Главная страница
Навигация по странице:

  • ВЫПОЛНЕНИЕ КУРСОВОЙ РАБОТЫ

  • Часть 1. Анализ организации/предприятия

  • Приложению А

  • Часть 3. Подходы к оценке риска информационной безопасности

  • Часть 4. Разработка системы защиты информации

    		•

    Анализ рисков информационной безопасности. Краткие теоретические сведения


    Скачать 26.62 Kb.
    НазваниеКраткие теоретические сведения
    АнкорАнализ рисков информационной безопасности
    Дата29.05.2022
    Размер26.62 Kb.
    Формат файлаdocx
    Имя файлаMU_po_Kursovaya.docx
    ТипДокументы
    #554766

    КРАТКИЕ ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
    Приведем основные термины и определения, используемые в методических указаниях.

    Под объектом информатизации (ОИ) понимается совокупность информационных ресурсов, средств и систем обработки информа- ции, используемых в соответствии с заданной информационной технологией, а также средств обеспечения ОИ, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [1].

    Система защиты информации — это комплекс организационно- технических мероприятий, который включает в себя совокупность правовых норм, организационных и технических мер, направлен- ных на противодействие угрозам утечки информации.

    Аттестация ОИ — комплекс организационно-технических ме- роприятий, в результате которых посредством специального доку- мента «Аттестат соответствия» подтверждается, что ОИ соответ- ствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России [2].

    Автоматизированная система (АС) система, состоящая из пер- сонала и комплекса средств автоматизации его деятельности, реали- зующая информационную технологию выполнения установленных функций [3]. В общем случае АС состоит из четырех компонентов:

    1) технических средств, 2) установленного на них программного обеспечения, 3) реализуемой информационной технологии и

    1. персонала, использующего эти средства для автоматизации своей деятельности.

    Защищаемые помещения — помещения (служебные кабинеты, актовые и конференц-залы и т. д.), специально предназначенные

    4
    для проведения конфиденциальных мероприятий (совещаний, об- суждений, конференций, переговоров и т. п.) [3].

    Перед проведением аттестационных испытаний ОИ должна быть создана система защиты информации (СЗИ).

    В общем случае процесс создания СЗИ можно подразделить на три основные стадии:

      1. Предпроектная стадия.

      2. Стадия проектирования и реализации.

      3. Стадия ввода в действие.

    На предпроектной стадии создания СЗИ прежде всего устанав- ливаются наличие и вид информации ограниченного доступа и необходимость ее обработки на ОИ. Наличие подобной информа- ции является обоснованием для создания СЗИ. Определяются ос- новные угрозы информационной безопасности, формируются мо- дели угроз и нарушителя. Проводится предварительное обследование ОИ, в ходе которого определяются условия распо- ложения и эксплуатации ОИ, выявляются технические каналы утечки информации и угрозы безопасности информации. Далее задаются требования по защите информации, которые включаются в техническое задание на создание СЗИ.

    На стадии проектирования и реализации формируется техниче- ское задание на создание СЗИ. Проводятся строительно-монтаж- ные работы на ОИ, установка и настройка элементов СЗИ, меро- приятия с использованием специальных технических средств для оценки защищенности ОИ. Разрабатывается организационно- распорядительная документация по защите информации на ОИ. Организуется охрана и физическая защита ОИ.

    Заключительная стадия создания СЗИ (стадия ввода в дей- ствие) включает опытную эксплуатацию системы для оценки ее работоспособности, проведение приемосдаточных работ. Кроме того, на этой стадии проводятся аттестационные испытания ОИ на соответствие требованиям к безопасности информации.

    В ходе аттестационных испытаний ОИ осуществляется про- верка достаточности представленных документов и соответствия их содержания требованиям руководящих документов по безопас- ности информации ФСТЭК России, проводится проверка условий размещения и эксплуатации ОИ, выполняется инструментальная оценка защищенности ОИ.

    5


    6


    При проведении аттестационных испытаний ОИ на соответ- ствие требованиям к безопасности информации в общем случае учитывается следующее.

    1. Подача и рассмотрение заявки с исходными данными ОИ на проведение аттестационных испытаний ОИ.

    2. Анализ исходных данных аттестуемого ОИ.

    3. Предварительное ознакомление с аттестуемым ОИ и форми- рование технического задания на ОИ.

    4. Обследование ОИ и анализ разработанной документации по защите информации на этом объекте.

