МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по практической работе №12
по дисциплине «Основы информационной безопасности»
Тема: СПЕЦИФИКАЦИЯ ОБЪЕКТА ЗАЩИТ И СРЕДЫ БЕЗОПАСНОСТИ
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель работы
Изучение вида работ по спецификации объекта защиты ООО «Тбилисский Сахарный Завод».
Результаты выполнения практической работы
1.Описание функций объекта
Предприятие ООО «Тбилисский Сахарный Завод» является производственным комплексом с офисом на закрытой территории. Данное предприятие производит из свеклы сахар и другие сопутствующие продукты,
после чего реализует их. Находится оно по адресу Краснодарский край, станица Тбилисская, ул. Мира 1.
2.Доступ на объект
Доступ на территорию осуществляется через КПП с турникетами по специальным пропускам, на входе проход также контролирует охранник. Люди,
которые не работают постоянно в компании, а приходят, например, на собеседования, имеют возможность получить одноразовый пропуск, их обязательно должны зарегистрировать в программно-аппаратном комплексе регистрации «Посетитель». Посторонние люди без пропуска попасть на территорию не могут.
Доступ на склад также осуществляется по пропускам. Работники складов имеют постоянный пропуск. Ниже представлен порядок оформления пропусков для водителей, осуществляющих грузоперевозки: партнёрская курьерская компания подает заявку на пропуск, с указанием гос. номера, марки и т.д.,
выбирает дату и время прибытия; оператор склада принимает заявку, планирует работы по подготовке товара под погрузку, создает пропуска, назначает погрузочные ворота; водитель получает эл. пропуск, по прибытию на КПП,
регистрирует вход и попадает на территорию склада; все операции отображаются на рабочем столе в режиме онлайн, визуализируя статус по каждому автомобилю, посетителю – сотрудник охраны надзирает за процессом и контролирует поток автомобилей на экране ПК.
2
В офисе и на складах ведётся видеонаблюдение. Количество камер видеонаблюдения в офисе – 10 шт.
3.Персонал объекта
В компании работает 40 постоянных сотрудников, в их числе:
руководитель, руководители отделов, бухгалтеры, маркетологи, менеджеры,
специалист по ИБ, IT-специалисты, технические специалисты.
Также компания нанимает водителей, грузчиков и курьеров у партнёрских компаний.
4.Технические характеристики объекта
В офисе 30 рабочих мест, каждое из них полностью технически оснащено.
Все компьютеры объединены в локальную сеть, а также подключены к сети Интернет. В главном офисе также находится 2 сервера DELL PowerEdge R640,
оснащённые системой бесперебойного питания, а также системой охлаждения.
В компании также есть 3 МФУ Canon Pixma G640 и 2 проектора BenQ MS536 в
конференц-зале.
В главном офисе ведётся видеонаблюдение с помощью камер IP HiWatch.
5.Безопасность объекта
Физическая безопасность объектов в офисе осуществляется с помощью камер видеонаблюдения (СВК), системы пропусков с охраной (СКУД), системы пожарной и охранной сигнализации (СПС, СОС). Проходная состоит из пешеходной части с турникетом и бюро пропусков. Безопасность на складах обеспечивается с помощью систем контроля и пропуска приезжающих, а также камер видеонаблюдения.
Информационную безопасность обеспечивает специалист по ИБ с помощью алгоритмов шифрования, криптостойких паролей, меняющихся каждый месяц, и систем защиты (например, антивирусов).
6.Правила доступа к сетям и устройствам на предприятии
Работники имеют доступ только к своему компьютеру и исключительно к
тем документам, которые необходимы им для работы. Все документы
3
передаются между сотрудниками по локальной сети. Доступ разграничивается с
помощью межсетевых экранов.
7.Описание структуры и оценка защищенности компании
Компания расположена в Европейской части Российской Федерации в станице Тбилисской Краснодарского края, в спокойных метеорологических,
сейсмических и гидрологических условиях, не имеющая в непосредственной близости предприятий, и других техногенных сооружений.
Наименование систем и сетей, для которых разработана модель угроз безопасности информации: системы и сети компании функционируют на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры.
Системы и сети обрабатывают информацию о поставщиках свеклы,
покупателях и остатках товара на складе.
