Контрольные вопросы к лекции 4 Бухалов и Рязанов — копия
.docxМинистерство образования и науки Челябинской области
Государственное бюджетное профессиональное образовательное
учреждение
«Челябинский радиотехнический техникум»
ОТЧЕТ
по контрольным вопросам к лекции №4
МДК 03.02 Безопасность компьютерных сетей
Выполнили:
студенты группы Са-348
Бухалов Никита и Рязанов Дмитрий
____________ «___»__________20__ г.
подпись дата сдачи
Проверил:
преподаватель А.В. Фролов
_________________________________
оценка /рецензия
____________ «___»__________20__ г.
подпись дата проверки
Челябинск 2023 г.
Контрольные вопросы к лекции 4 часть 2
1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.
На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.
2.Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):
перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;
уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.
При определении уровня наносимого ущерба необходимо учитывать:
стоимость возможных потерь при получении информации конкурентом;
стоимость восстановления информации при ее утрате;
затраты на восстановление нормального процесса функционирования АС и т.д.
Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).
источник;
способ реализации;
уязвимость;
вид защищаемых активов;
вид воздействия;
нарушенное свойство безопасности.
3.Цели категорирования:
создание нормативно-методической основы для дифференцированного подхода к защищённым ресурсов автоматизированной системы на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС организации и унификацию их настроек.
4.
5. Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС организации, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.
Для проведения анализа всех подсистем автоматизированной системы организации, проведения инвентаризации и категорирования ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты подразделения обеспечения безопасности ИТ и других подразделений организации (осведомленные в вопросах технологии автоматизированной обработки информации в организации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений организации об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех компьютеров АС. Для оказания помощи на время работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
В ходе обследования конкретных подразделений организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием, АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.
Составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.
При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажения, фальсификации) или доступности (уничтожения, блокирования) может нанести ощутимый ущерб организации.
При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая). При составлении перечня и формуляров функциональных задач, решаемых в организации необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.
Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).
Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
Затем Перечень согласовывается с руководителями подразделений автоматизации и обеспечения безопасности ИТ (компьютерной безопасности) и выдвигается на рассмотрение руководства организации.
На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных с подразделением автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием, АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам не производится.
В дальнейшем, с участием специалистов подразделений автоматизации и обеспечения безопасности ИТ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, на которых будет решаться данная задача, и для контроля правильности их установки.
На последнем этапе происходит категорирование компьютеров. Категория компьютера устанавливается, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера (триада) заносится в его формуляр.