МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №12 по дисциплине «Основы информационной безопасности»
Тема: Спецификация объекта защит и среды безопасности
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Цель работы: изучение вида работ по определению необходимого уровня
защищенности персональных данных в конкретной организации.
1.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
2.Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС
всоответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утвержденный ФСТЭК России 5 февраля 2021 г.
1. Описание функций объекта
Объект – офис предприятия, располагающийся в г. Санкт-Петербург. Офис представляет собой несколько помещений, разделенных на 3 группы: рабочий отдел (рабочие места рядовых сотрудников),административный отдел (рабочие места администраторов), финансовый отдел (рабочие места сотрудников финансового отдела), серверный сегмент (вебсервер, сервер БД,
маршрутизатор). Вход на территорию офиса осуществляется с помощью пропусков сотрудников.
Офис используется в качестве рабочего пространства сотрудников,
оснащен необходимым для работы оборудованием и ПО, в офисной корпоративной сети хранится и циркулирует необходимая информация о клиентах, рабочих документах и т.д.
Объект предназначен для хранения и обработки данных клиентов,
организации, рабочих файлов и документов.
Задачи объекта:
1)Хранение информации о клиентах;
2)Хранение информации о сотрудниках;
3)Хранение рабочей документации предприятия;
4)Хранение рабочих файлов предприятия;
5)Обеспечение доступа сотрудников к необходимым файлам;
6)Обеспечение работы сайта и возможности принимать заказы;
7)Предоставление услуг;
3
2. Описание структуры и оценка защищенности компании
Структурное описание предприятия, представленное в таблице ниже
выполнено с помощью программы «РискМенеджер – Анализ v3.5».
Модель: ООО «Lux»
Регион: г. Санкт-Петербург
ЛС: Центральный офис
ПС: Бухгалтерия
Объект: Финансовый отдел
ПС: Персонал
Объект: Административный отдел
Объект: Рабочий отдел
ПС: Сетевые сервисы
Объект: Интернет-кабель
Объект: Электронная почта
Объект: Firewall
Объект: Веб-сервер
Объект: Сервер БД
Объект: Маршрутизатор
Объект: ПО «Сотрудник»
Объект: ПО «Администратор»
Объект: ПО «Финансы»
ПС: Система управления
Объект: СЭД
Объект: ОС Windows
Объект: АРМ пользователя
Объект: ПК администратора
ЛС: Организация в целом
ПС: Организация программных решений
Объект: Процесс модернизации рабочего процесса
ПС: Веб-отдел
Объект: Процесс организации сайта компании
4
Рисунок 1 – Схема сети рассматриваемого объекта
Оценка защищенности системы по методике Вихорева представлена ниже.
Таблица 1 – оценка приоритетности целей ИБ
|
Содержание вопроса |
Да |
Нет |
|
|
|
|
1 |
Может ли несанкционированное разглашение |
|
|
защищаемых сведений: |
|
|
|
|
|
|
|
|
привести к срыву реализации стратегических планов |
|
|
1.1 |
развития организации, повлиять на снижение ее |
+ |
|
|
деловой активности |
|
|
|
|
|
|
|
привести к разглашению секретов организации или |
|
|
1.2 |
третьих лиц, ноу-хау, персональных данных, |
+ |
|
|
нарушить тайну сообщений |
|
|
|
|
|
|
|
повлиять на ухудшение взаимоотношений с |
|
|
1.3 |
партнерами, снижение престижа и деловой |
+ |
|
|
репутации организации |
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
(КП)К |
|
|
2 |
Может ли несанкционированное изменение защищаемой |
|
|
информации: |
|
|
|
|
|
|
|
|
5 |
|
|
|
привести к принятию ошибочных решений (или |
|
|
|
2.1 |
непринятию вообще), важных для практической |
|
+ |
|
|
деятельности организации |
|
|
|
|
|
|
|
|
|
привести к полной или частичной дезорганизации |
|
|
|
2.3 |
деятельности организации или ее подразделений, |
|
+ |
|
|
нарушить взаимоотношения с партнерами |
|
|
|
|
|
|
|
|
2.4 |
изменить содержание персональных данных или |
|
+ |
|
другие сведения, затрагивающие интересы личности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.2, («Да») = |
3 |
|
|
|
(КП)Ц |
|
|
|
3 |
Может ли задержка в получении защищаемой |
|
|
|
информации или ее неполучение: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.1 |
привести к невозможности выполнения взятых |
|
+ |
|
организацией обязательств перед третьим лицами |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
привести к несвоевременному принятию решений |
|
|
|
3.2 |
(или непринятию вообще), важных для |
|
+ |
|
|
практической деятельности организации |
|
|
|
3.3 |
привести к полной или частичной дезорганизации |
|
+ |
|
деятельности организации или ее подразделений |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Сумма положительных («Да») ответов по п.1, («Да») = |
3 |
|
|
|
(КП)Д |
|
|
|
|
|
|
|
|
3. Доступ на объект
Офис располагается в бизнес-центре города Санкт-Петербург, предприятие разделено на 4 основные части:
Рабочий отдел
Финансовый отдел
Административный отдел
Серверный сегмент
Доступ в офис возможен только по пропускам, никто кроме системного администратора не имеет доступа в его кабинет, в котором располагаются в т.ч. web-сервер и база данных предприятия.
