Лабораторный практикум
Цель.
Выявление информационных активов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности. Анализ информационной системы персональных данных (ПДн), используемой компанией, и оценка возможностей применения криптографических технологий для защиты ПДн.
Задачи.
-
Установить номенклатуру информационных активов и оценить их значимость для компании в целом и ее структурных подразделений.
-
Выявить виды и разновидности тайн, которые используются в деятельности компании.
-
Оценить риски информационной безопасности.
-
Классифицировать информационную систему персональных данных (ИСПДн).
-
Предложить направления использования средств шифрования и электронной цифровой подписи для защиты информации, циркулирующей в компании.
Порядок оформления и сдачи.
-
Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа — MS Office
-
Работы в электронном виде отправляются на электронную почту преподавателя: igor-L2007@yandex.ru. Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.
-
Крайний срок сдачи лабораторного практикума: 01 декабря. Практикумы, сданные после этого срока, не засчитываются. Студенты, не представившие практикум к указанному сроку, к экзамену не допускаются.
Часть 1. Общие вопросы. Виды тайн. Угрозы информационной безопасности и каналы утечки
Задание 1.
Описание компании и ее структурных подразделений
-
Укажите наименование компании и адрес ее корпоративного сайта.
-
Дайте описание деятельности компании, её направлений и бизнес-целей.
-
Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;
-
В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.
-
Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.
Описание компании не должно занимать более 1 страницы.
Задание 2.
Определение номенклатуры информационных активов
-
Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.
-
Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1.
Таблица 1
|
Вид актива |
Наименование актива |
Владелец |
Степень важности |
Угрозы |
Уязвимости |
Обоснование выбранной степени важности |
|
|
|
|
|
|
|
|
Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005.
Задание 3.
Определение номенклатуры видов и разновидностей тайн
-
Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.
-
Для каждого вида (разновидности) тайны заполните Таблицу 2. В первой строке таблицы приведен условный пример.
Таблица 2
|
Вид (разновидность) тайны |
Содержание сведений, составляющих тайну |
Численность пользователей (П), рабочих мест (РМ), филиалов (Ф), вовлеченных в обработку КИ |
|
Персональные данные |
Сведения о сотрудниках |
Отдел кадров — 2П, 2РМ Бухгалтерия — 2П, 1 РМ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задание 4.
Определите примерный перечень сведений, составляющих коммерческую (служебную) тайну компании (организации). Заполните Таблицу 3.
Таблица 3
|
№ п/п |
Общие группы сведений, составляющих тайну |
Перечень конкретных сведений, входящих в состав группы |
Сотрудники каких подразделений допущены к данным сведениям |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задание 5.
Для сведений, составляющих тайны, и информационных активов, включающих соответствующие данные, определите наиболее важные дестабилизирующие факторы (ДФ), формирующие угрозы информационной безопасности. Заполните Таблицу 4.
Таблица 4
|
№ п/п |
Вид и разновидность тайны |
В состав какого информационного актива входят соответствующие данные |
Наиболее значимые ДФ для каждого пункта (по мере убывания важности) |
На каких носителях распространяются соответствующие данные |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задание 6.
Для сведений, составляющих тайны, и информационных активов, включающих соответствующие данные, определите представляющие наибольшую угрозу:
-
условия разведывательного контакта;
-
методы доступа к добываемой информации;
-
способы дистанционного добывания информации. Заполните Таблицу 5.
Таблица 5
|
№ п/п |
Вид и разновидность тайны |
В состав какого информационного актива входят соответствующие данные |
Условия разведывательного контакта |
Методы доступа к добываемой информации |
Способы дистанционного добывания |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задание 7
Распределите информационные активы, содержащие сведения, составляющие тайны, по зонам доступа. Заполните Таблицу 6.
Таблица 6
|
№ п/п |
Информационные активы |
Какие виды и разновидности тайн содержат |
В какой зоне должны находиться |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Задание 8
Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 7.
Таблица 7
|
№ п/п |
Информационные активы |
Наиболее опасные каналы утечки для каждого актива |
Способ противодействия утечке |
Средство противодействия утечке |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|