Федеральное государственное бюджетное образовательное учреждение

высшего образования
АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ

Институт информационных технологий и коммуникаций

Кафедра «Информационная безопасность»

ОСНОВЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТЬЮ

Методическое пособие по проведению практических работ

для студентов направления

10.03.01 Информационная безопасность

Астрахань 2022
Составитель: Космачева И.М., доцент кафедры «Информационная безопасность»

Рецензент: Сибикина И.В., доцент кафедры «Информационная безопасность»

Учебное пособие утверждено на заседании кафедры 31 августа 2022 г., протокол № 7

©Астраханский государственный технический университет

2
 СОДЕРЖАНИЕ

ПРАКТИЧЕСКАЯ РАБОТА 1. Построение функциональной модели процессов обеспечения

информационной безопасности......................................................................................................................................4
ПРАКТИЧЕСКАЯ РАБОТА 2. Сетевое планирование, управление ресурсами при проектировании
проектов в сфере защиты данных.................................................................................................................................4
ПРАКТИЧЕСКАЯ РАБОТА 3. Изучение основных нормативно-правовых документов в сфере защиты
данных................................................................................................................................................................................ 8
ПРАКТИЧЕСКАЯ РАБОТА 4. Формирование перечня конфиденциальных документов в организации
(фирмы). Разработка политики ИБ.............................................................................................................................12
ПРАКТИЧЕСКАЯ РАБОТА 5. Анализ рынка и подбор СЗИ................................................................................19
ПРАКТИЧЕСКАЯ РАБОТА 6. Методы повышения осведомленности пользователей в сфере ИБ,
аттестация сотрудников................................................................................................................................................21
ЛИТЕРАТУРА:............................................................................................................................................................... 28

3
 ПРАКТИЧЕСКАЯ РАБОТА 1. Построение функциональной модели процессов обеспечения
информационной безопасности

Теоретическая часть
Отсутствие чёткого понимания конечного перечня обязанностей как у самих ИБ-специалистов, так
и у смежных подразделений снижает эффективность работы службы ИБ.
У ИБ-специалистов немало смежных областей со службой безопасности, ИТ-подразделениями:
управление уязвимостями, мониторинг действий пользователей с помощью DLP, работа с
коммерческой тайной и другие. При отсутствии чёткого деления задач образуются зоны
нераспределённой ответственности.
Главная особенность процессного управления — в том, что оно помогает посмотреть на
деятельность компании как на единую систему взаимосвязанных элементов: процессов, в том числе
сквозных, проходящих через несколько подразделений.
Построение функциональной модели процессов обеспечения информационной безопасности
целесообразно проводить в соответствии со стандартами IDEF (IDEF0, IDEF3, IDEF5, DFD и др.).

ЗАДАНИЕ:
1. С использованием нотации IDEF0 построить функциональную модель, диаграмму нулевого
уровня и двух уровней декомпозиции для предложенного преподавателем процесса
обеспечения ИБ для некоторого предприятия (варианты можно выбрать в приложении 1):
A. управление доступом,
B. управление обновлениями программного обеспечения,
C. обеспечение криптографической защиты,
D. управление резервным копированием,
E. управление мониторингом действий пользователей,
F. управление антивирусной защитой,
G. управление процессом оценки кандидатов при приеме на работу в отдел ИБ,
H. управление процессом повышения осведомленности пользователей о политиках
информационной безопасности, принятых в компании,
I. контроль выполнения требований информационной безопасности сотрудниками в
процессе работы,
J. процесс проведения независимых аудитов и пентестов информационной безопасности,
K. процесс обеспечения непрерывности бизнеса и восстановления работоспособности
информационных систем и данных после сбоев).
L. управление процессом миграции СЗИ и прикладного ПО на альтернативные версии в
рамках задач импортозамещения.
2. Представить доклад в виде презентации по описанию основных подпроцессов основного
процесса, их сущности, способов реализации.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Опишите назначение функциональной модели процессов.

2. Опишите назначение графических нотаций IDEF0, IDEF3, IDEF5, DFD.

ПРАКТИЧЕСКАЯ РАБОТА 2. Сетевое планирование, управление ресурсами при

проектировании проектов в сфере защиты данных

Теоретическая часть
Под проектом понимается четко определенная последовательность мероприятий, направленных на
достижение некоторой цели, имеющих начало и конец, управляемых людьми посредством таких
факторов, как время, стоимость, ресурсы и качество. Проектирование и конструирование спутников,
создание роботов, запуск любого серьёзного продукта — всё это сложные большие проекты. Разработка
или ИТ-продуктов, проектирование систем защиты во многом относится к той же категории.
4
Приходится привлекать, распределять и вкладывать большие суммы, взаимодействовать с
поставщиками и подрядчиками (нередко это команды на аутсорсинге). В результате формируются
сложные зависимости, которые нужно отслеживать и корректировать, вовремя оценивать все риски,
определять критичные операции, задержка в сроках начала и завершения выполнения которых может
приводить к срыву всего проекта в целом.
Проекты предусматривают выполнение десятка тысяч работ и большое число участников. Ценой
провалов могут стать штрафы, простои, ухудшение деловой репутации и т.д.
Под бизнес-процессом (задачей) в системах управления проектами понимаются все действия и
события, имеющие начало и конец и необходимые для выполнения проекта. Каждый проект имеет
ограниченный срок выполнения, фиксированный бюджет и требует определенного объема работ.
Для описания проекта используются два основных способа: табличный и графический:

Операция Непосредственно Время, дней

предшествующая
операция
A - 8
B - 10
C - 6
D A,B 8
E B,C 9
F C 14
G D, E 14
H F, G 6

ES-наиболее раннее время начала операции

EF- наиболее раннее время окончания операции
LS- наиболее позднее время начала операции
LF- наиболее позднее время окончания операции
Рисунок 1 -Граф

Основные понятия сетевого анализа

• Проектом может быть: разработка новой системы повышения квалификации кадров,
проектирование системы защиты , план восстановления системы после сбоя.
• Работа - технологическая операция, мероприятие, вид деятельности или их совокупность,
характеризующиеся затратами времени на выполнение, потребностью в ресурсах и условиями,
при которых они могут выполняться. Работы, выполняемые одновременно, называют
параллельными.
• Ресурсы — работники, специалисты, машины и оборудование, материалы, необходимые для
выполнения конкретной работы и подконтрольные менеджеру проекта.
• Смета проекта — документ, содержащий оценку затрат (по видам), необходимых для сдачи
проекта в эксплуатацию.
5
 • Сетевой план — документ, устанавливающий сроки выполнения всех работ, необходимых для
сдачи проекта в эксплуатацию.
• Финансовый план — документ, устанавливающий сроки поступления финансовых ресурсов и
их расходования на финансирование затрат, предусмотренных сметой проекта.
Длина пути — суммарная продолжительность выполнения всех работ пути.
Полный путь — это путь от исходного к завершающему событию.
Критический путь связан с понятием «резерв времени». Минимальное время, необходимое для
выполнения любого проекта равно длине критического пути.
В таблице 1 представлены основные операции (задачи) проекта.
Таблица 1 – Этапы реализации проекта внедрения DLP системы
Срок
(рабоч
Стадия Этап/содержание работ Результаты работ Исполнители работ
их
дней3)
Этап 1 – Проектно-изыскательские работы
Обследовани Обследование объекта Отчет об обследовании Проектная организация 14
е автоматизации, сбор
исходных данных
Техническое Разработка и Техническое задание Проектная организация 7
задание утверждение
технического задания
на создание Системы
Технический Разработка проектной Технический проект, Проектная организация 14
проект документации на разработанный в
создание Системы соответствии с заданием на
проектирование, в составе:
 ведомость
технического проекта;
 пояснительная
записка к техническому
проекту;
 схема структурная
комплекса технических
средств;
 схема
функциональной
структуры;
 схема (таблица)
соединений и подключений.
Этап 2 – Строительно-монтажные и пуско-наладочные работы
Ввод в Комплектация Системы Акт приемки-передачи Поставщик оборудования 30
действие поставляемыми оборудования в монтаж
изделиями
Строительно- Акт завершения Подрядная организация 10
монтажные работы строительно-монтажных
работ
Разработка Документация, Подрядная организация 10
документации, необходимая для ввода в

