- •8.160101 Защита информации с ограниченным доступом и автоматизация ёё обработки
- •8(7).160105 Защита информации в компьютерних системах и сетях
- •8(7).160104 Административный менеджмент в сфере защиты информации с с ограниченным доступом
- •Лабораторная работа № 1 Разработка политики безопасности предприятия.
- •Методические указания по работе и комплекс лабораторных работ с программным комплексом Digital Security Office 2006
- •1. Введение
- •1.1. Общие положения
- •4.1.3. Приступая к работе
- •4.1.4. Алгоритм
- •4.1.5. Общие принципы работы с программой
- •4.1.6. Пример расчета рисков невыполнения требований стандарта
- •4.2. Программа Гриф
- •4.2.1. Гриф. Модель информационных потоков
- •4.2.1.1. Общее описание
- •4.2.1.2. Приступая к работе
- •4.2.1.3. Алгоритм
- •4.2.1.4. Общие принципы работы с программой
- •4.2.1.5. Пример расчета рисков информационной системы на основе модели информационных потоков
- •Вопрос 1:
- •Вопрос 2:
- •Вопрос 3:
- •4.2.2. Гриф. Модель угроз и уязвимостей
- •4.2.2.1. Назначение
- •4.2.2.2. Классификация угроз dsecct (Digital Security Classification of Threats)
- •4.2.2.3. Приступая к работе
- •4.2.2.4. Алгоритм
- •4.2.2.5. Общие принципы работы с программой
- •4.2.2.6. Пример построения модели информационной системы на основе модели угроз и уязвимостей
- •Раздел 1. Физическое воздействие человека, направленное на ис
- •Раздел 2. Физические угрозы, направленные на ис
- •Раздел 3. Локальные программные угрозы, направленные на ресурс
- •4.2.2.7. Пример расчета рисков информационной системы на основе модели угроз и уязвимостей
- •6. Лабораторные работы
- •6.1. Программа Кондор
- •6.1.1. Лабораторная работа 1
- •6.1.2. Лабораторная работа 2
- •6.2. Программа Гриф.
- •6.2.1. Гриф. Модель информационных потоков
- •6.2.1.1. Лабораторная работа 1
- •6.2.1.2. Лабораторная работа 2
- •6.2.2. Гриф. Модель угроз и уязвимостей
- •6.2.2.1. Лабораторная работа 1
- •6.2.2.2. Лабораторная работа 2
1. Введение
1.1. Общие положения
Представленные методические указания описывают работу программного продукта Digital Security Office 2006.
Digital Security Office 2006 – программный комплекс, предназначенный для управления информационной безопасностью и построения эффективной системы управления информационной безопасностью.
Digital Security Office 2006 включает в себя систему анализа и управления информационными рисками ГРИФ и систему разработки и управления политикой безопасности информационной системы КОНДОР.
Методические указания включают:
Описание работы с программным продуктом Digital Security Office 2006.
Описание алгоритмов программ, входящих в состав Digital Security Office 2006.
Лабораторные работы по программному продукту Digital Security Office 2006.
Тесты по программному продукту Digital Security Office 2006.
В результате изучения методических указаний и выполнения лабораторных работ пользователь программы получает все необходимые знания для работы с программным продуктом Digital Security Office 2006.
1.3. Принятые сокращения
Таблица 1.3-1. Принятые сокращения
Сокращение |
Расшифровка |
ИБ |
Информационная безопасность |
ИС |
Информационная система |
ИТ |
Информационные технологии |
ОС |
Операционная система |
ПО |
Программное обеспечение |
4. Программный комплекс Digital Security Office 2006
Digital Security Office 2006 - законченное решение для комплексного управления информационной безопасностью компании.
Digital Security Office 2006 включает в себя систему анализа и управления информационными рисками ГРИФ и систему разработки и управления политикой безопасности информационной системы КОНДОР.
4.1. Программа Кондор
КОНДОР - система разработки и управления политикой безопасности ИС компании на основе стандарта ISO 17799. Это современный и удобный инструмент для разработки всех основных положений политики ИБ компании и управления процессом внедрения этих положений на практике.
4.1.1. Общее описание
С помощью программы КОНДОР проводится аудит ИС компании на соответствие стандарту ISO 17799. На основе данных, полученных в результате проведения аудита, разрабатывается политика безопасности компании и система управления информационной безопасностью.
4.1.2. Международный стандарт управления информационной безопасностью ISO 17799
Стандарт управления информационной безопасностью ISO 17799 является стандартом верхнего уровня, описывающим безопасность ИС в целом и принципы управления процессом обеспечения ИБ. Требования стандарта ISO 17799 описывают комплексный подход к обеспечению ИБ.
Стандарт состоит из десяти разделов, содержащих требования к процессу управления ИБ.
Разделы стандарта ISO 17799:
Политика безопасности
Организационные меры
Управление ресурсами
Безопасность персонала
Физическая безопасность
Управление коммуникациями и процессами
Контроль доступа
Разработка и сопровождение систем
Непрерывность ведения бизнеса
Соответствие системы требованиям
Краткое описание тем разделов стандарта:
Раздел "Политика безопасности" содержит вопросы о существующей в компании политике безопасности: положения политики, порядок внесения изменений, утверждение политики.
Раздел "Организационные меры" содержит вопросы о принятых в компании организационных мерах по обеспечению ИБ и об ответственности за ее обеспечение.
Раздел "Управление ресурсами" содержит вопросы о процедуре учета ресурсов и о классификации и категоризации информации.
Раздел "Безопасность персонала" содержит вопросы о процедуре приема сотрудников на работу, об уровне осведомленности персонала по вопросам ИБ и о действиях, осуществляемых персоналом в случае возникновения инцидентов в области ИБ.
Раздел "Физическая безопасность" содержит вопросы о физическом контроле доступа к ресурсам, содержащим ценную информацию, и о физических угрозах оборудованию ИС компании.
Раздел "Управление коммуникациями и процессами" содержит вопросы о процедурах внесения изменений в среду выполнения бизнес-операций, об антивирусной защите, о контроле целостности, резервном копировании информации и восстановлении из резервных копий, о правилах обращении с информацией и программным обеспечением при передаче, о безопасности электронной коммерции и электронного офиса. Вопросы раздела отражают процесс безопасной обработки и передачи информации.
Раздел "Контроль доступа" содержит вопросы о правах и привилегиях пользователей при доступе к ресурсам компании, о политике сетевых служб, о парольной политике, о мониторинге процедур повышенного риска, о доступе мобильных и удаленных пользователей к ресурсам компании. Вопросы раздела отражают распределение доступа к ценным ресурсам компании.
Раздел "Непрерывность ведения бизнеса" содержит вопросы о планах обеспечения непрерывности ведения бизнеса, о восстановлении системы после сбоев, о тренингах персонала по действиям в случае аварийных ситуаций.
Раздел "Соответствие системы требованиям" содержит вопросы о лицензионных соглашениях приобретенного программного обеспечения; о соответствии системы стандартам ИБ; о критериях сохранения улик; о проверках, проводимых в ИС (например, проверка технического соответствия, сторонний аудит).
Раздел "Разработка и сопровождение систем" содержит вопросы о проверках входных и выходных данных систем, о системе криптографической защиты информации, о правилах внесения изменений в исполняемые файлы и библиотеки, о правилах работы с тестовой средой, о приобретении программных продуктов.