МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №12
по дисциплине «Основы информационной безопасности» Тема: Спецификация объекта защит и среды безопасности
Студентка гр.
Преподаватель
Санкт-Петербург
2023
Цель работы.
Изучение вида работ по спецификации объекта защиты.
Задание на работу.
Оценить информационной безопасности ООО «Восток».
Создать спецификацию объекта защиты и среды безопасности, содержащую следующие пункты:
Описание функций объекта
Доступ на объект
Персонал объекта
Технические характеристики объекта
Безопасность объекта
Правила доступа к сетям и устройствам на предприятии
Описание структуры и оценка защищенности компании (например, при помощи программного обеспечения "РискМенеджер - Анализ v3.5")
Показатели исходной защищенности ИСПДн
1.Описание ООО «Восток»
1.1.Функции объекта
Объект |
– |
офис предприятия, располагающийся в бизнес-центре г. |
Хабаровск. Офис представляет собой несколько помещений,
разделенных на 4 группы. Вход на территорию офиса осуществляется с помощью
пропусков сотрудников.
Офис используется в качестве рабочего пространства сотрудников, оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и тд.
Объект предназначен для хранения и обработки данных клиентов, организации, рабочих файлов и документов.
Основные задачи офиса:
1)Хранение информации о клиентах;
2)Хранение информации о сотрудниках;
3)Хранение рабочей документации предприятия;
4)Хранение рабочих файлов предприятия;
5)Обеспечение доступа сотрудников к необходимым файлам;
6)Обеспечение работы сайта и возможности принимать заказы.
1.2.Доступность на объект
Офис располагается в бизнес-центре города Хабаровск, офис разделен на 2
основные части:
1)Технический отдел
2)Рабочий отдел
Доступ в офис возможен только по пропускам, никто кроме системного администратора не имеет доступа в его кабинет, в котором располагаются в т.ч. web-сервер и база данных предприятия.
Доступ в бизнес-центр осуществляется по другим пропускам, позволяющим перемещаться по территории бизнес-центра, на входе в здание бизнес-центра
расположена СКУД (турникеты), контролируемые охранной организацией, в
бизнес-центре имеются СВК.
Система разграничения доступа, действующая на предприятии призвана:
1)Контроль доступа в различные помещения предприятия, на территорию предприятия.
2)Контроль времени прихода/ухода сотрудников.
3)Контроль доступа к оборудованию.
Функции отделов:
1. Административный отдел
Задачей административного отдела является обработка при помощи прикладных программ (ПО «Администратор») персональной информации сотрудников (паспортные данные, данные военных билетов), а также обработка данных клиентов (паспортные данные). Суммарная численность обрабатываемых записей превышает 100 000.
2. Финансовый отдел
Задачей финансового отдела является обработка при помощи прикладных программ (ПО «Финансы») данных о проводимых в офисе финансовых операциях.
Суммарная численность статей, по которым проводятся транзакции, не превышает
100000.
3.Рабочий отдел
Задачей рабочего отдела является непосредственная работа с клиентами при помощи прикладных программ (ПО «Сотрудник»), при этом обрабатывается такая информация о клиентах, как фамилия, имя, отчество, дата рождения. Суммарная численность записей о клиентах превышает 100 000.
4. Серверный сегмент
Задачей серверного сегмента является обработка запросов от внешних пользователей через Интернет, сетевая фильтрация и маршрутизация информационных потоков между отделами, а также хранения информации о
сотрудниках организации (паспортные данные, данные в воинском учете), данные клиентов, сведения об устройстве сети.
1.3. Персонал объекта
Объект обслуживается:
•административным отделом;
•финансовый отдел;
•серверный сегмент;
•рабочим отделом.
1.Проджект менеджер;
2.Менеджер по продажам;
3.Директор филиала;
4.Руководитель по развитию бизнеса;
5.Сетевой администратор;
6.Директор по цифровой трансформации;
7.Бухгалтер филиала;
8.IT recruiter;
9.Программист;
10.Дополнительный персонал (уборщики, электрики, охрана)
Работники имеют различные права доступа к помещениям и оборудованию предприятия.
1.4. Технические характеристики объекта и безопасность объекта
На предприятии рабочие места оснащены компьютерами. В одном из кабинетов находится серверная, оборудованная системой бесперебойного питания. Компьютеры соединены в локальную сеть, посредством которой можно передавать файлы, содержащие различные данные. Также все компьютеры подключены к сети Интернет. Сеть реализована без использования Wi-Fi
маршрутизаторов, компьютеры соединены ethernet-кабелями. Однако в кабинетах стоят Wi-Fi маршрутизаторы для личного пользования сотрудниками. Данные хранятся как в электронном виде, так и в печатном в специальном архиве. Также в офисе имеются принтеры и проекторы, для показа своих проектов и работы.
1.5. Структурное описание компании
При помощи программного обеспечения "РискМенеджер - Анализ v3.5"
было построено структурное описание предприятия.
Рисунок 1 – Схема сети рассматриваемого объекта
1.6. Определение класса ГИС
На рассматриваемом объекте обрабатывается конфиденциальная
информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной,
обрабатывается в бухгалтерском и административном сегментах компании.
Исследуемый объект обрабатывает персональные данные. Эта информация, обрабатываемая в компании, имеет высший уровень
защищенности (УЗ 3) |
|
|
|
|
Информационная |
система, |
используемая |
в |
компании |
«Восток», имеет региональный |
масштаб, так как |
она функционирует |
||
только на территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и
(или) подведомственных и иных организациях).
Уровень защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (объектовый, федеральный,
региональный). То есть при уровне защиты УЗ 3 и региональном масштабе ИС,
искомый класс защиты – К3
Таким образом, на основании проведенного анализа необходимо
наличие ГИС класса защиты К3.
1.7.Определение типа ИСПДн
Так как исследуемый объект осуществляет сбор персональных данных, то на нее наложены обязательства обеспечения неограниченного доступа к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных.
На рассматриваемом объекте обрабатываются такие персональные данные, как паспортные данные и данные воинского учета сотрудников предприятия и паспортные данные клиентов организации.
Используемая в объекте ИСПДн не обрабатывает специальную,
биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И (иное).
1.8.Определение уровня защищенности
Кугрозам первого типа относятся наличие не декларированных, то
есть не задокументированных возможностей в системном ПО (ОС,
сервисные программы, антивирусы).
Кугрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
Ктретьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДн относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищенности ИСПДн – УЗ 3.
1.9. Определение категории КИИ
Так как ООО «Восток» функционирует в области предоставления услуг связи, локальная сеть организации относится к КИИ, объектом чего являются информационные системы и сетей, сервер баз данных для которых расположен в серверном сегменте. Согласно Постановлению Правительства от 8 февраля 2018 г N 127, категория сети объекта – III
. Таблица 4 - Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
Показатель |
|
Значение показателя |
|
|
|
|
|
|
III категория |
II категория |
I категория |
|
|
|
|
|
I. Социальная значимость |
|
|
1. Причинение ущерба |
более или равно |
более 50, но менее |
более 500 |
жизни и здоровью |
1, но менее или |
или равно 500 |
|
людей (человек) |
равно 50 |
|
|