МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ ПО ПРАКТИЧЕСКОЙ РАБОТЕ №15 По предмету «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студентка гр.
Руководитель
Санкт-Петербург
2023
ПОСТАНОВКА ЗАДАЧИ
Провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
2
ОСНОВНЫЕ РИСКИ ПРЕДПРИЯТИЯ
Угрозами для рассматриваемого предприятия являются:
Плохо протестированные изменения кода, затрагиваемые данные в
БД;
Несанкционированный доступ;
Сбой программного обеспечения;
Не установленные своевременно обновления и заплатки.
И наиболее опасным, и вероятным в реализации является риск плохо протестированного изменения кода, затрагиваемые данные в БД.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ И ЦЕНА ВНЕДРЕНИЯ
Всоответствии с методикой ФСТЭК 2021 года, возможно оценить класс защищенности ИС – К3. Исходя из этого, требуется построить таблицу, содержащую меры по обеспечению безопасности.
Втаблице ниже средства по обеспечению безопасности персональных данных выбраны в соответствии с требованиями для решения этого вопроса – оптимальны в цене, удобны в использовании.
|
СЗИ «ESET NOD32» |
|
Прост в использовании, надежен, не |
||||||||
|
|
|
|
|
|
требует доп.обеспечения |
|
|
|||
|
|
|
|
|
|
|
|
|
|
||
|
Веб-портал |
SharePoint Server |
|
|
Высокое |
качество, эффективность, |
|||||
|
|
|
|
|
|
широкий |
|
|
функционал, |
||
|
|
|
|
|
|
приспосабливание |
под |
||||
|
|
|
|
|
|
индивидуальные |
нужды компании, |
||||
|
|
|
|
|
|
легкая интеграция |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Diamond ACS |
|
|
Низкая |
стоимость, |
простая |
|
||||
|
|
|
|
|
|
адаптация средств к любой IT- |
|||||
|
|
|
|
|
|
инфраструктуре, |
высокая |
степень |
|||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
масштабируемости, |
|
|
|||
3
|
|
|
|
кроссплатформенность, |
удобство |
|
|||
|
|
|
|
установки |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Программа-фильтр «AVPMonitor» |
|
Проста |
в |
использовании, |
низкая |
||||
|
|
|
|
стоимость, удобство установки |
|||||
|
|
|
|
|
|
||||
Программа-полифаг |
|
«Kaspersky |
|
Прост в использовании, надежен, не |
|||||
Endpoint Security» |
|
|
|
требует доп.обеспечения |
|
|
|
||
|
|
|
|
|
|
|
|
||
Программа-монитор «Monitor» |
|
Проста |
в |
использовании, |
низкая |
||||
|
|
|
|
стоимость |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 1 |
||
|
|
|
|
|
|
|
|
|
|||
Условное |
Содержание |
мер |
по |
обеспечению |
Наименование |
|
Цена, |
||||
обозначени |
безопасности персональных данных |
|
|
средства |
|
руб. |
|
||||
е и номер |
|
|
|
|
|
|
|
|
|
|
|
меры |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||||||||||
|
|
|
|
|
|
|
|
||||
ИАФ.1 |
Идентификация |
и |
аутентификация |
Подсистема |
|
3 719 |
|
||||
|
пользователей, |
являющихся |
работниками |
управления |
|
|
|
||||
|
оператора |
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
|
|
|
|
СЗИ «Kaspersky |
|
|
|
|
|
|
|
|
|
|
|
Endpoint Security» |
|
|
|
|
|
|
|
|
|
|
|||||
ИАФ.4 |
Управление средствами аутентификации, |
в |
Подсистема |
|
3 719 |
|
|||||
|
том числе хранение, выдача, инициализация, |
управления |
|
|
|
||||||
|
блокирование |
средств |
аутентификации |
и |
пользователями |
|
|
|
|||
|
принятие мер в случае утраты и (или) |
СЗИ НСД |
|
|
|
||||||
|
