Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия
Методика проведения лабораторной работы
жүктеу/скачать 7,35 Mb. Pdf көрінісі
|
Зертханалық жұмыстар
- Бұл бет үшін навигация:
- 2.Теоретическая часть. Информацию по этому пункту вы в полном объеме найдете в меню ―Справка‖. 3. Порядок выполнения работы
|
5. Методика проведения лабораторной работы 1. Цель работы. Целью данной лабораторной работы является ознакомление с методикой анализа рисков, ролью анализа рисков в построении системы защиты, а также ознакомление с международным стандартом информационной безопасности ISO 17799. 2.Теоретическая часть. Информацию по этому пункту вы в полном объеме найдете в меню ―Справка‖. 3. Порядок выполнения работы 1. После ознакомление с теорией получите у вашего преподавателя номер варианта на лабораторную работу. Каждый номер варианта представляет определенную модель информационной системы. Номера вариантов приведены ниже. 72 Таблица 15. Вариант 1. Название Компания ‖РеалСофт‖ Сотрудники Директор (сотрудник) Системный администратор Офицер безопасности Бухгалтер (сотрудник) Менеджер Программисты (сотрудники) Информация Бухгалтерская информация Информация о зарплатах Исходные тексты программных продуктов Дистрибутивы программных продуктов Аппаратные средства для обработки информации Два сервера Шесть рабочих станций Описание Организация занимается разработкой программного обеспечения. Расположена в отдельном здании. На входе расположена будка с охраной. Затраты на информационную безопасность в год 100 000 Таблица 16. Вариант 2. Название организации Нотариальная контора ‖Парус‖ 73 Сотрудники Директор Бухгалтер (сотрудник) Менеджер Информация Бухгалтерская информация Информация о зарплатах Дистрибутивы программных продуктов Информация о клиентах в электронном виде Аппаратные средства для обработки информации Один сервер Три рабочих станции Описание Занимается оформление договоров купли-продажи, обмена, дарения жилья, автомашин, земельных участков, копий документов. Проводит квалифицированные консультации по нотариальным вопросам Арендуемое помещение на втором этаже. Кроме этой организации в здании расположено еще несколько фирм. На входе существует охрана , которую интересует целью прихода Затраты на информационную безопасность в год 10 000 74 Таблица 17. Вариант 3. Название организации Страховая компания ―Под крылом‖ Сотрудники Директор (пользователь) Бухгалтер (пользователь) Системный администратор Менеджеры Информация Бухгалтерская информация Информация о зарплатах Информация о клиентах в электронном виде Информация о сотрудниках в электронном виде Дистрибутивы программных продуктов Аппаратные средства для обработки информации Один сервер Четыре рабочих станции Описание Компания занимается страхованием всех видов деятельности. Расположена в отдельном здании. На входе сидит охранник. Затраты на информационную безопасность в год 200 000 Таблица 18. Вариант 4. 75 Название организации Филиал нефтяной компании в Томске ―РусНефть‖ Сотрудники Директор (сотрудник) Системный администратор Офицер безопасности Бухгалтер (сотрудник) Менеджер Программисты (сотрудники) Информация Бухгалтерская информация Информация о зарплатах Информация о клиентах в электронном виде Дистрибутивы программных продуктов Объемы продаж Себестоимость продукции Описание Занимается транспортировкой и переработкой нефти. Расположена в отдельном здании. Существует служба безопасности. На входе охрана регистрирует цель прихода. Таблица 19. Вариант 5. Название организации Компьютерная фирма ‖Ваш компьютер‖ Сотрудники Директор (сотрудник) Системный администратор 76 Бухгалтер (сотрудник) Менеджеры Информация Бухгалтерская информация Информация о зарплатах Дистрибутивы программных продуктов Объемы продаж Информация о партнерах в электронном виде Техническая информация о продуктах Аппаратные средства для обработки информации Два сервера Три рабочих станции Описание Занимается продажей компьютеров, офисной техники, сетевого оборудования, программного обеспечения. Расположена в отдельном здании. Существует служба охраны. Затраты на информационную безопасность в год 1 000 000 2. Для того чтобы приступить к работе с ― Системой анализа рисков и проверки организационных мер обеспечения информационной безопасности на предприятия‖, необходимо запустить файл Project.exe. Далее система покажет окно с предложением начать работу с программой 3. Выберите те виды информационных ресурсов которые представлены в вашем варианте. Теперь перейдите к вкладке ―Пользователи системы‖, где надо будет 77 отметить пользователей информационной системы. На вкладке ―Аппаратные средства‖ определите количество серверов и рабочих станций из вашего варианта. Нажмите кнопку ‖Продолжить работу с программой‖. 4. Укажите на сервере хранение двух любых видов информации из списка, а на рабочих станциях по четыре вида информационных ресурса, желательно разных и оцените предполагаемый ущерб, в случае угроз конфиденциальности, целостности и доступности. Так как данные хранятся на разных ресурсах, то предполагается, что они имеют разную ценность. В случае если информация не храниться на выбранном ресурсе, то ее оценка не имеет смысла - эти данные все равно не будут использованы. В случае затруднения обратитесь к подсказке. 5. Далее система отобразит окно, с вопросами по разделу стандарта в правой части и выбором раздела стандарта в левой части экрана. Отвечать на вопросы лучше всего, начиная с первого раздела ―Политика безопасности. Организационные меры‖. Оцените систему безопасности выбранной организации, учтите как можно больше недостатков, так как полное описание организационных мер обеспечения информационной безопасности для представленных вариантов не представляется возможным. Нажмите кнопку ―Далее‖. 6. Перед вами окно с определением доступа пользователей к информационным ресурсам. Ограничьте доступ к информации на первой выбранной станции. К тем же видам информации на второй рабочей станции, определите разные виды доступа пользователей. На остальных серверах и рабочих станциях виды доступа определите сами. 7. Теперь на экране должно появиться окно для ввода затрат на информационную 78 безопасность. Затраты можно определить из вашего варианта. Это заключительный этап сбора информации о вашей организации. Далее программа генерирует отчет по результатам анализа. 8. Ознакомьтесь с представленным отчетом. Сравните риск и ущерб по трем классам угроз. Оцените на ваш взгляд эффективность системы защиты. Перейдите к вкладке ―Анализ рисков‖. Сравните данные о риске по трем классом угроз на рабочих станциях , к информации на которых был представлен доступ и к которым нет. Сделайте выводы. 9. Перейдите к вкладке ―Проверка организационных мер‖. Посмотрите, какое количество организационных мер соответствуют положениям стандарта, и какое нет. Далее вам предстоит ознакомиться с основными положениями международного стандарта безопасности ISO 17999. 10. Сделайте скриншоты трех вкладок отчета и сохраните их в своей отчет по лабораторной работе. Закройте окно программы. Снова откройте файл Project.exe. Повторите 3 и 4 пункт. Попытайтесь в 5 пункте соблюсти как можно больше положений МСБ ISO 17999. Далее повторите 7, 8, 9 пункт. Сделайте выводы. жүктеу/скачать 7,35 Mb. Достарыңызбен бөлісу:
|