- •Безопасность информационных систем Учебно-методическое пособие к практическим работам
- •Общие рекомендации по выполнению практических работ
- •Методические указания по выполнению практических работ
- •Задания и требования к проведению практических работ
- •Оформление, структура и форма отчета по практической работе
- •Практическая работа 1
- •Цель работы
- •Задание к практической работе
- •Краткие теоретические сведения
- •Описание объекта защиты – знать, что такое объект защиты
- •Анализ рисков в ис
- •Последовательность выполнения работы
- •Методические рекомендации по выполнению работы
- •Модель угроз и уязвимостей аппаратных ресурсов ис
- •Расчёт уровня угрозы по уязвимости Th и уровня угрозы по всем уязвимостям, через которые реализуется данная угроза
- •Расчет эффективности введения контрмер.
- •Содержание отчета
- •Контрольные вопросы
- •Практическая работа 2
- •Цель работы.
- •Задание к практической работе
- •Рассчитать риски для каждого вида информации в ис
- •Краткие теоретические сведения
- •Последовательность выполнения практической работы
- •Построить архитектуру ис
- •4.2. Расчет рисков для каждого вида ценной информации по угрозе нарушения «конфиденциальности», «целостности» и «доступности».
- •Расчет итогового коэффициента (ик) защищенности
- •Расчет итоговой вероятности (ив)
- •Расчет риска по угрозе нарушение «конфиденциальности» для каждого вида информации
- •Расчет риска по угрозе нарушение «конфиденциальности» для ресурса
- •Методические рекомендации по выполнения работы
- •Описание архитектуры ис
- •Расчет рисков по угрозе нарушение «конфиденциальности»
- •Учет наличия доступа через vpn
- •Расчёт итогового коэффициента защищённости
- •Расчёт итоговой вероятности
- •Расчёт риска по угрозе нарушение «конфиденциальности» для каждой информации
- •Расчёт риска по угрозе нарушение «конфиденциальности» для ресурса
- •Расчет рисков по угрозе нарушение «доступности»
- •Расчет рисков по угрозе нарушение «целостности»
- •Выводы по практической работе
- •Содержание отчета
- •Контрольные вопросы
- •Библиографический список
- •Оглавление
Практическая работа 2
Оценки рисков информационной системы на основе модели информационных потоков ("Методика оценки рисков информационной безопасности организации Digital Security")
Цель работы.
Рассчитать риск информационной системы (ИС) на основе модели информационных потоков.
Задание к практической работе
Описать архитектуру ИС.
Составить структурно-функциональную схему ИС
Описать в виде таблиц средства защиты каждого аппаратного ресурса, средства защиты каждого вида информации, хранящемся на нем с указанием веса каждого средства.
Описать в виде таблицы вид доступа (локальный, удаленный) и права доступа (чтение, запись, удаление) для каждого пользователя (групп пользователей), а также наличие соединения через VPN, количество человек в группе для каждого информационного потока.
Указать наличие у пользователей выхода в Интернет.
Указать ущерб организации от реализации угроз ИБ для каждого информационного потока.
Рассчитать риски для каждого вида информации в ис
Рассчитать риски для каждого вида информации по угрозе нарушение «конфиденциальности».
Рассчитать риски для каждого вида информации по угрозе нарушение «целостности».
Рассчитать риски для каждого вида информации по угрозе нарушение «доступности».
Оценить риски для каждого вида информации по угрозе нарушение «конфиденциальности», «целостности» и «доступности».
Краткие теоретические сведения
Метод оценки рисков информационной системы на основе модели информационных потоков позволяет оценить защищенность каждого вида информации.
Метод оценки рисков базируется на построении модели ИС организации. Для этого необходимо проанализировать защищенность и архитектуру ИС. Специалист по ИБ, привлекая владельца (менеджера) ИС (используя вопросники, интервью, документацию, инструменты автоматического сканирования), должен подробно описать архитектуру сети:
– все аппаратные (компьютерные) ресурсы, на которых хранится ценная информация;
– сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);
– отделы, к которым относятся ресурсы;
– виды ценной информации;
– ущерб для каждого вида ценной информации по трем видам угроз;
– бизнес-процессы, в которых обрабатывается информация;
–пользователей (группы пользователей), имеющих доступ к ценной информации;
– класс группы пользователей;
– доступ группы пользователей к информации;
– характеристики этого доступа (вид и права);
– средства защиты информации;
– средства защиты рабочего места группы пользователей.
Исходя из полученных данных строится полная модель ИС организации на основе которой проводится оценки рисков для каждого ресурса по угрозе нарушения «конфиденциальности», «целостности» и «доступности». Алгоритм оценки рисков позволяет получить следующие данные:
– реестр ресурсов;
– значения риска для каждого ценного ресурса организации;
– значения риска для ресурсов после задания контрмер (остаточный риск);
– эффективность контрмер;
– рекомендации экспертов.