Файл: Методические указания по выполнению практических работ обучающихся по учебной дисциплине.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 831
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Практическая работа № 7
Тема Нахождение применимых правовых норм в заданных условиях.
Цель ознакомиться с правовой сферой в области информационной безопасности
Теоретические сведения
Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
Законодательная база в сфере информационной безопасности включает пакет Федеральных законов, Указов Президента РФ, постановлений
Правительства РФ, межведомственных руководящих документов и стандартов.
В состав законодательства по обеспечению информационной безопасности включаются федеральные законы, подзаконные нормативные правовые акты федеральных органов исполнительной власти, законы и подзаконные нормативные правовые акты субъектов РФ.
Основополагающими документами по информационной безопасности в
РФ являются Конституция РФ и Концепция национальной безопасности.
Методические указания
1.
Ознакомьтесь со следующими документами:
Конституция Российской Федерации http://www.constitution.ru/
Федеральный закон от 28.12.2010 № 390-ΦЗ «О безопасности» http://www.consultant.ru/document/cons_doc_LAW_108546/
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» http://www.consultant.ru/document/cons_doc_LAW_61798/
Закон РФ «О государственной тайне» от 21.07.1993 http://www.consultant.ru/document/cons_doc_LAW_2481/
Федеральный закон «О коммерческой тайне» от 29.07.2004 http://www.consultant.ru/document/cons_doc_LAW_48699/
Федеральный закон «О персональных данных» от 27.07.2006 http://www.consultant.ru/document/cons_doc_LAW_61801/
Федеральный закон «Об электронной подписи» от 06.04.2011 http://www.consultant.ru/document/cons_doc_LAW_112701/
«Уголовный кодекс Российской Федерации» от 13.06.1996 http://www.consultant.ru/document/cons_doc_LAW_10699/
«Трудовой кодекс Российской Федерации» от 30.12.2001 http://www.consultant.ru/document/cons_doc_LAW_34683/
Кодекс
РФ об административных правонарушениях http://www.consultant.ru/document/cons_doc_LAW_34661/
Указ Президента РФ от 17.03.2008 № 351 (ред. от 22.05.2015) «О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» http://www.consultant.ru/document/cons_doc_LAW_75586/
2.
Охарактеризуйте данные документы с точки зрения информационной безопасности
3.
Выделите основные положения, которые относятся к информационной безопасности
Контрольные вопросы
1.
Для чего нужны законодательные меры в области информационной безопасности?
2.
Какими документами регулируется информационная безопасность в Российской Федерации?
3.
Какие основополагающие документы в области информационной безопасности вам известны?
Практическая работа № 8
Тема Изложение практических рекомендаций по управлению информационной безопасностью по отношению к одному из сервисов безопасности, описанных в ГОСТ Р 17799-2005
Цель научиться составлять практические рекомендации по защите информации на основе ГОСТа
Теоретические сведения
Стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC.
Стандарт предоставляет практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.
Информационная безопасность определяется стандартом как
«сохранение конфиденциальности, целостности и доступности».
Методические указания
1.
Изучите стандарт ГОСТ Р 17799-2005 2.
Составьте практические рекомендации по защите информации на основе ГОСТа и вопросов ниже.
Какую информацию необходимо защищать?
Где в сети хранится важная информация?
Какие устройства подключены к сети?
Какое программное обеспечение установлено на компьютерах сотрудников?
Используют ли системные администраторы и пользователи надежные пароли?
Какие онлайн-ресурсы используют сотрудники?
Контрольные вопросы
1.
Из каких разделов состоит стандарт ГОСТ Р 17799-2005?
2.
Область и условия применения данного стандарта?
Практическая работа № 9
Тема Определение класса ИС персональных данных (ИСПДн) для ИС гипотетической организации в соответствии с совместным приказом ФСТЭК,
ФСБ и Мининформсвязи РФ № 55/86/20 от 13 февраля 2008 г
Цель научиться работать с нормативными документами в области защиты информации
Теоретические сведения
ИСПДн (Информационная система персональных данных)
– информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Методические указания
1.
Выберите организацию, для описания её информационной системы
2.
Определите категории обрабатываемых персональных данных
3.
Определите объем обрабатываемых персональных данных вашей организации
4.
Определите к какому классу относится информационная система вашей организации
5.
Сделайте вывод
Контрольные вопросы
1.
Что описывает Совместный приказ ФСТЭК России, ФСБ России и Минкомсвязи России от 31 декабря 2013 г. N 151/786/461?
2.
Что называют персональными данными?
Практическая работа № 10
Тема Выполнение оценки исходной степени защищённости ИСПДн, выделение актуальных угроз безопасности в соответствии с «Методикой определения актуальных угроз безопасности ПДн при их обработке в
ИСПДн»
Цель научиться выполнять оценку защищенности информационной системы персональных данных
Теоретические сведения
Под уровнем исходной защищенности информационной системы персональных данных (ИСПДн) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, а именно:
территориальное размещение;
наличие соединению сетями общего пользования;
встроенные (легальные) операции с записями баз персональных данных;
разграничение доступа к персональным данным;
наличие соединений с другими базами персональных данных иных ИСПДн;
уровень обобщения (обезличивания) персональных данных;
объем персональных данных, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.
Определяется уровень исходной защищенности ИСПДн в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году. Уровень исходной защищенности ИСПДн применяется для оценки возможности реализации угроз безопасности персональных данных и определения актуальных угроз безопасности персональных данных.
ФСТЭК России выделило 3 (три) уровня исходной защищенности
ИСПДн:
высокий;
средний;
низкий.
Методические указания
1.
Изучите документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
2.
На основе предыдущей работы выполните подробную оценку защищенности ИСПДн согласно документу пункта 1 3.
Сделайте вывод
Контрольные вопросы
1.
О чем говорится в документе «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»?
2.
Для чего применяется уровень исходной защищенности?
Практическая работа № 11
Тема
Обоснование применения принципов архитектурной безопасности в заданных условиях
Цель научиться применять принципы архитектурной безопасности
Теоретические сведения
Сервисы безопасности, какими бы мощными и стойкими они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только разумная, проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:
непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
следование признанным стандартам, использование апробированных решений;
иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
усиление самого слабого звена;
невозможность перехода в небезопасное состояние;
минимизация привилегий;
разделение обязанностей;
эшелонированность обороны;
разнообразие защитных средств;
простота и управляемость информационной системы.
Методические указания
На основе предыдущих работ опишите зачем нужно применять принципы архитектурной безопасности
Практическая работа № 12
1 2 3 4 5 6
Тема Создание пользователей и групп в операционной системе
Windows. Решение задач поиска и сброса паролей пользователей
Цели:
1.
Научиться создавать пользователей в операционной системе
Windows.
2.
Научиться создавать группы в операционной системе Windows
3.
Научиться решать задачи поиска и сброса паролей пользователей операционной системе Windows
Теоретические сведения
Операционные системы Windows поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей, в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы.
Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора.
Методические указания
Сброс пароля администратора
1.
В гостевой операционной системе попробовать войти под учётной записью Администратор. Убедиться, что для этого требуется пароль.
2.
Корректно завершить работу Windows на виртуальной машине.
3.
В свойствах виртуальной машины (Система — Материнская
плата — Порядок загрузки) задать порядок загрузки таким образом, чтобы сначала производилась загрузка с компакт-диска, а потом — с жёсткого диска.
4.
В свойствах виртуальной машины подключить образ компакт- диска для офлайнового редактирования реестра и паролей Windows
(CD/DVD-ROM — Подключить CD/DVD — Файл ISO-образа —
Добавить — выбрать файл cd100627.iso). Загрузить виртуальную машину.
Должна произойти загрузка с компакт-диска.
5.
Поскольку дополнительных драйверов для поддержки аппаратных устройств виртуальной машины не требуется, после появления экрана приветствия boot: нажать Enter (либо подождать несколько секунд, пока утилита автоматически не загрузится).
6.
На первом шаге (Step ONE) требуется выбрать номер загрузочного раздела, на который установлен Windows. Все разделы перечислены в таблице Candidate Windows partitions found и имеют следующие поля: номер раздела, название раздела в Unix-формате, признак загрузочного раздела. Например,
1 :
/dev/sda1 2996MB
BOOT
Таким образом, если загрузочный раздел (BOOT) соответствует первому разделу, необходимо ввести 1 и нажать Enter.
7.
Если появилось сообщение MOUNT NTFS FOR WRITING
FAILED,значит, выход из гостевой операционной системы был осуществлён некорректно. Отключить CD-ROM через меню Устройства, перезагрузить виртуальную машину (меню Машина — Сброс) и перейти к пункту 1.
8.
На втором шаге (Step TWO) необходимо указать путь к файлам реестра. Поскольку при установке Windows значения этих параметров были оставлены по умолчанию (реестр хранится в папке Windows/system32/config), достаточно нажать Enter.
9.
Выбрать раздел реестра для сброса пароля (Password reset).
Поскольку данный пункт выбран по умолчанию, достаточно нажать Enter.
10.
На третьем шаге (Step THREE) выбрать пункт Редактирование паролей и данных о пользователях (Edit user data and passwords).