ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 19.07.2020
Просмотров: 126
Скачиваний: 4
Лабораторная работа № 1
Общие представления о защите информации на предприятии
Цель: Познакомиться с основными терминами и понятиями, на которых базируется курс, получить общие представления о защите информации на предприятии
Содержание работы
1. Сделать презентацию терминов, указанных в задании
2. Выполнить анализ объекта защиты информации по предложенным выше пунктам:
А) Описать автоматизированную информационную систему для предложенного преподавателем виртуального предприятия (указать составляющие автоматизированной системы, их основные характеристики и т.д.)
Б) Предположить угрозы и уязвимости для этой системы
В) Указать технологии, средства и инструменты, которые можно применить для защиты информации в автоматизированной системе указанного объекта.
Г) Предположить возможные действия нарушителей при условии выполнения защиты информации в соответствии с п. В)
3. Разработать документ «Политика безопасности», указать СПИСОК документов, которые необходимо разработать для реализации политики безопасности на предприятии.
4. Составить тест (или кроссворд), включающий не менее 10 терминов (или основных понятий) курса (тест должен содержать не менее 3-х вариантов ответа).
5. Результаты работы оформить в виде отчета (текстовый файл, файл - презентация). Отчет должен содержать ФИО студента, номер группы, ответы на поставленные вопросы. Название папки должно содержать фамилию и группу студента.
2. Анализ объекта защиты
А) Описать автоматизированную информационную систему
Горэлектросеть (ГЭС)
Предположим что в ГЭС расположено 10 компьютеров.
Пять компьютеров управляют оборудованием ГЭС. Три компьютера находятся на пункте охраны, один из этих трех компьютеров отвечает за видео наблюдение внутри здания ГЭС, второй отвечает за металоискатель расположенный при входе в ГЭС, а третий за камеры видео наблюдения на территории ГЭС. Один компьютер находится у бухгалтера.
Последний десятый компьютер находится у директора ГЭС.
На компьютерах, который используются для управления оборудованием установлено только программное обеспечения для управления этим оборудованием на нем отсутствует локальная сеть и доступ к сети Интернет. На первом компьютере охраны есть только возможность для просмотра видео записей, записи на съемный носитель, и удаления видео. На втором компьютере охраны находится только программное обеспечение, которое отвечает за металоискатель, отсутствует доступ к локальной сети и выход в Интернет . На третьем компьютере охраны так же как на первом! На компьютере бухгалтера установлено программное обеспечение для работы с документацией такое как 1С:Бухгалтерия, Microsoft Office и.т.д. Имеется доступ к сети Интернет и локальная сеть .
На компьютере у директора ГЭС находится важная документация, характеристики рабочих, личные данные на каждого работника и.т.д. Компьютер имеет выход в Интернет, а также локальную сеть.
В целях безопасности окружающих и самой ГЭС, территория ГЭС окружена высоким забором с колючей проволкой. (так как если посторонний попадет на территорию он может погибнуть от высокого напряжения, а сама ГЭС выйдет из строя )
Б) Угрозы и уязвимости данной системы
В данной системе могут возникнуть как преднамеренные, так и непреднамеренные угрозы. К непреднамеренный можно отнести: Удаление записей камер видео наблюдения, данных с компьютера в бухгалтерии, выход из рабочего состояния компьютеров на оборудование. Установка некачественного ПО, не своевременное обновление ПО, неправильная установка программ и.т.д.
Так же можно отнести несчастные случаи: наводнения, землетрясения, извержение вулканов и прочее.
К преднамеренным можно отнести: Намеренное копирование / удаление файлов с одного из компьютеров с целью использования в каких-то целях (например для шантажа). Так же умышленный вывод оборудования (что повлечет серьезные последствия). Физическое проникновение на ГЭС.
К уязвимостям данной системы можно отнести доступ к компьютеру с важной информацией через Интернет. Так же не надежно защищен периметр ГЭС. Так же не известно насколько квалифицированные работники работают на данной ГЭС.
Так же возможность физического доступа к компьютеру с информацией, его можно просто вывести из строя или извлеч жесткий диск.
В) Технологии, средства и инструменты, которые можно применить для защиты информации в автоматизированной системе
Во избежание удаления записей с камер необходимо использовать резервное копирование на съемный диск или на другой жесткий диск. То же самое касается и компьютера в бухгалтерии. Постоянно следить за компьютерами на оборудовании и при нахождении малейших поломок или намеков на поломку необходимо её устранить. Устанавливать только лицензионное ПО и своевременно обновлять его.
Для того что бы данные на компьютере оставались защищены и никто посторонний не мог к ним добраться необходимо: Поставить пароли на компьютеры с важной информацией (в идеале хранить их на USB ключах), данные хранить в зашифрованном или скрытом виде. Поставить сетевой экран (Например: Outpost Firewall Pro ) что бы злоумышленник не мог попасть на компьютер через Интернет или по локальной сети. Так же установку антивируса (например: Kaspersky Anti-Virus Personal или Dr.Web ).