6
 Срок
(рабоч
Стадия Этап/содержание работ Результаты работ Исполнители работ
их
дней3)
необходимой для ввода действие в составе:
Системы в действие  План пуско-
наладочных работ.
 Программа и
методика испытаний.
Пуско-наладочные Завершены пуско- Подрядная организация 7
работы в соответствии с наладочные работы.
планом пуско- Система
наладочных работ готова к предварительным
испытаниям
Разработка Эксплуатационная Подрядная организация 14
эксплуатационной документация в составе:
документации  Инструкция
Администратора Системы;
 Инструкция
Администратора ИБ
Системы;
 Инструкция по
эксплуатации Системы;
 Паспорт Системы
Проведение Протокол предварительных Подрядная организация 5
предварительных испытаний. Заказчик
испытаний Акт перевода Системы в
опытную эксплуатацию
Опытная эксплуатация Рабочий журнал опытной Подрядная организация 14
Системы в эксплуатации. Заказчик
соответствии с Акт завершения опытной
программой опытной эксплуатации Системы
эксплуатации
Проведение Протокол приемочных Подрядная организация 7
приемочных испытаний испытаний Системы. Заказчик
Акт о приемке Системы в
постоянную эксплуатацию
В рамках проекта должна быть создана проектная команда в составе следующих ролей:
 Руководитель проекта – отвечает за организационные вопросы реализации проекта,
координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает
соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует
сроки выполнения проекта.
 Куратор (координатор) проекта – назначается из тор-менеджмента компании, обеспечивает
контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции
остальных членов проектной команды, в том числе разрешение конфликтных ситуаций.
 Инженер проекта – отвечает за качество технической части проекта, координирует работу
команды исполнителей.
 Основной персонал проекта – специалисты, непосредственно исполняющие задачи проекта и
осуществляющие контроль качества его результатов.
7
  Вспомогательный персонал проекта – специалисты, выполняющие одну или несколько не
основных (вспомогательных) функций и задач в проекте.
Для управления проектами существуют различные прикладные программы, например Microsoft
Project.
Microsoft Project предлагает различные средства для создания и ведения проекта. Одним из
наиболее удобных инструментов является диаграмма Гантта (Gantt Chart), на которой каждая работа
представляется в виде полосы, расположенной на временной шкале.
График Ганта представляет собой диаграмму, по оси ординат которой откладываются
наименования работ в установленном пользователем порядке (обычно — в порядке ввода), а по оси
абсцисс — время. Каждая работа представляется полосой на графике, указывающей занимаемый ею
период времени. Критические работы выделяются красным цветом. График Ганта представляет собой
удобное средство отображения сетевого плана.

ЗАДАНИЕ:
1. Решить задачу своего варианта в тетради из приложения 2.
2. Постройте граф, найдите критический путь и длительность проекта для задачи управления
проектом внедрения DLP системы (условие см. выше) и процессом разработки безопасного
программного обеспечения (условие задайте самостоятельно).
3. В Microsoft Project или с помощью любого аналога (Битрикс 24, GanttProject) построить
график Ганта, промоделировать процесс управления проектом.
4. Подготовить отчет с программой, защитить его устно и выложить проект на портал.

КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Что такое DLP- система?
2. Назначение сетевого планирования.
3. Что такое график Ганта?
4. Как находится критический путь проекта?
5. Какие операции проекта называются критическими?
.

ПРАКТИЧЕСКАЯ РАБОТА 3. Изучение основных нормативно-правовых документов в

сфере защиты данных

Теоретическая часть
От уровня информационной безопасности организации зависят его репутация и
конкурентоспособность. Информационная безопасность (ИБ)– это состояние защищенности всех его
информационных активов предприятия. Главная задача злоумышленников (внешних нарушителей и
инсайдеров), атакующих информационные системы, – получение контроля над информационными
активами организации для последующего совершения неправомерных действий по заказу
недобросовестных конкурентов.
Термин «информационная безопасность» подразумевает состояние защищенности данных от трех
основных рисков: нарушение конфиденциальности, целостности, доступности.
Применительно к производственному предприятию эта триада изменяется, так как в
производственном процессе информация играет роль не актива, а инструмента управления.
Информационные потоки должны обеспечить непрерывность и безаварийность процесса
производства. Это обусловливает особый подход к организации системы ИБ на производстве.
Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак
на объекты инфраструктуры.
Под критической информационной инфраструктурой (далее — КИИ) понимаются
информационные системы, информационно-телекоммуникационные сети, автоматизированные
системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их
взаимодействия.
Субъектами КИИ являются компании, работающие в стратегически важных для государства
областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-
8
энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической,
горнодобывающей, металлургической и химической промышленности, а также организации,
обеспечивающие взаимодействие систем или сетей КИИ.
Объекты критической информационной инфраструктуры— информационные системы (ИС),
информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ)
субъектов критической информационной инфраструктуры.

