Файл: Методические указания к практическим занятиям Самара 2021.pdf

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И
МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение высшего образования
«ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАТИКИ»
Кафедра информационной безопасности
Н.М. Бельская, Н.И. Козырева, И.С. Макаров
ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Методические указания к практическим занятиям
Самара
2021

2
УДК 34
БКК
Б
Рекомендовано к изданию методическим советом ПГУТИ, протокол №45, от 11.05.2021 г.
Рецензент:
Генеральный директор ООО «Идентификация»,
Глубоков С.А.
Бельская, Н.М.
Б
Организационное
и
правовое
обеспечение
информационной
безопасности: методические указания к практическим занятиям / Н.М. Бельская, Н.И. Козырева, И.С. Макаров –
Самара: ПГУТИ, 2021. – 31 с.
Методические указания содержат описание основных этапов разработки организационно-распорядительных нормативных документов на предприятии. Рассматриваются вопросы обеспечения защиты информации при работе с кадрами, организационно-правовой защиты отдела и т.д. Методические указания разработаны в соответствии с ФГОС ВО по специальности 10.05.02 (ИБТС) и направлению подготовки 10.03.01 (ИБ) для студентов факультета ТР для работы на практических занятиях.
ISBN
©, Бельская Н.М., Козырева Н.И., Макаров И.С., 2021

3
Содержание
Практическая работа №1………………………………………4
Практическая работа №2………………………………………6
Практическая работа №3………………………………………7
Практическая работа №4……………………………………....9
Практическая работа №5……………………………………..10
Практическая работа №6……………………………………..11
Практическая работа №7……………………………………..13
Практическая работа №8……………………………………..15
Список использованных источников………………………..16
ПРИЛОЖЕНИЕ А…………………………………….………17
ПРИЛОЖЕНИЕ Б……………………………………….…….18
ПРИЛОЖЕНИЕ В……………………………………………..19

4
Практическая работа №1
«Анализ информации, циркулирующей на предприятии»
Цель: получить навыки анализа информации, циркулирующей на предприятии.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1. Придумать текстовое описание предприятия. Это предприятие потом будет использоваться в последующих работах. Описать чем (кратко) занимается предприятие, откуда прибыль. Кратко, какие виды информации циркулируют на предприятии.
2. Выделить элементы информации, подлежащие защите на предприятии и заполнить таблицу 1.
3. Провести категорирование информации и оценку стоимости ущерба в случае ее разглашения. Заполнить таблицу 2.
4. Опишите потенциальные каналы утечки информации с предприятия и оцените их важность и вероятность реализации атаки по ним. Заполните таблицу 3.
5. На основании результатов аудита существующей информационной безопасности предприятия
(п.п.
1-4), сформулируйте выводы по эффективности организационно- правовой системы защиты конфиденциальной информации.
Таблица 1
Элементы информации, подлежащие защите на предприятии
№ Наименование элемента информации
Конфиденци- альность информации
Наименование источника информации
Место- нахождение информации

5
Таблица 2
Анализ информационных активов на предприятии
Наименование элемента информации
Гриф Цена инфор- мации
(руб.)
Наименование источника информации
Место- нахождение информации
Таблица 3
Потенциальные каналы утечки информации на предприятии
Источник утечки информации
Путь утечки информации
Вид канала
Вероятность утечки информации по данному каналу, %
Защита выполненной практической работы проходит в виде выступления в устной форме с презентацией об анализе существующей ИБ выбранного предприятия и далее, необходимо обнаружить недостатки в анализе
ИБ предприятий, представленных одногруппниками.

6
Практическая работа №2
«Разработка организационно-распорядительной
документации по организации обработки и защите
коммерческой тайны»
Цель: получить навыки оформления организационно- распорядительной документации по организации режима защиты коммерческой тайны на предприятии.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1. Для предприятия выбранного в практической работе №1 составить: перечень сведений, составляющих коммерческую тайную и перечень сотрудников, получающих доступ к коммерческой тайне.
2. Составить приказ о вводе режима защиты коммерческой тайны на предприятии.
3. Разработать инструкции по учету лиц, допущенных к работе с коммерческой тайной и по конфиденциальному делопроизводству.
4. Представить для ознакомления «Обязательства службы информационной безопасности предприятия в области защиты коммерческой тайны».
5. Оформить «Положение о коммерческой тайне (КТ)»
(пример оформления найти в интернете).
Защита выполненной практической работы проходит в виде выступления в устной форме с представлением разработанной организационно-распорядительной документации.

7
Практическая работа №3
«Ведение журналов учета конфиденциального
делопроизводства»
Цель: приобрести навыки ведения журналов учета взаимодействия с конфиденциальной информацией.
Теоретическая часть
Конфиденциальное делопроизводство – деятельность, обеспечивающая документирование информации, содержащей сведения, составляющие коммерческую тайну, процесс подготовки, изготовления документов и организацию работы с ними.
Для регулирования порядка обращения с документами, содержащими сведения, составляющие коммерческую тайну предприятия (далее - документы), устанавливают требования по учету, отправке, отбору для хранения и уничтожения документов. На основе этих требований разрабатывают инструкцию по оформлению и ведению конфиденциального делопроизводства в организации.
Учет входящих документов, отправка документов и другие действия с конфиденциальными документами должны регистрироваться в отдельных журналах. Пример журнала учёта взаимодействия с конфиденциальной информацией представлены в ПРИЛОЖЕНИИ А.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1. Составить журнал учёта (см. ПРИЛОЖЕНИЕ А) и заполнить его различными данными (не менее 50 записей).
Можно составить несколько журналов.
2. Добавить в журнал дополнительно данные о каких-либо инцидентах информационной безопасности (не менее 2

8 инцидентов). На примере заложенных инцидентов, описать процесс поиска инцидентов в журнале учета.
3. Заложить не менее одного инцидента ИБ, который должны обнаружить одногруппники.
Защита выполненной практической работы проходит в виде выступления в устной форме, с описанием заложенных инцидентов и методами их обнаружения, а также предоставляются листы отчета с журналами учета для поиска не озвученных инцидентов, которые должны быть обнаружены одногруппниками.

9
Практическая работа №4
«Обеспечение организационно-правовой защиты отдела»
Цель: получить навыки обеспечение организационно- правовой защиты отдела.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1.
Описать отдел предприятия, выбранного ранее:

план-схема помещения, где расположен отдел;

расположение оборудования в отделе;

численность сотрудников отдела;

рабочие места сотрудников,

места хранения, обработки и передачи конфиденциальной информации.
2. Для выбранного отдела разработать организационно- правовую защиту.
Защита выполненной практической работы проходит в виде выступления в устной форме с презентацией о том, как в выбранном отделе предприятия обеспечивается организационно- правовая защита. Одногруппники исполняют роль внешних проверяющих, которые могут задавать вопросы, ставить под сомнения меры защиты и искать уязвимые места.

10
Практическая работа №5
«Обеспечение защиты информации при работе с кадрами»
Цель: получить навыки подбора сотрудников в службу информационной безопасности и разработки описания процедуры увольнения сотрудников, имеющих доступ к конфиденциальной информации.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1.
Составьте профили требований к должности
(профессиограммы) двух сотрудников вашей организации
(начальник рекламного отдела и сотрудник службы безопасности).
2. Опишите основные этапы отбора кандидатов на должности, проводимые отделами вашей фирмы в каждом случае.
3. Опишите процедуру увольнения прежних работников и связанные с ней действия администрации. Рассмотрите два варианта увольнения: по собственному желанию и по «статье» за разглашение конфиденциальной информации.
Защита выполненной практической работы проходит в виде выступления в устной форме с предоставлением профессиограмм и описанием процедур отбора кандидатов на должность и увольнения прежних работников.

11
Практическая работа №6
«Экономическое обоснование решения в сфере
информационной безопасности»
Цель: получить навыки экономического обоснования решений в сфере информационной безопасности.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1. Представьте, что вы сотрудник отдела по защите информации на вашем предприятии. У вас возникла проблема выбора решения по защите предприятия. Проблему необходимо сформулировать самостоятельно или воспользоваться предложенными вариантами:

покупка аппаратного межсетевого экрана вместо имеющегося бесплатного программного решения;

покупка аппаратного криптографического средства вместо имеющегося бесплатного программного решения;

покупка токена вместо имеющейся обычной флешки;

покупка комплекса СКУД (система контроля и управления доступом), установка турникетов на предприятии;

установка забора и системы видеонаблюдения вместо имеющихся жалюзи, решеток на окнах и стальных дверей;

обновление
(покупка) существующего криптографического средства защиты (шифровальщика) на новую модель;

расширение штата сотрудников отдела по защите информации вместо сокращения этого штата.

12
Опишите для выбранной проблемы:

возможные варианты решения;

цены;

преимущества и недостатки;

проблему экономического спора.
2. Провести анализ проблемной ситуации. Продумать и обосновать руководителю предприятия необходимость именно
«нужного» решения.
3. Представить описание еще одного экономического спора аналогичным образом (другой пример выбрать или придумать).
Защита выполненной практической работы проходит в виде выступления в устной форме с презентацией об экономических обоснованиях принятых решений. Одногруппники могут задавать вопросы и находить недостатки в представленных экономических обоснованиях.

13
Практическая работа №7
«Расследование утечки конфиденциальной информации»
Цель: получить углубленные знания о коммерческой тайне и мерах наказания при разглашении конфиденциальной информации; приобрести навыки проведения служебного расследования на предприятии.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Придумать описание проблемной ситуации на предприятии.
Примеры ситуаций:

утечка привела к заключению контракта с иностранной фирмой по заниженной цене (при этом компания понесла прямые убытки и потерю деловой репутации);

конкуренты воспользовались «секретом производства» и выпустили продукцию с его применением;

продажа базы данных клиентов конкурентам;

передача конфиденциальных сведений клиентов третьим лицам;

передача тендерной документации третьим лицам до объявления тендера.
Для придуманной ситуации студенты пробуют себя в роли специалистов отдела защиты информации «своей» организации и проводят расследование по утечке информации, составляющей коммерческую тайну. Необходимо составить:

порядок и детали служебного расследования;

свидетельские показания некоторых сотрудников организации;

перечень принятых мер по охране конфиденциальной информации в компании
(организационные и технические);

14

список ошибок в работе персонала, которые могут привести к раскрытию информации;

обзор способов вычисления нелояльных сотрудников;

доказательную базу для обвинения сотрудников в разглашении сведений, составляющих коммерческую тайну.
Отчет должен содержать:
1. Описание инцидента для своего предприятия, ход расследования и результаты расследования, представленные в акте служебного расследования (см. ПРИЛОЖЕНИЕ Б).
2. Разработать рекомендации и меры защиты выявленной уязвимости для предотвращения повторения такого инцидента
ИБ.
Защита выполненной практической работы проходит в виде выступления в устной форме с презентацией, отражающей описание инцидента, ход служебного расследования и результаты, а также меры защиты от угроз повторения такого инцидента ИБ. Одногруппники могут задавать вопросы и ставить под сомнения действия комиссии по служебному расследованию, результаты и меры защиты.

15
Практическая работа №8
«Решение правовых споров в области ИБ»
Цель: научиться решать правовые споры при организации защиты информации в учреждениях и на предприятиях.
Теоретическая часть
Информация содержится в материалах лекций.
Практическая часть
Отчет должен содержать описание выполнения следующих пунктов:
1. Ознакомиться с условием задачи (см. ПРИЛОЖЕНИЕ В).
Найти правовое обоснование для описанной ситуации и ответить на поставленный вопрос.
2. Представить описание решения еще одной задачи аналогичным образом (номер задачи уточнить у преподавателя).
Защита выполненной практической работы проходит в виде выступления в устной форме, с обоснованием своей позиции по ситуации аргументами и положениями правовых актов.

16
Список использованных источников
1. Гафарова, Е.А. Организационно-правовое обеспечение информационной безопасности: учебное пособие / Е.А. Гафарова.
- Челябинск : Издательство ЗАО «Библиотека А. Миллера», 2019 г. - 153 с.
2. Меджидов, З.У. Оценочные материалы по дисциплине
«Организационное и правовое обеспечение информационной безопасности» для направления подготовки
10.03.01
Информационная безопасность, профиль
«Безопасность автоматизированных систем». – Махачкала: ДГУНХ, 2019 г. - 66с.
3. Пятков, А.Г. Методические указания для выполнения практических работ [Электронный ресурс] / А.Г. Пятков. –
Электрон. текстовые дан. – К. : [б. и.], 2017 – Режим доступа: https://www.sibsau.ru/sveden/edufiles/126230/, свободный. – Загл. с экрана.
4. Разработка комплексной системы защиты информации
[Электронный ресурс]
–
Режим доступа: https://studbooks.net/2036628/informatika/razrabotka_kompleksnoy_
sistemy_zaschity_informatsii/, свободный. – Загл. с экрана.