Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное

учреждение высшего образования

«Кубанский государственный технологический университет»

(ФГБОУ ВО «КубГТУ»)

Институт компьютерных систем и информационной безопасности

Кафедра компьютерных технологий и информационной безопасности

Отчет по практическим работам по дисциплине
«Методы оценки безопасности компьютерных систем»

Выполнили студенты гр. 20-К-АС1

Сорокина А., Гращенкова А., Курышев Р.

г. Краснодар

2023

Практическое занятие №1.1 Изучение законодательства РФ в области защиты информации

Цель – для конкретного информационного объекта определить задачи, функции службы информационной безопасности

1. 
   Принципы службы информационной безопасности:
   

• 
  Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности РФ;
  
• 
  Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ;
  
• 
  Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
  
• 
  Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.
  

Функции деятельности службы:

• 
  Проводит объективный и всесторонний анализ и прогнозирование угроз информационной безопасности РФ, разрабатывает меры по её обеспечению;
  
• 
  Организует работу законодательных и исполнительных органов государственной власти РФ по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности РФ;
  
• 
  Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
  
• 
  Осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
  
• 
  Проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территорий РФ и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
  
• 
  Способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
  
• 
  Формулирует и реализует государственную информационную политику России;
  
• 
  Организует разработку федеральной программы обеспечения информационной безопасности РФ, объединяющей усилия государственных и негосударственных организаций в данной области;
  
• 
  Способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
  

---

Организационно-правовой статус службы безопасности определяется следующим образом:

• 
  Численность службы безопасности должна быть достаточной для выполнения всех функций;
  
• 
  Служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
  
• 
  Штатный состав службы безопасности не должен иметь других обязанностей, связанных с функционированием АС;
  
• 
  Сотрудники службы безопасности должны иметь право доступа во все помещения, где установлена АС, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
  
• 
  Руководителю службы безопасности должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если онине отвечают требованиям защиты информации;
  
• 
  Службе безопасности информации должны обеспечиваться все условия, необходимые для выполнения своих функций.
  

2. 
   Разработать перечень задач для службы информационной безопасности для конкретного предприятия, сформировать список защищаемой информации, угроз безопасности информации.
   

Перечень задач для службы безопасности:

• 
  Изучение технических и технологических характеристик объекта ИС и технических средств, а также организации их эксплуатации.
  
• 
  Изучение системы принятых на объекте ИС мер по защите от актов незаконного вмешательства.
  
• 
  Изучение способов реализации потенциальных угроз совершения актов незаконного вмешательства в деятельность объекта ИС с использованием совокупности сведений о численности, оснащенности, а также действий потенциальных нарушителей, преследуемых целей при совершении акта незаконного вмешательства в деятельность объекта.
  
• 
  Определение рекомендаций субъекту ИС в отношении мер, которые необходимо дополнительно включить в систему мер по обеспечению информационной безопасности объекта или технических средств.
  

Список защищаемой информации:

• 
  Информация, составляющая государственную тайну;
  
• 
  Конфиденциальная информация;
  
• 
  Персональные данные граждан;
  
• 
  Открытые информационные ресурсы
  
• 
  Автоматизированные системы управления технологическими процессами
  
• 
  Государственные и муниципальные ИС
  

Угрозы безопасности информации:

---

• 
  Внешние угрозы, исходящие от субъектов, не входящие в состав пользователей и обслуживающего персонала системы, разработчиков системы и не имеющих непосредственного контакта с информационными системами и ресурсами, а также от природных явлений, катастроф;
  
• 
  Внутренние угрозы, исходящие от пользователей и обслуживающего персонала системы, разработчиком системы, других субъектов, вовлеченных в информационные процессы, и имеющих непосредственный контакт с информационными системами и ресурсами, а также при отказах аппаратных и технических средств и сбоях программного обеспечения.
  

- компрометация конфиденциальной информации;

- нарушение целостности информации, включая изменения или фальсификацию, а также полное или частичное уничтожение информации;

- нарушение доступности информации, включая блокирование санкционированного доступа к информации пользователей.

Практическое занятие №1.2 Изучение правовых режимов защиты информации.

Цель – спроектировать структуру службы защиты информации


Директор

Заместитель директора или руководитель





Заместитель начальника службы безопасности





Аналитик

Юрист

Специалисты в области обеспечения безопасности, экономической разведки, промышленной контрразведки

Сотрудники физической охраны и пропускного режима


Технические специалисты


Директор – управление деятельностью системы, осуществление контроля за установкой и функционированием техники, обеспечивающей сохранность данных, организация правильного оформления технической документации, консультирование и осуществление обучение коллег в сфере ИБ, организация мероприятий по правовой и организационной защите бизнеса.