 Информационная система (ИС) - совокупность содержащейся в базах данных информации и

обеспечивающих ее обработку информационных технологий и технических средств (статья 2
Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о
защите информации»). Наиболее распространенными видами информационных систем являются
государственные информационные системы (ГИС) и информационные системы персональных данных
(ИСПДн).
 Информационно-телекоммуникационная сеть (ИТКС) - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с
использованием средств вычислительной техники (статья 2 Федерального закона от 27.07.2006 № 149-
ФЗ «Об информации, информационных технологиях и о защите информации»). Самыми
распространенными видами информационно-телекоммуникационных сетей являются корпоративные
информационные сети и сеть международного обмена «Интернет».
 Автоматизированная система управления (АСУ). Один из видов автоматизированных
систем. Автоматизированная система – это система, состоящая из персонала и комплекса средств
автоматизации его деятельности, реализующая информационную технологию выполнения
установленных функции. Наиболее распространенными являются автоматизированные системы
управления технологическими процессами (АСУТП) промышленных предприятий.
Примеры объектов КИИ:
• Автоматизированная банковская система (АБС).
• Система дистанционного банковского обслуживания (СДБО).
• Процессинговая система.
• Скоринговая система.
• Антифрод система.
•ИС "Электронная очередь".
•Автоматизированная система оперативного управления диспетчерской службой скорой
медицинской помощи.
•АСУ пожаротушением.

Субъекты критической информационной инфраструктуры — государственные органы,

государственные учреждения, российские юридические лица и (или) индивидуальные
предприниматели, которым на праве собственности, аренды или на ином законном основании
принадлежат информационные системы (ИС), информационно-телекоммуникационные сети
(ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере
здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового
рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-
космической, горнодобывающей, металлургической и химической промышленности, российские
юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие
указанных систем или сетей.
В качестве исходных данных для определения сферы функционирования организации,
необходимо исследовать учредительные документы, в которых содержатся заявленные виды
экономической деятельности, а также документы, дающие разрешение на право осуществления
конкретного вида деятельности, т.е. лицензии.
Для определения к каким сферам относятся заявленные в уставных документах виды
деятельности, целесообразно использовать Общероссийский классификатор видов экономической
деятельности (ОКВЭД), который в качестве характерных черт видов экономической деятельности
использует атрибуты, характеризующие сферу деятельности. Например, раздел J. «Деятельность в
области информации и связи».
9
 Рисунок 2- Набор документов для определения является ли организация субъектом КИИ

На все субъекты КИИ возлагаются следующие обязанности:

1) незамедлительно информировать о компьютерных инцидентах ФСБ России, а также
Центральный банк Российской Федерации (в случае, если субъект критической информационной
инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в
установленном ими порядке;
2) оказывать содействие должностным лицам ФСБ России, в обнаружении, предупреждении и
ликвидации последствий компьютерных атак, установлении причин и условий возникновения
компьютерных инцидентов;
3) в случае установки на объектах критической информационной инфраструктуры средств,
предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и
реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий
установки и эксплуатации таких средств, их сохранность.
Субъекты КИИ, которым принадлежат значимые объекты, также обязаны соблюдать требования
по обеспечению безопасности значимых объектов КИИ, установленные ФСТЭК России. Данные
требования установлены приказом ФСТЭК России от 25.12.2017 № 239.
Категорирование объекта критической информационной инфраструктуры представляет собой
установление соответствия объекта критической информационной инфраструктуры критериям
значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку
сведений о результатах ее присвоения.
Категорирование осуществляется исходя из:
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или
здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения
жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном
времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам
Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и
косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам
Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую
среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны
страны, безопасности государства и правопорядка.
Устанавливаются три категории значимости объектов критической информационной
инфраструктуры - первая, вторая и третья.
Самая высокая категория - первая, самая низкая - третья.
Базовым документом для всей тематики КИИ ФЗ-87 является, но также Постановление
Правительства РФ от 08.02.2018 N 127 (ред. от 13.04.2019) "Об утверждении Правил
категорирования объектов критической информационной инфраструктуры Российской
Федерации и др.

10
 Рисунок 3- Порядок категорирования объектов критической информационной инфраструктуры РФ

В перечень объектов КИИ, подлежащих категорированию, включаются только те объекты,

