МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ ПО ПРАКТИЧЕСКОЙ РАБОТЕ №15
По предмету «Основы информационной безопасности» Тема: Разработка и оценка вариантов СЗИ соответственно профилю
риска
Студентка гр.
Руководитель
Санкт-Петербург
2023
ЦЕЛЬ РАБОТЫ
Провести разработку списка контрмер, дать дополнительные
рекомендации по проекту защиты.
2
КОМПЛЕКС КОНТРМЕР И ЕГО ВЫБОР
3
4
Наиболее эффективный комплекс мер позволяет снизить остаточный риск до
приемлемого за 450,5 тыс. рублей
Комплекс мер 1
450,5 тыс. рублей – приемлемый уровень риска
5
|
Остаточный |
Уменьшение |
|
риск |
риска |
|
|
|
Модель: ООО "Восток" |
Риск до принятия мер: 966,67 |
|
|
|
|
Комплекс мер 1 |
306,48 |
660,19 |
Регион: г. Хабаровск |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ЛС: Офис в Хабаровске |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ПС: Серверная |
Риск до принятия мер: 722,02 |
|
Комплекс мер 1 |
124,33 |
597,69 |
Объект: Система криптографической защиты информации |
Риск до принятия мер: 76,19 |
|
Комплекс мер 1 |
0,00 |
76,19 |
Объект: Главные серверы компании |
Риск до принятия мер: 583,33 |
|
Комплекс мер 1 |
124,33 |
459,00 |
Объект: Серверные операционные системы |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
ПС: Коворкинг |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
|
|
|
Объект: Компьютеры общего пользования |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Принтер общего пользования |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
Объект: Операционные системы компьютеров общего |
Риск до принятия мер: 0,00 |
|
пользования |
|
|
Комплекс мер 1 |
0,00 |
0,00 |
ПС: Кабинеты сотрудников |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
Объект: Офисный компьютер |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
|
|
|
Объект: Операционная система офисного компьютера |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
ПС: Системы безопасности |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: Идентификация и аутентификация |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: КПП на входе в здание офиса |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
Критические объекты
•ПК с выходом в интернет;
•Сервера;
•Локальная сеть;
•БД.
Показатели исходной защищенности ИСПДн
Компания работает с ИСПДн-И, так как обрабатывает общедоступные и специальные данные. ИСПДн-И исследуемого объекта имеет высокий уровень
6
исходной защищенности, т.к. не менее 70% характеристик ИСПДн-И
соответствуют уровню не ниже высокого.
Информация, содержащаяся в ИСПДн-И ООО «Восток» имеет высокий уровень значимости (УЗ 1), так как хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.
Определение масштаба
ООО «Восток» имеет объектный масштаб, так как функционирует на объекте одной организации и не имеет сегментов в территориальных органах,
представительствах, филиалах, подведомственных и иных организациях.
Состав мер защиты информации и их базовые наборы
|
|
|
|
|
|
|
Таблица 1 |
|
|
|
|
|
|
|
|||
Условное |
Содержание |
мер |
по |
обеспечению |
Наименование средства |
|||
обозначени |
безопасности персональных данных |
|
|
|
||||
е и номер |
|
|
|
|
|
|
|
|
меры |
|
|
|
|
|
|
|
|
|
|
|
||||||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||||||||
|
|
|
|
|
|
|
|
|
ИАФ.1 |
Идентификация |
и |
аутентификация |
Подсистема |
управления |
|||
|
пользователей, |
являющихся |
работниками |
пользователями |
|
|||
|
оператора |
|
|
|
|
|
СЗИ «Kaspersky |
Endpoint |
|
|
|
|
|
|
|
Security» |
|
|
|
|
|
|||||
ИАФ.4 |
Управление средствами аутентификации, в |
Подсистема |
управления |
|||||
|
том числе хранение, выдача, инициализация, |
пользователями |
|
|||||
|
блокирование |
средств |
аутентификации и |
СЗИ НСД «Kaspersky Endpoint |
||||
|
принятие мер в случае утраты и (или) |
Security» |
|
|||||
|
компрометации средств аутентификации |
|
|
|||||
|
|
|
|
|
|
|
|
|
ИАФ.5 |
Защита |
обратной |
связи |
при |
вводе |
Подсистема |
управления |
|
|
аутентификационной информации |
|
пользователями |
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7 |
|
|
|
|
|
|
|
|
|
|
СЗИ НСД «Kaspersky Endpoint |
|
|
|
|
|
|
|
|
Security» |
|
|
|
|
|
|
|
|
||
ИАФ.6 |
|
Идентификация и аутентификация |
|
|
Веб-портал SharePoint Server |
|||
|
|
пользователей, не являющихся работниками |
|
|
|
|||
|
|
оператора (внешних пользователей) |
|
|
|
|||
|
|
|
|
|
||||
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
||||||
|
|
|
|
|
|
|
||
УПД.1 |
|
Управление |
(заведение, |
активация, |
СЗИ НСД «Kaspersky Endpoint |
|||
|
|
блокирование и уничтожение) учетными |
Security» |
|
||||
|
|
записями пользователей, в том числе внешних |
|
|
||||
|
|
пользователей |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
УПД.2 |
|
Реализация |
необходимых |
методов |
Diamond |
ACS |
||
|
|
(дискреционный, мандатный, ролевой или |
|
|
||||
|
|
иной метод), типов (чтение, запись, |
|
|
||||
|
|
выполнение или иной тип) и правил |
|
|
||||
|
|
разграничения доступа |
|
|
|
|
|
|
|
|
|
|
|
||||
УПД.3 |
|
Управление (фильтрация, маршрутизация, |
Diamond ACS |
|
||||
|
|
контроль соединений, |
однонаправленная |
|
|
|||
|
|
передача и иные способы управления) |
|
|
||||
|
|
информационными |
потоками |
между |
|
|
||
|
|
устройствами, |
сегментами информационной |
|
|
|||
|
|
системы, а также между информационными |
|
|
||||
|
|
системами |
|
|
|
|
|
|
|
|
|
|
|
||||
УПД.6 |
|
Ограничение неуспешных попыток входа в |
Программа-фильтр |
|
||||
|
|
информационную систему (доступа к |
«AVPMonitor» |
|
||||
|
|
информационной системе) |
|
|
|
|
||
|
|
|
|
|
||||
УПД.11 |
|
Разрешение (запрет) действий пользователей, |
СЗИ «Kaspersky |
Endpoint |
||||
|
|
разрешенных |
до |
идентификации |
и |
Security» |
|
|
|
|
аутентификации |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
III. Ограничение программной среды (ОПС) |
|
|||||
|
|
|
|
|
|
|
||
ОПС.3 |
|
Установка |
(инсталляция) |
только |
Программа-полифаг |
|
||
|
|
разрешенного к использованию программного |
«Kaspersky Endpoint Security». |
|||||
|
|
обеспечения и (или) его компонентов |
|
|
|
|||
|
|
|
|
|
||||
|
|
V. Регистрация событий безопасности (РСБ) |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
8 |
|
|
|
|
РСБ.1 |
|
Определение |
событий |
безопасности, |
СЗИ «Kaspersky Endpoint |
||
|
|
подлежащих регистрации, и сроков их |
Security» |
||||
|
|
|
|||||
|
|
хранения |
|
|
|
|
|
|
|
|
|
|
|
||
РСБ.5 |
|
Мониторинг (просмотр, |
анализ) |
результатов |
СЗИ «Kaspersky Endpoint |
||
|
|
регистрации |
событий |
|
безопасности и |
Security» |
|
|
|
|
|
||||
|
|
реагирование на них |
|
|
|
|
|
|
|
|
|
||||
РСБ.7 |
|
Защита информации о событиях безопасности |
СЗИ «Kaspersky Endpoint |
||||
|
|
|
|
|
|
|
Security» |
|
|
|
VI. Антивирусная защита (АВЗ) |
||||
АВЗ.1 |
|
Реализация антивирусной защиты |
Программа-полифаг |
||||
|
|
|
|
|
|
|
«Kaspersky Endpoint Security» |
|
|
|
|
|
|
|
|
АВЗ.2 |
|
Обновление |
базы |
данных |
признаков |
Программа-полифаг |
|
|
|
вредоносных |
компьютерных |
программ |
«Kaspersky Endpoint Security» |
||
|
|
(вирусов) |
|
|
|
|
|
|
|
|
|
||||
|
|
VII. Обнаружение вторжений (СОВ) |
|||||
|
|
|
|
|
|
||
СОВ.1 |
|
Обнаружение вторжений |
|
|
Программа-монитор «Monitor» |
||
|
|
|
|
||||
|
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) |
||||||
|
|
|
|
|
|
|
|
АНЗ.1 |
|
Выявление, |
анализ |
|
уязвимостей |
Программа-фильтр |
|
|
|
информационной системы и |
оперативное |
«AVPMonitor» |
|||
|
|
устранение вновь выявленных уязвимостей |
|
||||
|
|
|
|
|
|
|
|
АНЗ.2 |
|
Контроль |
установки |
|
обновлений |
Программа-монитор «Monitor» |
|
|
|
программного |
обеспечения, |
включая |
Организационные меры |
||
|
|
обновление |
программного |
обеспечения |
|
||
|
|
средств защиты информации |
|
|
|||
|
|
|
|
||||
АНЗ.5 |
|
Контроль правил генерации и смены паролей |
Программа-фильтр |
||||
|
|
пользователей, заведения и удаления учетных |
«AVPMonitor» |
||||
|
|
записей пользователей, реализации правил |
|
||||
|
|
разграничения |
доступа, |
полномочий |
|
||
|
|
пользователей в информационной системе |
|
||||
|
|
|
|
||||
|
|
XII. Защита технических средств (ЗТС) |
|||||
|
|
|
|
||||
ЗТС.3 |
|
Контроль и управление физическим доступом |
Технические меры |
||||
|
|
к техническим средствам, средствам защиты |
|
||||
|
|
информации, |
средствам |
обеспечения |
|
||
|
|
функционирования, а также в помещения и |
|
||||
|
|
сооружения, в |
которых |
они установлены, |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
9 |
|
|
исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
ЗИС.3 Обеспечение защиты персональных данных от Программа-фильтр раскрытия, модификации и навязывания «AVPMonitor» (ввода ложной информации) при ее передаче
(подготовке к передаче) по каналам связи,
имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Стоимость средств по обеспечению безопасности персональных данных указана в таблице 2.
Был выбран антивирус Kaspersky Optimum Security с типом защиты САВЗ типа «В» - средства антивирусной защиты, предназначенные для применения на автоматизиованных рабочих местах информационной системы, что соответствует классу ГИС и уровню ИСПДн предприятия. Часть установлена на рабочих копьютерах, часть идёт на маршрутизаторы.
Программа-монитор «Monitor» позволяет отслеживаь действия работников,
сама программа, в свою очередь, подходит классу и уровню защиты предприятия.
Сертифицированная программное обеспечение «Diamond ACS» - система контроля и разграничения доступа с возможностью подключения аппаратного модуля доверенной загрузки соответствует средствам контроля защищенности информации от НСД в АС по 2 уровню контроля НДВ (у пользователей равные полномочия в отношении всей информации), что подходит классу ГИС и уровню ИСПДн предприятия.
10