МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА № 15
по дисциплине «Основы информационной безопасности» Тема: Разработка и оценка вариантов СЗИ соответственно профилю
риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Выбрать область на основе собранных материалов по конкретному предприятию, организации или компании. Провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
Комплекс контрмер
Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5.контрмер:
КМ3 по внедрению политики безопасности
КМ2 по развитию инфраструктуры управления ИБ
КМ1 по внедрению средств защиты
Модель: ГК Март
Комплекс мер: КМ3 по внедрению политики безопасности
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
||
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
||
Мера: М.09. Планирование бесперебойной работы организации |
|||
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
|
риска: 13,45 |
|
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности |
|||
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 10,00 |
17,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные |
|||
ресурсы |
|
|
|
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 14,45 |
9,00 |
стоимости: 25,00 |
|
Мера: М.02.01 Создание инфраструктуры управления информационной |
|||
безопасностью |
|
|
|
Регион: Организация в целом
ЛС: Организация в целом
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 5,10 |
11,00 |
стоимости: 0,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: Организация в целом
ЛС: Организация в целом
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 7,00 |
10,00 |
стоимости: 10,00 |
|
Комплекс мер: КМ2 по развитию инфраструктуры управления ИБ
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Организация в целом
ЛС: Организация в целом
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 31,00 |
29,00 |
стоимости: 27,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики |
|||
безопасности |
|
|
|
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: АИС |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 19,00 |
11,00 |
стоимости: 20,00 |
|
Комплекс мер: КМ1 по внедрению средств защиты
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 11,00 |
||
Расчетная стоимость: 36,00 |
Экспертно-расчетная оценка стоимости: 20,00 |
||
Мера: Внедрение системы защиты от скачков напряжения |
|||
Регион: Организация в целом |
|
|
|
ЛС: Организация в целом |
|
|
|
ПС: Организация в целом |
|
|
|
Объект: Система бесперебойного питания |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 25,50 |
18,00 |
стоимости: 5,60 |
|
Мера: Планирование необходимого роста потребности в криптографических ключах
Регион: Организация в целом
ЛС: Организация в целом
ПС: Система безопасности |
|
|
|
Объект: Криптосервер |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,50 |
18,00 |
стоимости: 5,40 |
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты,
так как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 750,5 руб.,
следует выбрать сформированный комплект мер, так как он соответствует требованиям.
750,5 рублей – приемлемый уровень риска
КМ по внедрению средств защиты
|
Остаточный |
Уменьшение |
|
риск |
риска |
Модель: ГК Март |
Риск до принятия мер: |
|
2425,83 |
|
|
|
|
|
КМ по внедрению политики безопасности |
600,00 |
1825,83 |
Регион: Организация в целом |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
ЛС: Организация в целом |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
ПС: Организация в целом |
Риск до принятия мер: |
|
|
1772,50 |
|
КМ по внедрению политики безопасности |
0,00 |
1772,50 |
Объект: Организация с АИС |
Риск до принятия мер: |
|
|
1572,50 |
|
КМ по внедрению политики безопасности |
0,00 |
1572,50 |
Объект: Ключевые серверы обработки информации |
Риск до принятия мер: 200,00 |
|
КМ по внедрению политики безопасности |
0,00 |
200,00 |
Регион: г. Великие Луки |
Риск до принятия мер: 653,33 |
|
КМ по внедрению политики безопасности |
600,00 |
53,33 |
ЛС: ГВЦ |
Риск до принятия мер: 653,33 |
|
КМ по внедрению политики безопасности |
600,00 |
53,33 |
ПС: Базовые сервисы безопасности |
Риск до принятия мер: 600,00 |
|
КМ по внедрению политики безопасности |
600,00 |
0,00 |
Объект: Идентификация и аутентификация |
Риск до принятия мер: 100,00 |
|
КМ по внедрению политики безопасности |
100,00 |
0,00 |
Объект: Межсетевое экранирование |
Риск до принятия мер: 500,00 |
|
КМ по внедрению политики безопасности |
500,00 |
0,00 |
Объект: Шифрование |
Риск до принятия мер: 0,00 |
|
КМ по внедрению политики безопасности |
20 |
10 |
ПС: Система криптографической защиты |
Риск до принятия мер: 53,33 |
|
КМ по внедрению политики безопасности |
63 |
53,33 |
Объект: Криптосервер |
Риск до принятия мер: 53,33 |
|
КМ по внедрению политики безопасности |
120 |
53,33 |
Объект: АРМ Администратора безопасности |
Риск до принятия мер: 0,00 |
|
КМ по внедрению политики безопасности |
20 |
18 |
ПС: ПО системы криптозащиты |
Риск до принятия мер: 0,00 |
|
КМ по внедрению политики безопасности |
17 |
15 |
Объект: Криптоменеджер |
Риск до принятия мер: 0,00 |
|
КМ по внедрению политики безопасности |
0,00 |
0,00 |
Критические объекты
•ПК с выходом в интернет;
•Сервера;
•Локальная сеть;
•БД.
Показатели исходной защищенности ИСПДн
Компания работает с ИСПДн-Б, так как обрабатывает биометрические персональные данные и не обрабатывает сведения, относящиеся к специальным категориям персональных данных. ИСПДн-Б исследуемого объекта имеет высокий уровень исходной защищенности, т.к. не менее 77% характеристик ИСПДн-Б
соответствуют уровню не ниже высокого.
Информация, содержащаяся в ИСПДн-Б «ГК Март» имеет высокий уровень значимости (УЗ 1), так как хотя бы для одного из свойств безопасности информации
(конфиденциальности, целостности, доступности) определена высокая степень ущерба.
Определение масштаба
ГК Март имеет объектный масштаб, так как она функционирует на объекте одной организации и не имеет сегментов в территориальных органах, представительствах,
филиалах, подведомственных и иных организациях.
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы
Условное |
Меры защиты информации в информационных |
Продукт |
|||||
обозначе- |
|
|
системах |
|
|
|
|
ние и |
|
|
|
|
|
|
|
номер |
|
|
|
|
|
|
|
меры |
|
|
|
|
|
|
|
|
|
I. Идентификация и аутентификация |
|
||||
|
субъектов доступа и объектов доступа (ИАФ) |
|
|||||
ИАФ.1 |
Идентификация и аутентификация пользователей, |
Подсистема |
|||||
|
являющихся работниками оператора |
|
|
||||
|
|
|
управления |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.2 |
Идентификация и аутентификация устройств, в том |
Подсистема |
|||||
|
числе стационарных, мобильных и портативных |
||||||
|
управления |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.3 |
Управление |
идентификаторами, в том |
числе |
Подсистема |
|||
|
создание, |
|
присвоение, |
уничтожение |
|||
|
|
управления |
|||||
|
идентификаторов |
|
|
|
|||
|
|
|
|
пользователями |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.4 |
Управление |
средствами аутентификации, |
в том |
Подсистема |
|||
|
числе |
хранение, |
выдача, |
инициализация, |
|||
|
управления |
||||||
|
блокирование средств аутентификации и принятие |
||||||
|
пользователями |
||||||
|
мер в случае утраты и (или) компрометации средств |
||||||
|
СЗИ НСД «ИНАФ» |
||||||
|
аутентификации |
|
|
|
|
||
ИАФ.5 |
Защита |
|
обратной |
связи |
при |
вводе |
Подсистема |
|
аутентификационной информации |
|
|
||||
|
|
|
управления |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.6 |
Идентификация и аутентификация пользователей, |
ФИС ГИА и |
|
не являющихся работниками оператора (внешних |
Приёма, ИС ЛК |
|
пользователей) |
|
|
II. Управление доступом |
|
|
субъектов доступа к объектам доступа (УПД) |
|
|
|
|
УПД.1 |
Управление (заведение, активация, блокирование и |
СЗИ НСД «ИНАФ» |
|
уничтожение) учетными записями пользователей, в |
|
|
том числе внешних пользователей |
|
УПД.2 |
|
Реализация необходимых методов (дискреционный, |
Организационные |
|||||||
|
мандатный, ролевой или иной метод), типов (чтение, |
меры |
||||||||
|
запись, выполнение или иной тип) и правил |
|
|
|||||||
|
разграничения доступа |
|
|
|
|
|
||||
УПД.3 |
Управление (фильтрация, маршрутизация, контроль |
Межсетевой |
||||||||
|
соединений, |
однонаправленная |
передача |
и иные |
||||||
|
экран |
|||||||||
|
способы |
управления) |
информационными |
потоками |
||||||
|
«Next Generation |
|||||||||
|
между устройствами, сегментами информационной |
|||||||||
|
Firewall(NGFW)» |
|||||||||
|
системы, |
а также между информационными |
|
|
||||||
|
системами |
|
|
|
|
|
|
|
||
УПД.4 |
|
Разделение полномочий (ролей), администраторов |
СЗИ НСД |
|||||||
|
и |
лиц, |
|
обеспечивающих |
функционирование |
«ИНАФ» |
||||
|
информационной системы |
|
|
|
|
|||||
УПД.5 |
|
Назначение минимально необходимых прав и |
СЗИ НСД |
|||||||
|
привилегий пользователям, администраторам и |
«ИНАФ» |
||||||||
|
лицам, |
обеспечивающим |
функционирование |
|
||||||
|
информационной системы |
|
|
|
|
|||||
УПД.6 |
|
Ограничение |
неуспешных |
попыток |
входа |
в |
СЗИ НСД «ИНАФ» |
|||
|
информационную |
систему |
(доступа |
к |
|
|||||
|
информационной системе) |
|
|
|
|
|||||
УПД.9 |
|
Ограничение числа параллельных сеансов доступа |
СЗИ НСД «ИНАФ» |
|||||||
|
для каждой учетной записи пользователя |
|
||||||||
|
информационной системы |
|
|
|
|
|||||
УПД.10 |
|
Блокирование сеанса доступа в информационную |
СЗИ НСД «ИНАФ» |
|||||||
|
систему после установленного времени бездействия |
|
||||||||
|
(неактивности) пользователя или по его запросу |
|
|
|||||||
УПД.11 |
|
Разрешение (запрет) действий пользователей, |
СЗИ НСД «ИНАФ» |
|||||||
|
разрешенных до идентификации и аутентификации |
|
|
|||||||
УПД.13 |
|
Реализация |
защищенного удаленного |
доступа |
СЗИ НСД |
|||||
|
субъектов доступа к объектам доступа через внешние |
«ИНАФ» |
||||||||
|
информационно-телекоммуникационные сети |
|
|
|||||||
УПД.14 |
|
Регламентация |
и |
контроль |
использования |
в |
Система контроля |
|||
|
|
|
|
|
|
|
|
|
|
и управления |
|
|
|
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
|
|
|
|
«ControlGate» |