МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №15 по дисциплине «Основы информационной безопасности»
Тема: «Разработка и оценка вариантов СЗИ соответственно профилю риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
3.Материал должен содержать титульный лист, постановку задачи,
текст и таблицы согласно нормативным документам, а также анализ
результативности и эффективности вариантов СЗИ.
1.Рассмотрим комплекс составленных ПО РискМенеджер - Анализ v3.5.
контрмер:
КМ1
КМ2
Модель: ЭБС и локальная сеть библиотеки НГУ
Комплекс мер: КМ1
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 35,00 |
Расчетная стоимость: 47,00 |
Экспертно-расчетная оценка стоимости: 40,00 |
Мера: М.09. Планирование бесперебойной работы организации
Регион: Пенза
ЛС: Библиотека НГУ
ПС: система ИРБИС
Объект: ПО «Администратор»
Потенциал снижения |
Расчетная стоимость: 0,00 Экспертная оценка |
Код упорядочивания: |
риска: 13,45 |
стоимости: 0,00 |
|
Мера: М.03.02. Классификация информации по уровням секретности
Регион: Пенза
ЛС: Библиотека НГУ
ПС: ЭБС
Объект: Сервер БД
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 10,00 |
17,00 |
стоимости: 0,00 |
|
Мера: М.03.01. Обеспечение ответственности за информационные ресурсы
Регион: Пенза
ЛС: Библиотека НГУ
ПС: ЭБС
Объект: Файловый сервер
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 14,45 |
9,00 |
стоимости: 25,00 |
|
Комплекс мер: КМ2 |
|
|
|
Потенциал снижения риска: 50,00 |
Экспертная оценка стоимости: 47,00 |
||
Расчетная стоимость: 40,00 |
Экспертно-расчетная оценка стоимости: 38,00 |
||
Мера: М.02.01 Создание инфраструктуры управления информационной безопасностью
Регион: Пенза
ЛС: Библиотека НГУ
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 1 |
риска: 31,00 |
29,00 |
стоимости: 27,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: Пенза
ЛС: Библиотека НГУ
ПС: система ИРБИС
Объект: ПО «Администратор» |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: 2 |
риска: 19,00 |
11,00 |
стоимости: 20,00 |
|
Лучшим комплексом мер является комплекс мер 1 по внедрению средств защиты, так
как стоимость минимальная.
2.Выбор комплекса контрмер
Всвязи с тем, что приемлемым остаточным риском считается риск ниже
750,5 руб., следует выбрать сформированный комплект мер, так как он
соответствует требованиям.
750,5 рублей – приемлемый уровень риска
КМ 1
|
Остаточный риск |
Уменьше |
|
|
ние |
|
|
риска |
Модель: ЭБС и локальная сеть библиотеки НГУ |
Риск до принятия мер: 2425,83 |
|
|
|
|
КМ1 |
600,00 |
1825,83 |
Регион: Ростовская Область |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ЛС: Библиотека НГУ |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
ПС: система ИРБИС |
Риск до принятия мер: 1772,50 |
|
КМ1 |
0,00 |
1772,50 |
Объект: ПО «Читатель» |
Риск до принятия мер: 1572,50 |
|
КМ1 |
0,00 |
1572,50 |
Объект: ПО «Администратор» |
Риск до принятия мер: 200,00 |
|
КМ1 |
0,00 |
200,00 |
Объект: ПО «Каталогизатор» |
Риск до принятия мер: 653,33 |
|
КМ1 |
600,00 |
53,33 |
ПС: ЭБС |
Риск до принятия мер: 100,00 |
|
КМ1 |
100,00 |
0,00 |
Объект: АРМ администратора |
Риск до принятия мер: 500,00 |
|
КМ1 |
500,00 |
0,00 |
Объект: АРМ читателя |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
0,00 |
Объект: АРМ каталогизатора |
Риск до принятия мер: 0,00 |
|
КМ1 |
0,00 |
53,33 |
Объект: Сервер БД |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Маршрутизатор |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Коммутатор |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Веб-сервер |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
|
|
|
Объект: Файловый сервер |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
Объект: Межсетевой экран |
Риск до принятия мер: 2,17 |
|
КМ1 |
2,17 |
0,00 |
3.Разработка мер защиты информации согласно Приказу ФСТЭК № 17
В предыдущих работах было установлено, что в соответствии с Приказом ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», система ЭБС и локальная сеть библиотеки НГУ имеет класс защищенности ГИС К3.
Вышеуказанным документом для неё устанавливается базовый набор мер по защите информации и ИС, приведённый в таблице 1 вместе с реализующими меры средствами защиты, которые надлежит внедрить на предприятие.
