Кейсы для дисциплины Информационная безопасность предприятия. Кейсы для дисциплины Информационная безопасность предприятия Разработка комплекса мер по обеспечению информационной безопасности предприятия. Кейсзадача 1
 Скачать 17.01 Kb.
|
|
Кейсы для дисциплины «Информационная безопасность предприятия» Разработка комплекса мер по обеспечению информационной безопасности предприятия. Кейс-задача № 1 Провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Защита информации заключается не только в обеспечении конфиденциальности информации, необходимо обеспечить защиту информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обрабатывается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. Таким образом, необходимо определить: что защищать, где защищать и от кого защищать. Кейс-задача № 2 Выявить угрозы безопасности информации, в том числе и зависящие от территориального расположения предприятия. Угрозам можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, можно получить риск угрозы. Кейс-задача № 3 Разработать политику безопасности (ответственные лица за безопасность функционирования фирмы; полномочия и ответственность отделов и служб в отношении безопасности; организация допуска новых сотрудников и их увольнения; правила разграничения доступа сотрудников к информационным ресурсам; организация пропускного режима, регистрации сотрудников и посетителей; использование программно-технических средств защиты; другие требования общего характера). Кейс-задача № 4 Обеспечить безопасность компьютерной информации (установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение, выбрать средства защиты информации, обосновать целесообразность их использования). Рекомендации: в системе должен быть администратор безопасности; за каждое устройство должен быть назначен ответственный за его эксплуатацию; системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности) жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф; если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров; установка любого программного обеспечения должна производиться только работником IT-службы; для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт. Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация; должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника. Кейс-задача № 5 В политике безопасности предусмотреть меры ликвидации последствий нарушения информационной безопасности, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Кейс-задача № 6 Провести аудит безопасности. Оценить информационную безопасность предприятия. Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. |