Файл: Практическая работа 9 Разработка требований безопасности информационной системы Задание 1 Основные цели и защиты информации.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.01.2024
Просмотров: 148
Скачиваний: 7
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Практическая работа №9 «Разработка требований безопасности информационной системы»
Задание 1
Основные цели и защиты информации:
-
предотвращение утечки, хищения, искажения и подделки; -
обеспечение безопасности личности, общества, государства; -
предотвращение несанкционированного ознакомления, уничтожения, искажения, копирования, блокирования информации в информационных системах; -
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных; -
сохранение государственной тайны, конфиденциальности документированной информации; -
соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки; -
сохранение возможности управления процессом обработки и пользования информацией
Основными задачами защиты информации традиционно считаются обеспечение:
-
доступности (возможность за приемлемое время получить требуемую информационную услугу); -
конфиденциальности (защищенность информации от несанкционированного ознакомления); -
целостности (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); -
юридической значимости (развитие нормативно-правовой базы безопасности информации в нашей стране, актуальна при необходимости обеспечения строгого учета платежных документов и любых информационных услуг).
Задание 2
Факторы, влияющие на организацию системы защиты информации:
Влияние формы собственности на особенности защиты информации ограниченного доступа.
Под формой собственности понимаются законодательно урегулированные имущественные отношения, характеризующие закрепление имущества за определенным собственником на праве собственности.
Собственниками имущества могут быть граждане и юридические лица, а также Российская Федерация, субъекты Российской Федерации.
Общероссийским классификатором форм собственности ОК 027-99 рассматриваются следующие виды собственности:
-
Российская собственность -
Иностранная собственность -
Совместная российская и иностранная собственность -
Смешанная российская собственность с долей государственной собственности.
Задание 3
Дестабилизирующее воздействие - негативное воздействие на компьютерную систему, реализуемое использованием реализации угрозы ИБ, в результате чего происходит нарушение конфиденциальности информации, её уничтожение, блокирование, модификация.
Причины со стороны людей:
-
непосредственное воздействие на носитель информации -
несанкционированное распространение информации -
вывод из строя тех. Средств -
нарушение режима работы тех. средств и технологий обработки информации -
вывод из строя и нарушение работы систем обеспечения функционирования
Причины со стороны тех. средств:
-
тех. Поломка -
возгорание -
природные явления -
выход из строя систем обеспечения функционирования
Причины со стороны тех. средств
-
выход из строя -
создание ПЭМИН
Причины со стороны систем обеспечения функционирования тех. средств
-
выход систем из строя -
нарушение режимов работы
Причины со стороны природных явлений
-
землетрясение -
наводнение -
тайфун
Методы дестабилизирующего воздействия
-
НСД (получение доступа с использованием перебора паролей) -
использование известных ошибок в ПО -
DOS-атаки -
внедрение программно-аппаратных закладок
В качестве защиты могут быть использованы:
-
межсетевые экраны -
антивирус -
система обнаружения вторжений -
Honey Pot - запуск на отд. сервере, включ в ЛВС с ЗИ - система начинает фиксировать любые действия дестабилизирующего воздействия (заманив хакера) -
криптосредства -
использование организационных мероприятий
Задание 4
Задание 5
Требования безопасности информационной системы
При авторизации стоит придерживаться нескольких общих требований:
-
Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно на том предприятии, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность. -
Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация предприятия, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.
Если используются удаленные терминалы, в компании должны соблюдаться такие основные требования:
-
Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен. -
Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона.
К главным требованиям по информационной безопасности во время идентификации пользователей по логину и паролю относятся следующие:
-
у каждого пользователя должен быть пароль высокого уровня сложности для того, чтобы войти в систему; -
пароли надо подбирать очень тщательно, информационная емкость пароля должна соответствовать общим стандартам (наличие заглавных букв, цифр); -
пароль, установленный по умолчанию, надо изменить до того, как будет произведен официальный запуск системы; -
каждая ошибка входа в систему обязательно записывается в общий журнал архивных событий, анализируется спустя конкретный промежуток времени; это необходимо для того, что администратор мог выявить причину возникновения ошибок; -
на момент отправления пакетов с подтверждением или отказом введения пароля система должна быть приостановлена на пять секунд, благодаря этому хакеры не смогут вводить большое количество разных паролей, чтобы обойти информационную защиту.
Для полноценного обеспечения защиты от взлома пароля надо выполнить ряд требований:
-
для обеспечения защиты информации потребуется подключить двухэтапную аутентификацию; -
подключить защиту от изменения паролей – хакеры могут попытаться воспользоваться таким способом войти в информационную систему, как «забыли пароль – изменить».
Чтобы специалисты могли обеспечить информационную безопасность всех данных
-
руководитель компании обязан проводить инструктажи для работников на тему «Предотвращение утечки информации». -
Важно, чтобы работники предприятия знали о возможных опасностях, которые могут возникнуть в случае, если персональные компьютеры на какой-либо промежуток времени остаются без присмотра.
Задание 6
Основными методами защиты информации являются:
Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (посты охраны на охраняемых объектах)
К основным методам защиты информации в ИС относятся:
-
Препятствие -
управление доступом -
маскировка -
регламентация -
принуждение -
побуждение.
К основным средствам защиты относятся:
-
технические средства, реализуемые в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. -
программные средства, специально предназначенные для выполнения функций защиты информации; -
организационные средства защиты (организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации); -
морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе (примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США); -
законодательные средства защиты, определяемые законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Вывод: я получил навыки разработки требований безопасности информационной системы.