Файл: Практическое задание 1 Модель угроз информационной безопасности информационновычислительной системы.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.02.2024
Просмотров: 8
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Практическое задание № 1
«Модель угроз информационной безопасности информационно-вычислительной системы»
Цель работы: Определение актуальных угроз инфорамционной безопасности (ИБ) для информационно-вычислительной системы (ИВС).
При выполнении практического задания в качестве ИВС может быть как инофрмационная система ораганизации, так и домашняя локальная вычислительная сеть.
В состав ИВС входит: ПО, технические средства обработки, храния и передачи информации, информационные активы
При выполнении прктического задания формируется отчет в котором содержится следующая инофрмация :
-
Описание информационной системы:
– состав технических средств;
– пеерчень прикладного ПО;
– пеерчень средств защиты информации;
– конфиденциальная информация, хранимая и обрабатываемая в ИВС;
– колличество пользователей в системе, наличие административных и пользовательских прав у пользователей;
– настройки безопасности ОС и средств защиты (в том числе настройки службы каталогов, парольная политика).
– использование резервного копирования;
– наличие доступа к сети интернет (провайдер, соглашение о предоставлении услуг, технология доступа).
– наименование персональных данных,доступных об исполнителе практического задания в социалных сетях (например : ФИО, дата рождения, место проживания, хобби, увлечения и д.т)
– наличие инструкций и организационно-распорядительной документации по обеспечению ИБ
-
Определение источника угроз ИБ
2.1 Классификация источников угроз + определения каждой категории источника угроз.
2.3 Определение актуальных источников угроз для ИВС .
-
Определение актуальности угроз ИБ ИВС
3.1 Объекты воздействия угроз
3.2 Классификация угроз Б (расписать категории и подкатегориии, см презентацию)
3.3 Методика определения актуальности угроз ИБ
3.4 Формирования переченя угроз ИБ
3.5 Определение актуальности угроз ИБ дляИВС
-
Формирование перечня требуемых защитных мер для ИВС
–Для каждой актуальной угрозы ИВС (п. 3.5) приводится источник угроз (из п. 2.3) и защитные меры из Приложения № 1 настоящего документа.
Пример формирования перечня требуемых защитных мер для ИВС приведен в приложении №2 настоящего документа).
Перечень норамтивных документов, используемых при выполнении практического задания №1
-
Mетодика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Данная методика может использоваться исполнителем для разработки методики определения актуальности угроз ИВС. Необходимо помнить, что им пользуя этот документ вы разрабатываете методику определения актуальности угроз для ИВС , а не для информационной системы персональных данных!! ) -
ГОСТ Р ИСО/МЭК 27001–2006 -
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования -
Гост 17799 Практические правила управления безопасностью -
ГОСТ Р ИСО/МЭК 13335-4–2007 «Выбор защитных мер» -
ГОСТ Р ИСО/МЭК 13335-1
ТАКЖЕ смотрите презентацию!!!
Отчет сдается в письменном (печатном ) виде, а также в электронном виде (после согласования и утверждения отчета преподавателем).
Струткура отчета:
Титульный литс
Техническое задания (пример заполнения см. Приложение 3)
Введение
Термины, определения и сокращения
Главы отчета
Нормативные документы
Приложения (если есть)
Приложение 1
Таблица– Организационные и программно-технические защитные меры
№ п/п | Категория защитных мер | Состав защитных мер (ГОСТ Р ИСО/МЭК 27001-2006) |
| ||
| Политика информационной безопасности |
Анализ и пересмотр политики ИБ |
| ||
| Внутренняя организация |
|
| Обеспечение безопасности при доступе сторонних организаций |
|
| ||
| Обеспечение ответственности за защиту активов |
|
| Классификация информации |
|
| ||
| Перед трудоустройством |
|
| Во время работы по трудовому договору |
|
| При увольнении или изменении трудового договора |
|
| ||
| Охраняемые зоны |
|
| Безопасность оборудования |
|
| ||
| Эксплуатация средств и ответственность |
|
| Управление услугами, предоставляемыми сторонними организациями |
|
| Планирование нагрузки и приемка систем |
|
| Защита от вредоносного программного обеспечения |
|
| Резервное копирование и хранение информации |
|
| Безопасное применение носителей информации |
|
| Защищенный обмен информацией |
|
| Мониторинг |
|
| ||
| Управление доступом в соответствии с требованиями бизнеса |
|
| Управление доступом пользователя |
|
| Ответственность пользователей |
|
| Контроль доступа к операционной системе |
|
| Контроль доступа к прикладным системам, СУБД и информации |
|
| Безопасная работа с переносными устройствами и в удаленном режиме |
|
| ||
| Управление безопасностью сетей |
(В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Защита средств разработки и обмена данными) |
| Контроль сетевого доступа |
(В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Управление доступом) |
| ||
| Задание требований безопасности к разрабатываемым прикладным информационным системам |
|
| Проверка корректности обработки данных в прикладных информационных системах |
|
| Защита информации криптографическими средствами |
(Меры 3-5 в ГОСТ Р ИСО/МЭК 27001 не входят. Данные меры добавлены из ГОСТ Р ИСО/МЭК 17799) |
| Безопасность системных файлов |
|
| Безопасность в процессах разработки и поддержки |
|
| Контроль технических уязвимостей | Обнаружение и устранение технических уязвимостей информационных систем |
| ||
| Своевременное оповещение о событиях и недостатках информационной безопасности |
|
| Управление инцидентами информационной безопасности и улучшениями |
|
| ||
| Обеспечение непрерывности бизнеса |
Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса |
| ||
| Обеспечение соответствия правовым требованиям |
|
| Обеспечение соответствия политикам и стандартам безопасности, и технического соответствия |
|
| Аудит информационной безопасности |
|
Приложение 2
Пример заполнения таблицы Применение защитных мер для предотвращения угроз безопасности ИВС
№ п/п | Способ реализации угрозы (здесь приводятся актуальные угрозы для ИВС) | Категория угрозы | Объекты воздействия угрозы | Источник угрозы | Категория требуемых защитных мер (в соответствии с таблицей приложения 1) | Требуемые защитные меры |
1. | Несанкционированное физическое проникновение | Взлом | СВТ, СрЗИ, сетевое оборудование | ТЕХ, ПОЛ, РАЗР, ПОС, ВНЕШ | 9. Охраняемые зоны |
|
10. Безопасность оборудования | Размещение и защита оборудования | |||||
2. | Вход в систему путем подбора/кражи пароля | Взлом | СВТ, СрЗИ, сетевое оборудование, программные средства | АДМС, АДМП, ПОЛ, РАЗР, ХАК, УВС | 18. Мониторинг | Ведение журналов регистрации действий пользователей и событий безопасности |
20. Управление доступом пользователя | Управление паролями (аутентификационными данными) пользователей | |||||
21. Ответственность пользователей |
| |||||
22. Контроль доступа к операционной системе |
|
Приложение 3
Шаблон Технического задания на выполнение практического задания №1
Санкт-Петербургский государственный университет
информационных технологий, механики и оптики
Факультет КТиУ Кафедра БИТ
Студенты: (не более 2-х). Группа
Дисциплина «Организация защиты информации»
ЗАДАНИЕ
на выполнение практической работы
«Модель угроз информационной безопасности
информационно-вычислительной системы»
Цель: Вписать цель
Исходные данные об объекте защиты:
-
Название предприятия: XXXXX -
Характер деятельности, выпускаемая продукция, оказываемые услуги:XXXXX -
Состав технических средств: XXXXXXX -
Используемое прикладное ПО:
– XXX
– XXX
–XXX
-
Используемы средств защиты информации:
–XXX
–XXx
–XXX
-
Конфиденциальная информация, хранимая и обрабатываемая в ИВС – XXX -
Колличество пользователей в ИВС – XXXXX;
Содержание работы
-
Введение -
Описание информационной системы -
Определение источника угроз информационной безопасности -
Определение актуальности угроз ИБ ИВС -
Формирование перечня защитных мер для ИВС. -
Заключение -
Список литературы
Общий объем работы (с рисунками) – не менее 25 машинописных листов (шрифт 13, интервал 1,5).
Срок сдачи работы на проверку – не позднее 6 октября 2012.
Кроме машинописного варианта предоставляется электронная версия работы.
Студенты группы ХХХ ХХХХХХХХ Х.Х.
Преподаватель
к.т.н., доцент кафедры ПКС Михайличенко О.В.
Дата выдачи