Главная страница
Навигация по странице:

  • Описание информационной системы

  • Определение источника угроз ИБ

  • Определение актуальности угроз ИБ ИВС

  • Формирование перечня требуемых защитных мер для ИВС

  • ГОСТ Р ИСО/МЭК 27001–2006 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

  • Приложение 2 Пример заполнения таблицы Применение защитных мер для предотвращения угроз безопасности ИВС

  • Объекты воздействия угрозы Источник угрозы Категория требуемых защитных мер (в соответствии

  • Приложение 3 Шаблон Технического задания на выполнение практического задания №1

    		•

    Практическое задание 1 Модель угроз информационной безопасности информационновычислительной системы


    Скачать 55.81 Kb.
    НазваниеПрактическое задание 1 Модель угроз информационной безопасности информационновычислительной системы
    Дата14.03.2023
    Размер55.81 Kb.
    Формат файлаdocx
    Имя файлаdefault.docx
    ТипДокументы
    #988132

    Практическое задание № 1

    «Модель угроз информационной безопасности информационно-вычислительной системы»

    Цель работы: Определение актуальных угроз инфорамционной безопасности (ИБ) для информационно-вычислительной системы (ИВС).

    При выполнении практического задания в качестве ИВС может быть как инофрмационная система ораганизации, так и домашняя локальная вычислительная сеть.

    В состав ИВС входит: ПО, технические средства обработки, храния и передачи информации, информационные активы

    При выполнении прктического задания формируется отчет в котором содержится следующая инофрмация :

    1. Описание информационной системы:

    – состав технических средств;

    – пеерчень прикладного ПО;

    – пеерчень средств защиты информации;

    – конфиденциальная информация, хранимая и обрабатываемая в ИВС;

    – колличество пользователей в системе, наличие административных и пользовательских прав у пользователей;

    – настройки безопасности ОС и средств защиты (в том числе настройки службы каталогов, парольная политика).

    – использование резервного копирования;

    – наличие доступа к сети интернет (провайдер, соглашение о предоставлении услуг, технология доступа).

    – наименование персональных данных,доступных об исполнителе практического задания в социалных сетях (например : ФИО, дата рождения, место проживания, хобби, увлечения и д.т)

    – наличие инструкций и организационно-распорядительной документации по обеспечению ИБ

    1. Определение источника угроз ИБ

    2.1 Классификация источников угроз + определения каждой категории источника угроз.

    2.3 Определение актуальных источников угроз для ИВС .

    1. Определение актуальности угроз ИБ ИВС

    3.1 Объекты воздействия угроз

    3.2 Классификация угроз Б (расписать категории и подкатегориии, см презентацию)

    3.3 Методика определения актуальности угроз ИБ

    3.4 Формирования переченя угроз ИБ

    3.5 Определение актуальности угроз ИБ дляИВС

    1. Формирование перечня требуемых защитных мер для ИВС

    –Для каждой актуальной угрозы ИВС (п. 3.5) приводится источник угроз (из п. 2.3) и защитные меры из Приложения № 1 настоящего документа.

    Пример формирования перечня требуемых защитных мер для ИВС приведен в приложении №2 настоящего документа).

    Перечень норамтивных документов, используемых при выполнении практического задания №1

    1. Mетодика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Данная методика может использоваться исполнителем для разработки методики определения актуальности угроз ИВС. Необходимо помнить, что им пользуя этот документ вы разрабатываете методику определения актуальности угроз для ИВС , а не для информационной системы персональных данных!! )

    2. ГОСТ Р ИСО/МЭК 27001–2006

    3. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

    4. Гост 17799 Практические правила управления безопасностью

    5. ГОСТ Р ИСО/МЭК 13335-4–2007 «Выбор защитных мер»

    6. ГОСТ Р ИСО/МЭК 13335-1

    ТАКЖЕ смотрите презентацию!!!

    Отчет сдается в письменном (печатном ) виде, а также в электронном виде (после согласования и утверждения отчета преподавателем).

    Струткура отчета:

    Титульный литс

    Техническое задания (пример заполнения см. Приложение 3)

    Введение

    Термины, определения и сокращения

    Главы отчета

    Нормативные документы

    Приложения (если есть)

    Приложение 1

    Таблица– Организационные и программно-технические защитные меры

    п/п
    Категория защитных мер
    Состав защитных мер (ГОСТ Р ИСО/МЭК 27001-2006)

    1. Политики безопасности (Организации и Системы)



    Политика информационной безопасности

    1. Документирование политики ИБ.

