дд. Тюнин_ПР№2_ССТД. Методические указания по выполнению практической работы. Ход выполнения выполнил все поставленные задачи

ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ ГОРОДА МОСКВЫ

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ОБРАЗОВАТЕЛЬНЫЙ КОМПЛЕКС»

(ГБПОУ МГОК)
ОТЧЁТ

по практической работе №2.
дисциплина «Стандартизация, сертификация и техническое документоведение»

специальность 09.02.06 Сетевое и системное администрирование


Выполнил: учащийся группы СА-220/1

Тюнин М.Д.

Проверил: преподаватель

Малаш Ю.Г.

Москва

2021

ПРАКТИЧЕСКАЯ РАБОТА №2.

СТАНДАРТЫ И СПЕЦИФИКАЦИИ В ОБЛАСТИ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

Цель: выполнить задание, пользуясь методическими указаниями к практической работе.

Задачи:

1. 
   обеспечить усвоение новых понятий, сформировать алгоритм порядка выполнения действий;
   
2. 
   развивать умение творческого подхода к решению практических, учебных, производственных и управленческих задач;
   
3. 
   способствовать воспитанию таких качеств личности, как работоспособность, организованность, ответственность при выполнении работ с применением программного обеспечения отраслевой направленности.
   

Оборудование урока:

• 
  компьютеры с ОС MS Windows;
  
• 
  программное обеспечение согласно теме урока;
  
• 
  методические указания по выполнению практической работы.
  

Ход выполнения:

• 
  выполнил все поставленные задачи;
  
• 
  разработанные файлы сохранены в папке практической работы; оформил отчёт по практической работе.
  

Задание 2

• 
  ГОСТ Р ИСО/МЭК 17799-2005: ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ (Недействующий).
  

Заменяющий: ГОСТ Р ИСО/МЭК 27002-2012.

• 
  ГОСТ Р ИСО/МЭК 27001-2006: МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (Недействующий).
  

Заменяющий: ГОСТ Р ИСО/МЭК 27001-2021.

• 
  ГОСТ Р ИСО/МЭК 27002-2021: Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил ПРИМЕНЕНИЯ МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
  

Задание 3

1. 
   В ГОСТ Р ИСО/МЭК 13335–1–2006 отдельно выделена ПолИБ ИТТ (англ. ITТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее ИТТ управлять, защищать и распределять активы, в том числе критичную информацию
   
   +ПолИБ сети (англ. network security policy) в различных англоязычных стандартах определяется как документ, в рамках единой информационной инфраструктуры и СОИБ организации формально устанавливающий правила доступа к ее компьютерной сети, на основе которых пользователи этой сети (сотрудники и бизнес-партнеры организации) накапливают, применяют и распоряжаются ее активами.
   

Согласно самому первому определению, приведенному в стандарте «Оранжевая книга» (Trusted Compute System Evaluation Criteria), ПолИБ – набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

2. 
   Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
   

Источник - [https://fkpboz.ru/about/information-security-policy]

3. 
   Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных.
   

Источник - [https://club.cnews.ru/blogs/entry/tseli_i_zadachi_korporativnoj_politiki_bezopasnosti#:

4. 
   К объектам безопасности относятся: личность - ее права и свободы; общество - его материальные и духовные ценности; государство - его конституционный строй.
   

• 
  сохранение конфиденциальности критичных информационных ресурсов;
  
• 
  обеспечение непрерывности доступа к информационным ресурсам Компании для поддержки бизнес деятельности;
  
• 
  защита целостности деловой информации с целью поддержания возможности Компании по оказанию услуг высокого качества и принятию эффективных управленческих решений;
  
• 
  повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Компании;
  
• 
  определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности.
  

6. 
   ПолИБ должна быть:
   

• 
  обязательно согласована с общепризнанными основами теории ИБ, со всеми существующими нормативными и правовыми документами, соблюдение которых требуется от организации в стране ее функционирования, а также директивами, законами, приказами и общими задачами самой организации;
  
• 
  интегрирована в общую политику организации и согласована с другими политиками (например, политикой приема/найма на работу);
  
• 
  краткой (лучшие практики указывают на объем не более 10 страниц), простой для понимания и не допускать двойного толкования ее положений;
  
• 
  наглядной. Это способствует ее эффективной реализации, помогая гарантировать ее знание и понимание всеми сотрудниками организации. Видеофильмы, семинары, статьи во внутренних изданиях организации или на ее внутреннем веб-узле увеличивают такую наглядность;
  
• 
  надлежащим образом доведена в доступной и понятной форме до сведения всех сотрудников организации, с которой они должны ознакомиться чаще всего под расписку. Программа обучения в области ИБ и контрольные проверки действий в тех или иных ситуациях могут достаточно эффективно демонстрировать всем пользователям действенность соблюдения ПолИБ;
  
• 
  реализуема (т.е. содержать только те положения, которые могут быть реализованы на практике), а ее реализация контролируема;
  
• 
  утверждена высшим руководством организации и издана.
  

7. 
   Основные принцыпы ПолИБ:
   

• 
  Законность;
  
• 
  Определённость целей, сформулированных в ПолИБ;
  
• 
  Системность;
  
• 
  Комплексный (мультидисциплинарный) подход к разработке ПолИБ;
  
• 
  Научная обоснованность и техническая реализуемость защитных мер;
  
• 
  Эшелонированность (многоуровневость) обороны и разнообразие защитных средств;
  

8. 
   Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.
   

9. 
   Типовые цели Корпоротивной ПолИБ:
   

• 
  обеспечении устойчивого функционирования организации за счет предотвращения реализации угроз ИБ ее активам, защиты законных интересов владельца информации от противоправных посягательств, обеспечении нормальной производственной деятельности всех подразделений организации;
  
• 
  обеспечение уровня ИБ в конкретных функциональных областях, соответствующего нормативным документам организации и рассчитанного на основе риск-ориентированного подхода (с учетом результатов оценки рисков ИБ);
  
• 
  выработка планов восстановления после критических ситуаций и обеспечения непрерывности бизнеса (ОНБ) организации и другие;
  
• 
  достижение экономической целесообразности в выборе защитных мер;
  
• 
  реализация подотчетности анализа регистрационной информации и всех действий пользователей с информационными ресурсами и т.п.
  

10. 
    Общий жизненный цикл политики информационной безопасности включает в себя ряд основных шагов:
    

• 
  Проведение предварительного исследования состояния информационной безопасности.
  
• 
  Разработку политики безопасности.
  
• 
  Внедрение разработанных политик безопасности.
  
• 
  Анализ соблюдения требований внедренной политики безопасности и формулирование требований по ее дальнейшему совершенствованию (возврат к первому этапу, на новый цикл совершенствования).
  

11. 
    Создание, или написание ПолИБ. Это самый четко формализованный шаг жизненного цикла ПолИБ, который включает в себя деятельность по планированию, проведению различных исследований, документированию необходимой информации и написанию самой ПолИБ.
    

• 
  определяется, зачем ПолИБ нужна в организации (например, в соответствии с правовыми требованиями или требованиями регулирующих органов);
  
• 
  устанавливаются границы и область действия ПолИБ;
  
• 
  выделяются роли и ответственность, связанные с реализацией и внедрением ПолИБ;
  
• 
  назначается группа конкретных людей, которые будут участвовать во всех процессах создания ПолИБ;
  
• 
  оценивается осуществимость реализации ПолИБ.
  

12. 
    Информирование о ПолИБ. Этот шаг включает в себя постоянную деятельность по ознакомлению сотрудников организации и всех заинтересованных лиц и лиц, на которых она распространяется, с содержанием ПолИБ с целью выполнения ими ее требований.
    

• 
  определяются потребности в информировании различных целевых групп в рамках организации (исполнителей, руководителей, пользователей и т.д.);
  
• 
  устанавливаются наиболее эффективные методы информирования для каждой их групп (например, брифинги, обучение, рассылка сообщений и т.п.);
  
• 
  разрабатываются и распространяются различные информационные материалы (видеоролики, презентации, плакаты, почтовые рассылки и т.д.) о необходимости соблюдения ПолИБ;
  
• 
  измеряется уровень информированности сотрудников о ПолИБ (например, посредством тестирования) и по полученным результатам данная деятельность корректируется.
  

13. 
    За осуществление информирования назначаются ответственные (в пределах всей организации, если рассматривать, например, корпоративную ПолИБ, или в пределах подразделений, если рассматривать ПолИБ, касающихся только этих подразделений). Обычно они работают совместно с департаментом персонала или департаментом, отвечающим за обучение персонала, что обеспечивает общность их совместных действий и оптимизирует использование задействованных в процессе информирования ресурсов. Такими ответственными чаще всего становятся сотрудники департамента ИБ.
    

14. 
    Основная деятельность на этом шаге – разрешение ситуаций, когда исполнение ПолИБ невозможно либо частично, либо полностью. Из-за нехватки времени, персонала и других эксплуатационных требований не все политики могут быть выполнены так, как это первоначально предполагалось. Таким образом, исключения из политики, в полной мере не отвечающие ее требованиям, рассматриваются и согласуются с соответствующими лицами, возможно даже с руководством организации.
    

15. 
    Пересмотр ПолИБ проводится в случаях:
    

• 
  существенных изменений в национальной законодательной базе в области ИБ;
  
• 
  внесения существенных изменений в интранет организации;
  
• 
  возникновения инцидентов ИБ.
  

• 
  бизнес-цели организации и цели ОИБ, а также необходимые и достаточные ресурсы для реализации этих целей;
  
• 
  функциональные и процедурные требования;
  
• 
  разделение бизнес-процесса на подпроцессы для присвоения ролей, руководствуясь принципом «один процесс – несколько ролей»;
  
• 
  возможность группировки и взаимодействия ролей;
  
• 
  наличие контроля своевременности и качества выполнения ролей, для чего определяются дополнительные роли по ОИБ и критерии оценки эффективности выполнения правил для каждой роли, иначе может возникнуть новая уязвимость;
  

• 
  Принцип разделения полномочий (обязанностей).
  
• 
  Границы и время средств управления в отношении ПолИБ.
  
• 
  Ограничения на полномочия соответствующего органа или лица.
  

• 
  Процесс разработки политики безопасности.
  
• 
  Опыт разработки и поиск соответсвующих документов для разработки политики безопасности.