компрометации средств аутентификации |
|
«Kaspersky |
|
|
|
|||||
|
|
|
|
|
|
|
|
Endpoint Security» |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ИАФ.5 |
Защита |
обратной |
связи |
при |
вводе |
Подсистема |
|
3 719 |
|
||
|
аутентификационной информации |
|
|
управления |
|
|
|
||||
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
|
|
|
|
СЗИ НСД |
|
|
|
|
|
|
|
|
|
|
|
«Kaspersky |
|
|
|
|
|
|
|
|
|
|
|
Endpoint Security» |
|
|
|
|
|
|
|
|
|
|
|
||||
ИАФ.6 |
Идентификация и аутентификация |
|
|
Веб-портал |
|
0 |
|
||||
|
пользователей, не являющихся работниками |
|
SharePoint Server |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
4
оператора (внешних пользователей)
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1 |
Управление |
|
(заведение, |
|
активация, |
|
СЗИ |
НСД |
3 719 |
||||
|
блокирование |
и |
уничтожение) |
учетными |
|
«Kaspersky |
|
|
|
||||
|
записями пользователей, в том числе |
|
Endpoint Security» |
|
|||||||||
|
внешних пользователей |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||
УПД.2 |
Реализация |
необходимых |
|
методов |
|
Diamond |
ACS |
|
40 |
||||
|
(дискреционный, |
мандатный, |
ролевой |
или |
|
|
|
|
000 |
||||
|
иной метод), типов (чтение, запись, |
|
|
|
|
|
|||||||
|
выполнение или иной тип) и правил |
|
|
|
|
|
|||||||
|
разграничения доступа |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||||
УПД.3 |
Управление |
(фильтрация, |
маршрутизация, |
|
Diamond ACS |
|
40 |
||||||
|
контроль соединений, |
однонаправленная |
|
|
|
|
000 |
||||||
|
передача и иные способы управления) |
|
|
|
|
|
|||||||
|
информационными |
потоками |
между |
|
|
|
|
|
|||||
|
устройствами, |
сегментами |
информационной |
|
|
|
|
|
|||||
|
системы, а также между информационными |
|
|
|
|
|
|||||||
|
системами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
УПД.6 |
Ограничение неуспешных попыток входа в |
|
Программа- |
|
|
20 |
|||||||
|
информационную |
систему |
(доступа |
к |
|
фильтр |
|
|
000 |
||||
|
информационной системе) |
|
|
|
|
|
«AVPMonitor» |
|
|||||
|
|
|
|
|
|
|
|||||||
УПД.11 |
Разрешение (запрет) действий пользователей, |
|
СЗИ «Kaspersky |
3 719 |
|||||||||
|
разрешенных |
до |
идентификации |
и |
|
Endpoint Security» |
|
||||||
|
аутентификации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
III. Ограничение программной среды (ОПС) |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
||||
ОПС.3 |
Установка |
(инсталляция) |
|
только |
|
Программа- |
|
|
0(пос |
||||
|
разрешенного |
|
к |
|
использованию |
|
полифаг |
|
|
тавля |
|||
|
программного обеспечения и (или) его |
|
«Kaspersky |
|
|
ется |
|||||||
|
компонентов |
|
|
|
|
|
|
|
|
Endpoint |
|
|
вмест |
|
|
|
|
|
|
|
|
|
|
Security». |
|
|
е с |
|
|
|
|
|
|
|
|
|
|
|
|
|
СЗИ) |
|
|
|
|
|
|
|
|||||||
|
V. Регистрация событий безопасности (РСБ) |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|||
РСБ.1 |
Определение |
|
событий |
|
безопасности, |
|
СЗИ «Kaspersky |
3 719 |
|||||
|
подлежащих |
регистрации, |
и |
|
сроков |
их |
|
Endpoint Security» |
|
||||
5
|
|
хранения |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
РСБ.5 |
|
Мониторинг (просмотр, анализ) результатов |
СЗИ «Kaspersky |
3 719 |
|||||
|
|
регистрации |
|
событий |
безопасности и |
Endpoint Security» |
|
||
|
|
реагирование на них |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||
РСБ.7 |
|
Защита |
информации |
о |
событиях |
СЗИ «Kaspersky |
3 719 |
||
|
|
безопасности |
|
|
|
|
Endpoint Security» |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|||
|
|
|
|
VI. Антивирусная защита (АВЗ) |
|
|
|||
|
|
|
|
|
|||||
АВЗ.1 |
|
Реализация антивирусной защиты |
Программа- |
0 |
|||||
|
|
|
|
|
|
|
|
полифаг |
(пост |
|
|
|
|
|
|
|
|
«Kaspersky |
авляе |
|
|
|
|
|
|
|
|
Endpoint Security» |
тся |
|
|
|
|
|
|
|
|
|
вмест |
|
|
|
|
|
|
|
|
|
е с |
|
|
|
|
|
|
|
|
|
СЗИ) |
|
|
|
|
|
|
|
|
|
|
АВЗ.2 |
|
Обновление |
|
базы |
данных |
признаков |
Программа- |
0 |
|
|
|
вредоносных |
компьютерных |
программ |
полифаг |
(пост |
|||
|
|
(вирусов) |
|
|
|
|
|
«Kaspersky |
авляе |
|
|
|
|
|
|
|
|
Endpoint Security» |
тся |
|
|
|
|
|
|
|
|
|
вмест |
|
|
|
|
|
|
|
|
|
е с |
|
|
|
|
|
|
|
|
|
СЗИ) |
|
|
|
|
|
|
||||
|
|
|
VII. Обнаружение вторжений (СОВ) |
|
|||||
|
|
|
|
|
|
|
|||
СОВ.1 |
|
Обнаружение вторжений |
|
|
Программа- |
0 |
|||
|
|
|
|
|
|
|
|
монитор |
|
|
|
|
|
|
|
|
|
«Monitor» |
|
|
|
|
|
|
|||||
|
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) |
|
|||||||
|
|
|
|
|
|
|
|
|
|
АНЗ.1 |
|
Выявление, |
|
анализ |
|
уязвимостей |
Программа- |
20 |
|
|
|
информационной системы |
и |
оперативное |
фильтр |
000 |
|||
|
|
устранение вновь выявленных уязвимостей |
«AVPMonitor» |
|
|||||
|
|
|
|
|
|
|
|
|
|
АНЗ.2 |
|
Контроль |
|
установки |
|
обновлений |
Программа- |
0 |
|
|
|
программного |
обеспечения, |
включая |
монитор |
|
|||
|
|
обновление |
|
программного |
|
обеспечения |
«Monitor» |
|
|
|
|
средств защиты информации |
|
|
Видеоконтроль |
|
|||
|
|
|
|
|
|||||
АНЗ.5 |
|
Контроль правил генерации и смены паролей |
Программа- |
20 |
|||||
|
|
|
|
|
|
|
|
|
|
6
|
пользователей, заведения и удаления учетных |
фильтр |
000 |
||||
|
записей пользователей, реализации правил |
«AVPMonitor» |
|
||||
|
разграничения |
доступа, |
полномочий |
|
|
||
|
пользователей в информационной системе |
|
|
|
|||
|
|
|
|
||||
|
XII. Защита технических средств (ЗТС) |
|
|||||
|
|
|
|
||||
ЗТС.3 |
Контроль и управление физическим доступом |
Видеоконтроль, |
10 |
||||
|
к техническим средствам, средствам защиты |
работники |
000 |
||||
|
информации, |
средствам |
обеспечения |
организации |
|
||
|
функционирования, а также в помещения и |
(охранники) |
|
||||
|
сооружения, в которых они установлены, |
|
|
||||
|
исключающие |
|
несанкционированный |
|
|
||
|
физический доступ к средствам обработки |
|
|
||||
|
информации, средствам защиты информации |
|
|
||||
|
и средствам обеспечения функционирования |
|
|
||||
|
информационной системы, в помещения и |
|
|
||||
|
сооружения, в которых они установлены |
|
|
|
|||
|
|
|
|
||||
XIII. Защита информационной системы, ее средств, систем связи и передачи данных |
|||||||
|
|
|
(3ИС) |
|
|
|
|
|
|
|
|
|
|||
ЗИС.3 |
Обеспечение защиты |
персональных данных |
Программа- |
20 |
|||
|
от раскрытия, модификации и навязывания |
фильтр |
000 |
||||
|
(ввода ложной информации) при ее передаче |
«AVPMonitor» |
|
||||
|
(подготовке к передаче) по каналам связи, |
|
|
||||
|
имеющим выход за пределы контролируемой |
|
|
||||
|
зоны, в том числе беспроводным каналам |
|
|
||||
|
связи |
|
|
|
|
|
|
|
|
|
|
||||
|
XIV. Выявление инцидентов и реагирование на них (ИНЦ) |
|
|||||
|
|
|
|
|
|
|
|
ИНЦ.1 |
Определение |
лиц, |
ответственных |
за |
Работники |
10 |
|
|
выявление инцидентов и реагирование на них |
организации |
000 |
||||
|
|
|
|
|
|
(охранники) |
|
|
|
|
|
||||
ИНЦ.2 |
Обнаружение, идентификация и регистрация |
Работники |
10 |
||||
|
инцидентов |
|
|
|
|
организации |
000 |
|
|
|
|
|
|
(охранники) |
|
|
|
|
|
||||
ИНЦ.4 |
Анализ инцидентов, в том числе определение |
Опытный |
200 |
||||
|
источников |
и причин |
возникновения |
аналитик |
000 |
||
|
|
|
|
|
|
|
|
7
|
инцидентов, а также оценка их последствий |
|
|
|
|
||||
|
|
|
|
|
|
|
|
||
ИНЦ.5 |
Принятие мер |
по устранению |
последствий |
Повышение |
|
|
10 |
||
|
инцидентов |
|
|
|
|
квалификации |
IT |
|
000 |
|
|
|
|
|
|
специалистов |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИНЦ.6 |
Планирование |
и |
принятие |
мер |
по |
Повышение |
|
|
10 |
|
предотвращению повторного возникновения |
квалификации |
IT |
|
000 |
||||
|
инцидентов |
|
|
|
|
специалистов |
|
|
|
|
|
|
|
|
|||||
XV. Управление конфигурацией информационной системы и системы защиты |
|
||||||||
|
|
персональных данных (УКФ) |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
УКФ.1 |
Определение |
лиц, |
которым |
разрешены |
Видеоконтроль, |
|
|
10 |
|
|
действия по внесению изменений в |
пропускной |
|
|
000 |
||||
|
конфигурацию |
информационной системы |
и |
контроль |
|
|
|
||
|
системы защиты персональных данных |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
Стоимость средств по обеспечению безопасности персональных данных указана в таблице 2.
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Наименование средства |
|
Количество |
Стоимость одного |
Общая |
||||||||
|
|
|
|
|
|
|
|
|
|
|
элемента |
стоимость |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
СЗИ «Kaspersky EndPoint Security» |
|
200 |
3 700 |
740 000 |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Веб-портал |
SharePoint Server |
|
|
10 |
0 |
0 |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Diamond ACS |
|
|
|
|
|
|
|
5 |
40 000 |
200 000 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Программа-фильтр «AVPMonitor» |
|
5 |
20 000 |
100 000 |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Программа-полифаг |
|
|
«Kaspersky |
200 |
0 |
0(поставляется |
||||||
|
Endpoint Security» |
|
|
|
|
|
|
|
вместе с СЗИ) |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Программа-монитор «Monitor» |
|
1 |
10 000 |
10 000 |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Повышение |
квалификации |
IT |
25 |
10 000 |
250 000 |
|
||||||
|
специалистов |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Видеоконтроль, |
|
пропускной |
25 |
10 000 |
250 000 |
|
||||||
|
контроль |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|||
|
VPN «Виртуальные приватные сети» |
5 |
10 000 |
50 000 |
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Система обнаружение вторжения |
|
5 |
50 000 |
250 000 |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого |
1 750 000 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8
ВЫВОДЫ
Можно уменьшить риски компании, благодаря внедрению комплекса мер. Цена составит 1 300 000, включая сопровождение.
9