Таблица 1 – Меры по защите информации и ИС
ID меры |
Меры защиты информации и информационных систем |
Средства защиты |
|
Стоимость, |
|
|
|
|
р. |
|
|
|
|
|
|
1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|
||
|
|
|
|
|
ИАФ.1 |
Идентификация и аутентификация пользователей, |
Система «JaCarta», |
|
38 500 |
|
являющихся работниками оператора |
поддерживающая |
|
|
|
|
|
|
|
ИАФ.3 |
Управление идентификаторами, в том числе создание, |
работу с не более чем |
|
|
|
присвоение, уничтожение идентификаторов |
1000 сотрудниками |
|
|
|
|
|
|
|
ИАФ.4 |
Управление средствами аутентификации, в том числе |
|
|
|
|
хранение, выдача, инициализация, блокирование |
|
|
|
|
средств аутентификации и принятие мер в случае |
|
|
|
|
утраты и (или) компрометации средств аутентификации |
|
|
|
|
|
|
|
|
ИАФ.5 |
Защита обратной связи при вводе аутентификационной |
|
|
|
|
информации |
|
|
|
|
|
|
|
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не |
|
|
|
|
являющихся работниками оператора (внешних |
|
|
|
|
пользователей) |
|
|
|
|
|
|
|
|
|
2. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
||
|
|
|
|
|
УПД.1 |
Управление (заведение, активация, блокирование и |
Модуль |
|
160 000 |
|
уничтожение) учетными записями пользователей, в том |
«Администратор» |
|
|
|
числе внешних пользователей |
|
|
|
|
|
|
|
|
УПД.2 |
Реализация необходимых методов (дискреционный, |
|
|
|
мандатный, ролевой или иной метод), типов (чтение, |
|
|
|
запись, выполнение или иной тип) и правил |
|
|
|
разграничения доступа |
|
|
|
|
|
|
УПД.3 |
Управление (фильтрация, маршрутизация, контроль |
СЗИ Dallas Lock 8.0-К |
7 500 |
|
соединений, однонаправленная передача и иные |
|
|
|
способы управления) информационными потоками |
|
|
|
между устройствами, сегментами информационной |
|
|
|
системы, а также между информационными системами |
|
|
|
|
|
|
УПД.4 |
Разделение полномочий (ролей) пользователей, |
Модуль |
- (указана |
|
администраторов и лиц, обеспечивающих |
«Администратор» |
ранее) |
|
функционирование информационной системы |
|
|
|
|
|
|
УПД.5 |
Назначение минимально необходимых прав и |
|
|
|
привилегий пользователям, администраторам и лицам, |
|
|
|
обеспечивающим функционирование информационной |
|
|
|
системы |
|
|
|
|
|
|
УПД.6 |
Ограничение неуспешных попыток входа в |
|
|
|
информационную систему (доступа к информационной |
|
|
|
системе) |
|
|
|
|
|
|
УПД.10 |
Блокирование сеанса доступа в информационную |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
систему после установленного времени бездействия |
|
ранее) |
|
(неактивности) пользователя или по его запросу |
|
|
|
|
|
|
УПД.11 |
Разрешение (запрет) действий пользователей, |
|
|
|
разрешенных до идентификации и аутентификации |
|
|
|
|
|
|
УПД.13 |
Реализация защищенного удаленного доступа |
ViPNet Client |
5 200 |
|
субъектов доступа к объектам доступа через внешние |
|
|
|
информационно-телекоммуникационные сети |
|
|
|
|
|
|
УПД.14 |
Регламентация и контроль использования в |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
информационной системе технологий беспроводного |
|
ранее) |
|
доступа |
|
|
|
|
|
|
УПД.15 |
Регламентация и контроль использования в |
|
|
|
информационной системе мобильных технических |
|
|
|
средств |
|
|
|
|
|
|
УПД.16 |
Управление взаимодействием с информационными |
|
|
|
системами сторонних организаций (внешние |
|
|
|
информационные системы) |
|
|
|
|
|
|
|
3. Ограничение программной среды (ОПС) |
|
|
|
|
|
|
ОПС.3 |
Установка (инсталляция) только разрешенного к |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
использованию программного обеспечения и (или) его |
|
ранее) |
|
компонентов |
|
|
|
|
|
|
|
4. Защита машинных носителей информации (ЗНИ) |
|
|
|
|
|
|
ЗНИ.1 |
Учет машинных носителей информации |
СЗИ Dallas Lock 8.0-К |
- (указана |
|
|
|
ранее) |
ЗНИ.2 |
Управление доступом к машинным носителям |
|
|
|
информации |
|
|
|
|
|
|
ЗНИ.8 |
Уничтожение (стирание) информации на машинных |
|
|
|
носителях при их передаче между пользователями, в |
|
|
|
сторонние организации для ремонта или утилизации, а |
|
|
|
также контроль уничтожения (стирания) |
