защита инфосистем. лабы. Министерство образования и науки калужской области
Скачать 1 Mb.
|
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ КАЛУЖСКОЙ ОБЛАСТИ Государственное автономное профессиональное образовательное учреждение Калужской области «Калужский технический колледж» ГАПОУ КО «КТК» УТВЕРЖДАЮ Зам. директора по УТР ________ В.А.Никитина «____» _________ 2018 г. СБОРНИК МЕТОДИЧЕСКИХ УКАЗАНИЙ ДЛЯ СТУДЕНТОВ ПО ВЫПОЛНЕНИЮ ПРАКТИЧЕСКИХ РАБОТ ПМ. 01 МДК.01.01 «Обеспечение организации системы безопасности предприятия» Специальность:10.02.01 «Организация и технология защиты информации» Курс III ДЛЯ СТУДЕНТОВ ОЧНОЙ ФОРМЫ ОБУЧЕНИЯ г. Калуга, 2018 г. ОДОБРЕНА: дисциплинарно-цикловой комиссией Профессионального цикла по специальностям: 38.02.03 «Операционная деятельность в логистике», Протокол № от «____» ________ 2018 г. Председатель ДЦК _____________ О.А. Симонова Разработчик: Елисеева Ирина Ивановна, преподаватель высшей категории ГАПОУ КО «Калужский технический колледж» СОДЕРЖАНИЕ
Введение УВАЖАЕМЫЙ СТУДЕНТ! Методические указания к практическим работам по ПМ.01 МДК.01.01 «Обеспечение организации системы безопасности предприятия», составлены в соответствии с требованиями к минимуму результатов освоения ПМ, изложенными в Федеральном государственном стандарте среднего профессионального образования по специальности специальность 10.02.01 «Организация и технология защиты информации», для выполнения практических работ. Методические указания созданы Вам в помощь для работы на занятиях, подготовки к практическим работам, правильного составления отчетов. Приступая к выполнению практической работы, Вы должны внимательно прочитать цель и задачи занятия, ознакомиться с требованиями к уровню Вашей подготовки в соответствии с федеральными государственными стандартами третьего поколения (ФГОС-3), краткими теоретическими и учебно-методическими материалами по теме практической работы, ответить на вопросы для закрепления теоретического материала. Все задания к практической работе Вы должны выполнять в соответствии с инструкцией, анализировать полученные в ходе занятия результаты по приведенной методике. Наличие положительной оценки по практическим работам необходимо для допуска к экзамену по ПМ.01 МДК.01.01 «Обеспечение организации системы безопасности предприятия», поэтому в случае отсутствия на уроке по любой причине или получения неудовлетворительной оценки за практическую Вы должны найти время для ее выполнения или пересдачи. Внимание! Если в процессе подготовки к практическим работам или при решении задач у Вас возникают вопросы, разрешить которые самостоятельно не удается, необходимо обратиться к преподавателю для получения разъяснений или указаний в дни проведения дополнительных занятий. Время проведения дополнительных занятий можно узнать у преподавателя или посмотреть на двери его кабинета. Желаем Вам успехов!!! Практическое занятие № 1. Работа с анкетой по оценки целесообразности проекта создания ИСОКБП. (2 часа). Цель работы: разработать анкету по оценки целесообразности проекта создания ИСОКБП для конкретного предприятия Теоретические сведения Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Для разработки результативной политики необходимо осуществить анкетирование, которое позволит систематизировать цели, задачи, принципы и способы достижения информационной безопасности. Основные положения определяют важность ОБИ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы. Областью применения политики безопасности являются основные активы и подсистемы АС, подлежащие защите. Типовыми активами являются программно-аппаратное и информационное обеспечение АС, персонал, в отдельных случаях – информационная инфраструктура предприятия. Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем. В рассматриваемом документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности предприятия и сторонних организаций, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: «выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!); «защититься и продолжить», когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению. Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений. 1. Основные положения информационной безопасности. 2. Область применения. 3. Цели и задачи обеспечения информационной безопасности. 4. Распределение ролей и ответственности. 5. Общие обязанности. Цели, задачи, критерии ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д. Здесь указываются законы и правила организации, которые следует учитывать при проведении работ по ОБИ. Типовыми целями могут быть следующие: - обеспечение уровня безопасности, соответствующего нормативным документам предприятия; - следование экономической целесообразности в выборе защитных мер; - обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС; - обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации; - выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др. Задание: Составить анкету для выработки политики безопасности предприятия, придерживаясь вышеизложенного плана. Вопросы для проверки знаний и умений: Что такое политика безопасности? Перечислите цели и задачи политики безопасности на предприятии. Дайте определение понятию объект и субъект политики безопасности. Назовите основное назначение политики информационной безопасности. Практическое занятие № 2. Структура концепции безопасности предприятия. Основные Положения. Разработка концепции безопасности предприятия(2 часа). Цель работы: разработать политику безопасности для конкретного предприятия Теоретические сведения Политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем. Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений. 1. Основные положения информационной безопасности. 2. Область применения. 3. Цели и задачи обеспечения информационной безопасности. 4. Распределение ролей и ответственности. 5. Общие обязанности. Цели, задачи, критерии ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д. Здесь указываются законы и правила организации, которые следует учитывать при проведении работ по ОБИ. Типовыми целями могут быть следующие: - обеспечение уровня безопасности, соответствующего нормативным документам предприятия; - следование экономической целесообразности в выборе защитных мер; - обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС; - обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации; - выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др. В рассматриваемом документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности предприятия и сторонних организаций, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: «выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!); «защититься и продолжить», когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению. Задание: Составить политику безопасности предприятия, придерживаясь вышеизложенного плана. Вопросы для проверки знаний и умений: Что такое политика безопасности? Перечислите цели и задачи политики безопасности на предприятии. Дайте определение понятию объект и субъект политики безопасности. Назовите основное назначение политики информационной безопасности. Практическое занятие № 3 Разработка положения о службе безопасности предприятия (4 часа). Цель работы: выработать навыки разработки Положения о службе безопасности предприятия Теоретические сведения Многогранность сферы обеспечения безопасности и защиты информации требует создания специальной службы, осуществляющей реализацию специальных защитных мероприятий. Структура, численность и состав службы безопасности предприятия (фирмы, компании и т.д.) за рубежом определяются реальными потребностями предприятия и степенью конфиденциальности ее информации. В зависимости от масштабов и мощности организации деятельность по обеспечению безопасности предприятия и защиты информации может быть реализована от абонентного обслуживания силами специальных центров безопасности до полномасштабной службы компании с развитой штатной численностью. В зарубежных источниках, например, рассматривается следующая структура службы безопасности фирмы. Она возглавляется начальником службы безопасности, которому подчинены служба охраны, инспектор безопасности, консультант по безопасности и служба противопожарной охраны. С учетом накопленного зарубежного и отечественного опыта и особенностей рыночной экономики предлагается рабочий вариант службы безопасности предприятия среднего масштаба производства, ее структура и должностные инструкции. Примерная структура Положения: Общие положения. Правовые основы деятельности службы безопасности. Основные задачи службы безопасности. Общие функции службы безопасности. Состав службы безопасности. Права, обязанности и ответственность сотрудников службы безопасности. Нештатные структуры службы безопасности. |