МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра информационной безопасности

ОТЧЕТ

по лабараторной работе № 12

по дисциплине «Основы информационной безопасности»

Тема: «Спецификация объекта защит и среды безопасности»

Студент гр
Преподаватель

Санкт-Петербург

2023

постановка задачи

Задача: изучить виды работ по спецификации объекта защит и среды безопасности. Описать функции объекта, доступ на объект персонал объекта, технические характеристики объекта, безопасность объекта, правила доступа к сетям и устройствам на предприятии. Описать угрозы, структуру и оценку защищенность компании (при помощи ПО «РискМенеджер – Анализ v3.5» и методике оцени угроз ФСТЭК от 2021 г. Определить класс защищённости ГИС. Перечислить показатели исходной защищенности ИСПДн и сделать вывод о требуемом уровне защищенности ПДн. Сделать заключение о наличии значимых объектов КИИ, определить уровень значимости и требуемого класса защиты. Сделать заключение об уровне защищенности предприятия.

Описание функций объекта

Основные функции информационной системы «ОАО FRONTENDUCTION»:

1. Обеспечение круглосуточного онлайн-доступа к сайту компании для предоставления услуг компании;

2. Регистрация и авторизация пользователей (клиентов) на сайте;

3. Хранение данных для регистрации/авторизации в базе данных;

4. Хранение персональных данных клиентов в базе данных;

5. Хранение персональных данных сотрудников в базе данных;

6. Работа персонала отдела кадров с информационной системой;

7. Работа персонала отдела по работе с клиентами с информационной системой;

8. Авторизация сотрудников компании в локальной сети предприятия;

9. Защита данных пользователей и сотрудников и обеспечение информационной безопасности ресурсов.

Доступ на объект

Информационная система «ОАО FRONTENDUCTION» физически располагается в главном офисе компании в г. Санкт-Петербург. Описываемый объект занимает 3 помещения: отдел кадров, отдел по работе с клиентами, серверная.

Доступ в помещение отдела кадров только у сотрудников данного отдела, посторонним лицам вход запрещен. Доступ в отдел по работе с клиентами имеют сотрудники данного отдела в качестве авторизованных пользователей, и клиенты, для их обслуживания.

Доступ в серверное помещение ограничен электромагнитным замком на двери со считывателем постоянных карт сотрудников «ОАО FRONTENDUCTION». Уровень доступа в данное помещение имеют только сетевые администраторы и администраторы безопасности.

Персонал объекта

Персонал объекта составляют:

• Сотрудники отдела кадров – 10 чел.

• Сотрудники по работе с клиентами – 30 чел.

• Системные администраторы – 4 чел.

• Сетевые администраторы – 5 чел.

• Администраторы безопасности – 3 чел.

• Техники – 7 чел.

Технические характеристики объекта

Для работы отдела кадров организовано 10 АРМ (Персональные компьютеры с установленной системой Windows 10) с доступом в интернет, объединенных в локальную сеть. Для работы отдела по работе с клиентами организованно 30 АРМ (Персональные компьютеры с установленной системой Windows 10) с доступом в интернет, объединенных в локальную сеть.

В обоих отделах персональные компьютеры, объединенные в локальную сеть, взаимодействуют при помощи коммутаторов (1 в отделе кадров, 1 в отделе по работе с клиентами). С базой данных, находящейся на сервере в серверном помещении, АРМ взаимодействую с помощью маршрутизатора, находящемся в серверном помещении.

В серверном помещении расположены: 1 сервер БД – Windows Server – с поднятой на нем СУБД «PostgreSQL» и 1 веб-сервер – Windows Server – на котором располагается сайт компании.

Ежегодно проводится плановый ремонт инженерных коммуникаций на территории объекта с заменой устаревшего оборудования и приборов на более экономичные и современные.

Безопасность объекта

Все данные хранятся на сервере БД, где подняты сразу 3 базы данных: для персональных данных сотрудников, для персональных данных клиентов, для электронных материалам по услугам компании.

Состав обрабатываемой информации:

1. Учетные данные клиентов компании, а именно: фамилия, имя, отчество, адрес электронной почты, адрес фактического проживания, номер телефона, платежные данные;

2. Учетные данные сотрудников компании, а именно: фамилия, имя, отчество, адрес электронной почты, адрес фактического проживания, паспортные данные, номер телефона, информация об образовании, информация из налоговой, возраст;

3. Электронные материалы по услугам компании, а именно: тип услуги, название, стоимость услуги, содержание услуги, метод оказания услуги.

Уровень значимости определяется исходя из степени ущерба от нарушения конфиденциальности, целостности, доступности. Выделяют 3 степени ущерба, которые определяются обладателем информации, оператором или экспертом.

Низкая степень ущерба наступает в результате нарушения конфиденциальности, целостности, доступности информации и влечет за собой один или несколько вариантов развития событий, а именно:

• Несущественный ущерб для отрасли, региона.

• ГИС функционирует.

• Функции выполняются.

Можно сделать вывод что в данном случае уровень значимости информации 3 или У3 3 (низкая степень ущерба), поскольку нарушения конфиденциальности, целостности, доступности информации не влечет за собой большой ущерб для производства.

Информационная система относится к региональному масштабу ИС, т.к. расположена на территории субъекта РФ, на территории нескольких субъектов РФ.

Уровень значимости	Федеральный масштаб ИС	Региональный масштаб ИС	Объектовый масштаб ИС
Уровень значимости 1	Класс 1	Класс 1	Класс 1
Уровень значимости 2	Класс 1	Класс 2	Класс 2
Уровень значимости 3	Класс 2	Класс 3	Класс 3

Согласно приказу ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», информационная система «ОАО FRONTENDUCTION» имеет класс К2, (Масштаб информационной системы – региональный + уровень значимости информации УЗ 2 – в результате нарушения одного из свойств безопасности информации возможны незначительные негативные последствия в социальной, экономической и финансовой областях деятельности организации, и ИС и оператор информации может выполнять возложенные на них функции с недостаточной эффективностью).

Системный администратор отвечает за регулярное резервное копирование данных, и разграничение прав доступа к данным между пользователями.

Веб-сервер предназначен для хостинга сайта компании. При обмене данными с внешней средой используется сетевой экран (файрволл).

Все помещения оборудованы охранно-пожарной сигнализацией и системой видеонаблюдения. За безопасность объекта отвечают Отдел информационной безопасности FRONTENDUCTION и отдел комплексной безопасности FRONTENDUCTION.