Начальник службы защиты информации – организация разработки и внедрение организационных и технических мероприятий по комплексной защите информации, обеспечивает соблюдение режима проводимых работ и сохранение конфиденциальности документированной информации, руководство проведением работ по организации, координации, методическому руководству и контролю их выполнения по вопросам защиты информации и разработки технических средств контроля, определяет перспективы их развития.

---

Аналитик – анализ существующей системы безопасности, на предмет угроз, определение потребности в средствах технической защиты информации.

Юрист – отвечать за документацию, отслеживать и пресекать нарушение законодательства, выстраивать сотрудничество с поставщиками, заказчиками, органами власти, использовать нормы права в интересах компании.

Сотрудники сектора обеспечения безопасности – обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой в своей зоне ответственности, модернизация и интеграция архитектуры, обнаружение и реакция на угрозы, сохранение жизнеспособности бизнеса в случае атаки.

Сотрудники экономической разведки – сбор информации, наблюдение за конкурентами, поиск путей развития, разработка новых подходов к ведению бизнеса.

Сотрудники промышленной контрразведки – выявление субъектов передающих конфиденциальную информацию, предотвращение утечки конфиденциальной информации.

Сотрудник сектора технической защиты – выявление угроз безопасности информации, определение возможности технической разведки и проведение мероприятий технической защиты информации, участвует в категорировании объектов информатизации, выявлении угроз безопасности информации и технических каналов утечки информации, работах по проведению специальных проверок и специальных исследований объектов информатизации.

Сотрудники сектора охраны и режима – осуществляет охрану здания, помещений, оборудования, линий связи и перевозок, пожарную охрану, а также личную охрану руководящего состава.

Администратор безопасности системы – ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления и за хранением резервных копий.

Практическое занятие №1.3 Изучение организационно-правовых методов информационной безопасности.

Цель – для конкретного информационного объекта определить задачи, функции службы информационной безопасности.

1. 
   Определить функции отдела информационной безопасности
   

---

• 
  Обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения;
  
• 
  Разработка и внедрение системы безопасности, а также контроль за её работой и анализ эффективности используемых средств защиты информации;
  
• 
  Внедрение режима конфиденциальности и контроль за его соблюдением;
  
• 
  Взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров;
  
• 
  Разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;
  
• 
  Оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения;
  
• 
  Проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации;
  
• 
  Составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности;
  
• 
  Другие функции, выполнение которых поспособствует реализации целей и задач работы отдела.
  

2. 
   Перечислить общие принципы деятельности службы
   

• 
  Конфиденциальность – пользователь должен иметь право доступа только к той части информации, которая ему необходима для выполнения своих служебных обязанностей;
  
• 
  Целостность – информация должна быть защищена от изменений или искажений, она должна храниться и передаваться по надежным каналам связи;
  
• 
  Доступность – информация должна быть доступна пользователю по мере необходимости.
  

3. 
   Перечислить общие виды гарантий безопасности объектов защиты
   

• 
  Нормативные гарантии заключаются в разработке, толковании и реализации норм права, установлении пределов их действия, в формировании необходимых правоотношений, определении и обеспечении правомерного предприятия по поводу его безопасности, использовании мер государственного и административного принуждения, применении санкций к физическим лицам и юридическим лицам, посягающим на законные интересы предприятия, постоянном совершенствовании юридической технологии деятельности СБ.
  
• 
  Организационные гарантии формируются путем разработки, построения и поддержания высокой работоспособности общей организационной структуры управления процессом выявления и подавления угроз деятельности предприятия, использование эффективного механизма её оптимального функционирования, соответствующей подготовки кадров, а также принятия мер по гармонизации интересов и консолидации усилий сотрудников предприятия на достижение целей обеспечения его безопасности;
  
• 
  Материальные гарантии формируются за счет выделения и использования финансовых, технических, кадровых, интеллектуальных, информационных и иных ресурсов предприятия, обеспечивающих своевременное выявление, ослабление и подавление источников угрозы, предотвращение и локализацию возможного ущерба и создание благоприятных возможностей и условий деятельности предприятия.
  

---

Смотрите также файлы

• Gain выполняет умножение входного сигнала на постоянный коэффициент.docx

• Акробатика.docx

• йелді жыныс мшелері 2ге блінеді I. Сырты жыныс мшелері.docx

• Битовые поля в структурах.pdf

• Урок по теме Бактерии строение и жизнедеятельность относится к разделу Бактерии.docx