МИНОБРНАУКИ РОССИИ
Санкт-Петербургский государственный
электротехнический университет
«ЛЭТИ» им. В.И. Ульянова (Ленина)
Кафедра ИБ
отчет
по практической работе №15
по дисциплине «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска.
Студент гр. |
|
Преподаватель |
|
Санкт-Петербург
2023
Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5. контрмер:
|
|
||||
|
Меры 1 |
||||
|
|
||||
|
Меры 2 |
||||
|
|
||||
|
Меры 3 |
||||
|
|
||||
|
|
||||
Модель: ООО «Интернет Решения» |
|||||
Комплекс мер: Меры 1 |
|||||
Потенциал снижения риска: 330,00 |
Экспертная оценка стоимости: 5,00 |
||||
Расчетная стоимость: 90,00 |
Экспертно-расчетная оценка стоимости: 0,00 |
||||
Мера: Добавление дополнительного голосующего узла, доступного с имеющихся узлов кластера |
|||||
Регион: г.Москва |
|||||
ЛС: Кунцево |
|||||
ПС: В целом по ЛС |
|||||
Объект: Кластер |
|||||
Потенциал снижения риска: 330,00 |
Расчетная стоимость: 90,00 |
Экспертная оценка стоимости: 0,00 |
Код упорядочивания: |
||
Комплекс мер: Меры 2 |
|||||
Потенциал снижения риска: 330,00 |
Экспертная оценка стоимости: 23,00 |
||||
Расчетная стоимость: 90,00 |
Экспертно-расчетная оценка стоимости: 10,00 |
||||
Мера: Повышение зарплаты и создание сист. соц. льгот для закрепления специалистов и предотвращения текуче |
|||||
Регион: г.Москва |
|||||
ЛС: Кунцево |
|||||
ПС: В целом по ЛС |
|||||
Объект: Кластер |
|||||
Потенциал снижения риска: 330,00 |
Расчетная стоимость: 90,00 |
Экспертная оценка стоимости: 10,00 |
Код упорядочивания: 5 |
||
Комплекс мер: Меры 3 |
|||||
Потенциал снижения риска: 330,00 |
Экспертная оценка стоимости: 300,00 |
||||
Расчетная стоимость: 90,00 |
Экспертно-расчетная оценка стоимости: 60,00 |
||||
Мера: Найм специалистов для выполнения нужной работы |
|||||
Регион: г.Москва |
|||||
ЛС: Кунцево |
|||||
ПС: В целом по ЛС |
|||||
Объект: Кластер |
|||||
Потенциал снижения риска: 330,00 |
Расчетная стоимость: 90,00 |
Экспертная оценка стоимости: 60,00 |
Код упорядочивания: |
||
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так как стоимость минимальная.
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 560 руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.
560 единиц
Сравнение комплексов мер по уровням остаточных рисков в разрезе структуры оцениваемой |
||||
системы |
|
|||
|
|
|||
|
Меры 1 |
|||
|
|
|||
|
Остаточный риск |
Уменьшение риска |
||
Модель: ООО «Интернет Решения» |
Риск до принятия мер: 2425,8 |
|||
Меры 1 |
607,88 |
1817,95 |
||
Регион: г. Москва |
Риск до принятия мер: 1772,50 |
|||
Меры 1 |
0,00 |
1772,50 |
||
ЛС: Центральный офис |
Риск до принятия мер: 1772,50 |
|||
Меры 1 |
0,00 |
1772,50 |
||
ПС: Информационной защиты |
Риск до принятия мер: 1772,50 |
|||
Меры 1 |
0,00 |
1772,50 |
||
Объект: Веб сервер |
Риск до принятия мер: 1572,50 |
|||
Меры 1 |
0,00 |
1572,50 |
||
Объект: АИС |
Риск до принятия мер: 200,00 |
|||
Меры 1 |
0,00 |
200,00 |
||
ПС: Процесс обработки |
Риск до принятия мер: 600,00 |
|||
Меры 1 |
600,00 |
0,00 |
||
Объект: Идентификация и аутентификация |
Риск до принятия мер: 100,00 |
|||
Меры 1 |
100,00 |
0,00 |
||
Объект: Ввод информации |
Риск до принятия мер: 500,00 |
|||
Меры 1 |
500,00 |
0,00 |
||
Объект: Шифрование |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ПС: Система криптографической защиты |
Риск до принятия мер: 53,33 |
|||
Меры 1 |
7,88 |
45,45 |
||
Объект: Криптосервер |
Риск до принятия мер: 53,33 |
|||
Меры 1 |
7,88 |
45,45 |
||
Объект: АРМ Администратора безопасности |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ПС: Охрана |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
Объект: Охранник |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
Регион: г. Санкт-Петербург |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ЛС: Организация в целом |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ПС: Организация в целом |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
Объект: Организация с АИС |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
Объект: ОС Windows NT |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ПС: Система электронной торговли |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
Объект: Вэб сервер |
Риск до принятия мер: 0,00 |
|||
Меры 1 |
0,00 |
0,00 |
||
ПС: Система обработки информации |
Риск до принятия мер: 0,00 |
|
||
Меры 1 |
0,00 |
0,00 |
||
Объект: Система криптографической аутентификации пользователей |
Риск до принятия мер: 0,00 |
|
||
Меры 1 |
0,00 |
0,00 |
||
Разработка мер защиты информации согласно Приказу ФСТЭК № 17.
