Бухгалтер. Практическая работа 1 по дисциплине Безопасность функционирования объектов сетевой инфраструктуры

Название	Практическая работа 1 по дисциплине Безопасность функционирования объектов сетевой инфраструктуры
Анкор	Бухгалтер
Дата	06.10.2022
Размер	55.18 Kb.
Формат файла
Имя файла	PR-1.docx
Тип	Практическая работа #718988

Министерство образования, науки и молодежи Республики Крым

Государственное бюджетное профессиональное

образовательное учреждение Республики Крым

«Симферопольский политехнический колледж»

Практическая работа № 1
по дисциплине «Безопасность функционирования объектов сетевой инфраструктуры»
На тему «Анализ рисков информационной безопасности»

г. Симферополь - 2022

Цель работы: Ознакомиться с алгоритмами оценки риска информационной безопасности.
Краткие теоретические сведения
Р иск ИБ – потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.

Уязвимость - слабость в системе защиты, делающая возможной реализацию угрозы.

Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации.

Информационный актив – это материальный или нематериальный объект, который:

- является информацией или содержит информацию,

- служит для обработки, хранения или передачи информации,

- имеет ценность для организации.

Задание

Загрузите ГОСТ Р ИСО/МЭК 27005-2010 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ» Менеджмент риска информационной безопасности.
Ознакомьтесь с Приложениями C, D и Е ГОСТа.
Выберите три различных информационных актива организации (см. вариант).
Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.

Варианты

Вариант – номер по списку в журнале

Номер варианта	Организация	Метод оценки риска (см. Приложение Е ГОСТа)
1	Отделение коммерческого банка	4
2	Поликлиника	2
3	Колледж	3
4	Офис страховой компании	2
5	Центр оказания государственных услуг	4
6	Отделение полиции	4
7	Аудиторская компания	2
8	Дизайнерская фирма	2
9	Офис интернет-провайдера	4
10	Офис адвоката	3
11	Агентство недвижимости	2
12	Туристическое агентство	3
13	Офис благотворительного фонда	3
14	Издательство	2
15	Консалтинговая фирма	2
16	Рекламное агентство	3
17	Отделение налоговой службы	4
18	Офис нотариуса	4
19	Бюро перевода (документов)	1
20	Научно проектное предприятие	2
21	Редакция газеты	3
22	Гостиница	2
23	Городской архив	4
24	Диспетчерская служба такси	1
25	Железнодорожная касса	3

Содержание отчета

Титульный лист
Содержание
Задание
Обоснование выбора информационных активов организации
Оценка ценности информационных активов
Уязвимости системы защиты информации
Угрозы ИБ
Оценка рисков
Выводы

Пример выполнения работы

1. Обоснование выбора информационных активов организации

База сотрудников, хранящаяся на сервере – она нужна для издательства, так как на ней хранится информация о всех сотрудниках издательства.
Хранилище на электронном носителе- содержит всю информацию нужную для издательства. Информация доступна только определённым лицам и не должна попасть в руки злоумышленников
Бухгалтерская документация –информация затраты издательства, зарплата сотрудникам.

2. Оценка ценности информационных активов

В этом издательстве мы выделили 3 важных актива и поставим ему оценку от 0 до 4.

База сотрудников информация о сотрудниках. Оценка этого актива.
Возможный ущерб: нарушение конфиденциальности личных данных, нарушение законов и/или подзаконных актов.
Хранилище на электронном носителе оценивается тем что находится в нём. Оценка этого актива 3. Возможный ущерб: потеря престижа/негативное воздействие на репутацию
Бухгалтерская документация самые цены сведенья. Оценка этого актива
Возможный ущерб: финансовые потери, нарушение конфиденциальности коммерческой информации, снижение эффективности бизнеса.

3. Уязвимости системы защиты информации

Размещение в зонах возможного затопления (возможна, например, угроза затопления).
Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей (возможна, например, угроза нелегального проникновения злоумышленников под видом законных пользователей)
Отсутствие необходимых знаний по вопросам безопасности (возможна, например, угроза ошибок пользователей).

4. Угрозы ИБ

Угроза затопление. Размещение в зонах возможного затопления

В зависимости от того на сколько затоплено помещение, можно сказать высока ли угроза потери важнейшей информации. При затопленности, общего помещения, например, из-за наводнения, потери будут колоссальны. Вся информация будет уничтожена.

Угроза нелегального проникновения злоумышленников под видом законных пользователей. Могут быть выкрадены очень важные документы для организации. И приведет к упадку Издательства.
Угроза ошибок пользователей. Не значительна ошибка. Вызванная

сотрудником Издательства.
5. Оценка рисков

Вопросы:

База сотрудников:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Хранилище на электронном носителе:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Бухгалтерская документация:

При угрозе затопление вероятность возникновения угрозы мала, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 2.

При угрозе нелегального проникновения злоумышленников под видом законных пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет среднее значение, то частота будет равна 3.

При угрозе ошибок пользователей вероятность возникновения угрозы высока, а легкость возникновения угрозы в уязвимых местах имеет высокое значение, то частота будет равна 4.

Ценность актива	Уровень угрозы
	Низкий				Средний				Высокий
	Уровень уязвимости				Уровень уязвимости				Уровень уязвимости
	Н	С	В	Н		С	В	Н		С	В
0	0	1	2	1		2	3	2		3	4
1	1	2	3	2		3	4	3		4	5
2	2	3	4	3		4	5	4		5	6
3	3	4	5	4		5	6	5		6	7
4	4	5	6	5		6	7	6		7	8
Обозначение: Н — низкий, С — средний, В — высокий.

Вывод

В результате проведенного исследования были рассмотрены и выявлены угрозы ИБ в сфере обороны, объекты, информационную безопасность которых необходимо обеспечивать, их уязвимости. Была проведен анализ отношений между угрозами, уязвимостями, объектами, реализациями угроз и их источниками.

Для безопасности нужно позаботиться о службах, отвечающих за нее. Увеличение расходов на товары для безопасности, уменьшат риски угроз.

Чтобы избежать возникновение угроз нужно избавится от уязвимых мест.
Литература:

https://docs.cntd.ru/document/1200084141 - ГОСТ Р ИСО/МЭК 27005-2010 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ»