Практическая работа № 1
«Анализ рисков информационной безопасности»
- Цель работы
Ознакомиться с алгоритмами оценки риска информационной безопасности.
- Краткие теоретические сведения
Риск ИБ – потенциальная возможность использования определенной угрозойуязвимостейактива или группы активов для причинения вреда организации.
Уязвимость- слабость в системе защиты, делающая возможной реализацию угрозы.
Угроза ИБ — совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации.
Информационный актив – это материальный или нематериальный объект, который:
— является информацией или содержит информацию,
— служит для обработки, хранения или передачи информации,
— имеет ценность для организации.
Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь 3 «Методы менеджмента безопасности информационных технологий»
2. Ознакомьтесь с Приложениями C, Dи Е ГОСТа.
3. Выберите три различных информационных актива организации (см. вариант).
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
Содержание отчета
1. Титульный лист
2. Содержание
3. Задание
4. Обоснование выбора информационных активов организации
5. Оценка ценности информационных активов
6. Уязвимости системы защиты информации
7. Угрозы ИБ
8. Оценка рисков
9. Выводы
Варианты
Вариант – номер по списку в журнале.
| Номер варианта | Организация | Метод оценки риска(см. Приложение ЕГОСТа) |
| Отделение коммерческого банка | ||
| Поликлиника | ||
| Колледж | ||
| Офис страховой компании | ||
| Рекрутинговое агентство | ||
| Интернет-магазин | ||
| Центр оказания государственных услуг | ||
| Отделение полиции | ||
| Аудиторская компания | ||
| Дизайнерская фирма | ||
| Офис интернет-провайдера | ||
| Офис адвоката | ||
| Компания по разработке ПО для сторонних организаций | ||
| Агентство недвижимости | ||
| Туристическое агентство | ||
| Офис благотворительного фонда | ||
| Издательство | ||
| Консалтинговая фирма | ||
| Рекламное агентство | ||
| Отделение налоговой службы | ||
| Офис нотариуса | ||
| Бюро перевода (документов) | ||
| Научно проектное предприятие | ||
| Брачное агентство | ||
| Редакция газеты | ||
| Гостиница | ||
| Праздничное агентство | ||
| Городской архив | ||
| Диспетчерская служба такси | ||
| Железнодорожная касса |
Практическая работа № 2.
«Построение концепции информационной безопасности предприятия»
- Цель работы
Знакомство с основными принципами построения концепции ИБ предприятия, с учетом особенностей его информационной инфраструктуры.
- Краткие теоретические сведения
До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности. Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Концепция информационной безопасности используется для:
- принятия обоснованных управленческих решений по разработке мер защиты информации;
- выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
- координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
- и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.
Задание
Используя предложенные образцы, разработать концепцию информационной безопасности компании (см. вариант), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):
Общие положения
Назначение Концепции по обеспечению информационной безопасности.
1.2. Цели системы информационной безопасности
1.3. Задачи системы информационной безопасности.
Проблемная ситуация в сфере информационной безопасности
2.1. Объекты информационной безопасности.
2.2. Определение вероятного нарушителя.
2.3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.
2.4. Основные виды угроз информационной безопасности Предприятия.
- Классификации угроз.
- Основные непреднамеренные искусственные угрозы.
- Основные преднамеренные искусственные угрозы.
2.5. Общестатистическая информация по искусственным нарушениям информационной безопасности.
2.6. Оценка потенциального ущерба от реализации угрозы (см. Практическую работу № 1).
Статьи к прочтению:
- Проблемно-ориентированный анализ состояния организации
- Процедурное и объектно-ориентированное программирование. инкапсуляция
MALINA — SITUATSIYA / Малина — Ситуация, 2010
Похожие статьи:
-
Ответственность за нарушения в сфере информационной безопасности
Немаловажная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной…
-
Организационные методы информационной безопасности
Для защиты информации конкретной информационной системы строится политика безопасности. Политика информационной безопасности (англ. Organizational…