Файл: Отчет по учебной практике по пм 01 Эксплуатация автоматизированных (информационных) систем в защищенном исполнении.doc
Добавлен: 26.10.2023
Просмотров: 1049
Скачиваний: 48
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Злоумышленник – это человек, совершивший преступление, которое он заранее задумал.
Злоумышленник отличается от нарушителя, тем что он совершает преступление намеренно, обдумывая его заранее, а нарушитель может совершить преступление случайно.
Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности» [13].
Рассмотрим кто будет ответственным за обеспечение защиты информации, характеристику систем и сетей как объекта защиты, взаимодействие с системами других организация и технологии используемые организации «Библиотека».
Таблица 4 – Ответственность за обеспечение защиты информации
| № | Роль подразделения (должностного лица) | Должностное лицо, подразделение |
| 1 | Ответственный за обеспечения безопасности ПДн и за защиту информации, не содержащей сведения составляющих государственную тайну | Начальник отдела ИТ |
| 2 | Ответственный за планирование и контроль мероприятий по обеспечению ИБ | Специалист по обеспечению информационной безопасности |
Продолжение таблицы 4
| № | Роль подразделения (должностного лица) | Должностное лицо, подразделение |
| 3 | Ответственный за управление (администрирования) системы защиты информации (подсистемы безопасности) | Системный администратор |
| 4 | Ответственный за выявление компьютерных инцидентов и реагирование на них | Специалист по обеспечению информационной безопасности |
| 5 | Сотрудник, которому разрешены действия по внесению изменений в конфигурации | Cпециалист по обеспечению защиты информации |
| 6 | Администратор безопасности значимого объекта | Системный администратор |
| 7 | Структурное подразделение, осуществляющее функции по обеспечению ИБ | Отдел ИБ |
Таблица 5 - Описание систем и сетей их характеристика как объекта защиты
| № | Характеристики | Значение характеристик |
| 1 | Программно-аппаратные средства | Внешние аппаратные устройства (клавиатура, мышь, принтеры), информационные системы организации, базы данных, автоматизированные системы. |
| 2 | Общее системное ПО | Операционные системы Windows 10 |
| 3 | Прикладное ПО | Набор прикладных программ MicrosoftOffice, электронные таблицы, графические редакторы, ПО для воспроизведения мультимедийных данных. |
| 4 | Средства защиты информации | Антивирус Kaspersky |
Таблица 6 - Взаимодействие с системами других организаций
| Наименование системы | Тип системы | Цель взаимодействия | Характеристики взаимодействий | Передаваемая информация |
| Банки России | Экономическая | Получение услуг | Получение услуг | Персональные данные сотрудников и клиентов |
| Кадровое агентство | Социальная | Сотрудничество | Получение новых кадров | Персональные данные |
| ФСТЭК | Правовая | Получение услуг | Передача информации | Нормативно-правовые акты |
Таблица 7 - Технологии используемые на предприятии
| № | Технология | Используется/Не используется |
| 1 | Съемные носители информации | Используется |
| 2 | Технологии виртуализации | Не используется |
| 3 | Технологии беспроводного доступа | Используется |
| 4 | Мобильные технические средства | Не используется |
| 5 | Веб серверы | Используется |
| 6 | Технология веб доступа | Используется |
| 7 | Смарт-карты | Не используется |
| 8 | Технология грид-систем | Не используется |
| 9 | Технология суперкомпьютерных систем | Не используется |
| 10 | Большие данные | Используется |
| 11 | Числовое программное оборудование | Не используется |
| 12 | Одноразовые пароли | Не используется |
| 13 | Электронная почта | Используется |
| 14 | Технология передачи видеоинформации | Используется |
| 15 | Технология удаленного рабочего стола | Не используется |
| 16 | Т. Удаленного администрирования | Используется |
| 17 | Т. Удаленного доступа | Используется |
| 18 | Т. Передачи речи | Используется |
| 19 | Т. ИИ | Не используется |
Таблица 8 – Возможные негативные последствия от реализации угроз безопасности информации
| Идентификатор | Негативные последствия(НП) | Виды риска(ущерб) |
| НП1 | Принятие неправильных решений | У3 |
| НП.2 | Разглашение персональных данных граждан | У1 |
| НП.3 | Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) | У3 |
| НП.4 | Нарушение неприкосновенности частной жизни | У1 |
| НП.5 | Нарушение личной, семейной тайны, утрата чести и доброго имени | У1 |
| НП.6 | Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах | У1 |
| НП.7 | Нарушение кониденциальности (утечка) персональных данных | У1 |
| НП.8 | Нарушение законодательства Российской Федерации (юридическое лицо, индивидуальный предприниматель) | У2 |
| НП.9 | Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций | У2 |
| НП.10 | Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств) | У2 |
| НП.11 | Потеря клиентов, поставщиков | У3 |
| НП.13 | Нарушение деловой репутации | У3 |
| НП.14 | Утрата доверия | У3 |
| НП.15 | Утечка информации ограниченного доступа | У3 |
| НП.16 | Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) | У2 |
У1 – ущерб физическому лицу.
У2 – Риски юридическому лицу, ИП связанные с хоз. деятельностью.
У3 – Ущерб государству в области обороны страны, безопасности государства и правопорядка, а также социальный, экономической, политической, экологической сферах деятельности.
Возможные объекты воздействия угроз безопасности информации приведены в таблице 9.
Таблица 9 – Виды воздействия
| Идентификатор | Вид воздействия |
| ВВ.1 | утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) |
| ВВ.2 | несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным |
| ВВ.3 | отказ в обслуживании компонентов (нарушение доступности) |
| ВВ.4 | несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) |
| ВВ.5 | несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач |
| ВВ.6 | нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации |
Таблица 10 – Объекты и виды воздействия
| Негативные последствия | Объекты воздействия | Виды воздействия |
| утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) | конфиденциальная информация | ВВ.1 |
| несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным | компоненты, защищаемой информации, системным, конфигурационным, иным служебным данным | ВВ.2 |
Продолжение таблицы 10
| Негативные последствия | Объекты воздействия | Виды воздействия |
| отказ в обслуживании компонентов (нарушение доступности) | обслуживание компонентов | ВВ.3 |
| несанкционированная моификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) | Защищаемая информация, системных, конфигурационных, иных служебных данных | ВВ.4 |
| несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач | Вычислительные ресурсы систем и сетей | ВВ.5 |
| нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации | программно-аппаратные средства обработки, передачи и хранения информации | ВВ.6 |
Таблица 11 – Перечень рассматриваемых нарушителей
| № | Вид нарушителя | Возможные цели реализации угроз безопасности информации | Предложения по отнесению к числу потенциальных нарушителей |
| 1 | Специальные службы иностранных государств | Нанесение ущерба государству в области обеспечения обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики, в том числе дискредитация или дестабилизация деятельности отдельных органов государственной власти, организаций, получение конкурентных преимуществ на уровне государства, срыв заключения международных договоров, создание внутриполитического кризиса | Не являются |
| 2 | Террористические, экстремистские группировки | Совершение террористических актов, угроза жизни граждан. Нанесение ущерба отдельным сферам деятельности или секторамэкономики государства. Дестабилизация общества. Дестабилизация деятельности органов государственной власти, организаций | являются |
| 3 | Преступные группы (криминальные структуры) | Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса) | Не являются |