- •Курс «Информационная безопасность» Лабораторная работа № 1.Что защищать ? Подготовка инвентаризации данных: Выявление информационных потоков, средств их поддержки.
- •Сформулировать: основной бизнес процесс (бп) предприятия, вспомогательные бизнес процессы.
- •Отобразить структуру предприятия с учетом выбранного бп.
- •Построить информационную модель
- •Смоделировать технологию хранения информации по задаче.
- •Заполнить паспорт рабочего места (группы рабочих мест), реализующего основной бп.
- •Занести результаты инвентаризации в Excel-файл
- •Заполнить исходные данные для классификации в таблице
- •Заполнить таблицу классификации по дцк
- •3. Провести инвентаризацию вредоносных воздействий на систему.
- •3.1 Заполнить таблицу 7 «Перечень вредоносных воздействий, наблюдаемых, предполагаемых и потенциально возможных (ку)».
- •3.2 Провести оценку вредоносного воздействия на информационные элементы, перечисленные в таблице 6
- •Для каждого средства защиты провести оценку активности по отношению к каналам утечки.
- •Оценить качество перекрытия каналов утечки:
- •Оформить отчет
- •Выполнение работы:Проверить готовность матрицы z.
- •Выбрать наименее защищенный элемент.
- •Выявить уязвимости для иэ из п.2
- •Оценки степени перекрытия каналов утечки из п.3
3.2 Провести оценку вредоносного воздействия на информационные элементы, перечисленные в таблице 6
Для каждого информационного элемента оценить влияние. Оценка производится по шкале, представленной в таблице 4. Контролировать соответствие с таблицей 3, где оценены уязвимости Д, Ц, К системы в целом. Данные занести в таблицу 8
Таблица 8 – Оценка вредоносного воздействия на ИЭ
-
Информационный элемент 1. Название
Обозначение КУ
Наименование
Оценка воздействия на доступность
Оценка воздействия на целостность
Оценка воздействия на конфиденциальность
КУ1
…
Информационный элемент 2. Название
Обозначение КУ
Наименование
Оценка воздействия на доступность
Оценка воздействия на целостность
Оценка воздействия на конфиненциальность
КУ1
…
…
Оценивание проводить в соответствии с таблицами 3 и 4.
Перенести данные в матрицу (U).
Лабораторная работа № 3. КАК ЗАЩИЩАТЬ ?
Инвентаризации средств защиты: Выявление средств защиты всех типов. Оценивание степени нейтрализации вредоносных воздействий еа систему
Заполнение матрицы S
Выполнение работы:
Провести инвентаризацию имеющихся средств защиты. Заполнить таблицу 10. Можно использовать таблицу 9 для определения перечня средств.
Таблица 9 - Стандартный набор средств защиты с классификационными признаками
Код Сз |
Наименование |
Метод защиты |
Вид средства защиты |
Сз01 |
Аутентификация при включении компьютера |
Препятствие |
Программные |
Сз02 |
Аутентификация при входе в систему |
Препятствие |
Программные |
Сз03 |
Контроль полномочий (доступа к таблицам) |
Препятствие |
Контроль доступа и полномочий |
Сз04 |
Антивирусное программное обеспечение |
Регламентация |
Антивирусная защита |
Сз05 |
Дверь с замком в офис |
Препятствие |
Технические - Физические |
Сз06 |
Сигнализация на двери в офис |
Регламентация |
Технические - Аппаратные |
Сз07 |
Датчики контроля передвижения |
Регламентация |
Технические – Аппаратные |
Сз08 |
Дверь в административное здание |
Препятствие |
Технические – Физические |
Сз09 |
Противопожарная сигнализация в здании |
Регламентация |
Технические – Аппаратные |
Сз10 |
Пропускная система при входе на территорию завода (<турникеты> и должностные инструкции охранника) |
Препятствие |
Организационные |
Сз11 |
Видеонаблюдение в коридорах |
Регламентация |
Технические –Аппаратные |
Сз12 |
Короб, защищающий кабель |
Препятствие |
Технические – Физические |
Сз13 |
Инструкции пользователя ПС |
Регламентация |
Организационные |
Сз14 |
Должностные инструкции системного администратора |
Регламентация |
Организационные |
Сз15 |
Блоки бесперебойного питания. |
Управление |
Технические – Аппаратные |
Сз16 |
Резервное копирование на съемные носители |
Регламентация |
Организационные |
Сз17 |
Ведение журнала регистрации |
Регламентация |
Организационные |
Таблица 10 – средства защиты
-
Наименование средства защиты
Метод защиты
Администратор защиты,
Реализация метода
Защищаемый аспект безопасности
Перечень перекрываемых каналов утечки
Организа-ционный
Пре-града
Техн., аппарат-ное
Програм-мное
Прогр.- апп.
Прочее
Д
Ц
К
Примечания:
Классифицировать средство зашиты можно по материалам учебного пособия [1, гл.4].
В графе «Администратор» указать ответственного(ых) за установку, поддержку и реагирование на аварийное срабатывание.
В графе «Реализация метода» указать основные проявления защиты.
В перечне перекрываемых каналов использовать результаты п. лаб.работы 2, таблица 6.