МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по Основам информационной безопасности
Практическая работа №13 Тема: «Цели безопасности и классификация событий риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании;
2.Цель работы: изучение вида работы по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р 18044;
3.Отчёт выполняется с проведением анализа воздействия на деятельность предприятия (BIA) по 15-ти-шаговой таблице, анализа всех рисков с применением реагирования на основе диаграммы вероятности угроз - величина ущерба.
1. Идентификация бизнес-целей организации в части ВСР
Основные бизнес-требования предприятия сведены в таблицу ниже.
|
|
Таблица 1 – бизнес-цели предприятия |
ID |
Категория |
Бизнес-цель |
|
|
|
BG-1 |
Пользователи |
Непрерывность и бесперебойность оказания услуг |
|
|
|
BG-2 |
|
Улучшение качества предоставляемых услуг |
|
|
|
BG-3 |
Финансы |
Оптимизация затрат на предоставление услуг |
|
|
|
BG-4 |
|
Соответствие законам и иным нормативным актам |
|
|
|
2. Идентификация значимых бизнес-процессов
Бизнес-процессы и владельцы, реализующие бизнес-цели представлены в таблице 2.
Таблица 2 – Идентификация значимых бизнес-процессов
Бизнесцель |
ID |
Регион |
Процесс |
|
Блок владельца процесса |
Должность владельца |
|
|
|
|
|
|
процесса |
|
|
|
|
|
|
|
BG-1 |
BP1 |
Москва |
Обеспечение |
непрерывного |
Технический отдел |
Системный |
|
|
|
доступа к сайту компании |
|
администратор |
|
|
|
|
|
|
|
|
|
BP2 |
Москва |
Обеспечение |
непрерывного |
Технический отдел |
Администратор БД |
|
|
|
доступа сотрудникам к БД |
|
|
|
|
|
|
|
|
|
|
BG-2 |
BP3 |
Москва |
Автоматизированное |
Технический отдел |
WEB-Администратор |
|
|
|
|
формирование |
заказов на |
|
|
|
|
|
сайте компании |
|
|
|
BG-3 |
BP4 |
Москва |
Автоматизация разработки с |
Технический отдел |
Системный |
|
|
|
|
помощью |
|
|
администратор |
|
|
|
|
|
|
|
|
|
|
специализированного ПО |
|
|
|
BG-4 |
BP5 |
Москва |
Регистрация/идентификация |
Технический отдел |
Системный |
|
|
|
|
пользователей |
|
|
администратор |
|
|
|
|
|
|
|
3. Идентификация бизнес-операций
Для значимых бизнес-процессов приведены действия, описаны прикладные системы, идентифицированы сервисы и бизнес-операции, сведено в таблицу 3.
Таблица 3 – идентификация бизнес-операций
4. Идентификация IT-сервисов
Для каждой идентифицированной ранее бизнес-операции в таблице 4 проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.
Таблица 4 (часть 1) – Идентификация IT-сервисов
Конец таблицы 4
5. Оценка значимости бизнес-операций
Оценка значимости бизнес-операций приведена в таблице 5 Таблица 5 – Оценка значимости бизнес-операций
ID BOP |
BOP-1 |
BOP-2 |
BOP-3 |
BOP-4 |
BOP-5 |
BOP-6 |
|
BOP-7 |
Описание |
Администрирование |
Мониторинг |
Мониторинг |
Внесение данных в БД |
Принятие |
Удаленное |
|
Регистрация и |
|
web-сервера |
web-сервера |
работы сервера |
|
заказов |
централизованное |
идентификация |
|
|
|
|
|
|
|
управление |
|
пользователей |
|
|
|
|
|
|
установкой |
и |
|
|
|
|
|
|
|
обновлением ПО |
|
|
Целостность |
Средняя |
Высокий |
Средняя |
Высокая |
Низкая |
Высокая |
|
Высокая |
|
|
|
|
|
|
|
|
|
Оценка целостности |
2 |
3 |
2 |
3 |
1 |
3 |
|
3 |
|
|
|
|
|
|
|
|
|
Конфиденциальност |
Средняя |
Средняя |
Средняя |
Средняя |
Средняя |
Средняя |
|
Средняя |
ь |
|
|
|
|
|
|
|
|
Оценка |
2 |
2 |
2 |
2 |
3 |
2 |
|
2 |
конфиденциальности |
|
|||||||
|
|
|
|
|
|
|
|
|
Доступность |
Средняя |
Средняя |
Высокая |
Высокая |
Средняя |
Высокая |
|
Высокая |
|
|
|
|
|
|
|
|
|
Оценка доступности |
2 |
2 |
3 |
3 |
2 |
3 |
|
3 |
|
|
|
|
|
|
|
|
|
Общая значимость |
Средняя |
Средняя |
Средняя |
Высокая |
Средняя |
Высокая |
|
Высокая |
Общая оценка |
2 |
2,33 |
2,33 |
2,67 |
2,00 |
2,67 |
|
2,67 |
|
|
|
|
|
|
|
|
|
6.Формирование перечня IT-ресурсов
Втаблице 6 представлен перечень IT-ресурсов АО «МИКРОН» с указанием типа, сервисов и их описаний.
