Файл: Министерство науки и высшего образования Российской Федерации фгаоу во Волгоградский государственный университет Институт приоритетных технологий Кафедра информационной безопасности утверждаю.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 24.10.2023
Просмотров: 260
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности информации;
к) определять источники и причины возникновения компьютерных инцидентов;
л) проводить инвентаризацию лаборатории инженерного проектирования, анализ уязвимостей, тестирование на проникновение лаборатории инженерного проектирования с использованием соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) лаборатории инженерного проектирования и содержащейся в них информации.
По результатам оценки, проведенной в соответствии с настоящей Методикой, должны быть выявлены актуальные угрозы безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности обрабатываемой в системах и сетях информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования лаборатория инженерного проектирования.
-
Описание лаборатория инженерного проектирования и их характеристика как объектов защиты
2.1. Наименование лаборатории инженерного проектирования, для которых разработана модель угроз безопасности информации.
В данной работе разработана общая модель угрозы безопасности информации для ЛИП. Но для сокращения объема информации и упрощения анализа, возьмем не существующую ЛИП. Такая лаборатория имеет небольшой размер и разрабатывает специализированный инженерный дизайн-проект для клиента.
2.2. Класс защищенности, категория значимости лаборатории инженерного проектирования, уровень защищенности персональных данных.
Небольшая лаборатория инженерного проектирования "Инновационные технологии" должна понимать и снижать риски, связанные с хранением и передачей конфиденциальной информации, особенно если они работают с крупными клиентами или специализированными проектами инженерного проектирования. В зависимости от характера проекта и уровня обработки персональных данных, возможно, потребуется внедрить меры информационной безопасности на разных уровнях. Ниже приведены классы безопасности, категории значимости и уровни защиты персональных данных для лаборатории инженерного проектирования:
Классы безопасности:
1. Класс 1: Этот класс значимости применяется к системам и сетям, которые хранят и обрабатывают критически важную информацию, относящуюся к проектам. Примеры включают схемы проекта, дизайнерские планы, информацию о клиентах и другую конфиденциальную информацию. Эти системы и сети должны быть защищены соответствующими средствами контроля доступа, шифрования и другими мерами безопасности.
2. Класс 2: Этот класс значимости применяется к системам и сетям, которые хранят и обрабатывают персональные данные, относящиеся к сотрудникам и клиентам. Примерами могут служить записи о личном составе сотрудников, контактная информация клиентов, информация о заработной плате и льготах, а также другие данные, которые могут подпадать под требования нормативных актов. Эти системы и сети должны быть защищены соответствующими средствами контроля доступа, шифрования и другими мерами безопасности, а также процедурами безопасного удаления данных.
3. Класс 3: Этот класс значимости применяется к системам и сетям, которые используются для выполнения рутинных задач, таких как электронная почта, просмотр веб-страниц и управление документами. Хотя эти системы и сети могут не содержать критически важной или позволяющей установить личность информации, они все равно могут быть уязвимы для определенного уровня риска, такого как фишинг или вредоносные атаки. Для защиты от этих угроз должны быть приняты соответствующие меры безопасности.
4. Класс 4: Этот класс значимости применяется к изолированным системам, которые не подключены ни к какой другой сети, такой как локальные сети, Интернет или облачные сервисы. Эти системы и сети могут вообще не содержать никакой конфиденциальной информации, но все равно могут быть уязвимы для физических или экологических рисков, таких как перебои в подаче электроэнергии, стихийные бедствия или кражи. Для защиты от этих рисков должны быть приняты соответствующие меры безопасности, включая меры физической безопасности и планы резервного копирования и аварийного восстановления.
Уровень безопасности персональных данных:
Уровень безопасности персональных данных должен соответствовать уровню риска, связанного с системами и сетями, используемыми для хранения и обработки этих данных. В целом, чем выше риски, связанные с данными, тем более строгими должны быть меры безопасности. Примеры персональных данных, которые могут быть связаны с небольшой лабораторией инженерного проектирования, включают личную информацию сотрудников и клиентов, например, информацию о здоровье и технике безопасности сотрудников, проектную и финансовую информацию, интеллектуальную собственность и другую служебную информацию. Эти типы данных могут подпадать под действие нормативных требований. В зависимости от характера информации и нормативно-правового контекста соответствующие меры безопасности могут включать шифрование, аутентификацию, контроль доступа, разделение данных и другие меры для защиты от несанкционированного доступа, раскрытия, уничтожения, модификации или использования персональных данных. Лаборатория должна оценить риски, связанные с персональными данными, и разработать план управления рисками, который включает соответствующие меры безопасности и планы действий в чрезвычайных ситуациях для снижения этих рисков.
Небольшая лаборатория инженерного проектирования может подвергаться различным угрозам безопасности, таким как несанкционированный доступ к конфиденциальной информации, утечка данных или кибератаки. Поэтому важно внедрять соответствующие меры безопасности и политики для защиты данных, лаборатории инженерного проектирования лаборатории.
Класс безопасности:
Класс безопасности - это классификация уровня безопасности, требуемого для системы или сети, на основе секретности содержащейся в ней информации. Небольшая лаборатория инженерного проектирования должна учитывать свой класс безопасности в зависимости от типа и чувствительности обрабатываемых ею данных, таких как информация о сотрудниках и клиентах, интеллектуальная собственность, финансовая информация и проектные данные. Лаборатория может иметь класс безопасности 1, 2 или 3 в зависимости от степени конфиденциальности, целостности и доступности, которые должны быть защищены.
Категория значимости:
Категория значимости относится к уровню безопасности персональных данных, требуемому для системы или сети, основанному на чувствительности содержащихся в ней данных. Лаборатория может иметь категорию значимости A, B, C или D в зависимости от нормативных требований, связанных с обрабатываемыми ею данными. Лаборатория, которая обрабатывает конфиденциальные персональные данные, такие как медицинские записи, финансовая информация или правительственные документы, может иметь категорию значимости А и требовать высочайшего уровня безопасности. И наоборот, лаборатория, которая обрабатывает менее конфиденциальные данные, такие как маркетинговые данные, может иметь категорию значимости C или D и требовать менее строгих мер безопасности.
Уровень безопасности персональных данных:
Уровень безопасности персональных данных относится к степени защиты конфиденциальной информации. В небольшой лаборатории инженерного проектирования персональные данные могут включать информацию о сотрудниках и клиентах, интеллектуальную собственность, финансовую информацию и проектные данные. Лаборатория должна защищать эти данные, применяя соответствующие физические, технические и организационные меры безопасности для предотвращения несанкционированного доступа, раскрытия, уничтожения, модификации или использования персональных данных. Меры безопасности могут включать аутентификацию, контроль доступа, шифрование данных, резервное копирование и регулярное обучение сотрудников технике безопасности. Лаборатория также должна убедиться, что она соответствует соответствующим законам и нормативным актам в области конфиденциальности, чтобы обеспечить надлежащую защиту персональных данных.
В заключение, небольшая лаборатория инженерного проектирования должна иметь четкое представление о своем классе безопасности, категории значимости и уровне защищенности персональных данных, чтобы эффективно защищать свои данные, системы и сети.
После того, как дали определение классу защищенности, категории значимости ЛИП, уровень защищенности персональных данных дали определение применим их на ЛИП, которую рассматриваем в данной работе.
Класс безопасности небольшой лаборатории инженерного проектирования будет зависеть от характера информации, хранящейся и обрабатываемой лабораторией. Как правило, небольшой лаборатории инженерного проектирования, разрабатывающей специализированный проект для клиентов, необходимо будет внедрить соответствующие меры безопасности для защиты конфиденциальной информации, такой как технические проекты, планы проекта, финансовая информация и записи сотрудников.
