умп_практика. УМП_практика_2020_выходРИО_20_02_20. Учебнометодическое пособие к практическим работам основная профессиональная образовательная программа
 Скачать 403.28 Kb.
|
|
Выводы по практической работе В ходе выполнения практической работы был рассчитаны риски информационной системы на основе модели информационных потоков. Для достижения поставленной цели: разработана структурно-функциональная схема информационной системы с отображением физических и логических ресурсов, а также типы информационных потоков; определены веса средств защиты каждого аппаратного ресурса, каждого вида информационного ресурса, хранящегося и/или обрабатывающегося на нём; указан вид доступа и права доступа для каждого пользователя (групп пользователей), а также наличие соединения через VPN, количество человек в группе для каждого информационного потока; указано наличие у пользователей выхода в Интернет; определен ущерб организации от реализации угроз ИБ для каждого информационного потока; произведен расчёт рисков информационной системы на основе модели информационных потоков по угрозам нарушение «конфиденциальности», «целостности» и «доступности». В ходе выполнения расчетов была получена итоговая вероятность реализации угрозы «конфиденциальность» около 20% для серверов «закрытого» и «открытого» контуров. Значение риска для ресурсов при этом равняется 73 и 65 для серверов «закрытого» и «открытого» контуров соответственно. Поскольку предполагаемый риск меньше чем допустимый ущерб конфиденциальности в год (в среднем это 91 у.е. и 70 у.е. соответственно), можно сделать вывод, что информационная система организации защищена достаточно хорошо от угрозы типа «конфиденциальность». Однако в целях дальнейшего повышения безопасности системы рекомендуется принять дополнительные меры и/или усилить уже имеющиеся. Итоговая вероятность реализации угрозы нарушения «доступности» составила около 20% для серверов «закрытого» и «открытого» контуров. Значение риска для ресурсов при этом равняется 49 у.е. и 22 у.е. для серверов «закрытого» и «открытого» контуров соответственно. Поскольку предполагаемый риск для закрытого сервера больше, а для открытого – меньше чем допустимый ущерб конфиденциальности в год (в среднем это 40 у.е. и 28 у.е. соответственно), можно сделать вывод, что информационная система организации слабо защищена от угрозы типа «доступность». В целях повышения безопасности системы следует принять дополнительные меры и усилить уже имеющиеся средства защиты на сервере закрытого контура. Возможно, следует усилить уже имеющиеся средства защиты на сервере открытого контура. Итоговая вероятность реализации угрозы нарушения «целостности» составила около 10% для серверов «закрытого» и «открытого» контуров. Значение риска для ресурсов при этом равняется 21 у.е. и 16 у.е. для серверов «закрытого» и «открытого» контуров соответственно. Поскольку предполагаемый риск меньше чем даже половина допустимого ущерба «целостности» в год (в среднем это 42 у.е. и 33 у.е. соответственно), можно сделать вывод, что информационная система организации хорошо защищена от угрозы этого типа. Содержание отчета Цель работы. Теоретические положения. Структурно-функциональная схема ИС «закрытого» и «открытого» контура ИС, с указанием защищаемых ресурсов. Архитектура ИС. Полученные результаты расчетов (для каждого вида информации) Итоговая вероятность реализации угрозы нарушения «конфиденциальности». Итоговая вероятность реализации угрозы нарушения «целостности». Итоговая вероятность реализации угрозы нарушения «доступности». Сравнительная оценка рисков по угрозе нарушение «конфиденциальности», «целостности» и «доступности». Выводы Контрольные вопросы Что лежит в основе построения логической структуры ИС и определения информационных потоков? Как выбрать веса средства защиты каждого аппаратного ресурса и средства защиты каждого вида информации, хранящемся и обрабатываем на нем? Как определяется ущерб организации от реализации угроз ИБ для каждого информационного потока? Приведите последовательность расчета рисков для каждого вида ценной информации по угрозе нарушение «конфиденциальности». Рассчитать риски для каждого вида ценной информации по угрозе нарушение «целостности». Рассчитать риски для каждого вида ценной информации по угрозе нарушение «доступности». Как проводится расчет коэффициентов защищенности? Как проводится расчет итоговой вероятности (ИВ)? Как проводится расчет риска по угрозе нарушение «конфиденциальности» для каждого вида информации? Чем отличается расчет риска по угрозе нарушение «конфиденциальности» для каждого вида информации от аналогичных расчетов риска по угрозам нарушение «целостности» и «доступности»? Как проводится расчет риска по угрозе нарушение «конфиденциальности» для ресурса? Чем отличается расчет риска по угрозе нарушение «конфиденциальности» для ресурса от аналогичных расчетов риска по угрозам нарушение «целостности» и «доступности»? Библиографический список Федеральный закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ. Федеральный закон РФ «О безопасности» от 28.12.2010 № 39-ФЗ. Федеральный закон РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ. Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Доктрина информационной безопасности РФ от 09.09.2000 № ПР-1895. ГОСТ Р ИСО 7498-2–99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть.2. Архитектура защиты. М.: ИПК «Издательство стандартов», 1999. ГОСТ Р 51583—2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения». ГОСТ Р 50922-96 «Защита информации. Основные термины и определения». Мошак Н.Н., Тимофеев Е.А. Особенности построения политики информационной безопасности в инфокоммуникационной сети // Электросвязь. 2005, №9. Мошак Н.Н. Безопасность информационных систем: Учеб. пособие/ Н.Н.Мошак – СПб.: ГУАП, 2019. – 169 с. ISBN 978-5-8088-1414-1 Мошак Н. Н. Защищенные инфотелекоммуникации. Анализ и синтез: монография. СПб.: ГУАП, 2014. 193 с. Мошак Н.Н., Татарникова Т.М. Защита сетей от несанкционированного доступа. Учеб. пособие / СПб.: ГУАП, 2014. с. 121. Н.И. Глухов Оценка информационных рисков предприятия: учебное пособие. – Иркутск: ИрГУПС, 2013. – 148 с. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника. 2004. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. – М.: ДМК Пресс, 2004. – 384 с. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И. Основы организационного обеспечения информационной безопасности объектов информатизации: учебное пособие. – Орел: Академия Спецсвязи России, 2004. – 175 с. Галатенко В.А. Основы информационной безопасности. Курс лекций: учебное пособие / под ред. чл.-корр. РАН Бетелина В.Б. – М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2004. – 264 с. Семененко В.А. Информационная безопасность: учебное пособие. – М.: МГИУ, 2006. – 277 с. Зефиров С.Л., Голованов В.Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. INSIDE. – 2006. – № 3. – С. 28–35. Курилло А.П., Зефиров С.А., Голованов В.Б. и др. Аудит информационной безопасности. – М.: БДЦ-Пресс, 2006. – 304 с. Зима В., Молдовян А., Молдовян.Н. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000. 320 с. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью». Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования: ISO/IEC 27001. – Введ. 06.01.2005. – М.: Стандартинформ, 2006. – 54 с. Информационные технологии. Методы и средства обеспечения безопасности. Ч. 3. Методы менеджмента безопасности информационных технологий: ГОСТ Р ИСО/МЭК ТО 13335-3-2007. – Введ. 01.09.2007. – М.: Стандартинформ, 2007. – 76 с. ISO/IEC TR 13335 Information technology – Guidelines for the management of IT Security (Информационная технология. Методы безопасности. Руководство по управлению безопасностью) OCTAVE (Система Операционной Оценки Критических Угроз, Активов и Уязвимостей), Software Engineering Institute, Carnegie Mellon University. UK Government Risk Analysis and Management Method, CRAMM. Risk management guide for information technology systems. Recommendations of the National Institute of Standards and Technology: NIST 800-30. – Введ. 06.01.2002. – США. – 2002. – 56 с. Спецификация системы управления информационной безопасностью: BS 7799-2:2005. – Введ. 01.07.2005. – Англия. – 2005. – 86 с. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности: РС БР ИББС-2.2-2009. – Введ. 06.01.2009. – М.: Стандартинформ, 2009. – 23 с. . Оглавление Общие рекомендации по выполнению практических работ………………….3 Практическая работа 1. Оценка риска информационной системы на основе модели угроз и уязвимостей ……………………………………………………5 Цель работы……………………………………………………………...5 Задание к практической работе…………………………………………5 Краткие теоретические сведения ……………………………………….6 Последовательность выполнения работ…………………………..17 Методические рекомендации по выполнению работы ………….23 Содержание отчета………………………………………………….31 Контрольные вопросы………………………………………………40 Практическая работа 2. Оценки рисков информационной системы на основе модели информационных потоков………………………………42 Цель работы…………………………………………………………42 Задание к практической работе…………………………………….42 Краткие теоретические сведения…………………………………43 Последовательность выполнения работы…………………………44 Методические рекомендации по выполнения работы…………….51 Содержание отчета……………………………………………………75 Контрольные вопросы ………………………………………………..75 Библиографический список ………………………………………………….77 Оглавление……………………………………………………………………...80 |