6ая (1). Практическая работа разработка требований безопасности информационной системы
 Скачать 20.17 Kb.
|
|
ПРАКТИЧЕСКАЯ РАБОТА № 6. РАЗРАБОТКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ Цели: получение навыков разработки требований безопасности информационной системы. Теоретические вопросы: Угрозы безопасности информационных систем. Обеспечение безопасности функционирования информационных систем. Методы и средства обеспечения безопасности информационных систем. Задание № 1. Целью защиты информации является обеспечении безопасности хранимой и обрабатываемой информации, а также используемых программных средств. Для обеспечения в информационной системе полной конфиденциальности применяются четыре метода, актуальных для любого формата информации: ограничение или полное закрытие доступа к информации; шифрование; дробление на части и разрозненное хранение; скрытие самого факта существования информации. Задание № 2 Стандарт предлагает такую классификацию рисков: Объективные внутренние: к ним относятся передача сигналов по незащищенным линиям связи, наличие электромагнитных, акустических, оптических излучений, которые могут быть перехвачены, дефекты, сбои и отказы оборудования и программ; Внешние: это явления техногенного характера, например, электромагнитные излучения, способные повредить информацию, аварии систем обеспечения, стихийные бедствия, термические риски – пожары, биологические – микробы или грызуны; Субъективные внутренние: это разглашение информации лицами, имеющими право доступа к ней, передача данных по открытым каналам связи, их обработка на незащищенных технических средствах, публикация информации в СМИ, ее копирование на неучтенный носитель, утеря носителя, любые неправомерные действия с данными – изменение, копирование, использование аппаратных закладок, неправильная защита информации, неправильное выстраивание механизма контроля, ошибки персонала; Субъективные внешние: это организация доступа к информации со стороны иностранных или конкурентных разведок, использование специальных средств для внешнего доступа к данным, действия криминальных групп, диверсионная деятельность. Задание № 3 К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести: — стремление получить материальную выгоду; — стремление нанести вред руководству или коллеге по работе, а иногда и государству; — стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы; — стремление продвинуться по службе; — стремление обезопасить себя, родных и близких от угроз, шантажа, насилия; — стремление показать свою значимость. В качестве защиты могут быть использованы: межсетевые экраны; антивирус; система обнаружения вторжений. Задание № 4 namespace Program { class Program { static void Main() { double q1, q2, p, t, j, i, P, k, n; k = 4; n = 5; P = 0; q1 = 0.05; q2 = 0.25; t = 10; P = 1; for (j = 1; j <= k; j++) { for (i = 1; i <= n; i++) { if (t != 0) { P = P + P * (j / i) * q1 * (q2 + Math.Abs(1 + Math.Exp(t)) * (1 - q2)); Console.WriteLine("{0}", P.ToString()); } } } if (t == 0) Console.WriteLine("Введите t в коде, отличное от 0"); } } } Задание № 5 Для обеспечения информационной безопасности информационной системы медицинского страхования, необходимо защитить: Личные данные пользователей Исходный код БД Операции и процессы Доступ к территориальной инфраструктуре информационной системы Задание 6 Личные данные пользователей – Защита с помощью модификаторов доступа protect и сетевых протоколов защиты информации. Исходный код - Защита с помощью модификаторов доступа protect. БД - Защита с помощью модификаторов доступа protect и сетевых протоколов кодировки информации. Операции и процессы - Защита с помощью сетевых протоколов кодировки и защиты информации. Доступ к территориальной инфраструктуре информационной системы – защита с помощью защитных механизмов (помщение + дверь + ключ), охранники. |