Главная страница
Навигация по странице:

Лабораторный практикум1. Практикум цель
Скачать 134 Kb.
Название Практикум цель
Анкор Лабораторный практикум1.doc
Дата 13.04.2017
Размер 134 Kb.
Формат файла doc
Имя файла Лабораторный практикум1.doc
Тип Практикум
#900

13.04.2017

ЛАБОРАТОРНЫЙ ПРАКТИКУМ
Цель.

Выявление информационных активов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности. Анализ информационной системы персональных данных (ПДн), используемой компанией, и оценка возможностей применения криптографических технологий для защиты ПДн.
Задачи.

  1. Установить номенклатуру информационных активов и оценить их значимость для компании в целом и ее структурных подразделений.

  2. Выявить виды и разновидности тайн, которые используются в деятельности компании.

  3. Оценить риски информационной безопасности.

  4. Классифицировать информационную систему персональных данных (ИСПДн).

  5. Предложить направления использования средств шифрования и электронной цифровой подписи для защиты информации, циркулирующей в компании.



Порядок оформления и сдачи.

  1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа — MS Office

  2. Работы в электронном виде отправляются на электронную почту преподавателя:
    [email protected].
    Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.

  3. Крайний срок сдачи лабораторного практикума: 01 декабря. Практикумы, сданные после этого срока, не засчитываются. Студенты, не представившие практикум к указанному сроку, к экзамену не допускаются.



ЧАСТЬ 1.
ОБЩИЕ ВОПРОСЫ. ВИДЫ ТАЙН.
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И КАНАЛЫ УТЕЧКИ

Задание 1.

Описание компании и ее структурных подразделений

  1. Укажите наименование компании и адрес ее корпоративного сайта.

  2. Дайте описание деятельности компании, её направлений и бизнес-целей.

  3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;

  4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.

  5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.


Описание компании не должно занимать более 1 страницы.
Задание 2.

Определение номенклатуры информационных активов

  1. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.

  2. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1.

Таблица 1

Вид актива
Наименование актива
Владелец
Степень важности
Угрозы
Уязвимости
Обоснование выбранной степени важности























Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005.
Задание 3.

Определение номенклатуры видов и разновидностей тайн

  1. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.

  2. Для каждого вида (разновидности) тайны заполните Таблицу 2. В первой строке таблицы приведен условный пример.

Таблица 2

Вид (разновидность) тайны
Содержание сведений, составляющих тайну
Численность пользователей (П), рабочих мест (РМ), филиалов (Ф),
вовлеченных в обработку КИ

Персональные данные
Сведения о сотрудниках
Отдел кадров — 2П, 2РМ

Бухгалтерия — 2П, 1 РМ

























































Задание 4.

Определите примерный перечень сведений, составляющих коммерческую (служебную) тайну компании (организации). Заполните Таблицу 3.

Таблица 3

№ п/п
Общие группы сведений, составляющих тайну
Перечень конкретных сведений, входящих в состав группы
Сотрудники каких подразделений допущены к данным сведениям







































Задание 5.

Для сведений, составляющих тайны, и информационных активов, включающих соответствующие данные, определите наиболее важные дестабилизирующие факторы (ДФ), формирующие угрозы информационной безопасности. Заполните Таблицу 4.

Таблица 4

№ п/п
Вид и разновидность тайны
В состав какого информационного актива входят соответствующие данные
Наиболее значимые ДФ для каждого пункта
(по мере убывания важности)
На каких носителях распространяются соответствующие данные
















































Задание 6.

Для сведений, составляющих тайны, и информационных активов, включающих соответствующие данные, определите представляющие наибольшую угрозу:

  • условия разведывательного контакта;

  • методы доступа к добываемой информации;

  • способы дистанционного добывания информации. Заполните Таблицу 5.

Таблица 5

№ п/п
Вид и разновидность тайны
В состав какого информационного актива входят соответствующие данные
Условия разведывательного контакта
Методы доступа к добываемой информации
Способы дистанционного добывания
























































Задание 7

Распределите информационные активы, содержащие сведения, составляющие тайны, по зонам доступа. Заполните Таблицу 6.
Таблица 6

№ п/п
Информационные активы
Какие виды и разновидности тайн содержат
В какой зоне
должны находиться







































Задание 8

Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 7.
Таблица 7

№ п/п
Информационные активы
Наиболее опасные каналы утечки для каждого актива
Способ противодействия утечке
Средство противодействия утечке
















































ЧАСТЬ 2.
Информационная система персональных данных (ИСПДн)
Задание 9.

Перечислите категории ПДн, обрабатываемых в ИСПДн. Заполните Таблицу 8. Укажите численность субъектов ПДн, чьи персональные данные обрабатываются в ИСПДн.
Таблица 8

Категория ПДн
Какие персональные данные обрабатываются
Конкретные примеры ПДн
соответствующей категории

1.






2.






3.






4.







Численность субъектов ПДн:
Задание 10.

Учитывая результаты, полученные в ходе выполнения Задания 9, и принимая во внимание характеристики безопасности ПДн, которые требуется обеспечить при их обработке в ИСПДн, определите, является ли Ваша ИСПДн типовой или специальной. При отнесении ИСПДн к специальным системам обоснуйте свой вывод, перечислив требуемые характеристики безопасности ПДн. Для этого заполните Таблицу 9.
ИСПДн моей компании (организации) является типовой/специальной (нужное оставить, ненужное удалить).
Таблица 9

Характеристики безопасности ПДн
в специальной ИСПДн
Примеры реализации угроз характеристикам безопасности

Защищенность от уничтожения



Защищенность от изменения



Защищенность от блокирования



Защищенность от иных несанкционированных действий





ЧАСТЬ 3.
Криптографическая защита информации
Задание 11.

Определите основные направления использования средств криптографической защиты информации (СКЗИ), образующей тайны (разновидности тайн), перечисленные при выполнении Задания 3. Заполните Таблицу 10.

В первой строке таблицы приведен условный пример. Поле «Примечание» здесь и далее для заполнения не обязательно.

Необходимо выявить не менее трех направлений.
Таблица 10


Вид (разновидность)
тайны
Направление (способ) криптографической защиты КИ
Примечание

Персональные данные
Прозрачное шифрование логического диска с базой данных 1С
Пользователям для доступа к зашифрованному логическому диску выдаются токены















































Задание 12.

Сформируйте для руководства компании (организации) список СКЗИ для использования по каждому из направлений, указанных в Задании 11. Заполните Таблицу 11.

Для каждого направления необходимо предложить не менее двух СКЗИ. При определении стоимости СКЗИ следует учитывать лицензионную политику производителей (поставщиков), возможную необходимость закупки средств для создания рабочего места администратора СКЗИ, оборудования рабочих мест, на которых используются программные СКЗИ, аппаратными средствами защиты от несанкционированного доступа (НСД) и т.д.

Средства, не прошедшие сертификацию в ФСБ, указывать не следует. Описание несертифицированных средств к зачету приниматься не будет.

Стоимость СКЗИ следует указывать в рублях, с учетом НДС. Если поставка лицензий на программное обеспечение производится без НДС, следует упомянуть об этом в поле «Примечание». Если цены на СКЗИ указываются в условных единицах, необходимо перевести их в рубли по курсу ЦБ РФ на дату составления отчета, приняв во внимание требования поставщика (например, оплата в рублях по курсу ЦБ + 1%).

По каждому направлению необходимо сформулировать рекомендации по отбору лучшего СКЗИ, и обосновать их.
Таблица 11
Направление 1
СКЗИ 1.1

Наименование



Примечание

Производитель






Поставщик



Сертификат ФСБ (обязательно): номер, дата выдачи, срок действия



Сертификат ФСТЭК (опционально): номер, дата выдачи, срок действия



Для защиты каких видов (разновидностей) КИ будет использоваться СКЗИ



Количество пользователей, рабочих мест, филиалов, на которые приобретается СКЗИ



Стоимость СКЗИ



Если рабочие места требуется оснастить средствами защиты от НСД, то указать количество таких рабочих мест, наименование средства защиты от НСД, подсчитать их суммарную стоимость





СКЗИ 1.2

Наименование



Примечание

Производитель






Поставщик



Сертификат ФСБ (обязательно): номер, дата выдачи, срок действия



Сертификат ФСТЭК (опционально): номер, дата выдачи, срок действия



Для защиты каких видов (разновидностей) КИ будет использоваться СКЗИ



Количество пользователей, рабочих мест, филиалов, на которые приобретается СКЗИ



Стоимость СКЗИ



Если рабочие места требуется оснастить средствами защиты от НСД, то указать количество таких рабочих мест, наименование средства защиты от НСД, подсчитать их суммарную стоимость




Рекомендации по отбору СКЗИ. Укажите, какое именно из перечисленных СКЗИ Вы считаете необходимым использовать, и обоснуйте этот вывод.

Далее по той же схеме — Направление 2, Направление 3 и т.д.
Задание 13.

Оцените стоимость закупки СКЗИ, отобранных при выполнении Задания 12. Заполните Таблицу 12.

Без заполненной Таблицы 12 работа считается невыполненной и не зачитывается!
Таблица 12


Наименование СКЗИ
и средств защиты от НСД
(если последние требуются)
Стоимость, рублей
Примечание























































Итого:







Варианты компаний:

  1. Московский финансово-промышленный университет «Синергия».

  2. Компания занимается розничной торговлей мультимедийной продукцией

  3. Компания занимается оказанием логистических услуг

  4. Компания занимается учебной деятельностью

  5. Компания занимается производством мебели

  6. Компания является туроператором

  7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью

  8. Компания разрабатывает средства защиты информации

  9. Компания занимается изготовлением полиграфической продукции

  10. Компания оказывает услуги по инкассации торговых объектов

  11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения

  12. Компания занимается кинопрокатом фильмов

  13. Компания занимается книгоизданием

  14. Компания занимается выпуском журналов (Издательский дом)

  15. Компания осуществляет подключение к сети Интернет и IP телефонии

  16. Компания занимается разработкой и администрованием веб-сайтов

  17. Компания занимается изготовлением POS терминалов

  18. Компания занимается бронированием гостиниц по России

  19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.

  20. Компания занимается локализацией программных продуктов

  21. Компания занимается тиражированием оптических дисков
написать администратору сайта