- •Практическое задание № 1 «Модель угроз информационной безопасности информационно-вычислительной системы»
- •Описание информационной системы:
- •Определение источника угроз иб
- •Определение актуальности угроз иб ивс
- •Формирование перечня требуемых защитных мер для ивс
- •Пример заполнения таблицы Применение защитных мер для предотвращения угроз безопасности ивс
- •Шаблон Технического задания на выполнение практического задания №1
Практическое задание № 1 «Модель угроз информационной безопасности информационно-вычислительной системы»
Цель работы: Определение актуальных угроз инфорамционной безопасности (ИБ) для информационно-вычислительной системы (ИВС).
При выполнении практического задания в качестве ИВС может быть как инофрмационная система ораганизации, так и домашняя локальная вычислительная сеть.
В состав ИВС входит: ПО, технические средства обработки, храния и передачи информации, информационные активы
При выполнении прктического задания формируется отчет в котором содержится следующая инофрмация :
Описание информационной системы:
– состав технических средств;
– пеерчень прикладного ПО;
– пеерчень средств защиты информации;
– конфиденциальная информация, хранимая и обрабатываемая в ИВС;
– колличество пользователей в системе, наличие административных и пользовательских прав у пользователей;
– настройки безопасности ОС и средств защиты (в том числе настройки службы каталогов, парольная политика).
– использование резервного копирования;
– наличие доступа к сети интернет (провайдер, соглашение о предоставлении услуг, технология доступа).
– наименование персональных данных,доступных об исполнителе практического задания в социалных сетях (например : ФИО, дата рождения, место проживания, хобби, увлечения и д.т)
– наличие инструкций и организационно-распорядительной документации по обеспечению ИБ
Определение источника угроз иб
2.1 Классификация источников угроз + определения каждой категории источника угроз.
2.3 Определение актуальных источников угроз для ИВС .
Определение актуальности угроз иб ивс
3.1 Объекты воздействия угроз
3.2 Классификация угроз Б (расписать категории и подкатегориии, см презентацию)
3.3 Методика определения актуальности угроз ИБ
3.4 Формирования переченя угроз ИБ
3.5 Определение актуальности угроз ИБ дляИВС
Формирование перечня требуемых защитных мер для ивс
–Для каждой актуальной угрозы ИВС (п. 3.5) приводится источник угроз (из п. 2.3) и защитные меры из Приложения № 1 настоящего документа.
Пример формирования перечня требуемых защитных мер для ИВС приведен в приложении №2 настоящего документа).
Перечень норамтивных документов, используемых при выполнении практического задания №1
Mетодика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Данная методика может использоваться исполнителем для разработки методики определения актуальности угроз ИВС. Необходимо помнить, что им пользуя этот документ вы разрабатываете методику определения актуальности угроз для ИВС , а не для информационной системы персональных данных!! )
ГОСТ Р ИСО/МЭК 27001–2006
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
Гост 17799 Практические правила управления безопасностью
ГОСТ Р ИСО/МЭК 13335-4–2007 «Выбор защитных мер»
ГОСТ Р ИСО/МЭК 13335-1
ТАКЖЕ смотрите презентацию!!!
Отчет сдается в письменном (печатном ) виде, а также в электронном виде (после согласования и утверждения отчета преподавателем).
Струткура отчета:
Титульный литс
Техническое задания (пример заполнения см. Приложение 3)
Введение
Термины, определения и сокращения
Главы отчета
Нормативные документы
Приложения (если есть)
Приложение 1
Таблица– Организационные и программно-технические защитные меры
№ п/п |
Категория защитных мер |
Состав защитных мер (ГОСТ Р ИСО/МЭК 27001-2006) |
|
||
|
Политика информационной безопасности |
Анализ и пересмотр политики ИБ |
|
||
|
Внутренняя организация |
|
|
Обеспечение безопасности при доступе сторонних организаций |
|
|
||
|
Обеспечение ответственности за защиту активов |
|
|
Классификация информации |
|
|
||
|
Перед трудоустройством |
|
|
Во время работы по трудовому договору |
|
|
При увольнении или изменении трудового договора |
|
|
||
|
Охраняемые зоны |
|
|
Безопасность оборудования |
|
|
||
|
Эксплуатация средств и ответственность |
|
|
Управление услугами, предоставляемыми сторонними организациями |
|
|
Планирование нагрузки и приемка систем |
|
|
Защита от вредоносного программного обеспечения |
|
|
Резервное копирование и хранение информации |
|
|
Безопасное применение носителей информации |
|
|
Защищенный обмен информацией |
|
|
Мониторинг |
|
|
||
|
Управление доступом в соответствии с требованиями бизнеса |
|
|
Управление доступом пользователя |
|
|
Ответственность пользователей |
|
|
Контроль доступа к операционной системе |
|
|
Контроль доступа к прикладным системам, СУБД и информации |
|
|
Безопасная работа с переносными устройствами и в удаленном режиме |
|
|
||
|
Управление безопасностью сетей |
(В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Защита средств разработки и обмена данными) |
|
Контроль сетевого доступа |
(В ГОСТ Р ИСО/МЭК 27001 категория входит в раздел Управление доступом) |
|
||
|
Задание требований безопасности к разрабатываемым прикладным информационным системам |
|
|
Проверка корректности обработки данных в прикладных информационных системах |
|
|
Защита информации криптографическими средствами |
(Меры 3-5 в ГОСТ Р ИСО/МЭК 27001 не входят. Данные меры добавлены из ГОСТ Р ИСО/МЭК 17799) |
|
Безопасность системных файлов |
|
|
Безопасность в процессах разработки и поддержки |
|
|
Контроль технических уязвимостей |
Обнаружение и устранение технических уязвимостей информационных систем |
|
||
|
Своевременное оповещение о событиях и недостатках информационной безопасности |
|
|
Управление инцидентами информационной безопасности и улучшениями |
|
|
||
|
Обеспечение непрерывности бизнеса |
Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса |
|
||
|
Обеспечение соответствия правовым требованиям |
|
|
Обеспечение соответствия политикам и стандартам безопасности, и технического соответствия |
|
|
Аудит информационной безопасности |
|
Приложение 2