МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практической работе №15
по дисциплине «Основы информационной безопасности» Тема: Разработка и оценка вариантов СЗИ соответственно профилю
риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
3.Материал должен содержать титульный лист, постановку задачи,
текст и таблицы согласно нормативным документам, а также анализ
результативности и эффективности вариантов СЗИ.
1)Рассмотрим комплекс составленных контрмер ПО РискМенеджер – Анализ v3.5
Комплекс мер №1
Комплекс мер №2
Модель: ООО "СантехСтандарт"
Комплекс мер: Комплекс мер №1
Потенциал снижения риска: 368,67 |
Экспертная оценка стоимости: 0,00 Расчетная |
||
стоимость: 185,00 |
|
Экспертно-расчетная оценка стоимости: 0,00 |
|
Мера: Подготовка персонала. |
|
|
|
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: Финансовые данные |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Подготовка персонала. |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: Система учета и финансового анализа |
|
||
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
45,00 |
стоимости: 0,00 |
|
Мера: Подготовка персонала |
|
|
|
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: ERP-система управления |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 200,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Планирование необходимого роста потребности в |
|||
криптографических ключах |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Информационная защита |
|
|
|
Объект: Контроль доступа к информации |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 40,00 |
40,00 |
стоимости: 0,00 |
|
Мера: Повышение зарплаты и создание сист. соц. льгот для закрепления специалистов и предотвращения текучести кадров
Регион: СанктПетербург
ЛС: Центральный офис
ПС: Инфраструктура и сетевые сервисы
Объект: Учетно- |
|
|
|
операционная система |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 49,00 |
50,00 |
стоимости: 0,00 |
|
Комплекс мер: Комплекс мер №2
Потенциал снижения риска: 368,67 |
Экспертная оценка стоимости: 0,00 |
Расчетная стоимость: 270,00 |
Экспертно-расчетная оценка стоимости: 0,00 |
Мера: Политика безопасности организации должна запрещать открытие вложений, пришедших с незнакомых адресов или из вне
Регион: Санкт-Петербург
ЛС: Сервисы безопасности
ПС: Информационная защита |
|
|
|
Объект: Web-сервер |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 22,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Точное документирование действий администраторов |
|||
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Руководители и административный персонал |
|
||
Объект: База данных руководства |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 28,00 |
25,00 |
стоимости: 0,00 |
|
|
|
|
|
Мера: Подготовка персонала. |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Склад поставки |
|
|
|
ПС: Персонал склада |
|
|
|
Объект: База сотрудников, ответственных за перемещение товаров |
|
||
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Точное документирование действий ответственных кладовщиков
Регион: Санкт-Петербург
ЛС: Склад поставки
ПС: Системы управления |
|
|
|
Объект: Учет товаров |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 107,00 |
30,00 |
стоимости: 0,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: Санкт-Петербург
Лс: Главный офис
ПС: Инфраструктура и сетевые сервисы
Объект: Система управления АИС
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 162,00 |
30,00 |
стоимости: 0,00 |
|
Мера: Должен осуществляться антивирусный контроль вложений в сети
Регион: Санкт-Петербург
ЛС: Центральный офис
ПС: Инфраструктура и сетевые сервисы |
|
|
|
Объект: Координационный центр |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 20,00 |
10,00 |
стоимости: 0,00 |
|
|
|||
Мера: Ограничение количества попыток ввода пароля в ПАК |
|||
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Главный офис |
|
|
|
ПС: Инфраструктура и сетевые сервисы |
|
|
|
Объект: Защита сетевых ресурсов |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 100,00 |
20,00 |
стоимости: 0,00 |
Мера: Точное документирование действий ответственных кладовщиков
Регион: Новосибирск
ЛС: Склад снабжения
ПС: Персонал склада |
|
|
|
Объект: База |
|
|
|
сотрудников, ответственных |
|
|
|
за перемещение товаров |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 33,20 |
стоимость: |
стоимости: 0,00 |
|
|
20,00 |
|
|
Мера: Внедрение технологии анализа защищенности и поиска уязвимостей серверов
Регион: Новосибирск |
|
|
|
ЛС: Склад снабжения |
|
|
|
ПС: Системы |
|
|
|
управления |
|
|
|
Объект: Локальная вычислительная сеть |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 115,00 |
стоимость: |
стоимости: 0,00 |
|
|
40,00 |
|
|
Мера: Серверные программы должны фильтровать запросы юр. лиц, если эти данные используются для системных операций
Регион: Санкт-Петербург
ЛС: Центральный офис
ПС: Контроль доступа к |
|
|
|
информации |
|
|
|
Объект: Сервер обработки информации |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 90,00 |
стоимость: |
стоимости: 0,00 |
|
|
50,00 |
|
|
После составления комплексов мер и построения диаграммы стало видно, что выгоднее всего будет взять наименьший по стоимости комплекс мер – первый (оценка стоимости – 185).
2)Выбор комплекса контрмер:
Всвязи с тем, что приемлемым остаточным риском считается риск ниже 390,5
руб., следует выбрать сформированный комплект мер, так как он соответствует
требованиям.