|
|
|
|
|
|
|
5. Регистрация событий безопасности (РСБ) |
|
|
|
|
|
|
РСБ.1 |
Определение событий безопасности, подлежащих |
СЗИ Dallas Lock |
- (указана |
|
регистрации, и сроков их хранения |
|
ранее) |
|
|
|
|
РСБ.2 |
Определение состава и содержания информации о |
|
|
|
событиях безопасности, подлежащих регистрации |
|
|
|
|
|
|
РСБ.3 |
Сбор, запись и хранение информации о событиях |
|
|
|
безопасности в течение установленного времени |
|
|
|
хранения |
|
|
|
|
|
|
РСБ.4 |
Реагирование на сбои при регистрации событий |
|
|
|
безопасности, в том числе аппаратные и программные |
|
|
|
ошибки, сбои в механизмах сбора информации и |
|
|
|
достижение предела или переполнения объема |
|
|
|
(емкости) памяти |
|
|
|
|
|
|
РСБ.5 |
Мониторинг (просмотр, анализ) результатов |
|
|
|
регистрации событий безопасности и реагирование на |
|
|
|
них |
|
|
|
|
|
|
РСБ.6 |
Генерирование временных меток и (или) синхронизация |
|
|
|
системного времени в информационной системе |
|
|
|
|
|
|
РСБ.7 |
Защита информации о событиях безопасности |
|
|
|
|
|
|
|
6. Антивирусная защита (АВЗ) |
|
|
|
|
|
|
АВЗ.1 |
Реализация антивирусной защиты |
Dr.Web Enterprise |
44 600 |
|
|
Security Suite |
|
АВЗ.2 |
Обновление базы данных признаков вредоносных |
|
|
|
компьютерных программ (вирусов) |
|
|
|
|
|
|
|
7. Контроль (анализ) защищенности информации (АНЗ) |
|
|
|
|
|
|
АНЗ.1 |
Выявление, анализ уязвимостей информационной |
СКЗ RedCheck |
5 200 |
|
системы и оперативное устранение вновь выявленных |
|
|
|
уязвимостей |
|
|
|
|
|
|
АНЗ.2 |
Контроль установки обновлений программного |
|
|
|
обеспечения, включая обновление программного |
|
|
|
обеспечения средств защиты информации |
|
|
|
|
|
|
АНЗ.3 |
Контроль работоспособности, параметров настройки и |
|
|
|
правильности функционирования программного |
|
|
|
обеспечения и средств защиты информации |
|
|
|
|
|
|
АНЗ.4 |
Контроль состава технических средств, программного |
|
|
|
обеспечения и средств защиты информации |
|
|
|
|
|
|
АНЗ.5 |
Контроль правил генерации и смены паролей |
|
|
|
пользователей, заведения и удаления учетных записей |
|
|
|
пользователей, реализации правил разграничения |
|
|
|
доступом, полномочий пользователей в |
|
|
|
информационной системе |
|
|
|
|
|
|
|
8. Обеспечение целостности информационной системы и информации (ОЦЛ) |
|
|
|
|
|
|
ОЦЛ.3 |
Обеспечение возможности восстановления |
СЗИ Dallas Lock |
- (указана |
|
программного обеспечения, включая программное |
|
ранее) |
|
обеспечение средств защиты информации, при |
|
|
|
возникновении нештатных ситуаций |
|
|
|
|
|
|
|
9. Защита среды виртуализации (ЗСВ) |
|
|
|
|
|
|
ЗСВ.1 |
Идентификация и аутентификация субъектов доступа и |
Check Point |
46 000 |
|
объектов доступа в виртуальной инфраструктуре, в том |
CloudGuard IaaS |
|
|
числе администраторов управления средствами |
|
|
|
виртуализации |
|
|
|
|
|
|
ЗСВ.2 |
Управление доступом субъектов доступа к объектам |
|
|
|
доступа в виртуальной инфраструктуре, в том числе |
|
|
|
внутри виртуальных машин |
|
|
|
|
|
|
ЗСВ.3 |
Регистрация событий безопасности в виртуальной |
|
|
|
инфраструктуре |
|
|
|
|
|
|
ЗСВ.9 |
Реализация и управление антивирусной защитой в |
|
|
|
виртуальной инфраструктуре |
|
|
|
|
|
|
ЗСВ.10 |
Разбиение виртуальной инфраструктуры на сегменты |
|
|
|
(сегментирование виртуальной инфраструктуры) для |
|
|
|
обработки информации отдельным пользователем и |
|
|
|
(или) группой пользователей |
|
|
|
|
|
|
|
10. Защита технических средств (ЗТС) |
|
|
|
|
|
|
ЗТС.2 |
Организация контролируемой зоны, в пределах которой |
Считыватель |
15 000 |
|
постоянно размещаются стационарные технические |
"Портал-К" |
|
|
средства, обрабатывающие информацию, и средства |
(управление |
|
|
защиты информации, а также средства обеспечения |
электромагнитными |
|
|
функционирования |
замками для двух |
|
|
|
дверей: в |
|
|
|
администраторскую и |
|
|
|
в серверную) |
|
|
|
|
|
ЗТС.3 |
Контроль и управление физическим доступом к |
Система |
25 000 |
|
техническим средствам, средствам защиты |
противопожарной |
|
|
информации, средствам обеспечения |
защиты |
|
|
|
|
|