которые обрабатывают информацию, необходимую для обеспечения критических процессов и (или)
осуществляют их управление, контроль или мониторинг, а, следовательно, они и подлежат
категорированию.
Действующее законодательство в области КИИ не содержит методики выявления критических
процессов, а значит, вопрос отнесения того или иного процесса к критическому остается
исключительно на усмотрение субъекта КИИ.
При определении категории значимости в расчет берутся последствия от уже реализованной
гипотетической компьютерной атаки и сравниваются с перечнем показателей критериев значимости –
какому показателю соответствует, такая категория и присваивается. максимальный срок
категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня
объектов.
Пример списка критических процессов предприятия:
 Инженерное обеспечение производства.
 Обеспечение энергоресурсами и поддержание энергооборудования в работоспособном
состоянии.
 Учет энергоресурсов.
 Метрологическое обеспечение, измерение и анализ.
 Охрана труда и промышленная безопасность.
 Экологический контроль.
 Организация производства и хранения продукции.
 Ведение бухгалтерского и налогового учета.
Рассмотрим в качестве примера сферу металлургии. Как правило, на металлургических
предприятиях есть АСУ, которые осуществляют управление технологическими и (или)
производственными процессами (АСУТП и АСУП), также есть информационные бухгалтерские
системы по учету заработной платы и кадров. Оба класса систем функционируют в сфере металлургии
и поэтому являются объектами КИИ. Однако, нарушение и (или) прекращение работы АСУТП (АСУП),
как правило, может привести к негативным социальным, экономическим, экологическим последствиям,
а нарушение работоспособности ИС бухгалтерии, как правило, нет.
Создание ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы Российской Федерации), а также
подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической
информационной инфраструктуры Российской Федерации» и разработка соответствующих
подзаконных актов послужили логичным ответом на вызовы текущих реалий.
Компьютерная атака определяется как целенаправленное вредоносное воздействие на объекты
КИИ для нарушения или прекращения их функционирования, а компьютерный инцидент — как факт

11
нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности
обрабатываемой объектом информации.
Приказом ФСБ РФ в 2018 году был создан Национальный координационный центр по
компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и является
составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий
компьютерных атак и реагирования на компьютерные инциденты, техническая инфраструктура НКЦКИ
используется для функционирования системы ГосСОПКА.
Главным документом, регулирующим правоотношения между гражданами, является Конституция
(ст. 71).
На следующем уровне по значению стоят Федеральные Законы (ФЗ) страны (Основным
документом среди них является Гражданский кодекс (ГК)), акты президента и правительства,
ведомственные нормативные акты.
Ответственность за правонарушения регулируют кодекс об административных правонарушениях
(КоАП), трудовой кодекс (ТК), ГК и уголовный кодекс (УК).

ЗАДАНИЕ:
1. Выбрать по одному из нормативных актов 3 разных видов (ФЗ, постановление или приказ,
отраслевой стандарт), подготовить презентацию (краткий обзор содержания) с приведением главных
тезисов, раскрывающих сжато основной смысл данного нормативного акта.
2. Подготовить тест из трех вопросов с ответами в открытой форме (с вариантами ответов)
по информации, представленной в теоретической части.
3. Изучить требования ФЗ для составления и категорирования перечня объектов
критической информационной инфраструктуры.
4. Для произвольно выбранной организации определить является ли она субъектом КИИ.
5. Определить перечень управленческих, технологических, производственных, финансово
экономических и (или) иных процессов в рамках выполнения функций (полномочий) или
осуществления видов деятельности субъекта критической информационной инфраструктуры.
6. Определить перечень объектов КИИ и описать их в виде таблицы:

7. Установить список критических процессов предприятия.

8. Провести категорирование объектов КИИ на примере выбранной организации.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Дать определение критической инфраструктуры.

2. Перечислите виду объектов КИИ и дать их определения.
3. Дать определение субъектов критической информационной инфраструктуры РФ.

12
 4. Описать Порядок категорирования объектов критической информационной
инфраструктуры РФ.
5. Сколько категорий значимости объектов критической информационной инфраструктуры
существует? Какая самая высокая категория ?
6. Дать определение терминам: компьютерная атака, информационная безопасность,
кибермошенничество.

