- •10.03.01 Информационная безопасность
- •Индивидуальная тема:
- •Ход выполнения практического задания:
- •Информация, не подлежащая защите:
- •Информация, подлежащая защите:
- •Контрольные вопросы:
- •Что понимается под информационной безопасностью?
- •Назовите основные способы защиты информации.
- •Назовите способы несанкционированного получения конфиденциальной информации.
- •Какие задачи решаются в ходе разработки и внедрения ксзи?
- •Назовите этапы создания Системы Защиты Информации.
- •Санкт-Петербург
МИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
10.03.01 Информационная безопасность
(код и наименование направления/специальности
Предмет Основы управления информационной безопасности
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №11
«Изучение методов построения комплексной системы организационных и технических мер по защите информации»
(тема отчета)
Выполнил:
(Ф.И.О., № группы) (подпись)
Проверил:
_Бирих Э.В.____________
(уч. степень, уч. звание, Ф.И.О.) (подпись)
Цель работы:
Изучить методы построения КСЗИ организационных и технических мер по защите информации.
Индивидуальная тема:
№28 Администрация города
Ход выполнения практического задания:
Выделите информацию, не подлежащую защите согласно нормативно-правовым актам, и выполнить проектирование организационных и технических мер по защите этой информации.
Выполните построение комплексной системы организационных мер для выбранного предприятия.
Информация, не подлежащая защите:
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации. То есть, если журнал публикуется в Интернете и находится в открытом доступе по решению его создателей, они вправе требовать ссылки на источник в случае использования информации из него где-либо еще.
К общедоступной также относится информация, доступ к которой нельзя ограничить. Перечень сведений, доступ к которым не может быть ограничен, указан в ст.10 Федеральный закон РФ от 27 июля 2006 г. N 149-ФЗ:
нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
информации о состоянии окружающей среды;
информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Информация, подлежащая защите:
Персональные данные - сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях;
Тайна следствия и судопроизводства - сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Разработка организационных и технических мер
Разработка организационных и технических мер по обеспечению безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимого объекта и (или) обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и должна включать:
В общем плане мероприятия предусматривают проведение следующих действий:
анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
проектирование подсистемы безопасности значимого объекта;
разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
Разрабатываемые организационные и технические меры по обеспечению безопасности значимого объекта не должны оказывать негативного влияния на создание и функционирование значимого объекта.
При разработке организационных и технических мер по обеспечению безопасности значимого объекта учитывается его информационное взаимодействие с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее - архитектура значимого объекта), а также особенностей функционирования значимого объекта.
Анализ угроз безопасности информации должен включать:
выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;
анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;
определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;
оценку возможных последствий от реализации (возникновения) угроз безопасности информации.
качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085
Модель угроз безопасности информации должна содержать краткое описание архитектуры значимого объекта, характеристику источников угроз безопасности информации, в том числе модель нарушителя, и описание всех угроз безопасности информации, актуальных для значимого объекта. Описание каждой угрозы безопасности информации должно включать:
источник угрозы безопасности информации;
уязвимости (ошибки), которые могут быть использованы для реализации (способствовать возникновению) угрозы безопасности информации;
возможные способы (сценарии) реализации угрозы безопасности информации;
возможные последствия от реализации (возникновения) угрозы безопасности информации.
Модель угроз безопасности информации может разрабатываться для нескольких значимых объектов, имеющих одинаковые цели создания и архитектуру, а также типовые угрозы безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Проектирование подсистемы безопасности значимого объекта должно осуществляться в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта с учетом модели угроз безопасности информации и категории значимости значимого объекта.
При проектировании подсистемы безопасности значимого объекта:
определяются субъекты доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа;
определяются политики управления доступом (дискреционная, мандатная, ролевая, комбинированная);
определяются и обосновываются организационные и технические меры, подлежащие реализации в рамках подсистемы безопасности значимого объекта;
определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;
осуществляется выбор средств защиты информации и (или) их разработка с учетом категории значимости значимого объекта, совместимости с программными и программно-аппаратными средствами, выполняемых функций безопасности и ограничений на эксплуатацию;
разрабатывается архитектура подсистемы безопасности значимого объекта, включающая состав, места установки, взаимосвязи средств защиты информации;
определяются требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей значимого объекта;
определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.
Разработка рабочей (эксплуатационной) документации на значимый объект осуществляется в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта на основе проектной документации.
Рабочая (эксплуатационная) документация на значимый объект должна содержать:
описание архитектуры подсистемы безопасности значимого объекта;
порядок и параметры настройки программных и программно-аппаратных средств, в том числе средств защиты информации;
правила эксплуатации программных и программно-аппаратных средств, в том числе средств защиты информации (правила безопасной эксплуатации).
Состав и формы рабочей (эксплуатационной) документации определяются в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта.