Вопросы 7
.docxМинистерство образования и науки Челябинской области
Государственное бюджетное профессиональное образовательное
учреждение
«Челябинский радиотехнический техникум»
ОТЧЕТ
по контрольным вопросам к лекции №7
МДК 03.02 Безопасность компьютерных сетей
Выполнили:
студенты группы Са-348
Бухалов Никита и Рязанов Дмитрий
____________ «___»__________20__ г.
подпись дата сдачи
Проверил:
преподаватель А.В. Фролов
_________________________________
оценка /рецензия
____________ «___»__________20__ г.
подпись дата проверки
Челябинск 2023 г.
Контрольные вопросы
Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя пять ключевых этапов: оценку; политику; реализацию; квалифицированную подготовку; аудит.
Оценка стоимости. Процесс обеспечения информационной безопасности начинается с оценки имущества: определения информационных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невозможно эффективно выполнить программу защиты этих активов. Данный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно выбрать рентабельную контрмеру для уменьшения этого риска. Цели оценки информационной безопасности, следующие: определить ценность информационных активов; определить угрозы для конфиденциальности, целостности, доступности и/или идентифицируемый этих активов; определить существующие уязвимые места в практической деятельности организации;
установить риски организации в отношении информационных активов;
предложить изменения в существующей практике работы, которые позволят сократить величину рисков до допустимого уровня;
обеспечить базу для создания соответствующего проекта обеспечения безопасности.
Разработка политики. Следующим шагом после оценки, как правило, является разработка политик и процедур. Они определяют предполагаемое состояние безопасности и перечень необходимых работ. Без политики нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности. Необходимо разработать следующие политики и процедуры:
Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.
Политика безопасности. Определяет технические средства управления для различных компьютерных систем.
Политика использования. Обеспечивает политику компании по использованию компьютерных систем.
Политика резервного копирования. Определяет требования к резервным копиям компьютерных систем.
Процедуры управления учетными записями. Определяют действия, выполняемые при добавлении или удалении пользователей.
Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безопасностью.
План на случай чрезвычайных обстоятельств. Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.
Реализация политики безопасности. Реализация политики заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности. В таких случаях в проведении программы безопасности должны участвовать системные и сетевые администраторы.
Да. Меры предосторожности обычно используются для восстановления работоспособного состояния после каких-либо инцидентов. Основными составляющими являются системы резервного копирования и план восстановления на случай чрезвычайных происшествий.
Развертывание политики — это методология, применяемая для планирования, установления и доведения до исполнителей целей организации и оперативного анализа ее работы, который обеспечивает координацию всех действий, направленных на достижение правильно сформулированных стратегических целей.
Обучение сотрудников лучше всего проводить короткими занятиями - по часу или менее. Видеоматериалы способствуют более качественному уровню занятий, чем обычная лекция. Все новые сотрудники должны проходить обучение как часть инструктажа, а все работающие - раз в два года.
Презентация для руководителей организации — это отчасти и обучение, и маркетинг. Без поддержки руководства программа безопасности просто не сможет существовать. Следовательно, руководство должно быть проинформировано о состоянии безопасности и о дальнейшем развитии программы.
Периодические презентации руководству должны включать результаты недавних оценок и состояние различных проектов по безопасности. По возможности система показателей, выражающая риски для организации, должна быть общепризнанной. Например, нужно отследить и отразить в отчете число уязвимых мест организации и нарушений системной политики.
Эффективно действующая система взаимодействия нацелена на точное определение содержания, количества, времени обработки, периодичности, способов предоставления информации, доводимой до сотрудников, а также на сбор и анализ обратной связи. На что должна быть направлена «политика гласности». ... Вовлеченность в общий результат хорошо способствует сплочению команды. Кадровая информация (назначения, увольнения, открытые вакансии, обучение и аттестация). ... увеличение объема информации и недостаток времени на ее изучение
Если проверка нарушения защиты терпит неудачу, то вывод такой - проверяющий не смог обнаружить и использовать уязвимость. Это вовсе не значит, что уязвимости не существует.
Почему же тогда необходимо выполнять проверку возможности нарушения защиты? Если организация провела оценку и применила подходящие средства управления риском, она может выборочно проверить некоторых из них. Проверка защиты подходит для следующих случаев.
· Способность системы обнаружения вторжений выявить попытку нарушения защиты.
· Уместность процедуры реагирования на инцидент, связанный с безопасностью.
· Информация о сети, которую можно узнать через средства управления сетевым доступом.
· Уместность физической безопасности помещения.
· Адекватность информации, предоставляемой сотрудникам программой повышения осведомленности в плане безопасности.
Потому что каждый день проявляются новые варианты угроз и соответственно нужно от них защищаться также постоянно.
проблема текучести кадров, в сущности, сводится к двум центральным вопросам: что заставляет людей менять место работы и как избежать излишней текучести кадров.
Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности: Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах зашиты.
Разработка политики безопасности позволяет решить несколько задач. Согласование политики с руководством предприятия, пожалуй, самый правильный способ донести до руководителей цели и задачи безопасности компании. Утвержденная политика безопасности, по сути, является формализованным мнением руководства компании по вопросам обеспечения защиты информации, на которое можно ссылаться при обсуждении текущих вопросов, связанных с безопасностью.
Еще одно назначение политики информационной безопасности предприятия – доведение до рядовых работников основных принципов и правил защиты информации, принятых в компании. Едва ли простые пользователи будут вдумчиво читать насыщенные техническими терминами документы, например инструкции по работе с электронной почтой или регламент антивирусной защиты. Политика безопасности, будучи верхне-уровневым документом, должна в простой и понятной форме доносить до каждого работника позицию компании в отношении вопросов, связанных с информационной безопасностью.
Многие из вас, я думаю, сталкивались с ситуацией, что смартфон отказывается принимать легальный идентификатор: вы прикладываете палец, а вас не пускает. Сейчас это не проблема, лишний раз введешь ПИН-код. Но если биометрическая аутентификация будет единственным способом аутентификации, такая ситуация может доставить серьезные неприятности или, как минимум, заставит понервничать.
Реализуемую с помощью БА степень защиты трудно оценить. С учетом того, что биометрическая аутентификация выполняет на данный момент в мобильных устройствах роль упрощенного (удобного) доступа и на большинстве девайсов при перезагрузке требуется ввести ПИН-код, степень реализуемой защиты не очень высокая.
Некоторые решения, сложные и важные, связаны с низким риском, поскольку их довольно легко изменить или дать обратный ход. Генеральный директор должен принимать эти решения быстро, чтобы не тормозить процессы. Некоторые CEO зависают на таких решениях, долго раскачиваются, в результате чего компания упускает важный момент.
Никто не хочет, чтобы спешка привела к принятию неверного решения, но в большинстве случаев скорость и решительность позволяют организации функционировать на пределе своей эффективности.