МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра Информационной безопасности
Практическая работа №15
по дисциплине «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Цель: провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты (Приказы №17, 235, 239 ФСТЭК).
ОСНОВНЫЕ РИСКИ ПРЕДПРИЯТИЯ
Угрозами для рассматриваемого предприятия являются из практической №13:
Плохо протестированные изменения кода, затрагиваемые данные в БД;
Несанкционированный доступ;
Сбой программного обеспечения;
Не установленные своевременно обновления и заплатки.
И наиболее опасным, и вероятным в реализации является риск плохо протестированного изменения кода, затрагиваемые данные в БД.
Рисунок 1 – Устройство взаимодействия сети
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ И ЦЕНА ВНЕДРЕНИЯ
Уровень защищённости персональных данных предприятия имеет УЗ-3.
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Наименование средства |
Цена, руб. |
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
50 000 |
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
50 000 |
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
50 000 |
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
Веб-портал ЕСИА |
0 |
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|||
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
СЗИ НСД «ИНАФ» |
50 000 |
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
Diamond ACS |
40 000 |
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
Diamond ACS |
40 000 |
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
Программа-фильтр «AVPMonitor» |
20 000 |
УПД.11 |
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
СЗИ НСД «ИНАФ» |
50 000 |
III. Ограничение программной среды (ОПС) |
|||
ОПС.3 |
Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
Программа-полифаг «Лаборатория Касперского». |
2000 |
V. Регистрация событий безопасности (РСБ) |
|||
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
СЗИ НСД «ИНАФ» |
50 0 00 |
РСБ.5 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
СЗИ НСД «ИНАФ» |
50 000 |
РСБ.7 |
Защита информации о событиях безопасности |
СЗИ НСД «ИНАФ» |
50 000 |
VI. Антивирусная защита (АВЗ) |
|||
АВЗ.1 |
Реализация антивирусной защиты |
Программа-полифаг «Лаборатория Касперского» |
2000 |
АВЗ.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
Программа-полифаг «Лаборатория Касперского» |
2000 |
VII. Обнаружение вторжений (СОВ) |
|||
СОВ.1 |
Обнаружение вторжений |
Программа-монитор «Monitor» |
0 |
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) |
|||
АНЗ.1 |
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
Программа-фильтр «AVPMonitor» |
20 000 |
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
Программа-монитор «Monitor» Организационные меры |
0 |
АНЗ.5 |
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе |
Программа-фильтр «AVPMonitor» |
20 000 |
XII. Защита технических средств (ЗТС) |
|||
ЗТС.3 |
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
СКУД |
0 |
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) |
|||
ЗИС.3 |
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
Программа-фильтр «AVPMonitor» |
20 000 |
Стоимость средств по обеспечению безопасности персональных данных указана в таблице 2.
Наименование средства |
Количество |
Стоимость одного элемента |
Общая стоимость |
|
СЗИ от НСД «ИНАФ» Класс зашиты – 1А Информационная система тип АС |
110 |
20 000 |
2 200 000 |
|
Веб-портал SharePoint Server |
10 |
0 |
0 |
|
Diamond ACS |
1 |
40 000 |
40 000 |
|
Программа-фильтр «AVPMonitor» |
1 |
20 000 |
20 000 |
|
Программа-полифаг «Лаборатория Касперского»
|
110 |
2 000 |
330 000 |
|
Программа-монитор «Monitor» |
100 |
0 |
0 |
|
Повышение квалификации IT специалистов |
91 |
10 000 |
910 000 |
|
Межсетевое экранирование |
50 |
10 000 |
500 000 |
|
Средство доверенной загрузки |
10 |
30 000 |
300 000 |
|
VPN Express VPN |
110 |
2000 |
330 000 |
|
Итого |
4 670 000 |
|||
Вывод: Можно уменьшить риски компании, благодаря внедрению комплекса мер. Цена составит 4 670 000, включая сопровождение.