    Анализ и пересмотр политики ИБ

    1. Организация информационной безопасности



    Внутренняя организация

    1. Координация вопросов обеспечения ИБ.

    2. Распределение обязанностей по обеспечению ИБ.

    3. Получение разрешений на использование средств обработки информации.

    4. Заключение соглашений о конфиденциальности.

    5. Проведение внешнего аудита ИБ



    Обеспечение безопасности при доступе сторонних организаций

    1. Определение рисков, связанных со сторонними организациями.

    2. Соблюдение мер безопасности при работе с клиентами.

    3. Соблюдение мер безопасности в соглашениях со сторонними организациями

    1. Управление активами



    Обеспечение ответственности за защиту активов

    1. Инвентаризация активов.

    2. Назначение ответственных за активы.

    3. Документирование правил безопасного использования активов



    Классификация информации

    1. Установление классификации активов.

    2. Маркировка и обработка информации

    1. Безопасность, связанная с персоналом



    Перед трудоустройством

    1. Документирование функциональных обязанностей персонала.

    2. Проверка персонала при приеме на работу.

    3. Установление ответственности относительно ИБ в трудовом договоре



    Во время работы по трудовому договору

    1. Проведение руководством ознакомления персонала с требованиями ИБ.

    2. Повышение осведомленности, обучение и переподготовка персонала в области ИБ.

    3. Дисциплинарная практика



    При увольнении или изменении трудового договора

    1. Ответственность по окончании трудового договора.

    2. Возврат активов.

    3. Аннулирование прав доступа

    1. Физическая защита



    Охраняемые зоны

    1. Периметр охраняемой зоны.

    2. Контроль доступа в охраняемую зону.

    3. Обеспечение безопасности зданий, помещений и оборудования.

    4. Защита от внешних угроз.

    5. Выполнение работ в охраняемых зонах.

    6. Защита зон приема и отгрузки материальных ценностей



    Безопасность оборудования

    1. Размещение и защита оборудования.

    2. Обеспечивающие подсистемы (электроснабжения, заземления, кондиционирования).

    3. Безопасность кабельной сети.

    4. Техническое обслуживание оборудования.

    5. Обеспечение безопасности внешнего оборудования.

    6. Безопасная утилизация или повторное использование оборудования.

    1. Разрешение на вынос имущества с территории организации

    1. Защита средств обработки и обмена данными



    Эксплуатация средств и ответственность

    1. Документирование процедур эксплуатации средств обработки и обмена данными.

    2. Контроль изменений в конфигурациях средств обработки и обмена данными.

    3. Разграничение обязанностей по эксплуатации средств обработки и обмена данными.

    4. Разграничение средств разработки, тестирования и эксплуатации



    Управление услугами, предоставляемыми сторонними организациями

    1. Контроль выполнения договорных обязательств.

    2. Мониторинг, аудит и анализ аутсорсинговых услуг



    Планирование нагрузки и приемка систем

    1. Управление производительностью.

    2. Проверка новых средств обработки и обмена данными перед приемом в эксплуатацию



    Защита от вредоносного программного обеспечения

    1. Защита от вредоносного кода.

    2. Защита от мобильного кода



    Резервное копирование и хранение информации

    1. Резервирование информации и ПО



    Безопасное применение носителей информации

    1. Контроль доступа к внешним носителям информации и периферийным устройствам, подключаемым к автоматизированным рабочим местам.

    2. Утилизация носителей информации.

    3. Регламентирование процедур обработки информации



    Защищенный обмен информацией

    1. Политики и процедуры обмена информацией.

    2. Защищенный обмен сообщениями и данными.

    3. Защищенное взаимодействие смежных информационных систем



    Мониторинг

    1. Ведение журналов регистрации действий пользователей и событий безопасности.

    2. Мониторинг использования средств обработки и обмена данными.

    3. Защита информации журналов регистрации.

    4. Журналы регистрации действий администраторов.

    5. Регистрация неисправностей.

    6. Синхронизация времени

    1. Управление доступом



    Управление доступом в соответствии с требованиями бизнеса

    1. Документирование и выполнение процедур управления доступом



    Управление доступом пользователя

    1. Регламентирование и выполнение процедур регистрации (снятия с регистрации) пользователей.

    2. Управление привилегиями (ролями) пользователей.

    3. Управление паролями (аутентификационными данными) пользователей.

    4. Пересмотр прав доступа пользователей



    Ответственность пользователей

    1. Использование паролей.

    2. Защита оборудования, оставленного без присмотра.

    3. Правила «чистого стола» и «чистого экрана»



    Контроль доступа к операционной системе

    1. Выполнение процедуры безопасного входа в систему.

    2. Идентификация и аутентификация пользователя (субъекта доступа).

    3. Управление парольной политикой.

    4. Контроль использования системных утилит.

    5. Завершение (блокировка) сеанса после определенного времени бездействия.

    6. Ограничение времени соединения



    Контроль доступа к прикладным системам, СУБД и информации

    1. Ограничение доступа к прикладным системам и информации в соответствии с политикой доступа.

    2. Выделение (изоляция) вычислительной среды для систем, обрабатывающих важную информацию



    Безопасная работа с переносными устройствами и в удаленном режиме

    1. Безопасная работа с переносными устройствами.

    2. Безопасная работа в удаленном режиме

    1. Сетевая безопасность



    Управление безопасностью сетей

    1. Безопасное управление сетевым оборудованием.

    2. Регламентирование процедур предоставления сетевых сервисов

    (В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Защита средств разработки и обмена данными)



    Контроль сетевого доступа

    1. Аутентификация пользователей при доступе к сетевым услугам.

    2. Аутентификация удаленных пользователей.

    3. Аутентификация удаленного сетевого оборудования.

    4. Защита диагностических и конфигурационных портов при удаленном доступе.

    5. Сегментирование сетей.

    6. Контроль сетевых соединений.

    7. Контроль маршрутизации в сети

    8. Обнаружение вторжений.

    (В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Управление доступом)

    1. Обеспечение ИБ при приобретении, разработке и обслуживании ИС



    Задание требований безопасности к разрабатываемым прикладным информационным системам

    1. Формирование требований безопасности к прикладным информационным системам.

    2. Проверка выполнения требований ИБ при приемке ПС в эксплуатацию



    Проверка корректности обработки данных в прикладных информационных системах

    1. Проверка достоверности входных данных.

    2. Контроль обработки данных в приложениях.

    3. Обеспечение аутентичности и защита целостности содержания сообщений.

    4. Подтверждение достоверности выходных данных



    Защита информации криптографическими средствами

    1. Формализация процедур использования криптографических средств

    2. Управление ключевой информацией.

    3. Применение средств криптографической защиты для шифрования информации.

    4. Использование электронной цифровой подписи.

    5. Использование сервисов неоспоримости

    (Меры 3-5 в ГОСТ Р ИСО/МЭК 27001 не входят. Данные меры добавлены из ГОСТ Р ИСО/МЭК 17799)



    Безопасность системных файлов

    1. Контроль целостности эксплуатируемого программного обеспечения.

    2. Контроль и защита данных при осуществлении тестирования системы.

    3. Контроль доступа к исходным кодам программ



    Безопасность в процессах разработки и поддержки

    1. Контроль изменений прикладного программного обеспечения.

    2. Анализ функционирования и безопасности прикладного программного обеспечения после внесения изменений в системное ПО.

    3. Формализация процедур контроля изменений в прикладное программное обеспечение.

    4. Предотвращение утечки информации из информационных систем.

    5. Формализация процедур разработки программного обеспечения с привлечением сторонних организаций



    Контроль технических уязвимостей

    Обнаружение и устранение технических уязвимостей информационных систем

    1. Управление инцидентами ИБ



    Своевременное оповещение о событиях и недостатках информационной безопасности

    1. Оповещение о событиях ИБ.

    2. Документирование (формализация) административных процедур оповещения о слабых местах (недостатках) ИБ



    Управление инцидентами информационной безопасности и улучшениями

    1. Формализация ответственности и процедур реагирования на инциденты ИБ.

    2. Формализация процедур мониторинга и регистрации инцидентов ИБ.

    3. Формализация процедур сбора доказательств об инцидентах ИБ

    1. Управление непрерывностью бизнеса



    Обеспечение непрерывности бизнеса

    1. Включение ИБ в процесс управления непрерывностью бизнеса.

    2. Оценка риска нарушения непрерывности бизнеса.

    3. Разработка и внедрение планов непрерывности бизнеса с учетом ИБ.

    4. Создание единой структуры планов обеспечения непрерывности бизнеса.

    Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса

    1. Обеспечение соответствия требованиям



    Обеспечение соответствия правовым требованиям

    1. Определение и документирование правовых требований.

    2. Защита прав на интеллектуальную собственность.

    3. Защита персональных данных.

    4. Предотвращение злоупотребления средствами обработки информации.

    5. Регулирование использования криптографических средств



    Обеспечение соответствия политикам и стандартам безопасности, и технического соответствия

    1. Обеспечение соответствия политикам и стандартам безопасности.

    2. Проверка соответствия техническим требованиям ИБ



    Аудит информационной безопасности

    1. Управление аудитом ИБ.

    2. Защита инструментальных средств аудита

    Приложение 2

    Пример заполнения таблицы Применение защитных мер для предотвращения угроз безопасности ИВС



    п/п
    Способ реализации угрозы

    (здесь приводятся актуальные угрозы для ИВС)
    Категория угрозы
    Объекты воздействия угрозы
    Источник угрозы
    Категория требуемых защитных мер (в соответствии

    с таблицей приложения 1)
    Требуемые защитные меры

    1.
    Несанкционированное физическое проникновение
    Взлом
    СВТ, СрЗИ, сетевое оборудование
    ТЕХ, ПОЛ, РАЗР, ПОС, ВНЕШ
    9. Охраняемые зоны

    1. Периметр охраняемой зоны.

    2. Контроль доступа в охраняемую зону.

    3. Обеспечение безопасности зданий, помещений и оборудования

    10. Безопасность оборудования
    Размещение и защита оборудования

    2.
    Вход в систему путем подбора/кражи пароля
    Взлом
    СВТ, СрЗИ, сетевое оборудование, программные средства
    АДМС, АДМП, ПОЛ, РАЗР, ХАК, УВС
    18. Мониторинг
    Ведение журналов регистрации действий пользователей и событий безопасности

    20. Управление доступом пользователя
    Управление паролями (аутентификационными данными) пользователей

    21. Ответственность пользователей

    1. Использование паролей.

    2. Защита оборудования, оставленного без присмотра

    22. Контроль доступа к операционной системе

    1. Выполнение процедуры безопасного входа в систему.

    2. Идентификация и аутентификация пользователя.

    3. Управление парольной политикой.

    4. Завершение (блокировка) сеанса после определенного времени бездействия.

    5. Ограничение времени соединения

    Приложение 3

    Шаблон Технического задания на выполнение практического задания №1

    Санкт-Петербургский государственный университет

    информационных технологий, механики и оптики
    Факультет КТиУ Кафедра БИТ

    Студенты: (не более 2-х). Группа
    Дисциплина «Организация защиты информации»
    ЗАДАНИЕ

    на выполнение практической работы

    «Модель угроз информационной безопасности

    информационно-вычислительной системы»

    Цель: Вписать цель

    Исходные данные об объекте защиты:

    • Название предприятия: XXXXX

    • Характер деятельности, выпускаемая продукция, оказываемые услуги:XXXXX

    • Состав технических средств: XXXXXXX

    • Используемое прикладное ПО:

    – XXX

    – XXX

    –XXX

    • Используемы средств защиты информации:

    –XXX

    –XXx

    –XXX

    • Конфиденциальная информация, хранимая и обрабатываемая в ИВС – XXX

    • Колличество пользователей в ИВС – XXXXX;

    Содержание работы

    • Введение

    • Описание информационной системы

    • Определение источника угроз информационной безопасности

    • Определение актуальности угроз ИБ ИВС

    • Формирование перечня защитных мер для ИВС.

    • Заключение

    • Список литературы

    Общий объем работы (с рисунками) – не менее 25 машинописных листов (шрифт 13, интервал 1,5).

    Срок сдачи работы на проверку – не позднее 6 октября 2012.

    Кроме машинописного варианта предоставляется электронная версия работы.
    Студенты группы ХХХ ХХХХХХХХ Х.Х.

    Преподаватель

    к.т.н., доцент кафедры ПКС Михайличенко О.В.
    Дата выдачи

    написать администратору сайта