ПРАКТИЧЕСКАЯ РАБОТА 4. Формирование перечня конфиденциальных документов в

организации (фирмы). Разработка политики ИБ

Теоретическая часть
Для успешного осуществления своей деятельности по управлению объектами некоторой
предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:
–доступности, своевременного доступа (за приемлемое для них время) к необходимой им
информации и определенным автоматизированным службам;
– конфиденциальности (сохранения в тайне) определенной части информации; – целостности
информации;
– защиты от навязывания им ложной (недостоверной, искаженной) информации (т. е. от
дезинформации);
– защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав
собственника информации и т. п.).
Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную и
информацию, доступ к которой ограничен федеральными законами (информация ограниченного
доступа). Информация с ограниченным доступом делится на конфиденциальную и секретную
(информацию, составляющую государственную тайну).
Конфиденциальная информация – это сведения, не подлежащие публичному распространению
и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя
обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям
секретной информации может грозить дисциплинарная, материальная, административная, а в
некоторых случаях даже уголовная ответственность.
К сведениям, представляющим государственную тайну, относится информация:
– в военной области;
– в области экономики, науки, техники, имеющая стратегическое значение;
– в области внешней политики и внешней экономической деятельности;
– в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Отнесение информации к государственной тайне осуществляется в соответствии с ФЗ РФ от 21.07.1993
№ 5485-1 «О государственной тайне».
В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня
сведений конфиденциального характера» к конфиденциальной информации относятся:
1. сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных федеральными законами случаях;
2. служебная тайна. Характерные отличительные свойства такой информации — получение
сведений в процессе служебной деятельности и ограничение к ним доступа.
3. профессиональная тайна (врачебная, нотариальная, адвокатская, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);
Основное отличие состоит в том, что получателями служебной тайны являются работники
определенного госоргана, которые узнали о ней, выполняя свою работу. Например, если врачу в ходе
лечения пациента становится известен его диагноз, эта информация является врачебной
(профессиональной) тайной доктора, вне зависимости, в какой структуре он работает. А если данные о
заболеваниях гражданина будут запрошены следователем для раскрытия преступления, то для
работников следственного органа они будут составлять служебную тайну.
4. тайна следствия и судопроизводства;
5. коммерческая тайна;
13
 Конфиденциальная коммерческая информация, ее сохранение, способствует успешной
деятельности компании, дает ей преимущество над конкурентами, и компания сама устанавливает
режим секретности для определенной информации, фиксируя это в специальном Положении. Также
руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям,
которые составляют коммерческую тайну.
6. сведения о сущности изобретения.
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями,
работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным
следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные
санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную
информацию, распространитель может получить дисциплинарное взыскание, вплоть до увольнения, или
уголовное наказание в соответствии с 183-й статьей УК РФ.
Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных
технологиях и о защите информации» :
1) к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и
гражданина, а также устанавливающим правовое положение организаций и полномочия
государственных органов, органов местного самоуправления;
2) информации о состоянии окружающей среды;
3) информации о деятельности государственных органов и органов местного самоуправления, а
также об использовании бюджетных средств (за исключением сведений, составляющих
государственную или служебную тайну);
4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в
государственных, муниципальных и иных информационных системах, созданных или предназначенных
для обеспечения граждан (физических лиц) и организаций такой информацией;
5) иной информации, недопустимость ограничения доступа к которой установлена федеральными
законами.
При отнесении информации к разряду защищаемой надо исходить из принципа экономической
выгоды и безопасности фирмы. Чрезмерное сокрытие информации по деятельности фирмы может
обернуться потерей прибыли, т. к. условия рынка требуют широкой рекламы производимой продукции
и услуг. Пренебрежительное отношение к конфиденциальной информации также ведет к большим
потерям, таким как срыв переговоров; утрата возможностей заключения выгодных контрактов; отказ от
решений, становящихся экономически неэффективными в результате разглашения информации;
дополнительные финансовые затраты для принятия новых решений; снижение рыночной стоимости
продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых
отношений с партнерами; потеря возможности патентования и продажи лицензий; ухудшение условий
получения кредитов; появление трудностей (сокращение объемов продаж, приобретении оборудования;
сокращение рынка сбыта вследствие опережающих поставок аналогичной продукции конкурентом;
сокращение конкурентами затрат на проведение научных и опытных работ.
Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность
информации, связана с полезностью информации для конкретных людей, организаций, государств.
Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае
информация не может быть товаром, а следовательно, она не имеет и цены. Как любой товар,
информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость
зависит от выбора путей получения информации и минимизации затрат при добывании необходимых
сведений выбранным путем.
Для каждой «единицы» защищаемой информации есть несколько параметров, которые
необходимо учитывать:
– статичность;
– размер и тип доступа;
– время жизни;
– стоимость создания;
– стоимость потери конфиденциальности;
– стоимость скрытого нарушения целостности;
– стоимость утраты.
14
 Статичность определяет, может ли защищаемая информация изменяться в процессе нормального
использования. Так изменяется содержимое базы данных при добавлении новых или модификации
существующих записей. Размер и тип доступа (последовательный или произвольный) также
накладывают ограничения на средства защиты. Время жизни информации – это важный параметр,
определяющий, как долго информация должна находиться в статусе защищаемой. Время устаревания
информации изменяется в довольно широких границах. Для каких-то субъектов она устаревает за доли
секунд, для других остается актуальной в течение долгого времени.