А для того что бы избежать физического воздействия на важные компьютеры в бухгалтерии и у директора ГЭС, нужно поставить сигнализацию или кодовый замок( для доступа в то помещение где расположены эти компьютеры), или разрешать вход только по биометрическим данным.
Что бы устранить уязвимости необходимо: на ограждение дополнительно провести напряжение и под землей например сделать битонную прослойку что бы избежать подкопа.
Так же необходимо на работу брать только квалифицированных рабочих с хорошими характеристиками и желательно с опытом работы.
Что касается таких непреднамеренных угроз как несчастные случаи то на этот случай я думаю никто не застрахован.
Г) Возможные действия нарушителей при условии выполнения защиты информации в соответствии с п. В)
Нарушители могут:
-
Отправить вирус на почту с целью заполучения логинов и паролий от компьютеров с важной информцией.
-
Методом социальной инженерии (под разным предлогом злоумышленник узнает необходимую ему информацию, при это жертва не подозреват что её используют)
-
Могут физически уничтожить и компьютеры с информицией или скопировать её.
-
Могут внедрить сотрудника который будет периовать данные о работе предприятия или попытается украсть интересующею его информацию.
-
Могут проникнуть на территорию и просто захватить ГЭС.
-
Могут воспользоваться методом социальной инженерии.
3. Документ «Политика безопасности»
1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети; проведение анализа защищенности узла Интернет; использование средств антивирусной защиты; централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
2. ГЭС должны обеспечивать защиту информации от НСД (несанкционированного доступа) по классу «1Г» в соответствии с РД Гостехкомиссии РФ "РД. Автоматизированные системы. Защита от НСД к информации. Классификация ГЭС и требования по защите информации".
3. Средства вычислительной техники и программные средства ГЭС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.
5. Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационых систем в рамках заданных профилей защиты.
6. Во исполнение приказа Госкомсвязи России от 25 декабря 1997 года N103«"Об организации работ по защите информации в отрасли связи и информатизации при использовании сети Интернет» прямое подключение к сети Интернет АРМ по управлению оборудованием сетей связи, мониторингу, обработки данных должно быть запрещено.
7. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны иметь сертификаты ФАПСИ.
8. Обязательным является использование средств ЭЦП для подтверждения подлинности документов.
9. Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
10. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и иформационных систем требований информационной безопасности.
11. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.
Список документов
-
«Модель угроз безопасности».
-
«Разграничения прав доступа».
-
«Руководство для работников ».
-
«Руководство для сотрудников охраны»
-
«Руководство для сотрудников бухгалтерии»
-
«Список применяемых средств защиты».
-
«Список эксплуатационной и технической документации применяемых средств защиты информации».
-
«Положение о защите персональных данных в больнице».
-
«Рекомендации по использованию программных и аппаратных средств защиты».
-
«Положение об организации режима безопасности помещений, где осуществляется работа с информацией в ГЭС»
-
«Положение о порядке хранения и уничтожения носителей, хранящих информацию ГЭС».
-
«Отчет об обследовании информационных систем ГЭС»
-
«Перечень сведений конфиденциального характера».
-
«Формы учета для организации обработки персональных данных».
-
«Приказ о назначении должностного лица, ответственного за обеспечение безопасности персональных данных».
-
«Технический паспорт информационной системы персональных данных».
-
«Уведомление об обработке персональных данных».
-
«Акт классификации информационной системы персональных данных».
-
«Положение по организации контроля эффективности защиты информации больнице».
-
«Техника безопасности для сотрудников»
4. Тест
1. Человек, взламывающий системы защит (в частности защиты программного обеспечения).
a) Хакер.
b) Крэкер.
c) Фрикер.
2. Массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать
a) Спуфинг.
b) Спам.
c) Фишинг.
3. Разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация).
a) Мутант.
b) Репликатор.
c) Компьютерный вирус.
4. Атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
a) Ddos-атака.
b) Spam-атака.
c) Обрушение.
5. Наука о методах обеспечения конфиденциальности и аутентичности информации.
a) Криптография.
b) Шифрование.
c) Философия.
6. Комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
a) Сетевой экран.
b) Антивирус.
c) Сетевой сканер.
7. Сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения, а также обеспечение информационной безопасности в организации
a) Системный администратор.
b) Кинолог.
c) Охранник.
8. Программа для обнаружения компьютерных вирусов, а также нежелательных программ вообще и восстановления зараженных такими программами файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.
a) Антивирус.
b) Межсетевой экран.
c) Фаерволл.
9. Вредоносная программа, распространяемая людьми. В отличие от вирусов и червей, которые распространяются самопроизвольно.
a) Троян.
b) Червь .
c) Шпион.
10. Вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям .
a) Фишинг.
b) Брут.
c) Спам.