Комплекс мер 1
тыс. рублей
тыс. рублей
|
Остаточный |
Уменьшение |
|
риск |
риска |
|
|
|
Модель: ООО "СантехСтандарт" |
Риск до принятия мер: 966,67 |
|
|
|
|
Комплекс мер 1 |
306,48 |
660,19 |
|
|
|
Регион: Санкт-Петербург |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ЛС: Центральный офис |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
|
|
|
ПС: Сервисы безопасности |
Риск до принятия мер: 722,02 |
|
Комплекс мер 1 |
124,33 |
597,69 |
Объект: Процесс безопасной разработки |
Риск до принятия мер: 76,19 |
|
Комплекс мер 1 |
0,00 |
76,19 |
Объект: Система аутентификации |
Риск до принятия мер: 583,33 |
|
Комплекс мер 1 |
124,33 |
459,00 |
|
|
|
Объект: OC Windows NT |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
ПС: Инфраструктура и сетевые сервисы |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Web-сервер |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Система управления АИС |
Риск до принятия мер: 0,00 |
|
|
|
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
Объект: DNS |
Риск до принятия мер: 0,00 |
|
|
|
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
ПС: Бухгалтерия |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
|
|
|
Объект: Хранение и обработка финансовых данных |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
|
|
|
Объект: Система учета и анализа |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
ПС: Руководители и административный персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: Персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: База руководителей |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
1.Разработка мер защиты информации согласно Приказу ФСТЭК № 17
Впредыдущих работах было установлено, что в соответствии с Приказом ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», система ЭБС и локальная сеть компании СантехСтандарт имеет класс защищенности ГИС К3.
Вышеуказанным документом для неё устанавливается базовый набор мер по защите информации и ИС, приведённый в таблице 1 вместе с реализующими меры средствами защиты, которые надлежит внедрить на предприятие.
Таблица 1 – Меры по защите информации и ИС
ID меры |
Меры защиты информации и информационных систем |
Средства защиты |
Стоимость, |
|
|
|
р. |
|
|
|
|
|
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|
|
|
|
|
|
ИАФ.1 |
Идентификация и аутентификация пользователей, |
Система «JaCarta», |
43 700 |
|
являющихся работниками оператора |
поддерживающая |
|
|
|
работу с не более чем |
|
ИАФ.3 |
Управление идентификаторами, в том числе создание, |
|
|
|
присвоение, уничтожение идентификаторов |
1000 сотрудниками |
|
|
|
|
|
ИАФ.4 |
Управление средствами аутентификации, в том числе |
|
|
|
хранение, выдача, инициализация, блокирование |
|
|
|
средств аутентификации и принятие мер в случае |
|
|
|
утраты и (или) компрометации средств аутентификации |
|
|
|
|
|
|
ИАФ.5 |
Защита обратной связи при вводе аутентификационной |
|
|
|
информации |
|
|
|
|
|
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не |
|
|
|
являющихся работниками оператора (внешних |
|
|
|
пользователей) |
|
|
|
|
|
|
|
2. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
|
|
|
|
|
УПД.1 |
Управление (заведение, активация, блокирование и |
Модуль |
195 000 |
|
уничтожение) учетными записями пользователей, в том |
«Администратор» |
|
|
числе внешних пользователей |
|
|
|
|
|
|
УПД.2 |
Реализация необходимых методов (дискреционный, |
|
|
|
мандатный, ролевой или иной метод), типов (чтение, |
|
|
|
запись, выполнение или иной тип) и правил |
|
|
|
разграничения доступа |
|
|
|
|
|
|
УПД.3 |
Управление (фильтрация, маршрутизация, контроль |
СЗИ Dallas Lock 8.0-К |
13 300 |
|
соединений, однонаправленная передача и иные |
|
|
|
способы управления) информационными потоками |
|
|
|
между устройствами, сегментами информационной |
|
|
|
системы, а также между информационными системами |
|
|
|
|
|
|
УПД.4 |
Разделение полномочий (ролей) пользователей, |
Модуль |
- (указана |
|
администраторов и лиц, обеспечивающих |
«Администратор» |
ранее) |
|
функционирование информационной системы |
|
|
|
|
|
|
УПД.5 |
Назначение минимально необходимых прав и |
|
|
|
привилегий пользователям, администраторам и лицам, |
|
|
|
обеспечивающим функционирование информационной |
|
|
|
системы |
|
|
|
|
|
|
УПД.6 |
Ограничение неуспешных попыток входа в |
|
|
|
информационную систему (доступа к информационной |
|
|
|
системе) |
|
|
|
|
|
|
УПД.10 |
Блокирование сеанса доступа в информационную |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
систему после установленного времени бездействия |
|
ранее) |
|
(неактивности) пользователя или по его запросу |
|
|
|
|
|
|
УПД.11 |
Разрешение (запрет) действий пользователей, |
|
|
|
разрешенных до идентификации и аутентификации |
|
|
|
|
|
|
УПД.13 |
Реализация защищенного удаленного доступа |
ViPNet Client |
7 400 |
|
субъектов доступа к объектам доступа через внешние |
|
|
|
информационно-телекоммуникационные сети |
|
|
|
|
|
|
УПД.14 |
Регламентация и контроль использования в |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
информационной системе технологий беспроводного |
|
ранее) |
|
доступа |
|
|
|
|
|
|
УПД.15 |
Регламентация и контроль использования в |
|
|
|
информационной системе мобильных технических |
|
|
|
средств |
|
|
|
|
|
|
УПД.16 |
Управление взаимодействием с информационными |
|
|
|
системами сторонних организаций (внешние |
|
|
|
информационные системы) |
|
|
|
|
|
|
|
3. Ограничение программной среды (ОПС) |
|
|
|
|
|
|
ОПС.3 |
Установка (инсталляция) только разрешенного к |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
использованию программного обеспечения и (или) его |
|
ранее) |
|
компонентов |
|
|
|
|
|
|
|
4. Защита машинных носителей информации (ЗНИ) |
|
|
|
|
|
|