МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №12 по дисциплине «Основы информационной безопасности»
Тема: «Спецификация объекта защиты и среды безопасности»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: изучение вида работ по спецификации объекта
защиты.
3.Отчет выполняется в форме спецификации объекта защиты и среды безопасности
4.Материал должен содержать титульный лист, постановку задачи,
атакже следующие разделы:
a.Описание функций объекта
b.Доступ на объект
c.Персонал объекта
d.Технические характеристики объекта
e.Безопасность объекта
f.Правила доступа к сетям и устройствам на предприятии
g.Описание структуры и оценка защищенности компании
h.Показатели исходной защищенности ИСПДн
i.Заключение о степени защищенности
Описываемый объект – ЭС (электронная система) и локальная сеть
компании МТС.
1.Описание функций объекта
Назначение ЭС и локальной сети компании МТС: содействие компании в выполнении корректной и стабильной работой; развитие и совершенствование справочного аппарата для бухгалтерской отчетности;
обеспечение защищенности информации.
Основные функции ЭС и локальной сети компании МТС:
1) обеспечение круглосуточного онлайн-доступа к чтению записей отчетности;
2)добавление и хранение записей на общем сервере;
3)автоматизированный поиск и обработка ресурсов электронной
торговли;
4)возможность удалённого доступа к ЭС через Личный кабинет на сайте компании МТС;
5)возможность доступа к ЭС через компьютеры из локальных сред, расположенные зданиях компании МТС;
6)защита данных пользователей и обеспечение информационной безопасности ресурсов.
2.Доступ на объект
ЭС и локальная сеть компании МТС физически располагаются в главном офисе. Объект занимает 3 отдела: бухгалтерский, сетевая торговля и серверное помещение.
Доступ в бухгалтерский отдел осуществляется в рамках доступа к персоналу этого отдела: вход в автоматическом режиме, по постоянным картам сотрудников отдела. Реализована защита от двойного прохода по одной карте.
Доступ в административное и серверное помещения ограничен электромагнитными замками – 1 на двери в администраторскую, 1 на двери в серверную (со считывателями постоянных карт сотрудников компании).
3.Персонал объекта
Объект обслуживается:
•администраторским отделом;
•отделом технического обеспечения МТС.
Вадминистраторский отдел входят: системный администратор – 1
человек, каталогизатор – 1 человек.
В отдел технического обеспечения МТС входят: техники – 3 человека.
4.Технические характеристики объекта
Для работы с документами в читальном зале организовано 35
посадочных места, в том числе – 20 автоматизированных, с доступом в интернет, объединённых в локальную сеть.
АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов (в
читальном зале – 1, в административном помещении – 1) и маршрутизатора (в
серверном помещении – 1).
Административное помещение оснащено двумя АРМ с установленным ПО для администрирования (VMware Workspace One Access и консоль администрирования VMware Identity Manage) и СУБД (PostgreSQL) – для
управления ЭС функционирует система «ИРБИС», в её состав входит ПО,
установленное на АРМ сотрудников бухгалтерии, АРМ администратора и АРМ каталогизатора.
В серверном помещении расположены: 1 файловый сервер и 1 веб-
сервер. Базовое ПО, используемое для поддержки серверов - WindowsServer.
Ежегодно проводится плановый ремонт инженерных коммуникаций на территории университета с заменой устаревшего оборудования и приборов на более экономичные и современные.
5.Безопасность объекта
Данные хранятся на трёх серверах: БД аутентификационных данных, БД каталог с метаданными и ссылками на электронные транзакции, каталог бух.
записей.
Состав обрабатываемой информации:
1)учётные данные пользователей ЭС и сотрудников МТС,
взаимодействующих с системой: фамилия, имя, отчество, дата рождения,
адрес эл. почты, номер мобильного телефона, должность/информация об работе в компании, история просмотра записей, данные о совершённых платежах.
2)информационные ресурсы.
Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3
степени ущерба, которые определяются обладателем информации, оператором или экспертом.
Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:
•Несущественный ущерб для отрасли, региона.
•ГИС функционирует.
• Функции выполняются.
Можно сделать вывод что в данном случае уровень значимости информации 3 или У3 3 (низкая степень ущерба), поскольку нарушения конфиденциальности, целостности, доступности информации не влечет за собой большой ущерб для производства.
ЭС МТС относится к объектовому масштабу ИС.
Поскольку расположена в пределах коммерческой организации.
Уровень |
Федеральный |
Региональный |
Объектовый |
значимости |
масштаб ИС |
масштаб ИС |
масштаб ИС |
|
|
|
|
Уровень |
Класс 1 |
Класс 1 |
Класс 1 |
значимости 1 |
|
|
|
|
|
|
|
Уровень |
Класс 1 |
Класс 2 |
Класс 2 |
значимости 2 |
|
|
|
|
|
|
|
Уровень |
Класс 2 |
Класс 3 |
Класс 3 |
значимости 3 |
|
|
|
|
|
|
|
Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», ЭС МТС имеет класс К3
(Масштаб информационной системы – объектовый + уровень значимости информации УЗ 2 – в результате нарушения одного из свойств безопасности
информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).
Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.
Веб-сервер предназначен для хостинга сайта МТС. При обмене данными с внешней средой используется сетевой экран (файрволл).
Все помещения оборудованы охранно-пожарной сигнализацией и системой видеонаблюдения. За безопасность объекта в составе университета отвечают Отдел информационной безопасности МТС и отдел комплексной безопасности МТС.
6.Правила доступа к сетям и устройствам
Доступ к сети Интернет осуществляется только с установленных в библиотеке АРМ.
У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем. Пользователи в читательском зале используют один общий профиль с известным паролем
(сообщает сотрудник).
7.Правила доступа к сетям и устройствам
Доступ к сети Интернет осуществляется только с установленных в библиотеке АРМ.
У каждого сотрудника в системе имеется свой профиль с определенным набором прав доступа к сети, защищенный паролем. Пользователи в читательском зале используют один общий профиль с известным паролем
(сообщает сотрудник).
8. Описание структуры и оценка защищенности компании
Структурная схема ПАО МТС приведена на рисунке 1.
Рисунок 1 – структурная схема ПАО МТС
Рисунок 2 – Структурное описание оцениваемой системы
9.Показатели исходной защищенности ИСПДн
Согласно документу ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".»
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес,
абонентский номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных.»
Следовательно ИСПДн ЭС МТС обрабатывает данные, относящиеся к
категории иное – ИСПДнИ
В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы,