- •Курс «Информационная безопасность» Лабораторная работа № 1.Что защищать ? Подготовка инвентаризации данных: Выявление информационных потоков, средств их поддержки.
- •Сформулировать: основной бизнес процесс (бп) предприятия, вспомогательные бизнес процессы.
- •Отобразить структуру предприятия с учетом выбранного бп.
- •Построить информационную модель
- •Смоделировать технологию хранения информации по задаче.
- •Заполнить паспорт рабочего места (группы рабочих мест), реализующего основной бп.
- •Занести результаты инвентаризации в Excel-файл
- •Заполнить исходные данные для классификации в таблице
- •Заполнить таблицу классификации по дцк
- •3. Провести инвентаризацию вредоносных воздействий на систему.
- •3.1 Заполнить таблицу 7 «Перечень вредоносных воздействий, наблюдаемых, предполагаемых и потенциально возможных (ку)».
- •3.2 Провести оценку вредоносного воздействия на информационные элементы, перечисленные в таблице 6
- •Для каждого средства защиты провести оценку активности по отношению к каналам утечки.
- •Оценить качество перекрытия каналов утечки:
- •Оформить отчет
- •Выполнение работы:Проверить готовность матрицы z.
- •Выбрать наименее защищенный элемент.
- •Выявить уязвимости для иэ из п.2
- •Оценки степени перекрытия каналов утечки из п.3
Смоделировать технологию хранения информации по задаче.
Раздел должен обеспечить представление структур хранимых данных и технологию ведения условно-постоянной информации.
Под условно-постоянными данными понимаются данные, имеющие коэффициент стабильности более 0,7.
Условно постоянные данные обычно хранятся на сервере баз данных и используются множеством пользователей. Процедура установления полномочий применяется для ограничения выполняемых действий пользователей с данным информационным пространством. Типовая технология установления полномочий пользователей – матрица полномочий, которая может быть представлена в следующем виде (таблица 2).
Таблица 2 - Матрица полномочий пользователей
Пользователи |
Ресурсы |
|||
Ресурс 1 |
Ресурс 2 |
… |
Ресурс К |
|
Пользователь 1 |
|
|
|
|
Пользователь 2 |
|
|
|
|
… |
|
|
|
|
Пользователь N |
|
|
|
|
В клетках таблицы на пересечении пользователей и отношений указывается значения полномочий.
в форматном файле.
Заполнить паспорт рабочего места (группы рабочих мест), реализующего основной бп.
Паспорт (типовой проект) рабочего места рабочих и служащих включает следующие разделы:
назначение и общие характеристики;
планировка рабочего места;
мебель, оборудование и технические средства;
функциональные обязанности (основные элементы работы);
методы и приемы труда;
условия труда;
оплата труда;
организация обслуживания; регламентирую'Цая документация; загрузка рабочего места (нормирование); охрана труда и техника безопасности.
Лабораторная работа № 2. ЧТО И ОТ ЧЕГО ЗАЩИЩАТЬ ? Классификация результатов инвентаризации данных: Выявление информационных потоков, средств их поддержки в обязательном порядке требующих защиты.
Выявление вредоносных воздействий, заполнение матрицы U
Цели работы: 1) получение навыков выявления элементов информационного взаимодействия по результатам ДЦК – классификации; 2) получение навыков инвентаризации вредоносных воздействий и оценки степени их влияния; 3)отображение результатов оценки степени вредоносного воздействия в виде 2-х мерной матрицы.
Выполнение работы:
Занести результаты инвентаризации в Excel-файл
Провести классификацию информационных элементов, программного и технического обеспечений – результатов инвентаризации (л.р.1). При классификации анализируется предполагаемый (при наиболее неблагоприятных стечениях обстоятельств вредоносного воздействия) ущерб. Ущерб оценивается по следующим направлениям:
У1. Затраты на устранение последствий от задержки или невозможности решения задачи (повторные работы и исследования, штрафные санкции, утраченная выгода, дополнительные затраты на диагностику и поиск причин, дополнительные затраты, связанные с временным изменением условий решения задачи), нарушение Доступности, Целостности;
У2. Затраты на восстановление работоспособности системы (ремонт и приобретение технических средств и носителей, восстановление баз данных и документов) – восстановление Доступности;
У3. Затраты на устранение последствий использования недостоверных данных (поддельных, утративших актуальность, подвергшихся несанкционированной модификации или случайному воздействию) - нарушение Целостности;
У4. Затраты на ликвидацию последствий от нарушения Целостности: операции «отката», повторные замеры, повторные просчеты, проверка адекватности данных. Восстановление Целостности;
У5. Затраты на устранение последствий разглашения конфиденциальных данных: штрафные санкции (судебные издержки), утраченная выгода, возмещение морального ущерба, страхование рисков. Нарушение Конфиденциальности.
Результатами классификации будут:
определенный уровень Д, Ц, К ;
влияние элемента на работоспособность всей системы;
заключение о внесении элемента в список обязательно защищаемых.