МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ по практическому заданию № 15
по дисциплине «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель: провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты (Приказы №17, 235, 239 ФСТЭК).
ОСНОВНЫЕ РИСКИ ПРЕДПРИЯТИЯ
Угрозами для рассматриваемого предприятия являются из практической
№13:
•Плохо протестированные изменения кода, затрагиваемые данные в БД;
•Несанкционированный доступ;
•Сбой программного обеспечения;
•Не установленные своевременно обновления и заплатки.
Инаиболее опасным, и вероятным в реализации является риск плохо протестированного изменения кода, затрагиваемые данные в БД.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ И ЦЕНА ВНЕДРЕНИЯ
Уровень защищённости персональных данных предприятия имеет УЗ-3.
Условное |
Содержание мер по |
Наименование |
Цена, |
обозначение |
обеспечению |
средства |
руб. |
и номер |
безопасности |
|
|
меры |
персональных данных |
|
|
|
|
|
|
I. Идентификация и аутентификация субъектов доступа и |
|||
|
объектов доступа (ИАФ) |
|
|
|
|
|
|
ИАФ.1 |
Идентификация и |
Подсистема |
50 |
|
аутентификация |
управления |
000 |
|
пользователей, |
пользователями |
|
|
являющихся |
СЗИ «Кайтен» |
|
|
работниками |
|
|
|
оператора |
|
|
|
|
|
|
ИАФ.4 |
Управление |
Подсистема |
50 |
|
средствами |
управления |
000 |
|
аутентификации, в |
пользователями |
|
|
том числе хранение, |
|
|
|
|
|
|
|
|
2 |
|
|
выдача, |
СЗИ НСД |
|
|
инициализация, |
«Кайтен» |
|
|
блокирование средств |
|
|
|
аутентификации и |
|
|
|
принятие мер в случае |
|
|
|
утраты и (или) |
|
|
|
компрометации |
|
|
|
средств |
|
|
|
аутентификации |
|
|
|
|
|
|
ИАФ.5 |
Защита обратной |
Подсистема |
50 |
|
связи при вводе |
управления |
000 |
|
аутентификационной |
пользователями |
|
|
информации |
СЗИ НСД |
|
|
|
«Кайтен» |
|
|
|
|
|
ИАФ.6 |
Идентификация и |
Веб-портал |
0 |
|
аутентификация |
ViPNet |
|
|
пользователей, не |
|
|
|
являющихся |
|
|
|
работниками |
|
|
|
оператора (внешних |
|
|
|
пользователей) |
|
|
|
|
|
|
II. Управление доступом субъектов доступа к объектам |
|||
|
доступа (УПД) |
|
|
|
|
|
|
УПД.1 |
Управление |
СЗИ НСД |
50 |
|
(заведение, активация, |
«Кайтен» |
000 |
|
блокирование и |
|
|
|
уничтожение) |
|
|
|
учетными записями |
|
|
|
пользователей, в том |
|
|
|
числе внешних |
|
|
|
пользователей |
|
|
|
|
|
|
УПД.2 |
Реализация |
Diamond ACS |
40 |
|
необходимых методов |
|
000 |
|
(дискреционный, |
|
|
|
мандатный, ролевой |
|
|
|
или иной метод), |
|
|
|
типов (чтение, запись, |
|
|
|
выполнение или иной |
|
|
|
тип) и правил |
|
|
|
разграничения |
|
|
|
доступа |
|
|
|
|
|
|
|
|
3 |
|
УПД.3 |
Управление |
Diamond ACS |
40 |
|
(фильтрация, |
|
000 |
|
маршрутизация, |
|
|
|
контроль соединений, |
|
|
|
однонаправленная |
|
|
|
передача и иные |
|
|
|
способы управления) |
|
|
|
информационными |
|
|
|
потоками между |
|
|
|
устройствами, |
|
|
|
сегментами |
|
|
|
информационной |
|
|
|
системы, а также |
|
|
|
между |
|
|
|
информационными |
|
|
|
системами |
|
|
|
|
|
|
УПД.6 |
Ограничение |
Программа- |
20 |
|
неуспешных попыток |
фильтр |
000 |
|
входа в |
«AVPMonitor» |
|
|
информационную |
|
|
|
систему (доступа к |
|
|
|
информационной |
|
|
|
системе) |
|
|
|
|
|
|
УПД.11 |
Разрешение (запрет) |
СЗИ «Кайтен» |
50 |
|
действий |
|
000 |
|
пользователей, |
|
|
|
разрешенных до |
|
|
|