Основные процессы (бизнес-процессы), для обеспечения которых создаются (функционируют) системы и сети: контроль исполнения всех пунктов контракта обеими сторонами, структурирование данных о покупателях и поставщиках, оформление заказов, отслеживание остатков товара на складе.
На рисунке 1 представлены наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора.
4
Рисунок 1 – Оценка угроз безопасности информации в информационной инфраструктуре
8.Определение класса ГИС
В предприятии ООО «Тбилисский Сахарный Завод» обрабатывается конфиденциальная информация о клиентах. В частности, для того, чтобы сделать заказ на сайте, клиенту необходимо оставить свои персональные данные (подробное описание см. в следующем пункте).
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной, обрабатывается в бухгалтерском и административном сегментах компании.
Информация предприятия ООО «Тбилисский Сахарный Завод», имеет высокий уровень значимости (УЗ 2), так как для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба (описание классификации из Приказа ФСТЭК №17 от 11 февраля 2013 года).
5
Предприятие ООО «Тбилисский Сахарный Завод» обрабатывает два вида информации: персональные данные и коммерческая тайна. В соответствии с Приказом ФСТЭК №17 от 11 февраля 2013 года в этом случае уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям УЗ каждого вида информации. Оба вида информации, обрабатываемой в компании, имеют средний уровень значимости (УЗ 2), так как для каждого свойства безопасности информации и каждого её вида определена средняя степень ущерба
(в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности) и нет ни одного свойства, для которого определена высокая степень ущерба. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям степени возможного ущерба каждого из двух видов информации. Оба вида имеют средний уровень значимости, поэтому итоговый уровень значимости также УЗ2.
Информационная система, используемая в предприятии ООО
«Тбилисский Сахарный Завод», имеет объектный масштаб, так как она функционирует на территории одного объекта (то есть на территории субъекта Российской Федерации и не имеет сегментов в представительствах, филиалах, подведомственных и иных организациях – описание классификации из Приказа ФСТЭК №17 от 11 февраля 2013 года).
После определения уровня значимости и масштаба системы класс вычисляется по таблице:
Таким образом, на пересечении УЗ2 и объектового масштаба находится класс защиты К2.
6
Таким образом, на основании проведённого анализа необходимо наличие ГИС класса защиты К2.
9.Определение типа ИСПДн
На предприятии ООО «Тбилисский Сахарный Завод» обрабатываются такие персональные данные, как: ФИО, номер телефона, e-mail.
Автоматизированная обработка персональных данных происходит в ЦОД.
Так как компания осуществляет сбор персональных данных, то на неё наложены обязательства обеспечения неограниченного доступа к документу,
определяющему её политику в отношении обработки персональных данных, к
сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N
1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
Используемая в компании ИСПДн не обрабатывает специальную,
биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И.
Уровень исходной защищенности ИСПДн определяется в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,
утвержденных ФСТЭК России в 2008 году.
Уровень исходной защищенности ИСПДн определяется по таблице 1.
Таблица 1 – Показатель исходного уровня защищенности ИСПДн
7
1. Технические и |
Уровень защищенности |
|||
эксплуатационные |
|
|
|
|
характеристики |
Высокий |
Средний |
Низкий |
|
ИСПДн |
|
|
|
|
1. По территориальному размещению: |
|
|||
Распределенная ИСПДн, |
|
|
|
|
которая охватывает |
|
|
|
|
несколько областей, краев, |
– |
– |
+ |
|
округов или государство в |
|
|
|
|
целом |
|
|
|
|
Городская ИСПДн, |
|
|
|
|
