МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра Информационной безопасности
ОТЧЕТ ПО ПРАКТИЧЕСКОЙ РАБОТЕ №15 По предмету «Основы информационной безопасности»
Тема: Разработка и оценка вариантов СЗИ соответственно профилю риска
Студентка гр.
Руководитель
Санкт-Петербург
2023
ЦЕЛЬ РАБОТЫ
Провести разработку списка контрмер, дать дополнительные
рекомендации по проекту защиты.
2
Критические объекты
•ПК с выходом в интернет;
•Сервера;
•Локальная сеть;
•БД.
Показатели исходной защищенности ИСПДн
Компания работает с ИСПДн-И, так как обрабатывает общедоступные и специальные данные. ИСПДн-И исследуемого объекта имеет высокий уровень исходной защищенности, т.к. не менее 70% характеристик ИСПДн-И
соответствуют уровню не ниже высокого.
Информация, содержащаяся в ИСПДн-И ЭБС и локальная сеть НГУ имеет высокий уровень значимости (УЗ 1), так как хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности)
определенавысокая степень ущерба.
3
Определение масштаба
ЭБС и локальная сеть НГУ имеет объектный масштаб, так как функционирует на объекте одной организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
Состав мер защиты информации и их базовые наборы
|
|
|
|
|
|
|
Таблица 1 |
|
|
|
|
|
|
|
|||
Условное |
Содержание |
мер |
по |
обеспечению |
Наименование средства |
|||
обозначени |
безопасности персональных данных |
|
|
|
||||
е и номер |
|
|
|
|
|
|
|
|
меры |
|
|
|
|
|
|
|
|
|
|
|
||||||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||||||||
|
|
|
|
|
|
|
|
|
ИАФ.1 |
Идентификация |
и |
аутентификация |
Подсистема |
управления |
|||
|
пользователей, |
являющихся |
работниками |
пользователями |
|
|||
|
оператора |
|
|
|
|
|
СЗИ «Kaspersky |
Endpoint |
|
|
|
|
|
|
|
Security» |
|
|
|
|
|
|||||
ИАФ.4 |
Управление средствами аутентификации, в |
Подсистема |
управления |
|||||
|
том числе хранение, выдача, инициализация, |
пользователями |
|
|||||
|
блокирование |
средств |
аутентификации и |
СЗИ НСД «Kaspersky Endpoint |
||||
|
принятие мер в случае утраты и (или) |
|
Security» |
|
||||
|
компрометации средств аутентификации |
|
|
|||||
|
|
|
|
|
|
|
|
|
ИАФ.5 |
Защита |
обратной |
связи |
при |
вводе |
Подсистема |
управления |
|
|
аутентификационной информации |
|
пользователями |
|
||||
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
СЗИ НСД «Kaspersky Endpoint |
|
|
|
|
|
|
|
|
Security» |
|
|
|
|
|
|
|
|||
ИАФ.6 |
|
Идентификация и аутентификация |
|
|
Веб-портал SharePoint Server |
|||
|
|
пользователей, не являющихся работниками |
|
|
|
|||
|
|
оператора (внешних пользователей) |
|
|
|
|||
|
|
|
|
|
||||
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|
||||||
|
|
|
|
|
|
|
|
|
УПД.1 |
|
Управление |
(заведение, |
активация, |
СЗИ НСД «Kaspersky Endpoint |
|||
|
|
блокирование и уничтожение) учетными |
Security» |
|
||||
|
|
записями пользователей, в том числе внешних |
|
|
||||
|
|
пользователей |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
УПД.2 |
|
Реализация |
необходимых |
методов |
Diamond |
ACS |
||
|
|
(дискреционный, мандатный, ролевой или |
|
|
||||
|
|
иной метод), типов (чтение, запись, |
|
|
||||
|
|
выполнение или иной тип) и правил |
|
|
|
|||
|
|
разграничения доступа |
|
|
|
|
|
|
|
|
|
|
|
||||
УПД.3 |
|
Управление (фильтрация, маршрутизация, |
Diamond ACS |
|
||||
|
|
контроль соединений, |
однонаправленная |
|
|
|||
|
|
передача и иные способы управления) |
|
|
||||
|
|
информационными |
потоками |
между |
|
|
||
|
|
устройствами, |
сегментами информационной |
|
|
|||
|
|
системы, а также между информационными |
|
|
||||
|
|
системами |
|
|
|
|
|
|
|
|
|
|
|
||||
УПД.6 |
|
Ограничение неуспешных попыток входа в |
Программа-фильтр |
|
||||
|
|
информационную систему (доступа к |
«AVPMonitor» |
|
||||
|
|
информационной системе) |
|
|
|
|
||
|
|
|
|
|
||||
УПД.11 |
|
Разрешение (запрет) действий пользователей, |
СЗИ «Kaspersky |
Endpoint |
||||
|
|
разрешенных |
до |
идентификации |
и |
Security» |
|
|
|
|
аутентификации |
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
III. Ограничение программной среды (ОПС) |
|
|||||
|
|
|
|
|
|
|
|
|
ОПС.3 |
|
Установка |
(инсталляция) |
только |
Программа-полифаг |
|
||
|
|
разрешенного к использованию программного |
«Kaspersky Endpoint Security». |
|||||
|
|
обеспечения и (или) его компонентов |
|
|
|
|||
|
|
|
|
|
||||
|
|
V. Регистрация событий безопасности (РСБ) |
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
5 |
|
|
|
|
РСБ.1 |
|
Определение |
событий |
безопасности, |
СЗИ «Kaspersky Endpoint |
||
|
|
подлежащих регистрации, и сроков их |
Security» |
||||
|
|
|
|||||
|
|
хранения |
|
|
|
|
|
|
|
|
|
|
|
||
РСБ.5 |
|
Мониторинг (просмотр, |
анализ) |
результатов |
СЗИ «Kaspersky Endpoint |
||
|
|
регистрации |
событий |
|
безопасности и |
Security» |
|
|
|
|
|
||||
|
|
реагирование на них |
|
|
|
|
|
|
|
|
|
||||
РСБ.7 |
|
Защита информации о событиях безопасности |
СЗИ «Kaspersky Endpoint |
||||
|
|
|
|
|
|
|
Security» |
|
|
|
VI. Антивирусная защита (АВЗ) |
||||
АВЗ.1 |
|
Реализация антивирусной защиты |
Программа-полифаг |
||||
|
|
|
|
|
|
|
«Kaspersky Endpoint Security» |
|
|
|
|
|
|
|
|
АВЗ.2 |
|
Обновление |
базы |
данных |
признаков |
Программа-полифаг |
|
|
|
вредоносных |
компьютерных |
программ |
«Kaspersky Endpoint Security» |
||
|
|
(вирусов) |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
VII. Обнаружение вторжений (СОВ) |
||||
|
|
|
|
|
|
|
|
СОВ.1 |
|
Обнаружение вторжений |
|
|
Программа-монитор «Monitor» |
||
|
|
|
|
||||
|
VIII. Контроль (анализ) защищенности персональных данных (АНЗ) |
||||||
|
|
|
|
|
|
|
|
АНЗ.1 |
|
Выявление, |
анализ |
|
уязвимостей |
Программа-фильтр |
|
|
|
информационной системы и |
оперативное |
«AVPMonitor» |
|||
|
|
устранение вновь выявленных уязвимостей |
|
||||
|
|
|
|
|
|
|
|
АНЗ.2 |
|
Контроль |
установки |
|
обновлений |
Программа-монитор «Monitor» |
|
|
|
программного |
обеспечения, |
включая |
Организационные меры |
||
|
|
обновление программного обеспечения |
|
||||
|
|
средств защиты информации |
|
|
|||
|
|
|
|
||||
АНЗ.5 |
|
Контроль правил генерации и смены паролей |
Программа-фильтр |
||||
|
|
пользователей, заведения и удаления учетных |
«AVPMonitor» |
||||
|
|
записей пользователей, реализации правил |
|
||||
|
|
разграничения доступа, полномочий |
|
||||
|
|
пользователей в информационной системе |
|
||||
|
|
|
|
||||
|
|
XII. Защита технических средств (ЗТС) |
|||||
|
|
|
|
|
|
|
|
ЗТС.3 |
|
Контроль и управление физическим доступом |
Технические меры |
||||
|
|
к техническим средствам, средствам защиты |
|
||||
|
|
информации, |
средствам |
обеспечения |
|
||
|
|
функционирования, а также в помещения и |
|
||||
|
|
сооружения, |
в которых |
они установлены, |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
6 |
|
|
исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
ЗИС.3 Обеспечение защиты персональных данных от Программа-фильтр раскрытия, модификации и навязывания «AVPMonitor» (ввода ложной информации) при ее передаче
(подготовке к передаче) по каналам связи,
имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Стоимость средств по обеспечению безопасности персональных данных указана в таблице 2.
Был выбран антивирус Kaspersky Optimum Security с типом защиты САВЗ типа «В» - средства антивирусной защиты, предназначенные для применения на автоматизиованных рабочих местах информационной системы, что соответствует классу ГИС и уровню ИСПДн предприятия. Часть установлена на рабочих копьютерах, часть идёт на маршрутизаторы.
Программа-монитор «Monitor» позволяет отслеживает действия работников,
сама программа, в свою очередь, подходит классу и уровню защиты предприятия.
Сертифицированная программное обеспечение «Diamond ACS» - система контроля и разграничения доступа с возможностью подключения аппаратного модуля доверенной загрузки соответствует средствам контроля защищенности информации от НСД в АС по 2 уровню контроля НДВ (у пользователей равные полномочия в отношении всей информации), что подходит классу ГИС и уровню ИСПДн предприятия.
7
|
|
|
|
|
Таблица 2 |
|
|
|
|
||
Наименование средства |
Количество |
Стоимость |
Общая |
||
|
|
|
|
одного |
стоимость |
|
|
|
|
элемента |
|
|
|
|
|
|
|
СЗИ |
«Kaspersky |
Endpoint |
20 |
3 700 |
74 000 |
Security» |
|
|
|
|
|
|
|
|
|
||
Веб-портал SharePoint Server |
10 |
0 |
0 |
||
|
|
|
|
|
|
Diamond ACS |
|
5 |
40 000 |
200 000 |
|
|
|
|
|
|
|
Программа-фильтр |
|
5 |
20 000 |
100 000 |
|
«AVPMonitor» |
|
|
|
|
|
|
|
|
|
||
Программа-полифаг «Kaspersky |
20 |
0 |
0 |
||
Endpoint Security» |
|
|
|
|
|
|
|
|
|
||
Программа-монитор «Monitor» |
1 |
10 000 |
10 000 |
||
|
|
|
|
|
|
|
|
|
|
Итого |
384 000 |
|
|
|
|
|
|
8
ВЫВОДЫ
В ходе практической работы была проведена оценка исходной защищённости ИСПДн, определены уровень значимости, масштаб и класс ГИС,
разработан список контрмер. Также были даны дополнительные рекомендации по проекту защиты. Стоимость контрмер была оценена в 384 000 рублей.
9