идентификации и |
|
|
|
аутентификации |
|
|
|
|
|
|
III. Ограничение программной среды (ОПС) |
|
||
|
|
|
|
ОПС.3 |
Установка |
Программа- |
2000 |
|
(инсталляция) только |
полифаг |
|
|
разрешенного к |
«Лаборатория |
|
|
использованию |
Касперского». |
|
|
программного |
|
|
|
обеспечения и (или) |
|
|
|
его компонентов |
|
|
|
|
|
|
V. Регистрация событий безопасности (РСБ) |
|
||
|
|
|
|
РСБ.1 |
Определение событий |
СЗИ «Кайтен» |
50 0 |
|
безопасности, |
|
00 |
|
|
|
|
|
|
4 |
|
|
|
подлежащих |
|
|
|
|
регистрации, и сроков |
|
|
|
|
их хранения |
|
|
|
|
|
|
|
РСБ.5 |
|
Мониторинг |
СЗИ «Кайтен» |
50 |
|
|
(просмотр, анализ) |
|
000 |
|
|
результатов |
|
|
|
|
регистрации событий |
|
|
|
|
безопасности и |
|
|
|
|
реагирование на них |
|
|
|
|
|
|
|
РСБ.7 |
|
Защита информации о |
СЗИ «Кайтен» |
50 |
|
|
событиях |
|
000 |
|
|
безопасности |
|
|
|
|
|
|
|
|
|
VI. Антивирусная защита (АВЗ) |
|
|
|
|
|
|
|
АВЗ.1 |
|
Реализация |
Программа- |
2000 |
|
|
антивирусной защиты |
полифаг |
|
|
|
|
«Лаборатория |
|
|
|
|
Касперского» |
|
|
|
|
|
|
АВЗ.2 |
|
Обновление базы |
Программа- |
2000 |
|
|
данных признаков |
полифаг |
|
|
|
вредоносных |
«Лаборатория |
|
|
|
компьютерных |
Касперского» |
|
|
|
программ (вирусов) |
|
|
|
|
|
|
|
|
VII. Обнаружение вторжений (СОВ) |
|
||
|
|
|
|
|
СОВ.1 |
|
Обнаружение |
Программа- |
0 |
|
|
вторжений |
монитор |
|
|
|
|
«Monitor» |
|
|
|
|
|
|
VIII. Контроль (анализ) защищенности персональных данных |
||||
|
|
(АНЗ) |
|
|
|
|
|
|
|
АНЗ.1 |
|
Выявление, анализ |
Программа- |
20 |
|
|
уязвимостей |
фильтр |
000 |
|
|
информационной |
«AVPMonitor» |
|
|
|
системы и |
|
|
|
|
оперативное |
|
|
|
|
устранение вновь |
|
|
|
|
выявленных |
|
|
|
|
уязвимостей |
|
|
|
|
|
|
|
5
АНЗ.2 |
|
Контроль установки |
Программа- |
0 |
|
|
обновлений |
монитор |
|
|
|
программного |
«Monitor» |
|
|
|
обеспечения, включая |
|
|
|
|
обновление |
|
|
|
|
программного |
|
|
|
|
обеспечения средств |
|
|
|
|
защиты информации |
|
|
|
|
|
|
|
АНЗ.5 |
|
Контроль правил |
Программа- |
20 |
|
|
генерации и смены |
фильтр |
000 |
|
|
паролей |
«AVPMonitor» |
|
|
|
пользователей, |
|
|
|
|
заведения и удаления |
|
|
|
|
учетных записей |
|
|
|
|
пользователей, |
|
|
|
|
реализации правил |
|
|
|
|
разграничения |
|
|
|
|
доступа, полномочий |
|
|
|
|
пользователей в |
|
|
|
|
информационной |
|
|
|
|
системе |
|
|
|
|
|
|
|
|
XII. Защита технических средств (ЗТС) |
|
||
|
|
|
|
|
ЗТС.3 |
|
Контроль и |
Процедуры |
0 |
|
|
управление |
аутентификации, |
|
|
|
физическим доступом |
мониторинг и |
|
|
|
к техническим |
аудит |
|
|
|
средствам, средствам |
|
|
|
|
защиты информации, |
|
|
|
|
средствам |
|
|
|
|
обеспечения |
|
|
|
|
функционирования, а |
|
|
|
|
также в помещения и |
|
|
|
|
сооружения, в |
|
|
|
|
которых они |
|
|
|
|
установлены, |
|
|
|
|
исключающие |
|
|
|
|
несанкционированный |
|
|
|
|
физический доступ к |
|
|
|
|
средствам обработки |
|
|
|
|
информации, |
|
|
|
|
средствам защиты |
|
|
|
|
информации и |
|
|
|
|
|
|
|
|
|
|
6 |
|
средствам
обеспечения
функционирования
информационной системы, в помещения и сооружения, в которых они установлены
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
ЗИС.3 |
Обеспечение защиты |
Программа- |
20 |
|
персональных данных |
фильтр |
000 |
|
от раскрытия, |
«AVPMonitor» |
|
|
модификации и |
|
|
|
навязывания (ввода |
|
|
|
ложной информации) |
|
|
|
при ее передаче |
|
|
|
(подготовке к |
|
|
|
передаче) по каналам |
|
|
|
связи, имеющим |
|
|
|
выход за пределы |
|
|
|
контролируемой зоны, |
|
|
|
в том числе |
|
|
|
беспроводным |
|
|
|
каналам связи |
|
|
|
|
|
|
XIV. Выявление инцидентов и реагирование на них (ИНЦ)
ИНЦ.1 |
Определение лиц, |
Формирование |
0 |
|
ответственных за |
инцидентных |
|
|
выявление |
команд |
|
|
инцидентов и |
|
|
|
реагирование на них |
|
|
|
|
|
|
ИНЦ.2 |
Обнаружение, |
Формирование |
0 |
|
идентификация и |
инцидентных |
|
|
регистрация |
команд |
|
|
инцидентов |
|
|
|
|
|
|
ИНЦ.4 |
Анализ инцидентов, в |
Опытный |
400 |
|
том числе |
аналитик |
000 |
|
определение |
|
|
|
источников и причин |
|
|
|
возникновения |
|
|
|
|
|
|
|
|
7 |
|
|
инцидентов, а также |
|
|
|
оценка их |
|
|
|
последствий |
|
|
|
|
|
|
ИНЦ.5 |
Принятие мер по |
Повышение |
10 |
|
устранению |
квалификации |
000 |
|
последствий |
IT специалистов |
|
|
инцидентов |
|
|
|
|
|
|
ИНЦ.6 |
Планирование и |
Повышение |
10 |
|
принятие мер по |
квалификации |
000 |
|
предотвращению |
IT специалистов |
|
|
повторного |
|
|
|
возникновения |
|
|
|
инцидентов |
|
|
|
|
|
|
XV. Управление конфигурацией информационной системы и |
|||
системы защиты персональных данных (УКФ) |
|
||
|
|
|
|
УКФ.1 |
Определение лиц, |
Ролевая |
0 |
|
которым разрешены |
политика и |
|
|
действия по внесению |
разграничение |
|
|
изменений в |
доступа (RBAC) |
|
|
конфигурацию |
|
|
|
информационной |
|
|
|
системы и системы |
|
|
|
защиты персональных |
|
|
|
данных |
|
|
|
|
|
|
Стоимость средств по обеспечению безопасности персональных данных
указана в таблице 2.
|
Наименование |
|
|
Количество |
|
|
Стоимость |
|
|
Общая |
|
|
|
|
|
|
|
|
|
||||
|
средства |
|
|
|
|
|
одного |
|
|
стоимость |
|
|
|
|
|
|
|
|
элемента |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СЗИ от НСД «Кайтен» |
165 |
|
20 000 |
|
2 200 000 |
|
||||
|
Класс зашиты – 1D |
|
|
|
|
|
|
|
|
|
|
|
Информационная |
|
|
|
|
|
|
|
|
|
|
|
система тип АС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
Веб-портал ViPNet |
10 |
|
0 |
|
0 |
|
||||
|
|
|
|
|
|
|
|
||||
|
Diamond ACS |
1 |
|
40 000 |
|
40 000 |
|
||||
|
|
|
|
|
|
|
|
||||
|
Программа-фильтр |
1 |
|
20 000 |
|
20 000 |
|
||||
|
«AVPMonitor» |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
|
|
|
|
|
Программа-полифаг |
|
165 |
|
2 000 |
|
330 000 |
|
«Лаборатория |
|
|
|
|
|
|
|
Касперского» |
|
|
|
|
|
|
|
Использование |
|
|
|
|
|
|
|
Kaspersky Total |
|
|
|
|
|
|
|
Security. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Программа-монитор |
|
100 |
|
0 |
|
0 |
|
«Monitor» |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Повышение |
|
91 |
|
10 000 |
|
910 000 |
|
квалификации IT |
|
|
|
|
|
|
|
специалистов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Межсетевое |
|
50 |
|
10 000 |
|
500 000 |
|
экранирование |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Средство доверенной |
|
10 |
|
30 000 |
|
300 000 |
|
загрузки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Planet VPN |
|
165 |
|
2000 |
|
330 000 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
4 670 |
|
|
|
|
|
|
|
|
000 |
|
|
|
|
|
|
|
||
Вывод: Можно |
уменьшить |
риски компании, благодаря внедрению |
|||||
комплекса мер. Цена составит 4 670 000, включая сопровождение.
9