МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №13
по дисциплине «Основы информационной безопасности» «Цели безопасности и классификация событий риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
Изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р 18044.
Описание объекта
Статус гарантирующего поставщика был присвоен компании ООО «ПЗЭМ» приказом Министерства энергетики РФ № 557 от третьего июня 2019 года. Таким образом, новая компания обеспечивает розничные поставки энергетических механизмов более чем 1,5 млн потребителей на Урале.
Главной целью компании является обеспечение финансовой эффективности собственной деятельности при максимальном удовлетворении платежеспособного спроса потребителей.
Для достижения указанной цели ООО «ПЗЭМ» осуществляет следующие виды деятельности:
реализация (продажа) энергетических машин на оптовом и розничных рынках электрической энергии (мощности) потребителям;
оказание услуг по организации коммерческого учета, в том числе и дифференцированного учёта юридическим лицам;
исполнение Федерального закона от 23.11.2009г. № 261-ФЗ «Об энергосбережении и повышении энергетической эффективности...»;
оказание услуг по проведению энергоаудита и выдача энергетических паспортов.
Описание целей безопасности и классификация событий риска
В качестве темы работы была выбрана «Анализ рисков нарушения безопасности персональных данных при их обработке в ИСПДн» на примере
ООО «ПЗЭМ».
Задача, поставленная таким образом, призвана изучить возможность безопасности, а также защищенность персональных данных при их обработке в ИСПДн.
Основными целями системы безопасности предприятия является предотвращение ущерба ее деятельности за счет хищения финансовых и материально-технических средств; уничтожения имущества и ценностей;
разглашения, утечки и несанкционированного доступа к источникам конфиденциальной информации; нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации, а также предотвращение ущерба персоналу предприятия.
В данной практической основной акцент будет сделан на внутренние риски, связанные с обработкой персональных данных на основе средств ОС для организации работы, которые могут повлиять на сохранность информации внутри предприятия, обеспечение безопасности авторизации для входа в сеть,
грамотного разделения информации по уровням доступа.
Построение модели, оценка факторов риска, разработка вариантов СЗИ и анализ результативности мер будет проводиться с помощью комплексной экспертной системы «РискМенеджер - Анализ v3.5».
Защита информации - совокупность мероприятий и действий,
направленных на обеспечение ее безопасности — конфиденциальности и целостности — в процессе сбора, передачи, обработки и хранения. Комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.
Цели:
предотвращение утечки, хищения, искажения, подделки информации;
предотвращение угроз безопасности личности, предприятия;
предотвращение несанкционированных действий по уничтожению,
модификации, копированию, блокированию информации,
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;
защита конституционных прав граждан по сохранению личной тайны,
конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем,
технологии и средств их обеспечения.
Оценка факторов риска, разработка вариантов СЗИ и анализ результативности мер будет проводиться с помощью комплексной
экспертной системы «РискМенеджер - Анализ v3.5».
Наименование угрозы |
2 |
|
Оценка опасности |
Актуальность |
|
или посредством чего |
|
|
|
|
|
она реализуется |
|
|
|
|
|
|
|
|
|
|
|
Угрозы |
утечки |
5 |
0,75 |
низкая |
актуальна |
акустической |
|
|
|
|
|
(речевой) информации |
|
|
|
|
|
Угрозы |
утечки |
2 |
0,35 |
средняя |
актуальна |
видовой информации |
|
|
|
|
|
|
|
|
|
|
|
Угрозы |
|
утечки |
10 |
1 |
средняя |
|
актуальна |
|||
информации |
|
по |
|
|
|
|
|
|
||
каналу ПЭМИН |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Угрозы |
|
|
|
|
2 |
0,35 |
средняя |
|
актуальна |
|
оптоволоконной |
|
|
|
|
|
|
|
|
||
системы |
и |
системы |
|
|
|
|
|
|
||
сотовой связи |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
||
Проникновение |
в |
|
2 |
|
0,35 |
высокая |
|
актуальна |
||
операционную |
среду |
|
|
|
|
|
|
|
||
компьютера |
|
с |
|
|
|
|
|
|
|
|
использованием |
|
|
|
|
|
|
|
|
||
штатного |
|
|
|
|
|
|
|
|
|
|
программного |
|
|
|
|
|
|
|
|
||
обеспечения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Создание |
нештатных |
|
0 |
|
0,25 |
средняя |
|
актуальна |
||
режимов |
|
работы |
|
|
|
|
|
|
|
|
программных средств |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
Внедрение |
|
|
|
2 |
|
0,35 |
средняя |
|
актуальна |
|
вредоносных |
|
|
|
|
|
|
|
|
|
|
программ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Угрозы из |
внешних |
|
5 |
|
0,75 |
средняя |
|
актуальна |
||
сетей |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Выделим |
актуальные классы |
рисков |
справедливые для нашего |
|||||||
предприятия:
1)Риски, связанные с НСД – это риски утечки информации, связанные с недостаточной эффективностью средств защиты.
2)Риски, связанные с функционированием сервера – это риски потери полного доступа к информации.
3)Риски, связанные с отсутствие требуемых навыков у персонала для выполнения требуемой работы.
4)Риски, связанные с некорректно введенной информацией, пагубно влияющей на функционирование системы
5)Удаленный НСД. Компьютеры персонала имеют выход в интернет, а,
следовательно, потенциально уязвимы к НСД.
6)Риски, связанные с хранением данных и не разграниченному доступу кданным среди персонала.
Оценка воздействия
Проведем поверхностную оценку воздействия определенных классов.
Вероятность реализации угроз в нашем случае низка (из вывода практической работы 5: предприятие обладает средними показателями защищенности).
12-тишаговая таблица BIA представлена ниже.
Шаг 1. Идентификация бизнес-целей
|
|
Бизнес-цель |
|
Комментар |
|
|
|
|
ий |
В свободной |
Обеспечение финансовой эффективности |
Основная миссия компании, ради чего она была создана. |
||
форме |
собственной |
деятельности |
при |
|
|
|
|||
|
максимальном удовлетворении платеже- |
|
||
|
способного спроса потребителей. |
|
|
|
|
|
|
|
|
|
Увеличение капитализации |
|
Увеличение оборота, прибыли, расширение штата сотрудников, |
|
|
|
|
|
улучшение оснощения оборудованием |
|
|
|
|
|
Cоответствие |
7. Непрерывность и доступность |
|
По таблице соответсвия CobIT данная бизнес-цель является ближайшей. Для |
|
CobIT |
бизнеса |
|
|
предприятия не допустима реализация угроз, которые могут приостановить ее |
|
|
|
|
функционирование. |
|
|
|
|
|
Шаг 2. Идентификация значимых бизнес-процессов
Бизнес цель |
ID |
Регион |
Процесс |
Блок владельца процесса |
Должность владельца процесса |
Владелец процесса |
Обеспечение ф |
3 |
Пенза |
Поддержка |
Отдел ЦОС, Отдел SCADA, |
Руководитель отдела ЦОС, |
Шарапов Егор |
инансовой эффе |
|
|
существующи |
Отдел сист.программирования |
руководитель отдела SCADA, |
Владимирович, |
|
|
х объектов |
Отдел биллинга юридических |
руководитель отдела |
Артемьев Даниил |
|
|
|
|
||||
ктивности |
|
|
|
и физических лиц. |
сист.программирования |
Андреевич, Кулаков |
собственной |
|
|
|
|
Руководитель отдела |
Николай Петрович |
|
|
|
|
биллинга |
Миронов Евгений |
|
|
|
|
|
|
||
деятельности |
|
|
|
|
|
Андреевич |
при |
|
|
|
|
|
|
максимальном у |
|
|
|
|
|
|
довлетворении п |
|
|
|
|
|
|
латеже- |
|
|
|
|
|
|
способного спро |
|
|
|
|
|
|
са на потребител |
|
|
|
|
|
|
|
|
|
|
|
|
|
ей энергомашин. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Увеличение |
|
7 |
Пенза |
Разработка |
|
Отдел ЦОС, Отдел SCADA, |
|
Главный конструктор |
|
|
Щукин Геннадий |
|||||
капитализации |
|
|
|
нового |
|
Отдел сист.программирования |
|
|
|
|
|
Валерьевич |
||||
|
|
|
|
|
объекта |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Шаг 3. Идентификация бизнес-операций |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Название |
Исполнитель |
|
Исполнитель |
Описание действия в |
Автомати |
Прикладная |
|
ID ИТ- |
|
|
|
|
Бизнес-процесс |
|
|
ID |
существующего |
|
действия |
рамках шага |
|
Бизнес-операция |
Данные |
||||||
|
|
действий |
|
зировано? |
система |
|
сервиса |
|||||||||
|
|
|
|
процесса / шаги |
|
(должность) |
проццеса |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
BOP- |
Получение |
Шарапов Егор |
Руководитель |
Получение заказа, |
Нет |
|
|
|
Разработка нового |
Техническое задание |
||||
|
|
001 |
теоретического |
Владимирович, |
каждого отдела |
утверждение работ и |
|
|
|
|
|
объекта |
и структура объекта |
|||
|
|
|
|
обоснования и |
Артемьев Даниил |
|
|
составление |
|
|
|
|
|
|
|
|
|
|
|
|
технических |
Андреевич, |
|
|
технического |
|
|
|
|
|
|
|
|
|
|
|
|
требований |
Кулаков Николай |
|
|
задания |
|
|
|
|
|
|
|
|
|
|
|
|
|
Петрович |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Миронов Евгений |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Андреевич |
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
Получение |
Шарапов Егор |
Руководитель |
Получение |
Нет |
|
|
|
Разработка нового |
Техническая |
||||
|
|
002 |
документации |
Владимирович, |
каждого отдела |
документации на |
|
|
|
|
|
объекта |
документация на |
|||
|
|
|
|
|
Артемьев Даниил |
|
|
используемое |
|
|
|
|
|
|
|
оборудование |
|
|
|
|
|
Андреевич, |
|
|
оборудование |
|
|
|
|
|
|
|
|
|
|
|
|
|
Кулаков Николай |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Петрович |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Миронов Евгений |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Андреевич |
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
Построение |
Шарапов Егор |
Руководитель |
Разработка модели |
Частично |
ПК с Windows |
|
SER- |
Разработка нового |
Техническое |
||||
|
|
003 |
модели объекта |
Владимирович, |
отдела ЦОС, |
процесса |
|
|
|
|
001 |
объекта |
задание, |
|||
|
|
|
|
|
Рыбаков Геннадий |
Главный |
|
|
|
|
|
|
|
|
документация |
|
|
|
|
|
|
Валерьевич |
конструктор |
|
|
|
|
|
|
|
|
оборудования, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
структура объекта |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
Разработка нового |
|
BOP- |
Моделирование |
Шарапов Егор |
Руководитель |
Проверка |
Да |
ПК с Windows |
|
SER- |
Разработка нового |
Модель объекта на |
||||
|
004 |
процесса |
Владимирович, |
отдела ЦОС, |
коректности и |
|
|
|
|
001 |
объекта |
языке |
||||
объекта |
|
|
|
|
|
|||||||||||
|
|
|
обработки |
Веселов Илья |
Инженер- |
отладка модели |
|
|
|
|
|
|
|
математического |
||
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Александрович |
программист 1 |
|
|
|
|
|
|
|
|
моделирования |
|
|
|
|
|
|
|
категории |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
|
Реализация |
|
Павлов Владимир |
|
Инженер- |
|
Перенос |
|
Частично |
|
ПК с Linux |
SER- |
|
Разработка нового |
|
Модель объекта на |
|
|
005 |
|
модели в |
|
Олегович, |
|
программист 2 |
|
алгориитмов |
|
|
|
|
002 |
|
объекта |
|
языке |
|
|
|
|
аппаратуре |
|
Кузнецов Григорий |
|
категории, |
|
обработки данных из |
|
|
|
|
|
|
|
|
математического |
|
|
|
|
|
|
Николаевич, |
|
Инженеры- |
|
модели на |
|
|
|
|
|
|
|
|
моделирования и |
|
|
|
|
|
|
Фадеев Игорь |
|
программисты 3 |
|
устройства |
|
|
|
|
|
|
|
|
технические |
|
|
|
|
|
|
Романович, |
|
категории |
|
|
|
|
|
|
|
|
|
|
характеристики |
|
|
|
|
|
|
Прохоров Виктор |
|
|
|
|
|
|
|
|
|
|
|
|
оборудования |
|
|
|
|
|
|
Александрович, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Зимин Юрий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Павлович |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
|
Конфигурация |
|
Павлов Владимир |
|
Инженеры- |
|
Настройка всей |
|
Частично |
|
ПК с Linux |
SER- |
|
Разработка нового |
|
Модель объекта на |
|
|
006 |
|
оборудования |
|
Олегович, |
|
программисты 3 |
|
системы и ее |
|
|
|
|
002 |
|
объекта |
|
языке |
|
|
|
|
|
|
Кузнецов Григорий |
|
категории |
|
синхронной работы |
|
|
|
|
|
|
|
|
математического |
|
|
|
|
|
|
Николаевич, |
|
|
|
|
|
|
|
|
|
|
|
|
моделирования и |
|
|
|
|
|
|
Фадеев Игорь |
|
|
|
|
|
|
|
|
|
|
|
|
технические |
|
|
|
|
|
|
Романович, |
|
|
|
|
|
|
|
|
|
|
|
|
характеристики |
|
|
|
|
|
|
Прохоров Виктор |
|
|
|
|
|
|
|
|
|
|
|
|
оборудования |
|
|
|
|
|
|
Александрович, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Зимин Юрий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Павлович |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
|
Отладка |
|
Павлов Владимир |
|
Инженеры- |
|
Проверка |
|
Частично |
|
ПК с Windows, |
SER- |
|
Разработка нового |
|
Модель объекта на |
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
007 |
|
алгоритмов и |
|
Олегович, |
|
программисты 3 |
|
корректности |
|
|
|
ПК с Linux |
001, |
|
объекта |
|
языке |
|
|
|
|
режимов работы |
|
Кузнецов Григорий |
|
категории |
|
совокупности |
|
|
|
|
SER- |
|
|
|
математического |
|
|
|
|
|
|
Николаевич, |
|
|
|
алгоритмов, |
|
|
|
|
002 |
|
|
|
моделирования и |
|
|
|
|
|
|
Фадеев Игорь |
|
|
|
испытание |
|
|
|
|
|
|
|
|
технические |
|
|
|
|
|
|
Романович, |
|
|
|
нештатных режимов |
|
|
|
|
|
|
|
|
характеристики |
|
|
|
|
|
|
Прохоров Виктор |
|
|
|
работы |
|
|
|
|
|
|
|
|
оборудования, |
|
|
|
|
|
|
Александрович, |
|
|
|
|
|
|
|
|
|
|
|
|
служебное и |
|
|
|
|
|
|
Зимин Юрий |
|
|
|
|
|
|
|
|
|
|
|
|
прикладное ПО для |
|
|
|
|
|
|
Павлович |
|
|
|
|
|
|
|
|
|
|
|
|
оборудования |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
|
Развертывание |
|
Веселов Илья |
|
Инженер- |
|
Загрузка и настройка |
|
Частично |
|
Ноутбук с |
SER- |
|
Разработка нового |
|
Служебное и |
|
|
008 |
|
на объекте |
|
Александрович, |
|
программист 2 |
|
ПО на оборудовании |
|
|
|
Linux и |
003 |
|
объекта |
|
прикладное ПО для |
|
|
|
|
|
|
Павлов Владимир |
|
категории, |
|
объекта. Повтор |
|
|
|
наклейками |
|
|
|
|
оборудования |
|
|
|
|
|
|
Олегович, |
|
Инженеры- |
|
проверки |
|
|
|
ФСБ |
|
|
|
|
|
|
|
|
|
|
|
Прохоров Виктор |
|
программисты 3 |
|
алгоритмов и |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Александрович |
|
категории |
|
синхронной работы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BOP- |
|
Переход в |
|
Рыбаков Геннадий |
|
Главный |
|
Согласование |
|
Нет |
|
|
|
|
Разработка нового |
|
Документация по |
|
|
009 |
|
стадию |
|
Валерьевич |
|
конструктор |
|
проекта с |
|
|
|
|
|
|
объекта |
|
служебному и |
|
|
|
|
поддержки |
|
|
|
|
|
заказчиком. |
|
|
|
|
|
|
|
|
прикладному ПО для |
|
|
|
|
проекта |
|
|
|
|
|
Подписание нужных |
|
|
|
|
|
|
|
|
оборудования, Отчет |
|
|
|
|
|
|
|
|
|
|
документов. |
|
|
|
|
|
|
|
|
по проведеным |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
работам |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Бизнес-процесс |
ID |
|
Название |
|
Исполнитель |
|
Исполнитель |
|
Описание действия в |
|
Автоматизировано? |
|
Прикладная |
ID ИТ- |
|
Бизнес-операция |
|
Данные |
|
|
|
|
существующего |
|
действий |
|
действия |
|
рамках шага |
|
|
|
система |
сервиса |
|
|
|
|
|
|
|
|
процесса / шаги |
|
|
|
(должность) |
|
проццеса |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|