- •8.160101 Защита информации с ограниченным доступом и автоматизация ёё обработки
- •8(7).160105 Защита информации в компьютерних системах и сетях
- •8(7).160104 Административный менеджмент в сфере защиты информации с с ограниченным доступом
- •Лабораторная работа № 1 Разработка политики безопасности предприятия.
- •Методические указания по работе и комплекс лабораторных работ с программным комплексом Digital Security Office 2006
- •1. Введение
- •1.1. Общие положения
- •4.1.3. Приступая к работе
- •4.1.4. Алгоритм
- •4.1.5. Общие принципы работы с программой
- •4.1.6. Пример расчета рисков невыполнения требований стандарта
- •4.2. Программа Гриф
- •4.2.1. Гриф. Модель информационных потоков
- •4.2.1.1. Общее описание
- •4.2.1.2. Приступая к работе
- •4.2.1.3. Алгоритм
- •4.2.1.4. Общие принципы работы с программой
- •4.2.1.5. Пример расчета рисков информационной системы на основе модели информационных потоков
- •Вопрос 1:
- •Вопрос 2:
- •Вопрос 3:
- •4.2.2. Гриф. Модель угроз и уязвимостей
- •4.2.2.1. Назначение
- •4.2.2.2. Классификация угроз dsecct (Digital Security Classification of Threats)
- •4.2.2.3. Приступая к работе
- •4.2.2.4. Алгоритм
- •4.2.2.5. Общие принципы работы с программой
- •4.2.2.6. Пример построения модели информационной системы на основе модели угроз и уязвимостей
- •Раздел 1. Физическое воздействие человека, направленное на ис
- •Раздел 2. Физические угрозы, направленные на ис
- •Раздел 3. Локальные программные угрозы, направленные на ресурс
- •4.2.2.7. Пример расчета рисков информационной системы на основе модели угроз и уязвимостей
- •6. Лабораторные работы
- •6.1. Программа Кондор
- •6.1.1. Лабораторная работа 1
- •6.1.2. Лабораторная работа 2
- •6.2. Программа Гриф.
- •6.2.1. Гриф. Модель информационных потоков
- •6.2.1.1. Лабораторная работа 1
- •6.2.1.2. Лабораторная работа 2
- •6.2.2. Гриф. Модель угроз и уязвимостей
- •6.2.2.1. Лабораторная работа 1
- •6.2.2.2. Лабораторная работа 2
6.1.2. Лабораторная работа 2
Расчет риска невыполнения требований стандарта ISO 17799 с помощью системы КОНДОР
Задание
Рассчитать риск невыполнения требований стандарта ISO 17799 в моделируемой ИС. Проанализировать полученные результаты. Смоделировать изменения, которые следует ввести в ИС для снижения риска до приемлемого уровня. Проанализировать изменения.
Порядок выполнения задания
Создание проекта:
Введите название нового проекта.
Свойства проекта:
Введите название объекта, ответственного за выполнение работы пользователя и его должность.
Измените весовые коэффициенты тех требований стандарта ISO 17799, которые, на Ваш взгляд, специфичны для моделируемой ИС.
Моделирование ИС:
Ответьте на вопросы разделов стандарта ISO 17799. Укажите вопросы, которые неприменимы к моделируемой ИС (т.е. вопросы, относящиеся к бизнес-процессам, которых не существует в компании).
Введите затраты на обеспечение ИБ в компании.
Отчет:
Создайте отчет.
Проанализируйте данные отчета.
Управление рисками:
Задайте контрмеры к требованиям стандарта ISO 17799. Для этого внесите изменения в ИС, которые повлекут за собой выполнение требований стандарта ISO 17799 и уменьшение риска невыполнения требований. Введите стоимость внедрения контрмеры и возможное снижение затрат на ИБ.
Отчет:
Создайте повторный отчет.
Проанализируйте, изменился ли риск при задании контрмер.
Управление периодами:
Создайте новый период аудита.
Повторное моделирование ИС:
Смоделируйте ИС. При моделировании следует учесть все изменения, которые произошли в системе с момента последнего проведения аудита.
Отчет:
Постройте отчет по проекту.
Проанализируйте результаты.
6.2. Программа Гриф.
6.2.1. Гриф. Модель информационных потоков
6.2.1.1. Лабораторная работа 1
Расчет рисков информационной системы на основе модели информационных потоков.
Задание
Рассчитать риски ИС на основе модели информационных потоков, используя исходные данные.
Исходные данные
ИС компании состоит из двух ресурсов: сервера и рабочей станции, которые находятся в одной сетевой группе, т.е. физически связанны между собой. На сервере хранятся следующие виды информации: база данных наименований веществ для производства товаров и документы, описывающие процесс производства. На рабочей станции расположена база данных процентного содержания различных веществ в производимых товарах.
К ИС имеют доступ:
начальник отдела закупок;
старший менеджер;
менеджер по закупкам.
К серверу локальный доступ имеет группа пользователей (к первой информации – база данных наименований веществ для производства товаров):
старший менеджер по закупкам.
К серверу удаленный доступ имеют группы пользователей (ко второй информации – документы, описывающие процесс производства):
менеджер по закупкам (с рабочей станции);
начальник отдела закупок (через глобальную сеть Интернет).
К рабочей станции локальный доступ имеет группа пользователей (к базе данных процентного содержания различных веществ в производимых товарах):
менеджер по закупкам.
Менеджер по закупкам при удаленном доступе к серверу является группой обычных пользователей, а начальник отдела закупок – группой авторизованных Интернет-пользователей.
Средства защиты сервера
Средство защиты |
Эффективность средства защиты |
Средства физической защиты |
|
Контроль доступа в помещение, где расположен ресурс (дверь с замком, видеонаблюдение) |
10 |
Средства локальной защиты |
|
Отсутствие возможности подключения внешних носителей |
10 |
Встроенные в ОС средства блокировки сеанса пользователя |
2 |
Встроенная в BIOS система разграничения доступа при загрузке |
2 |
Средства корпоративной сетевой защиты |
|
Межсетевой экран |
10 |
Система обнаружения атак на уровне сети |
5 |
Система антивирусной защиты на сервере |
10 |
Средства резервирования и контроля целостности |
|
Аппаратная система контроля целостности |
20 |
Средства защиты первой информации (база данных наименований веществ для производства товаров)
Средство защиты |
Эффективность средства защиты |
Средства локальной защиты |
|
Средства криптографической защиты (криптозащита данных ПК) |
20 |
Средства резервирования и контроля целостности |
|
Дополнительная программно-аппаратная система контроля доступа |
8 |
Резервное копирование |
10 |
Средства защиты второй информации (документы, описывающие процесс производства)
Средств защиты нет.
Средства защиты рабочей станции
Средство защиты |
Эффективность средства защиты |
Средства физической защиты |
|
Контроль доступа в помещение, где расположен ресурс (дверь с замком) |
5 |
Средства локальной защиты |
|
Встроенные в ОС средства блокировки сеанса пользователя |
2 |
Средство антивирусной защиты (антивирусный монитор) |
10 |
Аппаратная система контроля целостности |
20 |
Отсутствие возможности подключения внешних носителей |
10 |
Средства персональной сетевой защиты |
|
Персональный межсетевой экран |
3 |
Средства защиты информации (база данных процентного содержания различных веществ в производимых товарах)
Средство защиты |
Эффективность средства защиты |
Средства локальной защиты |
|
Средства криптографической защиты (криптозащита данных ПК) |
20 |
Средства резервирования и контроля целостности |
|
Резервное копирование |
10 |
Средства защиты клиентского места группы менеджер по закупкам (группа обычных пользователей)
Средство защиты |
Эффективность средства защиты |
Средства физической защиты |
|
Контроль доступа в помещение, где расположен ресурс (дверь с замком) |
5 |
Средства локальной защиты |
|
Средства антивирусной защиты (антивирусный монитор) |
10 |
Аппаратная система контроля целостности |
20 |
Отсутствие возможности подключения внешних носителей |
10 |
Средства персональной сетевой защиты |
|
Персональный межсетевой экран |
3 |
Средства защиты клиентского места группы старший менеджер по закупкам (группа обычных пользователей)
Средство защиты |
Эффективность средства защиты |
Средства физической защиты |
|
Контроль доступа в помещение, где расположен ресурс (дверь с замком) |
5 |
Средства локальной защиты |
|
Встроенная в BIOS система разграничения доступа при загрузке |
2 |
Дополнительная аппаратная система блокировки сеанса пользователя |
4 |
Средства антивирусной защиты (антивирусный монитор) |
10 |
Отсутствие возможности подключения внешних носителей |
10 |
Средства персональной сетевой защиты |
|
Персональный межсетевой экран |
3 |
Вид и права доступа групп пользователей к информации, наличие соединения через VPN, количество человек в группе
|
Вид доступа |
Права доступа |
Наличие VPN-соединения |
Количество человек в группе |
Старший менеджер по закупкам / база данных наименований веществ для производства товаров |
локальный |
чтение, запись, удаление |
нет |
1 |
Менеджер / документы, описывающие процесс производства |
удаленный |
чтение |
есть |
1 |
Начальник отдела закупок / документы, описывающие процесс производства |
удаленный |
чтение, запись |
есть |
1 |
Менеджер / база данных процентного содержания различных веществ в производимых товарах |
удаленный |
чтение, запись, удаление |
нет |
1 |
Наличие у групп пользователей выхода в Интернет
Группа пользователей |
Доступ в Интернет |
Старший менеджер по закупкам |
Есть |
Менеджер |
Нет |
Начальник отдела закупок |
Не анализируется |
Ущерб компании от реализации угроз информационной безопасности:
|
Конфиденциальность (у.е. в год) |
Целостность (у.е. в год) |
Доступность (у.е. в час) |
База данных наименований веществ для производства товаров |
100 |
100 |
1 |
Документы, описывающие процесс производства |
100 |
100 |
1 |
База данных процентного содержания различных веществ в производимых товарах |
100 |
100 |
1 |