Отчет ПЗ 6.4 Аналитическое обоснование СЗИ. 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации

Название	6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации
Анкор	Отчет ПЗ 6.4 Аналитическое обоснование СЗИ
Дата	10.04.2023
Размер	1.08 Mb.
Формат файла
Имя файла	Отчет ПЗ 6.4 Аналитическое обоснование СЗИ.docx
Тип	Отчет #1050274
страница	5 из 5

1 2 3 4 5

6. Возможные объекты воздействия угроз безопасности информации

Негативные последствия, объекты воздействия, виды воздействия на них в ИСПДн «Кадры» ЗАО «Солнышко» изображены в таблице 5¹⁵.
Таблица 5

Негативные последствия	Объекты воздействия	Виды воздействия
Разглашение персональных данных граждан (У1)	База данных информационной системы, содержащая идентификационную информацию граждан	Утечка идентификационной информации граждан из базы данных
	Удаленное автоматизированное рабочее место (АРМ) пользователя	Утечка идентификационной информации граждан с АРМ пользователя
	Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных	Перехват информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи
	Веб-приложение информационной системы, обрабатывающей идентификационную информацию граждан	Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы

7. Источники угроз безопасности информации

Возможные цели реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» нарушителями¹⁶ представлены в таблице 6.

Таблица 6

№ вида	Виды нарушителя	Категории нарушителя	Возможные цели реализации угроз безопасности информации
1	Преступные группы (криминальные структуры)	Внешний	Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса)
2	Авторизованные пользователи систем и сетей	Внутренний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия

Уровни возможностей нарушителей по реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 7

Таблица 7

№	Уровень возможностей нарушителей	Возможности нарушителей по реализации угроз безопасности информации	Виды нарушителей
1	Нарушитель, обладающий базовыми возможностями	Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты. Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Обладает базовыми компьютерными знаниями и навыками на уровне пользователя. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним. Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов	Физическое лицо (хакер) Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.) Авторизованные пользователи систем и сетей Бывшие работники (пользователи)

8. Способы реализации (возникновения) угроз безопасности информации

Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 8

Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности

Таблица 8

№ п/п	Вид нарушителя	Категория нарушителя	Объект воздействия	Доступные интерфейсы	Способы реализации
	Разработчики программных, программно-аппаратных средств	Внешний	ПО	Удаленное подключение	внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства

9. Актуальные угрозы безопасности информации
Из общего состава техник и тактик, приведенных в Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России от 5 февраля 2021 г., исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик.
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 9
Таблица 9 – Расшифровка актуальных техник и тактик реализации УБИ

№	Тактика	Основные техники
1	Сбор информации о системах и сетях	Т1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций
		Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей
2	Получение первоначального доступа к компонентам систем и сетей	Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в сети организации; 2) доступ к интерфейсу электронной почты OutlookWebAccess (OWA) почтового сервера организации

10. ТСЗИ предлагаемые для использования ИСПДн

С учетом актуальных угроз безопасности ИСПДн входят:

идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации,
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.

11. Обоснование необходимости привлечения специальных организаций

Для четкого расчета и получение всех необходимых перечней документов
12. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение ТСЗИ

В учреждении отсутствует необходимое контрольно-измерительное оборудование, программные средства контроля защищенности информации от НСД и их приобретение не целесообразно в связи с высокой стоимостью. Кроме того, у учреждения нет лицензий на деятельность по технической защите конфиденциальной информации.

В связи с большим объемом работ монтажных и пуско-наладочных, приемо-сдаточных и контрольных испытаний целесообразно привлечение сотрудников специализированной организации, имеющей лицензии на деятельность по технической защите персональных данных.
13. Ориентировочные сроки разработки и внедрения ТСЗИ

Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице 11.1

Таблица 11.1 - ориентировочная стоимость предлагаемых технических средств

№ п/п	Продукт	Примерная стоимость, рублей
	Средство защиты от несанкционированного доступа на рабочих мест	54 725,00
	Средство анализа защищенности	30 000,00
	Средство межсетевого экранирования и криптографической защиты	233800,00

К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации.

Проведение испытаний системы защиты ИС сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ИС.

Проведение работ по оценке соответствия требованиям руководящих документов по защите информации в ИС может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации.
Перечень работ по аттестации информационной системы

№ п/п	Продукт	Кол-во	Цена розничная, 1 шт., рублей	Общая стоимость, рублей
	Предварительное обследование ИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств).	1	22000,00	22000,00
	Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	12000,00	12000,00
	Анализ организационной структуры ИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	12000,00	12000,00
	Разработка программы и методик аттестационных испытаний	1	15000,00	15000,00
	Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИС.	1	21000,00	21000,00
	Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИС (за 1 АРМ)	11	2700,00	29700,00
	Контрольные испытания ИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	11	1500,00	16500,00
	Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	17000,00	17000,00

Предпроектная стадия – разработка технического (частного технического) задания на создание системы защиты ИС в течение десяти дней.

Стадия проектирования – разработка проектов, включающая разработку технического проекта СЗИ в составе ИС в течение двадцати дней.

Стадия ввода в действие СЗИ – включает установку, настройку, опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации в течение тридцати дней
14. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности¹⁷:

1. Угрозы несанкционированной модификации защищаемой информации

2. Угрозы внесения несанкционированных изменений в прикладное ПО

3. Угрозы сбора информации защищаемой системы

4. Угрозы ошибочных действий

Экспертная группа:

Начальник отдела ИБ ЗАО «Солнышко» Семенов С.С.

Начальник отдела аудита ФГУП «НПП «Бэтта» Васильев Р.А.

Ведущий специалист по ТЗИ ФГУП «НПП «Бэтта» Петров В.И.

1 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

2Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

Руководитель предпроектного обследования

1 Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика. Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и утверждается его руководителем.

1 2 3 4 5