МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по лабораторной работе № 11
по дисциплине «Основы информационной безопасности» Тема: «Определение уровня защищённости ИСПДн и реализация
требований к ИС в соответствии с руководящим документом ФСТЭК»
Студент гр.
Преподаватель
Санкт-Петербург
2023____
Постановка задачи
Цель работы: изучение вида работ по определению необходимого уровня защищенности персональных данных в конкретной организации.
1.Описываемая область выбирается на основе собранных материалов по конкретному предприятию, организации или компании.
2.Отчет выполняется с проведением анализа уровня защищенности информационных системах персональных данных и реализации требований к ИС в соответствии с руководящим документом ФСТЭК: «Методика оценки угроз безопасности информации» утверждённый ФСТЭК России 5 февраля 2021 г.
УТВЕРЖДАЮ Руководитель
ООО "Фирма 01" Кадыров Р.А. «___» __________20__г.
Модель угроз безопасности информации "Корпоративная локальная сеть офиса предприятия"
1. Общие положения
Модель угроз безопасности информации разработана для предприятия ООО
«Фирма 01».
Модель угроз соответствует следующим документам: Методика оценки угроз безопасности информации.
ФЗ №519-Ф3 «О внесении изменений в Федеральный закон «О персональных данных»
ФЗ №152 «О персональных данных.» Обладатель информации, Заказчик, оператор систем и сетей – ООО «Фирма 01»
Обеспечением безопасности информации, систем и сетей занимается отдел безопасности организации.
2. Описание систем и сетей и их характеристики как объектов защиты
Модель угроз разработана для корпоративной сети офиса ООО «Фирма 01» в г. Сочи.
Класс защищенности системы – 1Д (по классификации из Руководящего Документа Гостехкомиссии России).
В корпоративной сети хранятся и обрабатываются персональные данные клиентов, данные организации, рабочие документы и файлы. Для данной сети актуальны угрозы первого типа. Тип уровня защищенности соответствует типу УЗ2 по ИСПДн.
Нормативные правовые акты РФ, в соответствии с которыми функционируют система и сеть: ФЗ №519-Ф3 «О внесении изменений в Федеральный закон «О персональных данных»» ФЗ №152 «О персональных данных.»
Назначение корпоративной сети предприятия и ее основные задачи – хранение и обработка данных, электронный документооборот, общий доступ к файлам, обработка заказов.
Состав обрабатываемой информации: персональные данные клиентов (менее 100000), данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисе предприятия, заказы принимаются и обрабатываются через сайт компании или электронную почту, компьютеры сотрудников имеют доступ в Интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенными к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию серверной, СУБД, администраторской части веб-сервера.
Для данной сети актуальны угрозы, связанные с наличием недокументированных возможностей в системном ПО, поэтому актуальными угрозами для нее будут угрозы 1 типа.
Схема сети представлена на рисунке 1.
Рисунок 1 – Схема сети
3. Возможные негативные последствия от реализации угроз безопасности
Всети хранятся и циркулируют данные, необходимые для работы организации,
атак же данные, подлежащие защите по закону «О персональных данных».
|
Таблица 1 –Возможные негативные последствия от реализации угроз |
|
№ |
Виды риска (ущерба) |
Возможные негативные последствия |
У1 |
Ущерб физическому лицу |
Нарушение конфиденциальности. |
|
|
|
|
|
Финансовый ущерб физическому лицу. |
|
|
|
|
|
Нарушение иных прав и свобод гражданина, |
|
|
|
|
|
закрепленных в Конституции Российской |
|
|
|
|
|
Федерации и федеральных законах. |
У2 |
Риски |
юридическому |
лицу, |
Нарушение законодательства Российской |
|
|
индивидуальному |
предпринимателю, |
Федерации. |
||
|
связанные |
с |
хозяйственной |
|
|
|
деятельностью |
|
|
Недополучение ожидаемой (прогнозируемой) |
|
|
|
|
|
|
прибыли. |
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
4. Возможные объекты угроз безопасности информации
Таблица 2 – возможные объекты воздействия угроз безопасности информации
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Нарушение конфиденциальности. |
БД |
Утечка данных о |
|
|
пользователях. |
|
Беспроводные каналы связи |
Кража/подмена данных |
|
|
предприятия. |
Финансовый ущерб физическому |
БД, каналы связи |
Утеря данных о проекте. |
лицу. |
|
|
Нарушение иных прав и свобод |
БД, Рабочие места |
Раскрытие данных об |
гражданина, закрепленных в |
сотрудников, системного |
авторских проектах, кража |
Конституции Российской |
администратора |
объектов интеллектуальной |
Федерации и федеральных законах. |
|
собственности. |
Недополучение ожидаемой |
Сайт, веб-сервер, БД, |
DDoS-атаки на сервер, |
(прогнозируемой) прибыли. |
рабочие места сотрудников. |
временная |
|
|
неработоспособность |
Необходимость дополнительных |
|
сервера, утеря данных о |
(незапланированных) затрат на |
|
проектах, ошибки |
выплаты штрафов (неустоек) или |
|
сотрудников. |
компенсаций. |
|
|
Проникновение в корпоративную |
Сотрудники, электронная |
Фишиговые ссылки, |
сеть неавторизованного |
почта. |
подброшенные носители с |
пользователя. |
|
вредоносным ПО. |
Схема описанных объектов воздействия показана на рисунке 2, красным помечены объекты воздействия, позволяющие получить доступ к важной информации или инфраструктурам.
Рисунок 2 – Схема объектов воздействия
5. Источники угроз безопасности информации
|
|
Таблица 3 – возможные цели реализации угроз |
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности |
|
|
организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие |
|
|
работу организации. |
|
|
Преднамеренные действия с целью |
|
|
получения выгоды/реализации |
|
|
собственных интересов. |
Хакеры |
Внешний |
Любопытство. Тренировка. Получение |
|
|
выгоды. |
Поставщики услуг |
Внешний |
Материальная выгода |
связи |
|
|
Внешние нарушители не имеют непосредственного доступа к оборудованию системы, когда внутренние подразделяются на классы по уровню доступа к оборудованию и информации предприятия.
Условно внутреннего нарушителя можно разделить на 3 группы:
|
Таблица 4 – уровни прав доступа внутренних нарушителей |
Вид внутреннего нарушителя |
Права доступа |
Системный администратор |
Доступ к СУБД, серверному железу и ПО, |
|
высшие права в локальной сети, доступ к |
|
рабочим местам сотрудников. |
Сотрудники |
Доступ к своим рабочим местам, локальной |
|
сети. |
Дополнительный персонал |
Доступ во все помещения без доступа к |
|
оборудованию (нет собственных учетных |
|
записей) |
Виды нарушителей и их уровень возможностей представлены в таблице ниже:
|
Таблица 5 – результат определения актуальных нарушителей |
|
Виды риска/ущерба и |
Виды и категория нарушителя |
Уровень возможностей |
возможные негативные |
|
|
последствия |
|
|
Нарушение |
Хакеры, внешний |
H1 |
конфиденциальности. |
|
|
Финансовый |
ущерб Сисадмин, внутренний |
H2 |
физическому лицу. |
|
|
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
Нарушение законодательства Российской Федерации.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость
дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость
дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена,
Сотрудники, внутренний |
H1 |
Дополнительный персонал, |
H1 |
внутренний |
|
Конкуренты, внешний |
H2 |
Поставщики услуг связи, внешний H2