|
|||||||||||||||||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Опорный конспект
ТЕМА. Разработка комплексной системы защиты информации предприятия Практическая работа 1 Цель: Изучить принципы комплексной системы защиты информации
Задание. Опираясь на опорный конспект, разработать Политику информационной безопасности условного предприятия. ТОО «MotorShop» Занимается поставкой автозапчастей из зарубежа. обмен информации для клиентов осуществляется в глобальной сети на сайте., относится к категории секретной.
Возможны угрозы и каналы утечки информации 1. Определить информационные и технические ресурсы, подлежащие защите.
2. Выявить потенциально возможные угрозы и каналы утечки информации.
3. Провести оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.
4. Определить требования к системе защиты.
5. Осуществить выбор средств защиты информации и их характеристики. 6. Продумать план внедрения и организации использования выбранных мер, способов и средств защиты. 7. Продумать осуществление контроля целостности и управление системой защиты. 8. Защита проекта Вопросы: 1. Перечислите комплекс мер безопасности при получении пароля на основе ошибок администратора и пользователей 2. Что предполагает сертификацияИС 3. Какие меры предусмотрены для обеспечения протоколирования и аудита 4. Какие меры предусмотрены для управления конфигурацией в компании 5. Каковы минимальные требования безопасности 6. Какие меры предусмотрены в области кадровой безопасности 7. Какие меры предусмотрены для протоколирования и аудита 8. Что означает набор регуляторов безопасности 9. Каковы функции терминалов защищенной информационной системы 10. Мероприятия при организации комплексного поиска возможных методов доступа 11. Назовите несколько способов получения ключа на основе социальной психоло Опорный конспект Существуют три основных аспекта ИБ: - доступность; - конфиденциальность; - целостность. Информации и информационным системам присваиваются категории ущерба по трехуровневой шкале, как низкий, умеренный или высокий. Поэтому приняты минимальные (базовые) требования безопасности, которые задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Минимальные требования безопасности охватывают административный, процедурный и программно-технический уровни ИБ. Поэтому организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение требований безопасности, и обеспечить эффективную реализацию политики безопасности и процедур. В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных. Применительно к закупке систем и сервисов в компании необходимо: - выделить достаточный объем ресурсов для адекватной защиты ИС; - при разработке систем учитывать требования ИБ; - ограничивать использование и установку программного обеспечения; - обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
В области сертификации, аккредитации и оценки безопасности в организации следует проводить: - постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности; - периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность; - разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС; - авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
В области кадровой безопасности необходимо: - обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности; - обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников; - применять соответствующие официальные санкции к нарушителям политики и процедур безопасности. Организация должна обеспечить информирование и обучение сотрудников таким образом, чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п. Персонал должен иметь соответствующую практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью. В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС. С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
В плане реагирования на нарушения информационной безопасности организация должна: - создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей; - обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам. С целью физической защиты организация должна: - предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу; - физически защищать оборудование и поддерживающую инфраструктуру ИС; - обеспечить должные технические условия для функционирования ИС; - защищать ИС от угроз со стороны окружающей среды; - обеспечить контроль условий, в которых функционирует ИС; - обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
Для обеспечения протоколирования и аудита необходимо: - создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности; - обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей). В плане управления конфигурацией в компании следует: - установить и поддерживать базовые конфигурации; - иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация; - установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС. Также необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС. Применительно к сопровождению н еобходимо: - осуществлять периодическое и своевременное обслуживание ИС; - обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение. В плане защиты носителей необходимо: - защищать носители данных как цифровые, так и бумажные; - предоставлять доступ к данным на носителях только авторизованным пользователям; санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования. С целью защиты систем и коммуникаций необходимо: - отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС; - применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС. Для обеспечения целостности систем и данных необходимо: - своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять; - защищать ИС от вредоносного программного обеспечения; - отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.007 сек.) |