ПОСТАНОВКА

ЗАДАЧИ

1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.

2.Цель работы: изучение вида работ по спецификации объекта

защиты.

3.Отчет выполняется в форме спецификации объекта защиты и среды безопасности

4.Материал должен содержать титульный лист, постановку задачи, а также следующие разделы:

a.Описание функций объекта

b.Доступ на объект

c.Персонал объекта

d.Технические характеристики объекта

e.Безопасность объекта

f.Правила доступа к сетям и устройствам на предприятии

g.Описание структуры и оценка защищенности компании (например, при помощи программного обеспечения "РискМенеджер - Анализ v3.5" или согласно методике Вихорева)

h.Показатели исходной защищенности ИСПДн

i.Заключение о степени защищенности

ОПИСАНИЕ СИСТЕМ И СЕТЕЙ И ИХ ХАРАКТЕРИСТИКА КАК ОБЪЕКТОВ ЗАЩИТЫ

Модель угроз безопасности информации разработана для Информационной системы «АО МИКРОН» систем виртуализации и виртуальных машин.

Функции информационной системы «АО МИКРОН»

1)Хранение и обработка личных данных сотрудников;

2)Хранение и обработка данных клиентов.

Перечень обрабатываемой информации информационной системой и её сегментами:

Перечень персональных данных пользователей обрабатываемые информационной системой клиентского отдела:

Данные клиентов:

1)Фамилия, имя, отчество (при наличии);

2)Дата и место рождения;

3)Пол;

4)Гражданство;

5)Данные паспорта или иного документа, удостоверяющего личность: серия, номер, дата выдачи, срок действия (при наличии), код;

6)Подразделения и орган, выдавший документ;

7)Адрес регистрации и фактического проживания;

8)Адрес электронной почты;

Данные сотрудников, собираемые отделом кадров:

1)Фамилия, имя, отчество (при наличии);

2)Дата и место рождения;

3)Пол;

4)Гражданство;

5)Данные паспорта или иного документа, удостоверяющего личность: серия, номер, дата выдачи, срок действия (при наличии), код;

6)подразделения и орган, выдавший документ;

7)Адрес регистрации и фактического проживания;

8)Адрес электронной почты;

9)Номер мобильного телефона;

10)Документы об образовании сотрудников;

В«АО МИКРОН» существуют следующие группы авторизованных пользователей:

1)Администратор;

2)Офисный работник;

3)Глава отдела;

4)Сотрудники тех. поддержки;

5)Техники, устанавливающие оборудование.

Программное обеспечение, приложение и базы данных АО МИКРОН располагаются на базе локального центра обработки данных в главном офисе АО МИКРОН.

1.Доступ на объект

Завод АО «МИКРОН» физически располагается в 3-х корпусах.

Доступ в главный корпус строго регламентирован. Проход осуществляется только по пропускам. Инженеры, работающие в разных корпусах имеют доступ только в корпус, где работают.

Доступ в административное и серверное помещения ограничен электромагнитными замками – 1 на двери в администраторскую, 1 на двери в серверную (со считывателями постоянных карт сотрудников НГУ).

2.Персонал объекта

Объект обслуживается:

администраторским отделом;

отделом технического обеспечения АО «МИКРОН»;

Вадминистраторский отдел входят: системные администраторы – 20 человек,

Вотдел технического обеспечения АО МИКРОН входят: специалисты по обеспечению функциональности специального оборудования — 100 чел.

3.Технические характеристики объекта

АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов (в административном помещении – 1) и маршрутизатора (в серверном помещении – 1).

Административное помещение оснащено 10 АРМ с установленным ПО для администрирования (VMware Workspace One Access и консоль администрирования VMware Identity Manage) и СУБД (PostgreSQL).

В серверном помещении расположены: 5 серверов БД, 5 файловых сервер и 2 веб-сервера. Базовое ПО, используемое для поддержки серверов

— Debian Linux..

Ежегодно проводится плановый ремонт инженерных коммуникаций на

территории зданий компании с заменой устаревшего оборудования и приборов на более экономичные и современные.

4.Безопасность объекта

Данные хранятся на трёх серверах: БД аутентификационных данных, БД каталог с метаданными и ссылками на электронные материалы, каталог электронных материалов (на файловом сервере).

Состав обрабатываемой информации:

1) учётные данные пользователей и сотрудников, взаимодействующих с системой: фамилия, имя, отчество, дата рождения, адрес эл. почты, номер мобильного телефона, должность, квалифицация;

Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации, оператором или экспертом.

Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:

Несущественный ущерб для отрасли, региона.

ГИС функционирует.