Рисунок 4– Время жизни конфиденциальной информации

Время жизни большей части персональной информации (банковской, медицинской и т. п.)

соответствует времени жизни ее владельца – после его смерти разглашение такой информации уже
никому не принесет ни вреда, ни выгоды.
Для каждого государственного секрета, как правило, тоже определен период, в течение которого
информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда
– это случай, когда время жизни информации не ограничено.
Стоимость создания является численным выражением совокупности ресурсов (финансовых,
человеческих, временных), затраченных на создание информации. Фактически это ее себестоимость.
Стоимость потери конфиденциальности выражает возможные убытки, которые понесет владелец
информации, если к ней получат неавторизованный доступ сторонние лица.
Как правило, стоимость потери конфиденциальности многократно превышает себестоимость
информации. По истечении времени жизни информации стоимость потери ее конфиденциальности
становится равной нулю. Зависимость ценности информации от времени приближенно определяется в
соответствии с выражением

С(t)=e-2.3t/ τ С0
где С0 – ценность информации в момент ее возникновения (получения); t – время от момента
возникновения информации до момента определения ее стоимости; τ – время от момента возникновения
информации до момента ее устаревания.
Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть
вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения
целостности могут носить различный характер. Они могут быть как случайными, так и
преднамеренными. Модификации может подвергаться не только непосредственно текст сообщения или
документа, но и дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или
частичного разрушения информации. При обнаружении нарушения целостности и невозможности
получить ту же информацию из другого источника информация считается утраченной.
Рассмотрим алгоритм формирования списка конфиденциальных документов фирмы (организации)
с учетом рассмотренных выше свойств информации.
Для формирования перечня конфиденциальных документов и определения степени их важности
необходимо ввести систему показателей важности документов и использовать методы свертки
критериев:
15
 N
v j=∑ wi v ji →max
i=1 ,
где vj – обобщенный показатель важности j-го документа;
wi - вес i-гo критерия для оценки важности, ценности документа с точки зрения обеспечения его
конфиденциальности;
vji – значение j-го документа по i-му критерию.
При этом необходимо учитывать в формуле направление оптимизации по каждому критерию.

Алгоритм формирования перечня конфиденциальных документов

1. Изучить нормативно-правовые документы, касающиеся вопросов определения
защищаемой информации.
2. Сформировать примерный перечень используемых документов в организации.
3. Определить приблизительные значения показателей ценности информации, содержащейся
в документах, в условных единицах (по 10-балльной шкале).
4. Назначить коэффициенты важности для каждого критерия из интервала [0;1].
5. Подсчитать обобщенный показатель важности j-го документа по формуле (1) и
определить обобщенный показатель важности (пороговое значение) для пограничного документа
(отнесение которого к конфиденциальному спорен) по вашему мнению как эксперта.
6. Все документы, которые имеют количественный индикатор выше порогового, считать
входящими в перечень конфиденциальных документов.

Политика безопасности (информации в организации) – совокупность документированных

правил, процедур, практических приёмов или руководящих принципов в области безопасности
информации (БИ), которыми руководствуется организация в своей деятельности.
Основной целью политики ИБ является общее описание правил работы с информацией компании.
Наличие сформулированных и закрепленных на бумаге правил обеспечения информационной
безопасности позволит достичь:
1. Стабильность защиты.
2. Независимость защиты от личных и профессиональных качеств исполняющего персонала.
3. Возможность контроля как защиты, так и процедур обработки информации.
Перед разработкой политики информационной безопасности (ИБ) должен быть проведен анализ
активов, включающий их учет и оценку. Готовая политика должна иметь в своем составе отдельный
раздел для каждого обнаруженного актива, группы взаимосвязанных активов или обособленной части
актива компании в зависимости от ранее проведенного анализа их структуры и взаимосвязи. В
дополнение и исходя из политики ИБ могут быть разработаны другие документы, такие как
руководства или стандарты. В отличии от политик они более конкретны, что выражается в привязке к
определенному оборудованию, версиям программ или в точном указании необходимой
последовательности действий для достижения заданного результата. Политика ИБ разрабатывается
специалистами ИБ компании для использования остальными сотрудниками компании. Поэтому, она
должна быть изложена максимально просто, на обычном языке с использованием минимума
специальной лексики только там, где это необходимо.
Документированная политика информационной безопасности должна быть утверждена
руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон,
к которым она относится. Документированная политика информационной безопасности также должна
заявлять о приверженности руководства и устанавливать подход к управлению информационной
безопасностью в организации

Главы подразделений и филиалов предприятия несут ответственность за ознакомление работников

с требованиями информационной безопасности.
За несоблюдение порядка и правил использования информационных ресурсов к виновным могут
быть применены меры, предусмотренные трудовыми договорами, заключенными между предприятием
и работником, а также действующим законодательством РФ и политикой безопасности.

