Главная страница
Навигация по странице:

  • ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ «МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ОБРАЗОВАТЕЛЬНЫЙ КОМПЛЕКС» (ГБПОУ МГОК)

  • ОТЧЁТ по практической работе №2.

  • ПРАКТИЧЕСКАЯ РАБОТА №2. СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

  • Политика информационной безопасности

  • объектам безопасности

  • Субъект безопасности

  • Создание, или написание ПолИБ

  • Ревизия, или независимая оценка

  • дд. Тюнин_ПР№2_ССТД. Методические указания по выполнению практической работы. Ход выполнения выполнил все поставленные задачи


    Скачать 40.2 Kb.
    НазваниеМетодические указания по выполнению практической работы. Ход выполнения выполнил все поставленные задачи
    Дата03.03.2022
    Размер40.2 Kb.
    Формат файлаdocx
    Имя файлаТюнин_ПР№2_ССТД.docx
    ТипМетодические указания
    #381562


    ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ ГОРОДА МОСКВЫ

    ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ

    ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

    «МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ОБРАЗОВАТЕЛЬНЫЙ КОМПЛЕКС»

    (ГБПОУ МГОК)
    ОТЧЁТ

    по практической работе №2.
    дисциплина «Стандартизация, сертификация и техническое документоведение»

    специальность 09.02.06 Сетевое и системное администрирование


    Выполнил: учащийся группы СА-220/1

    Тюнин М.Д.

    Проверил: преподаватель

    Малаш Ю.Г.

    Москва

    2021

    ПРАКТИЧЕСКАЯ РАБОТА №2.

    СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ

    ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

    Цель: выполнить задание, пользуясь методическими указаниями к практической работе.

    Задачи:

    1. обеспечить усвоение новых понятий, сформировать алгоритм порядка выполнения действий;

    2. развивать умение творческого подхода к решению практических, учебных, производственных и управленческих задач;

    3. способствовать воспитанию таких качеств личности, как работоспособность, организованность, ответственность при выполнении работ с применением программного обеспечения отраслевой направленности.

    Оборудование урока:

    • компьютеры с ОС MS Windows;

    • программное обеспечение согласно теме урока;

    • методические указания по выполнению практической работы.

    Ход выполнения:

    • выполнил все поставленные задачи;

    • разработанные файлы сохранены в папке практической работы; оформил отчёт по практической работе.

    Задание 2

    • ГОСТ Р ИСО/МЭК 17799-2005: ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ (Недействующий).

    Заменяющий: ГОСТ Р ИСО/МЭК 27002-2012.

    • ГОСТ Р ИСО/МЭК 27001-2006: МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (Недействующий).

    Заменяющий: ГОСТ Р ИСО/МЭК 27001-2021.

    • ГОСТ Р ИСО/МЭК 27002-2021: Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил ПРИМЕНЕНИЯ МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.


    Задание 3

    1. В ГОСТ Р ИСО/МЭК 13335–1–2006 отдельно выделена ПолИБ ИТТ (англ. ITТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию

      +ПолИБ сети (англ. network security policy) в различных англоязычных стандартах определяется как документ, в рамках единой информационной инфраструктуры и СОИБ организации формально устанавливающий правила доступа к ее компьютерной сети, на основе которых пользователи этой сети (сотрудники и бизнес-партнеры организации) накапливают, применяют и распоряжаются ее активами.


    Согласно самому первому определению, приведенному в стандарте «Оранжевая книга» (Trusted Compute System Evaluation Criteria), ПолИБ – набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

    1. Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

    Источник - [https://fkpboz.ru/about/information-security-policy]

    1. Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных.

    Источник - [https://club.cnews.ru/blogs/entry/tseli_i_zadachi_korporativnoj_politiki_bezopasnosti#:

    :text].

    1. К объектам безопасности относятся: личность - ее права и свободы; общество - его материальные и духовные ценности; государство - его конституционный строй.

    Субъект безопасности- физическое или юридическое лицо, наделенное способностью иметь права и принимать на себя юридические обязанности (граждане, общественные организации и объединения, государство).

    Источник – [https://studopedia.org/8-84914.html]



    • сохранение конфиденциальности критичных информационных ресурсов;

    • обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;

    • защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;

    • повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;

    • определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.

    Руководители подразделений должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки Руководству.

    Источник – [https://nagorny.mos.ru/about/information-security/detail/7798969.html]

    1. ПолИБ должна быть:

      • обязательно согласована с общепризнанными основами теории ИБ, со всеми существующими нормативными и правовыми документами, соблюдение которых требуется от организации в стране ее функционирования, а также директивами, законами, приказами и общими задачами самой организации;

      • интегрирована в общую политику организации и согласована с другими политиками (например, политикой приема/найма на работу);

      • краткой (лучшие практики указывают на объем не более 10 страниц), простой для понимания и не допускать двойного толкования ее положений;

      • наглядной. Это способствует ее эффективной реализации, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Видеофильмы, семинары, статьи во внутренних изданиях организации или на ее внутреннем веб-узле увеличивают такую наглядность;

      • надлежащим образом доведена в доступной и понятной форме до сведения всех сотрудников организации, с которой они должны ознакомиться чаще всего под расписку. Программа обучения в области ИБ и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно демонстрировать всем пользователям действенность соблюдения ПолИБ;

      • реализуема (т.е. содержать только те положения, которые могут быть реализованы на практике), а ее реализация контролируема;

      • утверждена высшим руководством организации и издана.

    Источник - [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page134.htm].

    1. Основные принцыпы ПолИБ:

    • Законность;

    • Определённость целей, сформулированных в ПолИБ;

    • Системность;

    • Комплексный (мультидисциплинарный) подход к разработке ПолИБ;

    • Научная обоснованность и техническая реализуемость защитных мер;

    • Эшелонированность (многоуровневость) обороны и разнообразие защитных средств;

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page137.htm].

    1. Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.

    1.   Основные положения информационной безопасности.

    2.   Область применения.

    3.   Цели и задачи обеспечения информационной безопасности.

    4.   Распределение ролей и ответственности.

    5.   Общие обязанности.

    Источник – [ГОСТ Р ИСО/МЭК 27002-2021].

    1. Типовые цели Корпоротивной ПолИБ:

      • обеспечении устойчивого функционирования организации за счет предотвращения реализации угроз ИБ ее активам, защиты законных интересов владельца информации от противоправных посягательств, обеспечении нормальной производственной деятельности всех подразделений организации;

      • обеспечение уровня ИБ в конкретных функциональных областях, соответствующего нормативным документам организации и рассчитанного на основе риск-ориентированного подхода (с учетом результатов оценки рисков ИБ);

      • выработка планов восстановления после критических ситуаций и обеспечения непрерывности бизнеса (ОНБ) организации и другие;

      • достижение экономической целесообразности в выборе защитных мер;

      • реализация подотчетности анализа регистрационной информации и всех действий пользователей с информационными ресурсами и т.п.

    1. Общий жизненный цикл политики информационной безопасности включает в себя ряд основных шагов:

    • Проведение предварительного исследования состояния информационной безопасности.

    • Разработку политики безопасности.

    • Внедрение разработанных политик безопасности.

    • Анализ соблюдения требований внедренной политики безопасности и формулирование требований по ее дальнейшему совершенствованию (возврат к первому этапу, на новый цикл совершенствования).




    1. Создание, или написание ПолИБ. Это самый четко формализованный шаг жизненного цикла ПолИБ, который включает в себя деятельность по планированию, проведению различных исследований, документированию необходимой информации и написанию самой ПолИБ.

    На данном шаге обязательно осуществляются следующие мероприятия:

      • определяется, зачем ПолИБ нужна в организации (например, в соответствии с правовыми требованиями или требованиями регулирующих органов);

      • устанавливаются границы и область действия ПолИБ;

      • выделяются роли и ответственность, связанные с реализацией и внедрением ПолИБ;

      • назначается группа конкретных людей, которые будут участвовать во всех процессах создания ПолИБ;

      • оценивается осуществимость реализации ПолИБ.

    Ревизия, или независимая оценка, ПолИБ. Как показывает практика, желательно, чтобы до начала использования в организации ПолИБ подверглась критической оценке. На этом шаге осуществляется независимая оценка ПолИБ отдельными лицами (группами лиц), предшествующая окончательному ее утверждению.

