Контрольные вопросы к лекции 4 Бухалов и Рязанов — копия

Министерство образования и науки Челябинской области

Государственное бюджетное профессиональное образовательное

учреждение

«Челябинский радиотехнический техникум»

ОТЧЕТ

по контрольным вопросам к лекции №4

МДК 03.02 Безопасность компьютерных сетей

Выполнили:

студенты группы Са-348

Бухалов Никита и Рязанов Дмитрий

____________ «___»__________20__ г.

^{подпись дата сдачи}

Проверил:

преподаватель А.В. Фролов

_________________________________

^{оценка /рецензия}

____________ «___»__________20__ г.

^{подпись дата проверки}

Челябинск 2023 г.

Контрольные вопросы к лекции 4 часть 2

1. 1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

2.Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

• стоимость возможных потерь при получении информации конкурентом;

• стоимость восстановления информации при ее утрате;

• затраты на восстановление нормального процесса функционирования АС и т.д.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

• источник;

• способ реализации;

• уязвимость;

• вид защищаемых активов;

• вид воздействия;

• нарушенное свойство безопасности.

3.Цели категорирования:

• создание нормативно-методической основы для дифференцированного подхода к защищённым ресурсов автоматизированной системы на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

• типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС организации и унификацию их настроек.

4.

5. Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС организации, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

Для проведения анализа всех подсистем автоматизированной системы организации, проведения инвентаризации и категорирования ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты подразделения обеспечения безопасности ИТ и других подразделений организации (осведомленные в вопросах технологии автоматизированной обработки информации в организации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений организации об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех компьютеров АС. Для оказания помощи на время работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.

В ходе обследования конкретных подразделений организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием, АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.

Составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.

При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажения, фальсификации) или доступности (уничтожения, блокирования) может нанести ощутимый ущерб организации.

При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая). При составлении перечня и формуляров функциональных задач, решаемых в организации необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).

Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

Затем Перечень согласовывается с руководителями подразделений автоматизации и обеспечения безопасности ИТ (компьютерной безопасности) и выдвигается на рассмотрение руководства организации.

На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных с подразделением автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием, АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам не производится.

В дальнейшем, с участием специалистов подразделений автоматизации и обеспечения безопасности ИТ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, на которых будет решаться данная задача, и для контроля правильности их установки.

На последнем этапе происходит категорирование компьютеров. Категория компьютера устанавливается, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера (триада) заносится в его формуляр.