    5. Проведение испытаний отдельных средств и СЗИ в испыта- тельных центрах (лабораториях) по сертификации средств защиты информации на соответствие требованиям к безопасности инфор- мации. В общем случае эти испытания должны быть осуществле- ны до проведения аттестационных испытаний ОИ.

    6. Разработка программы и методики аттестационных испыта- ний ОИ и согласование их с заказчиком.

    7. Проведение аттестационных испытаний ОИ в реальных условиях эксплуатации, включающих выполнение объектовых из- мерений и специальных исследований, тестирование и проверку работоспособности и правильности функционирования средств защиты информации.

    8. Анализ результатов, полученных в ходе обследования и ат- тестационных испытаний ОИ, утверждение заключения по резуль- татам аттестации.

    9. Оформление, регистрация и выдача документа «Аттестат со- ответствия».

    ВЫПОЛНЕНИЕ КУРСОВОЙ РАБОТЫ
    Деятельность Думы основывается на принципах политического многообразия и многопартийности, свободного, коллективного обсуждения и решения вопросов, гласности, законности и учета мнения населения области.

    Часть 1. Анализ организации/предприятия
    Загрузите ГОСТ Р ИСО/МЭК 27005-2010 «Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Ознакомьтесь с содержанием документа.

    Согласно Приложению А проведите краткий анализ организации/предприятия.
    Часть 2. Основные и вспомогательные активы организации/предприятия
    Согласно Приложению B определите основные и вспомогательные активы организации/предприятия.

    Из Приложения D ГОСТа выберите конкретные уязвимости системы защиты указанных информационных активов.

    Пользуясь Приложением С ГОСТа определите угрозы, реализация которых возможна пока в системе не устранены указанные уязвимости.
    Часть 3. Подходы к оценке риска информационной безопасности
    Пользуясь одним из методов, предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.

    Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы
    Часть 4. Разработка системы защиты информации
    При выполнении части 4 студент должен разработать СЗИ для ОИ. Объекты информатизации — автоматизированные системы, состоящие из ПЭВМ, подключенной к локальной вычислительной сети (ЛВС), и защищаемые помещения (ЗП). Следует учитывать, что к ЛВС может быть подключено множество ПЭВМ, однако не все они обрабатывают информацию ограниченного доступа.

    В результате выполнения части 4 курсовой работы студент должен:

    1. составить схему размещения ОИ на объекте (в организации) c указанием границ контролируемой зоны (КЗ);

    2. составить схему ЗП;

    3. составить схему АС и ЛВС, в которую входит АС;

    4. перечислить и описать возможные технические каналы утечки и угрозы безопасности информации;

    5. предложить и описать возможные способы защиты инфор- мации от ее утечки по выявленным техническим каналам утечки и в результате реализации угроз безопасности;

    6. составить перечень организационно-технических мероприя- тий по защите информации;

    7. предложить и описать возможные варианты построения СЗИ ОИ
      8
       ;

    8. предложить необходимые для функционирования СЗИ сред- ства защиты информации с указанием мест их установки на схемах ЗП и АС;

    9. составить перечень необходимой организационно-распоря- дительной документации на ОИ.

    10. разработать проекты технического паспорта, акта классификации на ОИ.


    ЛИТЕРАТУРА


    1. ГОСТ Р 51275–2006. Защита информации. Объект информа- тизации. Факторы, воздействующие на информацию. Общие по- ложения.

    2. Положение по аттестации объектов информатизации по тре- бованиям безопасности информации: Утв. приказом Гостехкомис- сии России от 25.11.1994.

    3. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): норм.-метод. док.: Утв. приказом Гостехкомиссии России от 30.08.2002. № 282.

    4. Хорев А.А. Техническая защита информации: Учеб. пособие для студентов вузов: В 3 т. Т. 1: Технические каналы утечки ин- формации. М.: Аналитика, 2008.

    5. Концепция защиты средств вычислительной техники и авто- матизированных систем от несанкционированного доступа к ин- формации: Рук. док. М.: Гостехкомиссия России, 1992.

    6. Автоматизированные системы. Защита от несанкциониро- ванного доступа к информации. Классификация автоматизирован- ных систем и требования по защите информации: Рук. док. М.: Гостехкомиссия России, 1992.

    7. Защита от несанкционированного доступа к информации. Термины и определения: Рук. док. М.: Гостехкомиссия России, 1992.

    8. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показа- тели защищенности от несанкционированного доступа к информа- ции: Рук. док. М.: Гостехкомиссия России, 1997.

    написать администратору сайта