защита инфосистем. лабы. Министерство образования и науки калужской области
Скачать 1 Mb.
|
Вопросы для проверки знаний и умений: Чем определяется стойкость подсистемы идентификации и аутентификации? Перечислить минимальные требования к выбору пароля. Перечислить минимальные требования к подсистеме парольной аутентификации. Как определить вероятность подбора пароля злоумышленником в течении срока его действия? Выбором каким параметров можно повлиять на уменьшение вероятности подбора пароля злоумышленником при заданной скорости подбора пароля злоумышленником и заданном сроке действия пароля? Практическая работа №14 Электронная цифровая подпись. (2 часа). Цель занятия Изучить содержание лекции «Основные понятия и элементы криптографии». Уяснить смысл и содержание следующих основных терминов и определений с их краткой фиксацией в конспекте: Учебные вопросы: Современные программные продукты простановки электронной цифровой подписи. Простановка электронной цифровой подписи (на примере программы PGP). Современные программные стеганографические продукты (на примере S-Tool). «Персональные данные», «утилита», «хеш-функция», «алгоритм шифрования», «алгоритм Диффи-Хеллмана (Diffie-Hellman)», «генерирование ключа», «аутентификация», «криптостойкость», «Удостоверяющий центр», «идентификация», «аутентификация», «целостность информации», «электронная цифровая подпись», «сертификат ключа», «Стеганография», «стеганофония». Задание Ответить на вопросы: Для чего необходима ЭЦП? Какие программные продукты используются для простановки ЭЦП? Для чего нужна сертификация ключа подписи? Назовите основные функции Удостоверяющего центра. Назовите нормативно-правовой акт, регулирующий деятельность по простановки ЭЦП. Назовите цель данного нормативно-правового акта. Что представляет собой современная стеганология? Чем отличается стеганография от стеганофонии? Практическая работа №15 Изучение программных продуктов защиты информации (2 часа). Цель занятия Выработка навыков выполнения мероприятий по защите информации Задание Ответить на вопросы: - Каковы цели реакции на нарушение режима безопасности? - Какова группа мер информационной безопасности? - Составить план реализация мероприятий по защите информации, учитывая критические ресурсы и информационную инфраструктуру: к критическим ресурсам следует отнести: - персонал; - информационную структуру; - физическую инфраструктуру. к информационной инфраструктуре следует отнести: - компьютеры; - программы и данные; - информационные сервисы; - документацию. При составлении плана следует учесть: - порядок согласования и утверждения плана; - соблюдения формы плана (утвержденной локальным нормативным актом предприятия); - преамбулу плана Практическая работа №16 Система конфиденциальной информации фирмы. (2 часа). Цель занятия Организация работы по защите коммерческой тайны предприятия Порядок выполнения занятия Работа выполняется в форме деловой игры. Суть игры заключается в том, что начальник организации (преподаватель) ставит общую задачу: разработать комплекс мер, направленных на защиту коммерческой тайны. Ресурсы не ограничиваются. Учебная группа разделяется на несколько рабочих коллективов. В каждом коллективе студенты самостоятельно выбирают модератора (руководитель отдела по защите информации). Модератор распределяет задание для выработки мер защиты коммерческой тайны по схеме классификации защитных действий среди сотрудников своего отдела (студентов). По готовности модераторы докладывают о выборе мер. Преподаватель уточняет защитные действия у ответственных лиц (студентов группы, отвечающих за данное направление). После заслушивания всех модераторов преподаватель комментирует работу каждой группы, даёт общее заключение, проводит работу над ошибками. Письменный отчёт по работе не представляется. Все записи о предлагаемых мерах студентами фиксируются в конспектах. Практическая работа №17 Составление плана мероприятий по защите информации при подготовке к проведению совещания. (2 часа). Цель занятия Выработка навыков выполнения мероприятий по защите информации при проведении конфиденциальных совещаний Теоретические сведения Защита информации при проведении совещаний и переговоров Конфиденциальными именуются обычно совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну предприятия или его партнеров. Порядок проведения подобных совещаний и переговоров регламентируется специальными требованиями, обеспечивающими безопасность конфиденциальной информации, которая в процессе этих мероприятий распространяется в разрешенном режиме. Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо. Общеизвестны причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах. Это и слабое знание сотрудниками состава ценной информации и требований по ее защите, умышленное невыполнение этих требований, провоцированные и неспровоцированные ошибки сотрудников, отсутствие контроля за изданием рекламной и рекламно-выставочной продукции и др. Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов. Выделяют следующие этапы проведения конфиденциальных совещаний и переговоров: подготовка к проведению, процесс их ведения и документирования, анализ итогов и выполнения достигнутых договоренностей (Рис. 1) Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает директор предприятия. Решение директора о предстоящем конфиденциальном совещании доводится до сведения руководителя секретариата, секретаря-референта, специалиста по защите конфиденциальной информации и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется в учетной карточке, в которой указываются: наименование совещания, дата, время, состав участников по каждому вопросу и руководитель, ответственный за проведение. Рис.1 Этапы проведения конфиденциальных совещаний и переговоров Доступ сотрудников предприятия на любые конфиденциальные совещания осуществляется на основе действующей разрешительной системы доступа персонала к конфиденциальной информации. Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками предприятия, разрешается только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса. Ответственность за обеспечение защиты ценной информации и сохранение тайны предприятия в ходе совещания несет руководитель, организующий данное совещание. Сотрудники службы безопасности оказывают ему помощь и осуществляют контроль за перекрытием возможных организационных и технических каналов утраты информации. Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников предприятия, допущенных к работе с конкретной ценной информацией, составляющей тайну предприятия или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания. В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы, предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса. Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники предприятия, которые имеют непосредственное отношение к этому вопросу. Это правило касается и руководителей. Документы, составляемые при подготовке конфиденциального совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются с руководителем службы безопасности. Отмеченные им недостатки в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание. Одновременно с визированием подготовленных документов руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников в это помещение, порядок документирования хода совещания, а также порядок передачи участникам совещания оформленных решений и подписанных документов. Конфиденциальное совещание проводится в специальном помещении и оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников предприятия и представителей других организаций разрешается только руководителем службы безопасности. Перед началом конфиденциального совещания сотрудник службы безопасности обязан убедиться в отсутствии в помещении несанкционированно установленных аудио- и видеозаписывающих или передающих устройств и в качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светопроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь или зашторивать двери звукопоглощающей тканью. В помещении для проведения конфиденциальных совещаний не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания. Документирование, аудио- и видеозапись конфиденциальных совещаний ведутся только по письменному указанию директором предприятия одним из сотрудников, готовивших совещание. Доступ участников на конфиденциальное совещание осуществляет ответственный организатор под контролем сотрудника службы безопасности в соответствии с утвержденным списком и предъявляемыми участниками персональными документами. Перед началом обсуждения каждого вопроса состав присутствующих корректируется. Нахождение на совещании лиц, не имеющих отношения к обсуждаемому вопросу, не разрешается. Обычно при открытии совещания организовавший его руководитель должен напомнить участникам о необходимости сохранения производственной и коммерческой тайны и уточнить, какие конкретные сведения являются конфиденциальными на данном совещании. Участникам конфиденциального совещания, независимо от занимаемой должности и статуса на совещании, не разрешается: - вносить на совещание фото-, и видеоаппаратуру, компьютеры, магнитофоны, диктофоны и радиотелефоны и другую бытовую аппаратуру и пользоваться ими; - делать выписки из документов, используемых при решении вопросов на совещании и имеющих гриф ограничения доступа; - обсуждать вопросы, вынесенные на совещание, в местах общего пользования; - информировать о совещании любых лиц, не связанных с проведением данного совещания, в том числе сотрудников предприятия. Участники совещания, нарушившие перечисленные правила, лишаются права дальнейшего присутствия на совещании. По окончании конфиденциального совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает и сдает под охрану. Документы, принятые на совещании, оформляются, подписываются, при необходимости размножаются и передаются участникам совещания в соответствии с требованиями по работе с конфиденциальными документами предприятия. Все экземпляры этих документов должны иметь гриф ограничения доступа. Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается. На практике местом проведения переговоров часто становятся постоянно действующие и периодические торговые или торгово-промышленные выставки и ярмарки. Любая выставка является, с одной стороны, отличным источником полезной для бизнеса информации, объектом добросовестного маркетингового исследования рынка товаров, а с другой – опасным каналом несанкционированного получения конфиденциальных сведений, касающихся новых идей, технологий и продукции. Обобщенно источники ценных сведений в процессе выставочной деятельности включают в себя: экспозицию, персонал предприятия, участвующий в выставке, и рекламно-выставочные материалы. Утрата ценной информации происходит в результате общения специалистов родственных профессий, но разных фирм и наличия в выставочной экспозиции самого нового продукта. Проводимые вместе с выставочными мероприятиями пресс-конференции, семинары, презентации фирм и товаров создают дополнительную угрозу сохранности ценной информации. Для обеспечения безопасности конфиденциальной информации в рекламно-выставочных материалах следует заблаговременно: - проанализировать множество предполагаемых к изданию материалов с точки зрения возможности извлечения из них ценных конфиденциальных сведений; - разбить информацию на части и распределить их между разными рекламно-выставочными материалами, предназначенными для массового посетителя и посетителей-специалистов; - разбить информацию по видам и средствам рекламы – традиционным бумажным изданиям, электронной рекламе, Web-странице, рекламе в средствах массовой информации и др. Задание Разработать план проведения конфиденциального совещания. Практическая работа №18 Система конфиденциальной информации фирмы (2 часа). Цель занятия Выработка навыков выполнения мероприятий по защите информации
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных); 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. К персональным данным работника относятся следующие документы и информация: - анкета; - автобиография; - сведения о трудовом и общем стаже; - сведения о предыдущем месте работы; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника; - сведения о социальных льготах; - специальность; - занимаемая должность; - размер заработной платы; - наличие судимостей; - адрес места жительства; - домашний телефон; - содержание трудового договора; - содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; - копии отчетов, направляемые в органы статистики; - копии документов об образовании; - результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; - фотографии и иные сведения, относящиеся к персональным данным работника; - рекомендации, характеристики и т.п. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне, за исключением данных, относящихся к следующим категориям: - обезличенные персональные данные - данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу; - общедоступные персональные данные. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения. |