МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ по практической работе №15
по дисциплине «Основы информационной безопасности»
Тема: РАЗРАБОТКА И ОЦЕНКА ВАРИАНТОВ СЗИ СООТВЕТСТВЕННО ПРОФИЛЮ РИСКА
Студент гр.
Преподаватель
Санкт-Петербург
2023
Цель работы.
Выбрать область на основе собранных материалов по конкретному предприятию,
организации или компании. Провести разработку списка контрмер, дать дополнительные рекомендации по проекту защиты.
Анализ угроз для исследуемого объекта ИС проводился в соответствии с руководящими документами ФСТЭК - Приказом ФСТЭК № 21 от 18.02.2013 и Приказом ФСТЭК № 17 от 11.02.2013.
Карта предприятия
Критические объекты
ПК с выходом в интернет;
Сервера;
Локальная сеть;
БД.
Показатели исходной защищенности ИСПДн
Компания работает с ИСПДн-И, так как не обрабатывает биометрические персональные данные и сведения, относящиеся к специальным категориям персональных данных. ИСПДн-И исследуемого объекта имеет средний уровень исходной защищенности, т.к. не менее 70% характеристик ИСПДн-И соответствуют уровню не ниже среднего.
Информация, содержащаяся в ИСПДн-И ИС «Приём» имеет средний уровень значимости (УЗ 2), так как для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба.
Определение масштаба
ИС имеет объектовый масштаб, так как она функционирует на объектах одной
организации и не имеет сегментов в территориальных органах, представительствах,
филиалах, подведомственных и иных организациях.
Определение класса ГИС
ИС относится к классу К2.
Актуальные меры защиты информации для класса ГИС К2 представлены в
таблице:
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы
Условное |
Меры защиты информации в информационных |
Продукт |
|||||
обозначе- |
|
|
системах |
|
|
|
|
ние и |
|
|
|
|
|
|
|
номер |
|
|
|
|
|
|
|
меры |
|
|
|
|
|
|
|
|
|
I. Идентификация и аутентификация |
|
||||
|
субъектов доступа и объектов доступа (ИАФ) |
|
|||||
ИАФ.1 |
Идентификация и аутентификация пользователей, |
Подсистема |
|||||
|
являющихся работниками оператора |
|
|
||||
|
|
|
управления |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.2 |
Идентификация и аутентификация устройств, в том |
Подсистема |
|||||
|
числе стационарных, мобильных и портативных |
||||||
|
управления |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.3 |
Управление |
идентификаторами, в том |
числе |
Подсистема |
|||
|
создание, |
|
присвоение, |
уничтожение |
|||
|
|
управления |
|||||
|
идентификаторов |
|
|
|
|||
|
|
|
|
пользователями |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.4 |
Управление |
средствами аутентификации, |
в том |
Подсистема |
|||
|
числе |
хранение, |
выдача, |
инициализация, |
|||
|
управления |
||||||
|
блокирование средств аутентификации и принятие |
||||||
|
пользователями |
||||||
|
мер в случае утраты и (или) компрометации средств |
||||||
|
СЗИ НСД «ИНАФ» |
||||||
|
аутентификации |
|
|
|
|
||
ИАФ.5 |
Защита |
|
обратной |
связи |
при |
вводе |
Подсистема |
|
аутентификационной информации |
|
|
||||
|
|
|
управления |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пользователями |
|
|
|
|
|
|
|
СЗИ НСД «ИНАФ» |
ИАФ.6 |
|
Идентификация и аутентификация пользователей, |
|
|
ФИС ГИА и |
|||||
|
не являющихся работниками оператора (внешних |
|
|
Приёма, ИС ЛК |
||||||
|
пользователей) |
|
|
|
|
|
|
|
||
|
|
|
|
II. Управление доступом |
|
|
|
|
||
|
|
субъектов доступа к объектам доступа (УПД) |
|
|
||||||
|
|
|
|
|||||||
УПД.1 |
|
Управление (заведение, активация, блокирование и |
СЗИ НСД «ИНАФ» |
|||||||
|
уничтожение) учетными записями пользователей, в |
|
|
|||||||
|
том числе внешних пользователей |
|
|
|
|
|||||
|
|
|
|
|
||||||
УПД.2 |
|
Реализация необходимых методов (дискреционный, |
|
Организационные |
||||||
|
мандатный, ролевой или иной метод), типов (чтение, |
|
меры |
|||||||
|
запись, выполнение или иной тип) и правил |
|
|
|
||||||
|
разграничения доступа |
|
|
|
|
|
||||
УПД.3 |
Управление (фильтрация, маршрутизация, контроль |
|
Межсетевой |
|||||||
|
соединений, однонаправленная |
передача |
и иные |
|
||||||
|
|
экран |
||||||||
|
способы |
управления) |
информационными |
потоками |
|
|||||
|
|
«Next Generation |
||||||||
|
между устройствами, |
сегментами информационной |
|
|||||||
|
|
Firewall(NGFW)» |
||||||||
|
системы, |
а также между информационными |
|
|
||||||
|
|
|
|
|||||||
|
системами |
|
|
|
|
|
|
|
||
УПД.4 |
|
Разделение полномочий (ролей), администраторов |
|
СЗИ НСД |
||||||
|
и |
лиц, |
обеспечивающих |
функционирование |
|
«ИНАФ» |
||||
|
информационной системы |
|
|
|
|
|
||||
УПД.5 |
|
Назначение минимально необходимых прав и |
|
СЗИ НСД |
||||||
|
привилегий пользователям, администраторам и |
|
«ИНАФ» |
|||||||
|
лицам, |
обеспечивающим |
функционирование |
|
|
|||||
|
информационной системы |
|
|
|
|
|
||||
УПД.6 |
|
Ограничение |
неуспешных |
попыток |
входа |
в |
СЗИ НСД «ИНАФ» |
|||
|
информационную |
систему |
(доступа |
к |
|
|
||||
|
информационной системе) |
|
|
|
|
|
||||
УПД.10 |
|
Блокирование сеанса доступа в информационную |
|
СЗИ НСД «ИНАФ» |
||||||
|
систему после установленного времени бездействия |
|
|
|||||||
|
(неактивности) пользователя или по его запросу |
|
|
|
||||||
УПД.11 |
|
Разрешение (запрет) действий пользователей, |
|
СЗИ НСД «ИНАФ» |
||||||
|
разрешенных до идентификации и аутентификации |
|
|
|
||||||
|
|
|
|
|
|
|
||||
УПД.13 |
|
Реализация |
защищенного удаленного |
доступа |
|
СЗИ НСД |
||||
|
субъектов доступа к объектам доступа через внешние |
|
«ИНАФ» |
|||||||
|
информационно-телекоммуникационные сети |
|
|
|
||||||
УПД.14 |
Регламентация |
и |
контроль |
использования |
в |
|
Система контроля |
|||
|
информационной системе технологий беспроводного |
|
и управления |
|||||||
|
доступа |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
доступом |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
УПД.15 |
Регламентация и контроль использования в |
Система контроля |
||||
|
информационной системе мобильных технических |
и управления |
||||
|
средств |
|
|
|
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
УПД.16 |
Управление взаимодействием с информационными |
Система контроля |
||||
|
системами |
сторонних организаций (внешние |
и управления |
|||
|
информационные системы) |
|
|
|||
|
|
|
доступом |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
УПД.17 |
Обеспечение |
доверенной |
загрузки |
средств |
Система контроля |
|
|
вычислительной техники |
|
|
и управления |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
«ControlGate» |
|
III. Ограничение программной среды (ОПС) |
|
||||
ОПС.2 |
Управление |
|
установкой |
(инсталляцией) |
Инструмент для |
|
|
компонентов программного обеспечения, в том числе |
установки пакетов |
||||
|
определение компонентов, подлежащих установке, |
для операционных |
||||
|
настройка параметров установки компонентов, |
систем на базе |
||||
|
контроль за установкой компонентов программного |
дистрибутивов |
||||
|
обеспечения |
|
|
|
|
Debian и Ubuntu – |
|
|
|
|
|
|
APT |
ОПС.3 |
Установка (инсталляция) только разрешенного к |
Нет ограничений |
||||
|
использованию программного обеспечения и (или) |
|
||||
|
его компонентов |
|
|
|
|
|
|
IV. Защита машинных носителей информации (ЗНИ) |
|||||
ЗНИ.1 |
Учет машинных носителей информации |
|
СЗИ НСД |
|||
|
|
|
|
|
|
«ИНАФ» |
ЗНИ.2 |
Управление доступом к машинным носителям |
СЗИ НСД |
||||
|
информации |
|
|
|
|
«ИНАФ» |
ЗНИ.5 |
Контроль |
использования |
интерфейсов |
ввода |
СЗИ НСД «ИНАФ» |
|
|
(вывода) информации на машинные носители |
|
||||
|
информации |
|
|
|
|
|
ЗНИ.8 |
Уничтожение (стирание) информации на машинных |
СЗИ НСД |
||||||
|
носителях при их передаче между пользователями, в |
«ИНАФ» |
||||||
|
сторонние организации для ремонта или утилизации, |
|
||||||
|
а также контроль |
|
|
|
|
|
||
|
уничтожения (стирания) |
|
|
|
|
|
||
|
V. Регистрация событий безопасности (РСБ) |
|
||||||
РСБ.1 |
Определение событий безопасности, подлежащих |
СЗИ НСД «ИНАФ» |
||||||
|
регистрации, и сроков их хранения |
|
|
|
|
|||
|
|
|
||||||
РСБ.2 |
Определение состава и содержания информации о |
СЗИ НСД «ИНАФ» |
||||||
|
событиях безопасности, подлежащих регистрации |
|
|
|||||
РСБ.3 |
Сбор, запись и хранение информации о событиях |
СЗИ НСД |
||||||
|
безопасности в течении установленного времени |
«ИНАФ» |
||||||
|
хранения |
|
|
|
|
|
|
|
РСБ.4 |
Реагирование на сбои при регистрации событий |
СЗИ НСД |
||||||
|
безопасности, в том числе аппаратные и программные |
«ИНАФ» |
||||||
|
ошибки, сбои в механизмах сбора информации |
и |
|
|||||
|
достижение предела или |
|
|
|
|
|
||
|
переполнения объема (емкости) памяти |
|
|
|
||||
РСБ.5 |
Мониторинг (просмотр, анализ) |
результатов |
СЗИ НСД «ИНАФ» |
|||||
|
регистрации событий безопасности и реагирование |
|
|
|||||
|
на них |
|
|
|
|
|
|
|
|
|
|
||||||
РСБ.6 |
Генерирование временных меток и (или) |
СЗИ НСД |
||||||
|
синхронизация |
системного |
времени |
в |
«ИНАФ» |
|||
|
информационной системе |
|
|
|
|
|||
РСБ.7 |
Защита информации о событиях безопасности |
|
СЗИ НСД «ИНАФ» |
|||||
|
|
|
|
|
||||
|
|
VI. Антивирусная защита (АВЗ) |
|
|
||||
АВЗ.1 |
Реализация антивирусной защиты |
|
|
|
Антивирус |
|||
|
|
|
|
|
|
|
|
Kaspersky Optimum |
|
|
|
|
|
|
|
|
Security |
АВЗ.2 |
Обновление базы данных признаков вредоносных |
Антивирус |
||||||
|
компьютерных программ (вирусов) |
|
|
|
Kaspersky Optimum |
|||
|
|
|
|
|
|
|
|
Security |
|
VII. Обнаружение вторжений (СОВ) |
|
|
|||||
СОВ.1 |
Обнаружение вторжений |
|
|
|
СЗИ НСД «ИНАФ» |
|||
СОВ.2 |
Обновление базы решающих правил |
|
|
|
СЗИ НСД «ИНАФ» |
|||
|
VIII. Контроль (анализ) защищенности информации (АНЗ) |
|||||||
АНЗ.1 |
Выявление, анализ уязвимостей информационной |
|
MaxPatrol |
|||||
|
системы и оперативное устранение вновь |
|
||||||
|
выявленных уязвимостей |
|
|
|
|
|
||
АНЗ.2 |
Контроль |
установки |
обновлений |
|
программного |
Сертифицированн |
||
|
обеспечения, |
|
включая |
обновление |
|
программного |
||
|
|
|
ая операционная |
|||||
|
обеспечения средств защиты информации |
|
||||||
|
|
система |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
АНЗ.3 |
Контроль |
работоспособности, |
параметров |
Операционная |
|||||||
|
настройки |
и |
правильности |
функционирования |
система Linux |
||||||
|
программного обеспечения и средств защиты |
|
Ubuntu |
||||||||
|
информации |
|
|
|
|
|
|
|
|
|
|
АНЗ.4 |
Контроль |
состава |
технических |
средств, |
Операционная |
||||||
|
программного обеспечения и средств защиты |
система Linux |
|||||||||
|
информации |
|
|
|
|
|
|
|
|
Ubuntu |
|
АНЗ.5 |
Контроль правил генерации и смены паролей |
Операционная |
|||||||||
|
пользователей, заведения и удаления учетных записей |
система Linux |
|||||||||
|
пользователей, |
реализации |
правил |
разграничения |
Ubuntu |
||||||
|
доступом, |
полномочий пользователей |
|
|
|
||||||
|
в информационной системе |
|
|
|
|
|
|
||||
|
|
|
IX. Обеспечение целостности |
|
|
|
|||||
|
информационной системы и информации (ОЦЛ) |
|
|||||||||
|
|
|
|||||||||
ОЦЛ.1 |
Контроль целостности программного обеспечения, |
Операционная |
|||||||||
|
включая программное обеспечение средств защиты |
система Linux |
|||||||||
|
информации |
|
|
|
|
|
|
|
|
Ubuntu |
|
ОЦЛ.3 |
Обеспечение |
|
возможности |
|
восстановления |
Операционная |
|||||
|
программного обеспечения, включая программное |
система Linux |
|||||||||
|
обеспечение средств защиты информации, при |
|
Ubuntu и штатные |
||||||||
|
возникновении нештатных ситуаций |
|
|
|
системы |
||||||
|
|
|
|
|
|
|
|
|
|
|
резервного |
|
|
|
|
|
|
|
|
|
|
|
копирования |
ОЦЛ.4 |
Обнаружение и реагирование на поступление в |
На серверах не |
|||||||||
|
информационную |
систему |
незапрашиваемых |
установлен |
|||||||
|
электронных сообщений (писем, документов) и иной |
почтовый клиент |
|||||||||
|
информации, не относящихся к функционированию |
|
|||||||||
|
информационной системы (защита от спама) |
|
|
|
|||||||
|
X. Обеспечение доступности информации (ОДТ) |
|
|||||||||
ОДТ.3 |
Контроль |
безотказного |
|
функционирования |
Сертифицированна |
||||||
|
технических средств, обнаружение и локализация |
|
я операционная |
||||||||
|
отказов функционирования, |
принятие |
мер |
по |
|||||||
|
система |
||||||||||
|
восстановлению |
отказавших |
средств |
и |
их |
||||||
|
«ControlGate» |
||||||||||
|
тестирование |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
ОДТ.4 |
Периодическое |
|
резервное |
|
копирование |
Самописные |
|||||
|
информации на резервные машинные носители |
компоненты |
|||||||||
|
информации |
|
|
|
|
|
|
|
|
резервного |
|
|
|
|
|
|
|
|
|
|
|
|
копирования |
|
|
|
|
|
|
|
|
|
|
|
данных в |
|
|
|
|
|
|
|
|
|
|
|
информационных |
|
|
|
|
|
|
|
|
|
|
|
системах |
ОДТ.5 |
Обеспечение |
возможности |
восстановления |
Самописные |
|
|
информации с резервных машинных носителей |
компоненты |
|||
|
информации (резервных копий) в течении |
резервного |
|||
|
установленного временного интервала |
|
копирования |
||
|
|
|
|
|
данных в |
|
|
|
|
|
информационных |
|
|
|
|
|
системах |
ОДТ.7 |
Контроль состояния и качества предоставления |
Система |
|||
|
уполномоченным лицом вычислительных ресурсов |
виртуализации |
|||
|
(мощностей), в том числе по передаче информации |
Proxmox и |
|||
|
|
|
|
|
встроенный |
|
|
|
|
|
мониторинг |
|
XI. Защита среды виртуализации (ЗСВ) |
|
|||
ЗСВ.1 |
Идентификация |
и аутентификация |
субъектов |
Система |
|
|
доступа и объектов доступа в виртуальной |
виртуализации |
|||
|
инфраструктуре, в том числе администраторов |
Proxmox и |
|||
|
управления средствами виртуализации |
|
операционная |
||
|
|
|
|
|
система Linux |
|
|
|
|
|
Ubuntu |
ЗСВ.2 |
Управление доступом субъектов доступа к |
Система |
|||
|
объектам доступа в виртуальной инфраструктуре, в |
виртуализации |
|||
|
том числе внутри виртуальных машин |
|
Proxmox |
||
ЗСВ.3 |
Регистрация событий безопасности в виртуальной |
Система |
|||
|
инфраструктуре |
|
|
|
виртуализации |
|
|
|
|
|
Proxmox |
ЗСВ.4 |
Управление (фильтрация, маршрутизация, контроль |
Система |
|||
|
соединения, однонаправленная передача) потоками |
виртуализации |
|||
|
информации между компонентами виртуальной |
Proxmox |
|||
|
инфраструктуры, а также по периметру виртуальной |
|
|||
|
инфраструктуры |
|
|
|
|
ЗСВ.6 |
Управление перемещением виртуальных машин |
Система |
|||
|
(контейнеров) и обрабатываемых на них данных |
виртуализации |
|||
|
|
|
|
|
Proxmox |
ЗСВ.7 |
Контроль |
целостности |
|
виртуальной |
Система |
|
инфраструктуры и ее конфигураций |
|
|
виртуализации |
|
|
|
|
|
|
Proxmox |
ЗСВ.8 |
Резервное копирование данных, резервирование |
Система |
|||
|
технических средств, программного обеспечения |
виртуализации |
|||
|
виртуальной инфраструктуры, а также каналов связи |
Proxmox |
|||
|
внутри виртуальной инфраструктуры |
|
|
|
|
ЗСВ.9 |
Реализация и управление антивирусной защитой в |
СЗИ НСД «ИНАФ» |
|||
|
виртуальной инфраструктуре |
|
|
|
|
|
|
|
|
|
|
ЗСВ.10 |
Разбиение |
виртуальной |
инфраструктуры на |
|
Система |
||
|
сегменты |
(сегментирование |
виртуальной |
|
виртуализации |
||
|
инфраструктуры) для обработки информации |
|
Proxmox |
||||
|
отдельным пользователем и (или) группой |
|
|
||||
|
пользователей |
|
|
|
|
|
|
|
XII. Защита технических средств (ЗТС) |
|
|||||
ЗТС.2 |
Организация |
контролируемой зоны, в пределах |
|
Организационные |
|||
|
которой постоянно размещаются |
стационарные |
|
меры |
|||
|
технические |
средства, |
обрабатывающие |
|
|
||
|
информацию, и средства защиты информации, а |
|
|
||||
|
также средства обеспечения функционирования |
|
|
||||
ЗТС.3 |
Контроль и управление физическим доступом к |
|
Организационные |
||||
|
техническим |
средствам, |
средствам |
защиты |
|
меры |
|
|
информации, |
средствам |
обеспечения |
|
|
||
|
функционирования, а также в помещения и |
|
|
||||
|
сооружения, в которых они установлены, |
|
|
||||
|
исключающие |
несанкционированный |
|
физический |
|
|
|
|
доступ к средствам обработки информации,средствам |
|
|
||||
|
защиты информации и средствам обеспечения |
|
|
||||
|
функционирования информационной |
|
|
|
|
||
|
системы и помещения и сооружения, в которых они |
|
|
||||
|
установлены |
|
|
|
|
|
|
ЗТС.4 |
Размещение |
устройств вывода (отображения) |
|
Организационные |
|||
|
информации, |
исключающее |
|
ее |
|
меры |
|
|
несанкционированный просмотр |
|
|
|
|
||
|
XIII. Защита информационной системы, |
|
|||||
|
ее средств, систем связи и передачи данных (ЗИС) |
|
|||||
|
|
|
|||||
ЗИС.1 |
Разделение в информационной системе функций по |
|
Организационные |
||||
|
управлению (администрированию) информационной |
|
меры |
||||
|
|
|
|
|
|
|
|