- •Введение
- •1. Цель и задачи работы
- •2. Теоретическая часть
- •2.2. Классификация угроз DSECCT
- •2.3. ГРИФ
- •При изучении методики для наглядности будем рассматривать пример расчета риска для ИС из двух ресурсов: сервера и рабочей станции (рис. 3).
- •Риск рассчитываем для связей «информация – группа пользователей».
- •Расчет рисков по угрозам конфиденциальность и целостность:
- •2.3.2 Работа с моделью информационных потоков. Рабочее поле программы состоит из нескольких окон (рис. 7):
- •Расчет рисков по угрозе ИБ:
- •2.3.4. Работа с моделью угроз и уязвимостей. Моделирование системы происходит, как и при использовании алгоритма «Анализ модели информационных потоков», но добавляются новые элементы ИС: угрозы и уязвимости.
- •2.4. КОНДОР
- •3. Описание лабораторного оборудования
- •4. Порядок выполнения работы
- •5. Контрольные вопросы
- •6. Требования к содержанию и оформлению отчета
- •7. Критерии результативности выполнения работы
- •Список литературы
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Уфимский государственный авиационный технический университет
СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
DIGITAL SECURITY OFFICE
Методические указания
к лабораторной работе по курсам «Программно-аппаратные средства защиты информации в ПЭВМ и ВС», «Методы и средства защиты компьютерной информации», «Защита информации»,
«Методы и средства хранения и защиты информации», «Хранение и защита компьютерной информации», «Программно-аппаратные средства защиты информации в ЭВМ и системах»
Уфа 2012
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Уфимский государственный авиационный технический университет
Кафедра вычислительной техники и защиты информации
СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
DIGITAL SECURITY OFFICE
Методические указания
к лабораторной работе по курсам «Программно-аппаратные средства защиты информации в ПЭВМ и ВС», «Методы и средства защиты компьютерной информации», «Защита информации»,
«Методы и средства хранения и защиты информации», «Хранение и защита компьютерной информации», «Программно-аппаратные средства защиты информации в ЭВМ и системах»
Уфа 2012
Составители В.Е.Кладов УДК 004.451.056 (07) ББК 32.973.26-018.2 (я 7)
Система управления информационной безопасностью «Digital Security Office»: методические указания к лабораторной по курсу «Про- граммно-аппаратные средства защиты информации в ПЭВМ и ВС», «Методы и средства защиты компьютерной информации», «Защита информации», «Методы и средства хранения и защиты информации», «Хранение и защита компьютерной информации», «Программноаппаратные средства защиты информации в ЭВМ и системах» / Уфимск. гос. авиац. техн. ун-т; Cост. В.Е.Кладов. – Уфа, 2012. – 40 с.
Рассматривается комплексная система управления информационной безопасностью «Digital Security Office».
Предназначены для студентов специальности 230101 – «Вычислительные машины, комплексы и системы и сети», 220306 «Компьютерные системы управления качеством для автоматизированных производств», направления подготовки бакалавра 230100 – «Информатика и вычислительная техника», направления подготовки бакалавра 090900 – «Информационная безопасность», направления подготовки специалистов по специальности 090915 «Комплексная защита объектов информатизации», направления подготовки магистра 220700.68 – «Автоматизация технологических процессов и производств».
Табл. 8. Ил. 26. Библиогр.: 3 назв.
Рецензенты: Валеев С.С., Нугаев Р.Р
©Уфимский государственный авиационный технический университет, 2012
4
|
СОДЕРЖАНИЕ |
|
Введение............................................................................................... |
4 |
|
1. |
Цель работы...................................................................................... |
5 |
2. |
Теоретическая часть......................................................................... |
5 |
2.1. Общие сведения о Digital Security Office ................................... |
5 |
|
2.2. Классификация угроз DSECCT ................................................... |
6 |
|
2.3. ГРИФ.............................................................................................. |
8 |
|
2.3.1. Алгоритм «Анализ модели информационных потоков»....... |
8 |
|
2.3.2 Работа с моделью информационных потоков....................... |
18 |
|
2.3.3.Алгоритм«Анализ модели угроз и уязвимостей»................. |
25 |
|
2.3.4.Работа с моделью угроз и уязвимостей.................................. |
28 |
|
2.4. КОНДОР...................................................................................... |
31 |
|
3. |
Порядок выполнения работы........................................................ |
34 |
4. |
Требования к отчету...................................................................... |
37 |
5. |
Контрольные вопросы................................................................... |
36 |
6. |
Критерии результативности выполнения работы...................... |
38 |
Список литературы............................................................................ |
38 |
|
3
Введение
Процесс управления риском охватывает различные аспекты работы с риском, от идентификации и анализа риска до оценки его допустимости и определения потенциальных возможностей снижения риска посредством выбора, реализации и контроля соответствующих управляющих действий.
Анализ риска представляет собой структурированный процесс, целью которого является определение, как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы.
Анализ рисков помогает руководству компании определить разумную сумму для создания системы защиты своей информации. Кроме того, анализ рисков нужен для того, чтобы понимать какие угрозы через какие уязвимости могут быть реализованы, и на основании этих данных спроектировать правильную систему защиты.
Риск – это вероятный ущерб, который понесёт компания при раскрытии, модификации, утрате или недоступности своей информации. Риск зависит от двух факторов – стоимости информации и защищённости информационной системы, в которой она обрабатывается.
В сфере информационной безопасности постоянно возникают новые угрозы, соответственно необходимо постоянно совершенствовать и меры защиты.
4