    Утверждение ПолИБ. Процесс утверждения ПолИБ представляет собой простое одобрение руководством окончательной редакции документа. На бумажном документе с ПолИБ ставится подпись соответствующего уполномоченного должностного лица организации, после чего ПолИБ готова к непосредственному использованию.

    Внедрение ПолИБ. После официального утверждения ПолИБ начинает претворяться в жизнь. Опыт показывает, что с наибольшими трудностями организациям приходится сталкиваться именно на этом этапе, который, как правило, связан с необходимостью решения технических, организационных и иных проблем.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page177.htm].

    1. Информирование о ПолИБ. Этот шаг включает в себя постоянную деятельность по ознакомлению сотрудников организации и всех заинтересованных лиц и лиц, на которых она распространяется, с содержанием ПолИБ с целью выполнения ими ее требований.

    Для этого осуществляются следующие действия:

      • определяются потребности в информировании различных целевых групп в рамках организации (исполнителей, руководителей, пользователей и т.д.);

      • устанавливаются наиболее эффективные методы информирования для каждой их групп (например, брифинги, обучение, рассылка сообщений и т.п.);

      • разрабатываются и распространяются различные информационные материалы (видеоролики, презентации, плакаты, почтовые рассылки и т.д.) о необходимости соблюдения ПолИБ;

      • измеряется уровень информированности сотрудников о ПолИБ (например, посредством тестирования) и по полученным результатам данная деятельность корректируется.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page173.htm].

    1. За осуществление информирования назначаются ответственные (в пределах всей организации, если рассматривать, например, корпоративную ПолИБ, или в пределах подразделений, если рассматривать ПолИБ, касающихся только этих подразделений). Обычно они работают совместно с департаментом персонала или департаментом, отвечающим за обучение персонала, что обеспечивает общность их совместных действий и оптимизирует использование задействованных в процессе информирования ресурсов. Такими ответственными чаще всего становятся сотрудники департамента ИБ.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page173.htm].

    1. Основная деятельность на этом шаге – разрешение ситуаций, когда исполнение ПолИБ невозможно либо частично, либо полностью. Из-за нехватки времени, персонала и других эксплуатационных требований не все политики могут быть выполнены так, как это первоначально предполагалось. Таким образом, исключения из политики, в полной мере не отвечающие ее требованиям, рассматриваются и согласуются с соответствующими лицами, возможно даже с руководством организации.

    Определяется процедура фиксации запросов в соответствующие службы на признание, отслеживание, оценку и одобрение/неодобрение исключений.

    После этого такие исключения документируются и контролируются на протяжении утвержденного срока признания исключения.

    Все наиболее часто повторяющиеся исключения из политики, а также временные отказы от выполнения требований из-за краткосрочных обстоятельств фиксируются.

    Данной деятельностью может заниматься упомянутая выше комиссия, проводящая оценку ПолИБ.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page172.htm].

    1. Пересмотр ПолИБ проводится в случаях:

      • существенных изменений в национальной законодательной базе в области ИБ;

      • внесения существенных изменений в интранет организации;

      • возникновения инцидентов ИБ.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page148.htm].



    ПолИБ может быть аннулированно в том случае, если не будут выполнены основные требования и принципы при разработке ПолИБ.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page146.htm].



    • бизнес-цели организации и цели ОИБ, а также необходимые и достаточные ресурсы для реализации этих целей;

    • функциональные и процедурные требования;

    • разделение бизнес-процесса на подпроцессы для присвоения ролей, руководствуясь принципом «один процесс – несколько ролей»;

    • возможность группировки и взаимодействия ролей;

    • наличие контроля своевременности и качества выполнения ролей, для чего определяются дополнительные роли по ОИБ и критерии оценки эффективности выполнения правил для каждой роли, иначе может возникнуть новая уязвимость;

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page179.htm].



    • Принцип разделения полномочий (обязанностей).

    • Границы и время средств управления в отношении ПолИБ.

    • Ограничения на полномочия соответствующего органа или лица.

    Источник – [http://www.mephi.edu/dist/magistracy/ouib/ISManagement/Page182.htm].

    Рефлексия:

    • Процесс разработки политики безопасности.

    • Опыт разработки и поиск соответсвующих документов для разработки политики безопасности.

    Вывод: в процессе выполнения данной практической работы были закреплены знания по разработке политики безопасности организации.


    написать администратору сайта