Классификация активов, связанных с информационными системами
Цель.
Анализ информационных ресурсов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной информационной безопасности.
Задачи.
1. Установить номенклатуру информационных ресурсов и оценить их значимость для компании в целом и ее структурных подразделений.
2. Выявить виды и разновидности тайн, которые используются в деятельности компании.
3. Оценить риски информационной безопасности.
Порядок оформления.
1. Шрифт Arial 10. Интервал 1. Поля стандартные. Страницы работы должны быть пронумерованы сверху. Формат документа — MS Office
2. Работы в электронном виде отправляются на электронную почту преподавателя:
igor-L2007@yandex.ru.
Тема письма «Практикум ИБ/ФИО студента - группа». В теле письма необходимо продублировать ФИО и группу.
3. Крайний срок сдачи лабораторного практикума: 2 ноября. Практикумы, сданные после этого срока, не засчитываются. При выявлении работ, текст которых совпадает, не засчитывается ни одна из них
Задание 1.
Описание компании и ее структурных подразделений
1. Укажите наименование компании и адрес ее корпоративного сайта.
2. Дайте описание деятельности компании, её направлений и бизнес-целей.
3. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения за какой-то период или дату;
4. В MS Visio или другом графическом редакторе составьте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.
5. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее программные и аппаратные компоненты.
Если Вы испытываете трудности с выбором компании для анализа, воспользуйтесь перечнем компании з Приложения 1 в конце файла.
Описание компании не должно занимать более 1 страницы.
Задание 2.
Определение номенклатуры информационных активов
a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.
b. Для каждого структурного подразделения определите информационные активы. Заполните Таблицу 1.
Таблица 1
| Вид актива | Наименование актива | Владелец | Степень важности | Обоснование выбранной степени важности |
Для выполнения данного пункта необходимо внимательно ознакомиться с пунктом 5 стандарта ГОСТ Р ИСО/МЭК 17799-2005 (Приложение 2). Не менее трех активов.
Задание 3.
Определение номенклатуры видов и разновидностей тайн
a. Определите перечень сведений, которые используются в деятельности компании и образуют тайны различных видов и разновидностей.
b. Для каждого вида (разновидности) тайны заполните Таблицу 2. В первой строке таблицы приведен условный пример.
Таблица 2
| Вид (разновидность) тайны | Содержание сведений, составляющих тайну | В состав какого информационного актива входят соответствующие данные | Численность пользователей (П), рабочих мест (РМ), филиалов (Ф), вовлеченных в обработку КИ | Наиболее значимые ДФ для каждого пункта (по мере убывания важности) | На каких носителях распространяются соответствующие данные |
| Персональные данные | Сведения о сотрудниках | База данных 1С | Отдел кадров — 2П, 2РМ Бухгалтерия — 2П, 1 РМ | ||
Должны быть указаны минимум ТРИ тайны. Для каждой тайны следует указать КОНКРЕТНЫЕ ДФ и носители
Задание 4.
Для информационных активов определите:
· условия разведывательного контакта (укажите конкретные условия);
· методы доступа к добываемой информации (определите конкретные методы);
· способы дистанционного добывания информации (перечислите конкретные способы);
· зону, в которой должен находиться актив (укажите конкретную зону).
Заполните Таблицу 3.
Таблица 3
| № п/п | Информационные активы | В какой зоне должен находиться актив | Условия разведывательного контакта | Методы доступа к добываемой информации | Способы дистанционного добывания |
Задание 5
Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните Таблицу 4. Укажите конкретные каналы, способы и средства. Абстрактные рекомендации (быть внимательными, осторожными, осмотрительными и т.п.) не засчитываются.
Таблица 4
| № п/п | Информационные активы | Наиболее опасные каналы утечки для каждого актива | Способ противодействия утечке | Средство противодействия утечке |
Начисление баллов:
· за правильно и полно заполненную Таблицу 1 — 7 баллов;
· за правильно и полно заполненную Таблицу 2 — 8 баллов;
· за правильно и полно заполненную Таблицу 3 — 12 баллов;
· за правильно и полно заполненную Таблицу 4 — 11 баллов;
· за выполненное Задание 1 — 2 балла (начисляются, если заполнены минимум две таблицы).
Приложение 1
Варианты компаний:
1. Московский финансово-промышленный университет «Синергия».
2. Компания занимается розничной торговлей мультимедийной продукцией
3. Компания занимается оказанием логистических услуг
4. Компания занимается учебной деятельностью
5. Компания занимается производством мебели
6. Компания является туроператором
7. Компания занимается оказанием услуг в сфере здравоохранения деятельностью
8. Компания разрабатывает средства защиты информации
9. Компания занимается изготовлением полиграфической продукции
10. Компания оказывает услуги по инкассации торговых объектов
11. Компания занимается разработкой и сопровождением отраслевого программного обеспечения
12. Компания занимается кинопрокатом фильмов
13. Компания занимается книгоизданием
14. Компания занимается выпуском журналов (Издательский дом)
15. Компания осуществляет подключение к сети Интернет и IP телефонии
16. Компания занимается разработкой и администрованием веб-сайтов
17. Компания занимается изготовлением POS-терминалов
18. Компания занимается бронированием гостиниц по России
19. Компания занимается бронированием и доставкой железнодорожных и авиабилетов.
20. Компания занимается локализацией программных продуктов
21. Компания занимается тиражированием оптических дисков
Приложение 2
Классификация активов, связанных с информационными системами
Описание активов дает уверенность в том, что обеспечивается эффективная защита активов, и оно может также потребоваться для целей обеспечения безопасности труда, страхования или решения финансовых вопросов (управление активами). Процесс составления описи активов - важный аспект управления риском. Организация должна быть в состоянии идентифицировать свои активы с учетом их относительной ценности и важности. Основываясь на этой информации, организация может обеспечивать заданные уровни защиты, соответствующие ценности и важности активов. Описи следует составлять и поддерживать для важных активов, связанных с каждой информационной системой. Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы. Кроме того, должно быть указано фактическое местоположение актива (это важно в случае восстановления активов при потере или повреждении). Примерами активов, связанных с информационными системами, являются:
- информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, процедуры эксплуатации или поддержки (обслуживания), планы по обеспечению непрерывности функционирования информационного обеспечения, процедуры действий при сбоях, архивированная информация;
- активы программного обеспечения: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты;
- физические активы: компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, частные автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски), другое техническое оборудование (электропитание, кондиционеры), мебель, помещения;
- услуги: вычислительные услуги и услуги связи, основные коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование.