Файл: Министерство связи и массовых коммуникаций российской федерации государственное образователньое учреждение высшего профессионального образования.docx

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛНЬОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ им. Проф. М.А. БОНЧ-БРУЕВИЧА»

Факультет Информационных систем и технологий

Кафедра Информационных управляющих систем

РАБОТА
ЗАЩИЩЕНА С ОЦЕНКОЙ

ПРЕПОДАВАТЕЛЬ

Проф., д.т.н.		Н. Н. Мошак
должность, уч. степень, звание	подпись, дата	инициалы, фамилия
ПРАКТИЧЕСКАЯ РАБОТА №2 «Оценка риска информационной безопасности корпоративной информационной системы на основе модели информационных потоков»
по курсу: Безопасность информационных технологий и систем

РАБОТУ ВЫПОЛНИЛ

СТУДЕНТ ГР. №	ИБ-02з		14.06.2023		Руднев Н. О.
			подпись, дата		инициалы, фамилия

Санкт-Петербург

2023

Содержание

Цель работы 2

Таблица 1 – Весовые коэффициенты аппаратных средств 6

Таблица 4 – Предполагаемый ущерб организации 10

Расчет рисков по угрозе нарушения конфиденциальности 10

Таблица 6 – Результаты расчетов результирующего коэффициента 12

Таблица 7 – Результаты расчета итоговых коэффициентов 13

Таблица 8 – Расчет итоговой вероятности 14

Таблица 9 – Расчет рисков по угрозе конфиденциальность 14

Расчет рисков по угрозе нарушения доступности 16

Таблица 10 – Результаты расчетов коэффициентов локальной защищенности 16

Таблица 11 – Результаты расчетов результирующего коэффициента 17

Таблица 12 – Результаты расчета итоговых коэффициентов 18

Таблица 13 – Расчет итоговой вероятности 19

Таблица 14 – Расчёт риска по угрозе «Доступность» 19

Расчет рисков по угрозе нарушения «Целостность» 21

Таблица 15 – Результаты расчетов коэффициентов локальной защищенности 21

Таблица 16 – Результаты расчетов результирующего коэффициента 22

Таблица 17 – Результаты расчета итоговых коэффициентов 23

Таблица 18 – Расчет итоговой вероятности 24

Таблица 19 – Расчет рисков по угрозе целостность 24

Вывод 26

Цель работы

Цель работы – рассчитать риск информационной безопасности корпоративной информационной системы на основе модели информационных потоков.

В качестве объекта оценки информационных активов возьмём локальную вычислительную сеть торговой компании «Индекс», схема которой представлена на рисунке 1.

Рисунок 1 – структура локальной вычислительной сети торговой компании «Индекс»

На рисунке 1 можно видеть, что локальная вычислительная сеть содержит три основных подсети, одну закрытого контура и две открытого контура. -
В закрытой подсети используется следующее оборудование:

аппаратно-программный комплекс шифрования «Континент». Основной и дополнительный серверы закрытого контура фирмы Dell PowerEdge R610;
маршрутизатор Cisco 871-K9 со всторенным межсетевым экраном;
коммутатор Cisco WS-C3560G-24TS-S.
моноблоки ACER Aspire C24-963;
ноутбуки LENOVO IdeaPad S145-15API, 81UT007FRK;
принтеры Xerox Phaser 3020.

В открытых подсетях используется следующее оборудование:

Резервный (вторичный) сервер открытого контура фирмы Dell PowerEdge R610;
модульные маршрутизаторы доступа TP-Link TL-R460;
коммутатор Cisco WS-C3560G-24TS-S.
моноблоки ACER Aspire C24-963;
ноутбуки LENOVO IdeaPad S145-15API, 81UT007FRK;
принтеры Xerox Phaser 3020.

В закрытом контуре подключены ПЭВМ следующих отделов:

директор администрации
отдела кадров;
юридического отдела;
отдела информационной безопасности;
отдела технической поддержки.

В открытом контуре подключены ПЭВМ сотрудников

отдела экономики и прогнозирования;
отдела архитектуры и строительства;
отдела по управлению муниципальным имуществом;
отдела охраны природы;
отдела физической культуры и спорта;
отдела по вопросам культуры и туризма;
отдела образования и молодежной политики;
отдела по гражданской защите и пожарной безопасности.

Все сотрудники, которые по своим функциональным обязанностям должны пользоваться ресурсами сети Интернет имеют, подключенные к данной сети ПЭВМ. На данных ПЭВМ запрещена обработка информации ограниченного распространения.

ПЭВМ, на которых обрабатывается информация

, относящаяся к служебной тайне, к Интернету не подключается.

ПЭВМ, на которых обрабатывается информация, содержащая персональные данные и сведения составляющие коммерческую тайну, подключаются к локальной вычислительной сети через аппаратно-программный комплекс шифрования «Континент». Обмен данной информацией осуществляется между вышестоящими и взаимодействующими Администрациями.

На основном сервере закрытого контура храниться следующая информация, имеющая ценность для администрации:

Отчеты о выплатах заработных плат;
Клиентская база;
Данные о сотрудниках компании;
Налоговые декларации;
Сведения реестра по учету муниципального имущества;
Схема информационной сети организации;
Перечень оборудования, используемого в сети.

Эти данные хранятся на файловом и резервируются на сервере Backup`ов. Следует отметить, что на сервер Backup`ов скидывается общедоступная информация из отделов, которые подключены к открытым контурам. Это сделано, для того, чтобы в случае отказа сервера в открытом контуре, у компании была бы возможность быстрого восстановления необходимых для работы данных.

Отметим, что к серверам открытого контура имеют доступ все сотрудники компании. К файловому имеют доступ:

директор администрации
отдела кадров;
юридического отдела;
отдела информационной безопасности;
отдела технической поддержки.

К информации, хранящейся на сервере Backup`ов, имеют доступ только сотрудники отдела информационной безопасности и отдела технической поддержки.

В таблице 1 представлены средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства.

Таблица 1 – Весовые коэффициенты аппаратных средств

Средства защиты	Весовые коэффициенты
Сервер закрытого контура
Средства физической защиты
[Д, К] Контроль доступа в серверную (отсутствие окон, физическая охрана, дверь с кодовым замком, видеонаблюдение, датчики движения, допуск осуществляется по графику и разрешен только одновременно двум сотрудникам (один из отдела технической поддержки, второй из отдела информационной безопасности)	30
Средства локальной защиты
[К, Ц] Настроенная политика аудита (учет всех действий на сервере, в т. ч. авторизация, выход из учетной записи, модификации данных). Отсутствие дисководов и USB-портов (исключение возможности использования внешних носителей с предположительно вредоносным кодом и/или выгрузки информации)	26
Средства корпоративной защиты
[Д, К, Ц] Межсетевой экран. Система антивирусной защиты.	35
[Ц] Система обнаружения и предотвращения утечек (DLP-система)	20
Средства резервирования и контроля целостности
[Д, Ц] Средства создания резервной копии (резервная копия создается каждые три дня в соответствии с политикой безопасности организации)	22
[Ц] Аппаратная система контроля целостности	25
Средства защиты открытого сервера
Средства физической защиты
[Д, К] Контроль доступа в серверную (отсутствие окон, физическая охрана, дверь с кодовым замком, видеонаблюдение, датчики движения, допуск осуществляется по графику и разрешен только одновременно двум сотрудникам (один из отдела технической поддержки, второй из отдела информационной безопасности)	30
Средства локальной защиты
[К, Ц] Настроенная политика аудита (учет всех действий на сервере, в т. ч. авторизация, выход из учетной записи, модификации данных). Отсутствие дисководов и USB-портов (исключение возможности использования внешних носителей с предположительно вредоносным кодом и/или выгрузки информации).	32
Средства корпоративной сетевой защиты
[Д, К, Ц] Межсетевой экран. Система антивирусной защиты. Система обнаружения и предотвращения утечек (DLP-система).	18
Средства резервирования и контроля целостности
[Д, Ц] Средства создания резервной копии (резервная копия создается каждые три дня в соответствии с политикой безопасности организации). Аппаратная система контроля целостности.	24
Средства защиты информации
Средства локальной защиты
[Ц, Д] Использование средств криптографической защиты информации. Распределение прав доступа к информации в соответствии с матрицей доступа	32
[К, Ц] Наличие соглашений о конфиденциальности (исключение разглашения конфиденциальной информации сотрудниками организации)	15
Средства резервирования и контроля целостности
[Д, Ц] Средства создания резервной копии (резервная копия создается каждыетри дня в соответствии с политикой безопасности организации). Аппаратная система контроля целостности	26
Средства защиты рабочих мест
Средства физической защиты
[Д, К] Контроль доступа в помещение (дверь с замком, видеонаблюдение, датчики движения)	25
Средства локальной защиты
[Д, К, Ц] Наличие соглашений о конфиденциальности (исключение разглашения конфиденциальной информации сотрудниками организации). Настроенная локальная политика безопасности на каждом рабочем месте (распределение прав доступа, парольная политика, аудит действий пользователя).	28
[К, Ц] Отсутствие дисководов и USB-портов. Средства антивирусной защиты (антивирусный монитор)	14
Средства персональной сетевой защиты
[Д, К, Ц] Система криптозащиты электронной почты. Наличие персонального межсетевого экрана на каждом АРМ	16

В квадратных скобках отмечено, какой тип угрозы закрывает каждое средство, сокращения соответствуют:

 Д – угрозе Доступности;

 К – угрозе Конфиденциальности;

 Ц – угрозе Целостности.
Приведем сводную таблицу с описанием видов доступа (локальный или удаленный) и прав доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей, если речь идет об отделах). Также добавим отдельную графу, в которую вынесем нужно или нет конкретному пользователю (отделам) VPN-соединение.

Предположим, что отдел информационной безопасности периодически контролирует деятельность других отделов – необходимо наличие двух информационных потоков от специалистов данного отдела к открытому и закрытому контурам. Отдел кадров и финансовый отделы собирают информацию о работе организации, каждый свою, поэтому и им необходимо взаимодействовать с обоими контурами.

В целях безопасности запретим информационным потокам право на удаление, а для всех потоков, что идут через закрытый сервер – еще и запись, во избежание уничтожения и модификации информации (что может привести к торможению рабочего процесса организации и к финансовым и человек/часовым потерям).
Таблица 2 – Виды доступа сотрудников отдела

Информационный поток	Вид доступа	Права доступа	VPN-соединение	Количество человек
Отдел информационной безопасности – Сервер закрытого контура	Локальный	Чтение, запись,	Не требуется	5
Отдел информационной безопасности – Сервер открытого контура	Локальный	Чтение, запись,	Не требуется	5
Отдел кадров – Сервер закрытого контура	Локальный	Чтение, запись,	Не требуется	15
Отдел кадров – Сервер открытого контура	Локальный	Чтение, запись,	Не требуется	15
Финансовый отдел – Сервер закрытого контура	Локальный	Чтение, запись,	Не требуется	14
Финансовый отдел – Сервер открытого контура	Локальный	Чтение, запись,	Не требуется	14
Удалённый сотрудник – Сервер закрытого контура	Удалённый	Чтение	Да	8
Удалённый сотрудник – Сервер открытого контура	Удалённый	Чтение, запись	Да	8

Смотрите также файлы

Функциональные области логистики.docx

Фонд оценочных средств для проведения промежуточной аттестации обучающихся по практике.docx

Отчет по экскурсии.docx

Сущность анализа дебиторской и кредиторской задолженностей.docx

Склад строительных материалов.pdf

Файл: Министерство связи и массовых коммуникаций российской федерации государственное образователньое учреждение высшего профессионального образования.docx

Содержание

Цель работы

Таблица 1 – Весовые коэффициенты аппаратных средств

Смотрите также файлы

Информация

Списки файлов

Дополнительно