Функции выполняются.

Можно сделать вывод что в данном случае уровень значимости информации 3 или У3 3 (низкая степень ущерба), поскольку нарушения конфиденциальности, целостности, доступности информации не влечет за собой большой ущерб для производства.

ЭБС НГУ относится к объектовому масштабу ИС.

Поскольку расположена в пределах муниципального образования, в пределах 1 органа государственной власти.

Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», АО МИКРОН имеет класс К3 (Масштаб информационной системы – объектный + уровень значимости информации УЗ 3 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).

Системный администратор отвечает за регулярное резервное

копирование данных, и разграничение прав доступа к данным между пользователями.

Веб-сервер предназначен для хостинга клиентского сайта «АО МИКРОН». При обмене данными с внешней средой используется межсетевой экран (файрволл).

Все помещения оборудованы охранно-пожарной сигнализацией и системой видеонаблюдения. За безопасность объекта отвечает Отдел информационной безопасности АО «МИКРОН».

5.Правила доступа к сетям и устройствам

Доступ к сети Интернет не осуществляется. Исключение — веб-сервер, находящийся в DMZ (демилитаризованной зоне) сегмента подсетию.

У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к внутренней сети, защищенный паролем.

6.Описание структуры и оценка защищенности компании

Структурное описание оцениваемой системы

Модель: АО «МИКРОН»

Регион: Москва

ЛС: Завод

ПС: Система информационной защиты

Объект: Система бесперебойного питания Объект: Хранение информации Объект: Единая биометрическая система Объект: Контентная фильтрация

ПС: Система управления персоналом

Объект: Персонал Объект: Программа кадрового учёта

ПС: Система обработки входящих запросов

Объект: ДБО Объект: Системы доступа удаленных кл.

Объект: Server обработки

ПС: Бухгалтерия

Объект: Финансовые данные Объект: Документация Объект: Система 1С

ПС: Сетевые сервисы

Объект: Web-Сервер

Объект: Система Электронной почты Объект: Интерфейс удаленного доступа Объект: DNS

Объект: Маршрутизатор Объект: ОС Debian Linux

ПС: Вычислительные машины

Объект: Автономный ПК Объект: ПК, подключенный к сети Объект: Помещение с ЭВМ

ПС: Отдел разработки

Объект: NTTM

Объект: Единая информационная платформа

Регион: Организация в целом

ЛС: Система управления финансами

ПС: Отдел бухгалтерского учета

Объект: Процессы обработки документации и расходов

ЛС: Система программного обеспечения

ПС: Отдел разработки

Объект: Серверы реализации программного обеспечения

ПС: Отдел обеспечения web-ресурсов

Объект: Процессы реализации и обновления web-ресурсов

ПС: Отдел обработки запросов

Объект: Сервер обработки информации

ЛС: Система работы с персоналом

ПС: Отдел кадров

Объект: Процессы подбора персонала Объект: Процессы обучения и развития персонала Объект: Сервисы оценки и оплаты труда

Оценка защищенности объекта проведена по методике С.В. Вихорева 2021

года.

Нормативные правовые акты РФ, в соответствии с которыми функционируют указанные система и сеть: ФЗ №152 «О персональных данных», ФЗ №273 «Об образовании в Российской Федерации», Указ Президента РФ №188 «Об утверждении Перечня сведений конфиденциального характера», ФЗ №78 «О библиотечном деле», ФЗ №5351- 1 «Об авторском праве и смежных правах».

Назначение «АО МИКРОН» - полный цикл производства Больших Интегральных Схем (БИС)

Основные задачи (функции) «АО МИКРОН»:

a.Проектирование интегральных схем;

b.Производство интегральных схем;

c.Защита персональных данных клиентов и обеспечение Информационной безопасности

Состав обрабатываемой информации:

6)учётные данные сотрудников и пользователей сервиса, взаимодействующих с системой: фамилия, имя, отчество, дата рождения, адрес эл. почты, номер мобильного телефона, должность сотрудника, квалификация

7)информационные ресурсы (электронные материалы).

Для доступа в систему требуется авторизация пользователей. В системе присутствует деление пользователей по типам доступа на группы:

1)Технические специалисты – предоставляется доступ к администрированию оборудования;

2)Инженеры — предоставляется доступ к конфиденциальной информации компании;

В состав «АО МИКРОН» входят компоненты: 3 АРМ администраторов системы, 20 АРМ пользователей (сотрудников, в них входят и авторы, и пользователи, и обычных пользователей), веб-сайт, СУБД (PostgreSQL), 3 сервера: сервер БД (Windows Server), веб-сервер (Debian Linux) и файловый