охватывающая не более одного |
– |
– |
+ |
|
населенного пункта (города, |
||||
|
|
|
||
поселка) |
|
|
|
|
Корпоративная распределенная |
|
|
|
|
ИСПДн, охватывающая многие |
– |
+ |
– |
|
подразделения одной |
||||
|
|
|
||
организации |
|
|
|
|
Локальная (кампусная) ИСПДн, |
|
|
|
|
развернутая в пределах |
– |
+ |
– |
|
нескольких близко |
||||
|
|
|
||
расположенных зданий |
|
|
|
|
Локальная ИСПДн, |
|
|
|
|
развернутая в пределах одного |
+ |
– |
– |
|
здания |
|
|
|
|
2. По наличию соединения с сетями общего пользования: |
||||
|
|
|
|
|
ИСПДн, имеющая |
|
|
|
|
многоточечный выход в сеть |
– |
– |
+ |
|
общего пользования |
|
|
|
|
ИСПДн, имеющая |
|
|
|
|
одноточечный выход в сеть |
– |
+ |
– |
|
общего пользования |
|
|
|
|
ИСПДн, физически отделенная |
+ |
– |
– |
|
от сети общего пользования |
||||
|
|
|
||
3. По встроенным (легальным) операциям с записями баз персональных данных:
Чтение, поиск |
+ |
– |
|
– |
Запись, удаление, сортировка |
– |
+ |
|
– |
|
|
|
|
|
Модификация, передача |
– |
– |
|
+ |
|
|
|
|
|
4. По разграничению доступа к персональным данным: |
|
|||
ИСПДн, к которой имеют |
|
|
|
|
доступ определенные перечнем |
– |
+ |
|
– |
сотрудники организации, |
|
|
|
|
|
8 |
|
|
|
являющейся владельцем |
|
|
|
|
ИСПДн, либо субъект ПДн |
|
|
|
|
ИСПДн, к которой имеют |
|
|
|
|
доступ все сотрудники |
– |
– |
+ |
|
организации, являющейся |
||||
|
|
|
||
владельцем ИСПДн; |
|
|
|
|
ИСПДн с открытым доступом |
– |
– |
+ |
|
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
||||
|
|
|
|
|
Интегрированная ИСПДн |
|
|
|
|
(организация использует |
|
|
|
|
несколько баз ПДн ИСПДн, при |
– |
– |
+ |
|
этом организация не является |
||||
|
|
|
||
владельцем всех используемых |
|
|
|
|
баз ПДн); |
|
|
|
|
ИСПДн, в которой |
|
|
|
|
используется одна база ПДн, |
+ |
– |
– |
|
принадлежащая организации – |
||||
|
|
|
||
владельцу данной ИСПДн |
|
|
|
|
6. По уровню обобщения (обезличивания) ПДн: |
|
|||
|
|
|
|
|
ИСПДн, в которой |
|
|
|
|
предоставляемые |
|
|
|
|
пользователю данные |
+ |
– |
– |
|
являются обезличенными (на |
||||
|
|
|
||
уровне организации, отрасли, |
|
|
|
|
области, региона и т.д.); |
|
|
|
|
ИСПДн, в которой данные |
|
|
|
|
обезличиваются только при |
|
|
|
|
передаче в другие организации |
– |
+ |
– |
|
и не обезличены при |
||||
|
|
|
||
предоставлении пользователю |
|
|
|
|
в организации; |
|
|
|
|
ИСПДн, в которой |
|
|
|
|
предоставляемые |
|
|
|
|
пользователю данные не |
|
|
|
|
являются обезличенными (т.е. |
– |
– |
+ |
|
присутствует информация, |
||||
|
|
|
||
позволяющая |
|
|
|
|
идентифицировать субъекта |
|
|
|
|
ПДн) |
|
|
|
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю |
– |
– |
+ |
|
базу данных с ПДн; |
||||
|
|
|
||
|
9 |
|
|
ИСПДн, предоставляющая |
|
– |
|
+ |
|
|
– |
||||
часть ПДн; |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|||
ИСПДн, не предоставляющая |
|
+ |
|
|
– |
|
|
– |
|||
никакой информации. |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого (%) |
|
|
29 |
|
|
71 |
|
|
0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Уровень исходной защищённости ИСПДн определяется по результатам расчётов в таблице выше (последняя строка). Они удовлетворяют условиям среднего уровня исходной защищённости, представленным в таблице ниже.
Таблица 2 – Условия определения среднего уровня исходной защищённости
Технические и эксплуатационные |
Уровень защищённости |
|
||
характеристики ИСПДн |
|
|
|
|
Высокий |
Средний |
|
Низкий |
|
|
|
|
|
|
ИТОГО |
< 70% |
≥ 70% |
|
≤ 30% |
|
|
|
|
|
Таким образом, ИСПДн имеет средний уровень исходной защищённости.
Уровень защищённости ИСПДн определяется по таблице на рисунке 2:
Рисунок 2 – Уровни защищённости персональных данных К угрозам первого типа относятся наличие не декларированных, то есть не
задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
10