Таблица 6 – перечень IT-ресурсов
ID |
Наименование |
Тип |
Какими сервисами используется |
Описание |
|
|
|
|
|
R-SY-1 |
Программный модуль |
Прикладная система |
S1, S3 |
Программный модуль для управления системой в целом, управления |
|
"Администратор" |
|
|
авторизацией и разграничением доступа между пользователями |
R-SY-3 |
Linux Сервер |
Прикладная система |
S2 |
Сервис для мониторинга работы сервера БД |
|
|
|
|
|
R-SY-4 |
Клиент-Сервер |
Прикладная система |
S3 |
Сервис для взаимодействия сайта и БД |
R-SY-5 |
Сервис "АГОРТА" |
Прикладная система |
S4 |
Сервис для обработки и принятия заказов на сайте |
R-SY-6 |
Облачный сервис "Panda |
Прикладная система |
S5 |
Облачный сервис для удаленного централизованного управления |
|
Systems Management" |
|
|
установкой и обновлением ПО |
|
|
|
|
|
R-BD-1 |
Web-Сервер |
Хранилище данных |
S1, S4 |
Сервер для поддержания работы сайта |
|
|
|
|
|
R-BD-2 |
Сервер БД |
Хранилище данных |
S2, S3 |
Сервер с БД, авторизационные данные клиентов и сотрудников, данные |
|
|
|
|
о заказах, рабочие файлы |
|
|
|
|
|
R-BD-3 |
Жесткий диск компьютера |
Хранилище данных |
S5 |
Хранение данных об установленном ПО |
|
администратора/сотрудника |
|
|
|
R-OS-1 |
Unix |
Операционная система |
S1, S2, S3, S4, S5 |
ОС |
R-EQ-1 |
Web-Сервер |
Оборудование |
S1, S4 |
Сервер для поддержания работы сайта |
|
|
|
|
|
R-EQ-2 |
Компьютер администратора |
Оборудование |
S1, S2, S3, S5 |
Автоматизированное рабочее место администратора |
R-EQ-3 |
Сервер БД |
Оборудование |
S3 |
Сервер с БД, авторизационные данные клиентов и сотрудников, данные |
|
|
|
|
о заказах, рабочие файлы |
R-EQ-4 |
Компютер сотрудника |
Оборудование |
S5 |
Автоматизированное рабочее место сотрудника |
|
|
|
|
|
R-CC-1 |
Локальная сеть |
Канал коммуникаций |
S1, S2, S3, S4, S5 |
Локальная сеть, в которой компьютер, находящиеся в пределах |
|
|
|
|
организации связаны по топологи Звезда оптоволокном |
R-CC-2 |
Глобальная сеть |
Канал коммуникаций |
S3, S4 |
Интернет |
|
|
|
|
|
R-PH-1 |
Серверная |
Физическое окружение |
S1, S2, S3, S4, S5 |
Помещение, в котором находятся сервера БД, Web-сервер, АРМ |
|
|
|
|
администраторов |
|
|
|
|
|
R-PH-2 |
Кабинеты сотрудников |
Физическое окружение |
S3, S5 |
Помещение с АРМ сотрудников |
|
|
|
|
|
R-P-1 |
Системный администратор |
Персонал |
S1, S3, S5 |
Администрирует систему, следит за ее работой |
|
|
|
|
|
R-P-2 |
Администратор БД |
Персонал |
S2, S3 |
Администрирует БД, занимается их поддержкой, созданием резервных |
|
|
|
|
копий |
R-P-3 |
Web-администратор |
Персонал |
S4 |
Поддерживает работу сайта и web-сервера |
|
|
|
|
|