Класс безопасности лаборатории может быть определен путем оценки следующих факторов:
1. Чувствительность и критичность информации: Чем выше чувствительность и критичность информации, тем выше требуемый класс безопасности.
2. Размер и сложность лаборатории: Чем больше и сложнее лаборатория, тем более высокий класс безопасности требуется.
3. Тип клиентов/проектов: Тип клиентов и проектов, над которыми работает лаборатория, также будет определять требуемый класс безопасности.
4. Требования к соответствию: Любые соответствующие требования к соответствию, такие как стандарты GDPR, HIPAA или SOC 2, также будут влиять на класс безопасности лаборатории.
Таким образом, класс безопасности лаборатории будет зависеть от чувствительности информации, размера и сложности, типа проектов и требований соответствия. Лаборатория должна внедрить соответствующие меры безопасности для защиты своей конфиденциальной информации, такие как зашифрованные каналы связи, строгий контроль доступа, брандмауэры, регулярные планы резервного копирования и аварийного восстановления, а также обучение сотрудников технике безопасности. Кроме того, лаборатория должна обеспечить соблюдение соответствующих законов и нормативных актов для защиты персональных данных своих клиентов.
Предполагая, что Лаборатория инженерного проектирования (ЛИП) проводит высокочувствительные и конфиденциальные исследования, было бы важно внедрить надежные меры безопасности для защиты информации и активов, которыми управляют. Соответствующий класс безопасности для такой лаборатории, скорее всего, будет высоким или очень высоким.
Меры безопасности высокого уровня для ЛИП, проводящего секретные разработки, могут включать:
1. Физическая безопасность: Физическая безопасность является важным аспектом любого инженерного проекта, и это особенно важно для лаборатории, где может храниться или обрабатываться конфиденциальная информация и материалы. Для обеспечения безопасности своих помещений Лаборатории инженерного проектирования (ЛИП) потребуется безопасное помещение и меры физического контроля доступа.
Начнем с того, что ЛИП потребуется охраняемое помещение с надлежащим контролем доступа. Этого можно достичь путем установки карточек-ключей или биометрических систем для входа и выхода, которые позволили бы входить в здание только уполномоченному персоналу. Кроме того, могут быть установлены камеры видеонаблюдения и сигнализация для наблюдения за помещениями и раннего предупреждения о любых потенциальных нарушениях безопасности.
ЛИП также необходимо будет внедрить меры контроля физического доступа, такие как карты-ключи, биометрическая аутентификация и зоны ограниченного доступа. Карты-ключи можно использовать для контроля доступа в определенные помещения здания, такие как исследовательские лаборатории или охраняемые складские помещения. Биометрическая аутентификация, такая как распознавание отпечатков пальцев или лиц, также может использоваться для контроля доступа к чувствительным зонам лаборатории. Кроме того, могут быть созданы зоны ограниченного доступа, гарантирующие, что только уполномоченный персонал сможет получить доступ к определенным зонам здания.
Важно отметить, что меры контроля физического доступа должны применяться в сочетании с другими мерами безопасности, такими как шифрование данных и безопасное хранение данных, для обеспечения эффективной системы безопасности. Таким образом, ЛИП может свести к минимуму риск нарушений безопасности и защитить конфиденциальность своих операций.
В целом, физическая безопасность является важным аспектом деятельности ЛИП, и компания предпримет необходимые шаги для обеспечения безопасности своих помещений, персонала и активов путем внедрения соответствующих мер контроля физического доступа.
2. Сетевая безопасность: Сетевая безопасность имеет первостепенное значение в любой отрасли, а в лаборатории инженерного проектирования (ЛИП), которая, вероятно, связана с конфиденциальными данными и материалами, это еще более важно. Чтобы обеспечить защиту своих данных и ресурсов, ЛИП необходимо будет внедрить надежные меры сетевой безопасности.