К П)Д |
3 |
0 |
|||
|
Таблица 2 — Анкета для получения исходных данных по оценке |
|
||||
|
|
приоритетности целей ИБ |
|
|
|
|
|
По результатам оценки, приведённой в таблице 2, оцениваемый объект |
|||||
имеет |
равенство |
приоритетов |
целей |
ИБ. |
|
|
8. ПОКАЗАТЕЛИ ИСХОДНОЙ ЗАЩИЩЕННОСТИ ИСПДн
Так как компания осуществляет сбор персональных данных, то на неё наложены обязательства обеспечения неограниченного доступа к документу, определяющему её политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г., и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных. В компании обрабатываются такие персональные данные, как: ФИО, номер телефона, адрес электронной почты, данные банковской карты, паспортные данные сотрудников, место регистрации. .
CRM-система обрабатывает данные, относящиеся к категории иные – ИСПДн-И.
Уровень защищенности ПДн. |
|
|
|
|
Категория ПДн + кол-во |
АУ 1 типа АУ 2 типа |
АУ 3 типа |
||
ИСПДн-И более чем 100 |
000 субъектов |
У1 1 |
У2 2 |
УЗ 3 |
ПДн, не являющихся |
сотрудниками |
|
|
|
оператора
Таблица 3 – Уровни защищенности персональных данных
Таким образом, в соответствии с таблицей 3, для ПДн в CRM-системе характерен уровень защищенности УЗ 2.