В предыдущих работах было установлено, что в соответствии с Приказом ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», система ЭБС и локальная сеть библиотеки НГУ имеет класс защищенности ГИС К3.
Вышеуказанным документом для неё устанавливается базовый набор мер по защите информации и ИС, приведённый в таблице 1 вместе с реализующими меры средствами защиты, которые надлежит внедрить на предприятие.
Условное обозначе- ние и номер меры |
Меры защиты информации в информационных системах |
Продукт |
|
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
|
ИАФ.2 |
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
|
ИАФ.3 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
|
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
|
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
Подсистема управления пользователями СЗИ НСД «ИНАФ» |
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
ФИС ГИА и Приёма, ИС ЛК |
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|||
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
СЗИ НСД «ИНАФ» |
|
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
Организационные меры |
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
Межсетевой экран «Next Generation Firewall (NGFW)» |
УПД.4 |
Разделение полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
СЗИ НСД «ИНАФ» |
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
СЗИ НСД «ИНАФ» |
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
СЗИ НСД «ИНАФ» |
УПД.9 |
Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы |
СЗИ НСД «ИНАФ» |
УПД.10 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
СЗИ НСД «ИНАФ» |
УПД.11 |
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
СЗИ НСД «ИНАФ» |
УПД.13 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
СЗИ НСД «ИНАФ» |
УПД.14 |
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
Система контроля и управления доступом «ControlGate» |
|
|
|
УПД.15 |
Регламентация и контроль использования в информационной системе мобильных технических средств |
Система контроля и управления доступом «ControlGate» |
УПД.16 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
Система контроля и управления доступом «ControlGate» |
УПД.17 |
Обеспечение доверенной загрузки средств вычислительной техники |
Система контроля и управления доступом «ControlGate» |
III. Ограничение программной среды (ОПС) |
||
ОПС.1 |
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
Система виртуализации Proxmox и встроенный мониторинг и операционная система на виртуальной машине |
ОПС.2 |
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
Инструмент для установки пакетов для операционных систем на базе дистрибутивов Debian и Ubuntu – APT |
ОПС.3 |
Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
Нет ограничений |
IV. Защита машинных носителей информации (ЗНИ) |
||
ЗНИ.1 |
Учет машинных носителей информации |
СЗИ НСД «ИНАФ» |
ЗНИ.2 |
Управление доступом к машинным носителям информации |
СЗИ НСД «ИНАФ» |
ЗНИ.5 |
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
СЗИ НСД «ИНАФ» |
ЗНИ.8 |
Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
СЗИ НСД «ИНАФ» |
V. Регистрация событий безопасности (РСБ) |
||
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
СЗИ НСД «ИНАФ» |
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
СЗИ НСД «ИНАФ» |
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения |
СЗИ НСД «ИНАФ» |
РСБ.4 |
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
СЗИ НСД «ИНАФ» |
РСБ.5 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
СЗИ НСД «ИНАФ» |
РСБ.6 |
Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
СЗИ НСД «ИНАФ» |
РСБ.7 |
Защита информации о событиях безопасности |
СЗИ НСД «ИНАФ» |
VI. Антивирусная защита (АВЗ) |
||
АВЗ.1 |
Реализация антивирусной защиты |
Антивирус Kaspersky Optimum Security |
АВЗ.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
Антивирус Kaspersky Optimum Security |
VII. Обнаружение вторжений (СОВ) |
||
СОВ.1 |
Обнаружение вторжений |
СЗИ НСД «ИНАФ» |
СОВ.2 |
Обновление базы решающих правил |
СЗИ НСД «ИНАФ» |
VIII. Контроль (анализ) защищенности информации (АНЗ) |
||
АНЗ.1 |
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
MaxPatrol |
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
Сертифицированная операционная система «ControlGate» |
АНЗ.3 |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
Операционная система Linux Ubuntu |
АНЗ.4 |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
Операционная система Linux Ubuntu |
АНЗ.5 |
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
Операционная система Linux Ubuntu |
IX. Обеспечение целостности информационной системы и информации (ОЦЛ) |
||
ОЦЛ.1 |
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
Операционная система Linux Ubuntu |
ОЦЛ.3 |
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
Операционная система Linux Ubuntu и штатные системы резервного копирования |
ОЦЛ.4 |
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
На серверах не установлен почтовый клиент |
ОЦЛ.6 |
Ограничение прав пользователей по вводу информации в информационную систему |
Операционная система Linux Ubuntu |