Доступ в бизнес-центр осуществляется по другим пропускам,
позволяющим перемещаться по территории бизнес-центра, на входе в здание бизнес-центра расположена СКУД (турникеты), контролируемые охранной организацией, в бизнес-центре имеются СВК.
6
Система разграничения доступа, действующая на предприятии призвана:
1)Контроль доступа в различные помещения предприятия,
натерриторию предприятия.
2)Контроль времени прихода/ухода сотрудников.
3)Контроль доступа к оборудованию.
4.Персонал объекта
1.Проджект менеджер;
2.Менеджер по продажам (услугам);
3.Руководитель по развитию бизнеса;
4.Сетевой администратор;
5.Бухгалтер филиала;
6.Менеджер договорного отдела;
7.Программист;
8.Дополнительный персонал (уборщики, электрики, охрана)
Сотрудники имеют различные права доступа к помещениям и
оборудованию предприятия.
5.Техническая характеристика объекта
Враспоряжении каждого сотрудника (за исключением дополнительного
персонала) находится собственный кабинет, оснащенный ПК с ОС Windows
10,подключенным к Сети.
Рабочее место системного администратора доступно исключительно по пропуску системного администратора, в этой зоне располагаются веб-сервер и база данных предприятия.
Сервера на КНС Групп, Аквариаус, гигабитные сетевые карты,кластеры соединены в оптоволоконную сеть.
7
6. Безопасность объекта
Состав обрабатываемой информации:
1)Персональные данные клиентов
2)Паспортные данные сотрудников
3)Рабочие документы предприятия
4)Рабочие файлы
Для защиты данных на объекте используется шифрование данных, техническим отделом регулярно создаются резервные копии данных, на всех устройствах стоит защитное ПО, доступ к устройствам осуществляется при помощи индивидуальных авторизационных данных сотрудников, локальная сеть предприятия отделена от общей сети межсетевым экраном.
7. Показатели исходной защищенности ИСПДн
Данные, обрабатываемые системой относятся к категории ИСПДн-И, а именно: персональные данные клиентов, данные о заказах, рабочие документы предприятия, данные сотрудников, рабочие файлы.
Персональные данные, которые обрабатывает компания «Lux»: фамилия, имя, отчество, дата рождения, юридический адрес компании.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии
8
со статьей 8 Федерального закона «О персональных данных».
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных».
В корпоративной сети хранятся и обрабатываются персональные данные клиентов, данные организации, рабочие документы и файлы. Для данной сети актуальны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ 3 по ИСПДн-И.
Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №149 «Об информации, информационных технологиях и о защите информации»; ФЗ №152 «О персональных данных.»
Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обработка заказов.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Функции отделов:
Административный отдел
Задачей административного отдела является обработка при помощи
прикладных программ (ПО «Администратор») персональной информации сотрудников (паспортные данные, данные военных билетов), а также обработка данных клиентов (паспортные данные). Суммарная численность обрабатываемых записей превышает 100 000.
Финансовый отдел
Задачей финансового отдела является обработка при помощи
прикладных программ (ПО «Финансы») данных о проводимых в офисе финансовых операциях. Суммарная численность статей, по которым
9
проводятся транзакции, не превышает 100 000.
Рабочий отдел
Задачей рабочего отдела является непосредственная работа с клиентами при помощи прикладных программ (ПО «Сотрудник»), при этом обрабатывается такая информация о клиентах, как фамилия, имя, отчество,
дата рождения. Суммарная численность записей о клиентах превышает
100000.
Серверный сегмент
Задачей серверного сегмента является обработка запросов от внешних пользователей через Интернет, сетевая фильтрация и маршрутизация информационных потоков между отделами, а также хранения информации о сотрудниках организации (паспортные данные, данные в воинском учете), данные клиентов, сведения об устройстве сети.
Уровень защищенности ПДн определяется в таблице 4.
Тип ИСПДн |
|
Сотрудники |
|
|
Количество |
|
|
Тип актуальности угроз |
|
||
|
|
оператора |
|
|
субъектов |
|
|
|
|
|
|
|
|
|
|
|
1 |
|
2 |
|
3 |
||
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-С |
|
Не сотрудники |
> 100000 |
|
УЗ 1 |
|
УЗ 1 |
|
УЗ 2 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сотрудники |
> 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-Б |
|
Не сотрудники |
> 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
> 100000 |
|
|
|
|
|
|
|
|
|
Сотрудники |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
|
|
|
|
|
|||
|
|
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
||||
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-И |
|
Не сотрудники |
> 100000 |
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 1 |
|
УЗ 3 |
|
УЗ 3 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сотрудники |
> 100000 |
|
УЗ 1 |
|
УЗ 3 |
|
УЗ 4 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 1 |
|
УЗ 3 |
|
УЗ 4 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-О |
|
Не сотрудники |
> 100000 |
|
УЗ 2 |
|
УЗ 3 |
|
УЗ 4 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
|
|
|
|
|
|||
|
|
|
УЗ 2 |
|
УЗ 3 |
|
УЗ 4 |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сотрудники |
> 100000 |
|
УЗ 2 |
|
УЗ 3 |
|
УЗ 4 |
||
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
< 100000 |
|
УЗ 2 |
|
УЗ 3 |
|
УЗ 4 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
10