МИНОБРНАУКИ РОССИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра Информационной безопасности

ОТЧЕТ

по Основам информационной безопасности Практическая работа №12

Тема: «Спецификация объекта защит и среды безопасности»

Студент гр

Преподаватель

Санкт-Петербург 2023

ВВЕДЕНИЕ

Цель работы: Изучение вида работ по спецификации объекта защиты.

Задача: изучить виды работ по спецификации объекта защиты в предприятии ООО «Восток».

1. ОПИСАНИЕ ФУНКЦИЙ ОБЪЕКТА

Назначение CRM-системы и ее локальной сети: помощь в работе с клиентской базой, отслеживание действий клиентов и сотрудников, автоматизация рутинных операций.

Основные задачи (функции) CRM-системы и локальной сети предприятия:

• управление клиентской базой;

• управление продажами, финансами, договорами;

• информирование о необходимых платежах;

• оценка различных характеристик клиента на основании имеющихся в системе данных;

• обновление информации;

2. ДОСТУП НА ОБЪЕКТ

CRM-система, физически расположена в г. Хабаровск офис филиала ООО «Восток».

Доступ в офис осуществляется в несколько этапов: 1. КПП 2. Турникеты и бюро пропусков совместно с охраной. Для доступа людей в офис, не работающих на предприятии, есть возможность заранее получить одноразовый пропуск. Доступ в административное, серверное помещения возможен только для ряда сотрудников, так же по пропускам.

3. ПЕРСОНАЛ ОБЪЕКТА

Объект обслуживается:

• административным отделом;

• финансовый отдел;

• серверный сегмент;

Рабочим отделом:

1. Проджект менеджер;

2. Менеджер по продажам;

3. Директор филиала;

4. Руководитель по развитию бизнеса;

5. Сетевой администратор;

6. Директор по цифровой трансформации;

7. Бухгалтер филиала;

8. IT recruiter;

9. Программист;

10. Дополнительный персонал (уборщики, электрики, охрана)

Работники имеют различные права доступа к помещениям и оборудованию предприятия.

4. ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКА ОБЪЕКТА

Каждое рабочее место оснащено компьютером, 30 % из них на Linux RED OS, остальные на Windows. Компьютеры подключены к локальной сети. АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов. Отдел содержит несколько помещений: 1. Серверное помещение 2. Административное помещение. Административное помещение оснащено 3 АРМ, коммутатором D- Link DGS-3426, маршрутизатором CISCO 1760, обеспечивающий подключение к сети Интернет через оборудование провайдера. Серверное помещение оснащено 1 файл-сервером, 3 серверами БД, веб-сервером. На АРМ установлено специализированное ПО, ПО для администрирования и СУБД (PostgreSQL).

5. БЕЗОПАСНОСТЬ ОБЪЕКТА

Физическая безопасность объектов осуществляется с помощью камер видеонаблюдения, системы пропусков с охраной, системы пожарной и охранной сигнализации. На объектах присутствует система уровня доступа. Охраной объектов занимается Росгвардия. Также на объектах оружейные комнаты. Информационную безопасность обеспечивает отдел по информационной безопасности. Для этого используются разные способы защиты: DLP-система, межсетевое экранирование, антивирус, алгоритмы шифрования, криптостойкие пароли согласно стандартам и не только.

Данные хранятся на 3 серверах: один из них основной, остальные резервные.

Состав обрабатываемой информации:

• Личные данные клиентов предприятия, учетные данные пользователей сайта организации: ФИО, дата рождения, адрес эл. почты, номер мобильного телефона, место работы, должность, постоянное место проживания.

• Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», CRM-система имеет класс К3.

• Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями. Веб- сервер предназначен для хостинга сайта филиала. При обмене данными с внешней средой используется межсетевой экран.

6. ПРАВИЛА ДОСТУПА К СЕТЯМ И УСТРОЙСТВАМ НА ПРЕДПРИЯТИИ

Работники имеют доступ только к своему компьютеру, за исключением системных администраторов, главного инженера, директора отдела и отдела информационной безопасности. Документы передаются строго по локальной сети или на переносных носителях информации. У большинства сотрудников usb-порты недоступны, а если и доступны, то к ним могут подключаться только флеш-накопители, выданные организацией. Каждая АРМ защищена паролем, согласно стандарту.

7. ОПИСАНИЕ СТРУКТУРЫ И ОЦЕНКИ ЗАЩИЩЕННОСТИ КОМПАНИИ

Схема структуры CRM-системы приведена на рис. 1.

Рисунок 1 – Схема CRM-системы

Филиал компании расположен в Европейской части Российской Федерации в г. Петрозаводск, в спокойных метеорологических, сейсмических и гидрологических условиях, не имеющий в непосредственной близости предприятий, и других техногенных сооружений.

В компании обрабатывается конфиденциальная информация о клиентах и

сотрудниках. Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной.

Далее будет представлена таблица «Структурное описание оцениваемой системы».

Структурное описание оцениваемой системы

Модель: ООО «Восток»

Регион: г.Хабаровск

ЛС: Офис ООО «Восток»

ПС: Отдел информационных технологий

Объект: Вэб Сервер

Объект: Файловый Сервер

Объект: Сервера БД

Объект: Маршрутизатор

Объект: Коммутатор

Объект: Межсетевой экран

Объект: АРМ администраторов

Объект: АРМ пользователей

Таблица 1 — Структурное описание оцениваемой системы

8. ПОКАЗАТЕЛИ ИСХОДНОЙ ЗАЩИЩЕННОСТИ ИСПДн

Так как компания осуществляет сбор персональных данных, то на неё наложены обязательства обеспечения неограниченного доступа к документу, определяющему её политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г., и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных. В компании обрабатываются такие персональные данные, как: ФИО, номер телефона, адрес электронной почты, данные банковской карты, паспортные данные сотрудников, место регистрации. .

CRM-система обрабатывает данные, относящиеся к категории иные – ИСПДн-И.

Уровень защищенности ПДн.

Категория ПДн + кол-во	АУ 1 типа	АУ 2 типа	АУ 3 типа
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора	У1 1	У2 2	УЗ 3

Таблица 3 – Уровни защищенности персональных данных

Таким образом, в соответствии с таблицей 3, для ПДн в CRM-системе характерен уровень защищенности УЗ 3.

9. ЗАКЛЮЧЕНИЕ О НАЛИЧИИ ЗНАЧИМЫХ ОБЪЕКТОВ КИИ,

Таким образом, серверный сегмент является сегментов КИИ категории III, технический отдел являются частями ИСПДн-И с уровнем защищённости УЗ 3, рабочий отдел в силу того, что не работает с конфиденциальной информацией, является открытым сегментом.

Рисунок 3 – Деление CRM-система на сегменты

Синий — открытый сегмент. Оранжевый — сегмент ИСПДн. Красный — сегмент КИИ. К объектам КИИ относятся: Сервера БД, Файловый сервер, Веб- Сервер.

10. ЗАКЛЮЧЕНИЕ ОБ УРОВНЕ ЗАЩИЩЕННОСТИ ПРЕДПРИЯТИЯ

В ходе проведения работы для построения ИСПНДн типа И (иные) с присвоенным наименованием «Финансы» рассматриваемого объекта были определены следующие характеристики:

уровень защищенности персональных данных – УЗ 3;

класс защищенности ГИС – К3.

категория КИИ – III