16
 Правовую основу политики безопасности должны составлять законы Российской Федерации и
другие законодательные акты, определяющие права и ответственность граждан, сотрудников и
государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по
вопросам безопасности информации, утвержденные органами государственного управления различного
уровня в пределах их компетенции.
Плановая актуализация политики производится ежегодно и имеет целью приведение в
соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к
защите информации.
Внеплановая актуализация политики информационной безопасности производится в обязательном
порядке в следующих случаях:
 при изменении политики РФ в области информационной безопасности, указов и законов
РФ в области защиты информации;
 при изменении внутренних нормативных документов (инструкций, положений,
руководств), касающихся информационной безопасности предприятия;
 при происшествии и выявлении инцидента (инцидентов) по нарушению информационной
безопасности, влекущего ущерб предприятию.
Ответственными за актуализацию политики информационной безопасности (плановую и
внеплановую) несет подразделение, ответственное за обеспечение ИБ. Контроль за исполнением
требований политики и поддержанием ее в актуальном состоянии возлагается на подразделение,
ответственное за обеспечение ИБ.
Регламент - документ, который перечисляет и описывает по порядку этапы (шаги), которые
должен предпринимать участник или группа участников для выполнения некоторого процесса, как
правило, с указанием требуемых сроков выполнения этапов (шагов).
Регламенты предназначены для того, чтобы формализовать процессы, связанные с обеспечением
информационной безопасности и определить роли, ответственные за корректную организацию того или
иного процесса.
Регламенты могут быть разработаны для:
 процессов резервного копирования и восстановления;
 антивирусной защиты;
 выпуска, эксплуатации и отзыва криптографических ключей;
 управления учетными записями пользователей;
 обработки инцидентов ИБ;
 обработки нештатных/чрезвычайных ситуаций и пр.
В общем случае порядок проведения предварительных работ следующий:
 сбор и анализ информации о существующей организационно-штатной структуре,
ответственной за обеспечение ИБ.
 формализация действующих у Заказчика процессов, связанных с обеспечением ИБ.
 выявление расхождений существующего распределения обязанностей и действующих
процессов с концепцией и политиками ИБ, лучшими практиками (best practices).

ЗАДАНИЕ
1. Выбрать вариант вида деятельности условной организации:
A. производство электронных устройств;
B. разработка программных продуктов;
C. производство продуктов питания;
D. торговля бытовой техникой;
E. медицинские услуги населению;
F. юридические услуги населению;
G. аутсорсинг (передача стороннему подрядчику некоторых бизнес-функций или частей
бизнес-процесса предприятия c целью повысить производительность труда или снизить
себестоимость продукции преимущественно за счёт более дешёвой рабочей силы у
подрядчика );
17
 H. строительство;
I. реклама;
J. опасное производство;
K. туристический бизнес.
2. Выбрать произвольную фирму, организацию (реально существующую), занимающуюся
выбранным видом деятельности. Оценить примерное количество руководителей и сотрудников в
организации, число основных конкурентов, партнеров и взаимодействующих организаций. Описать
характеристики организации в таблице.
3. Сформировать примерный перечень документов фирмы (организации). Например, для АО
«Аэропорт Павлодар» неполный список может иметь вид, представленный в таблице 2:

Таблица 2-Виды информации организации

№ п/п Содержание
1 Деловая информация
1.1. Финансовая информация
1.1.1 Сведения по движению денежных средств
1.1.2 Данные ежеквартальных кассовых планов
1.1.3 Информация по кредитам предприятия
1.1.4 Информация по получению наличных денег на заработную плату (дата, время)
1.1.5 Оперативная информация по дебиторской, кредиторской задолженности
Информация о рынке сбыта ( объем, тенденция и прогноз сбыта конкретной
1.2.
продукции, рыночная политика и планы, отношения с потребителями и поставщиками
1.2.1 Данные о цене на выпускаемую и поставляемую продукцию и услуги
1.2.2 Отдельные виды соглашений, предложений, договоров
1.3. Планово-экономическая информация
Информация по расчету эффективности технический мероприятий АО «Аэропорт
1.3.1
Павлодар»
1.3.2 Расчет производства и реализации в денежном выражении (план, ожидаемое, отчет)
1.3.3 Отчеты о производственно-хозяйственной деятельности по АО «Аэропорт Павлодар»
1.3.4 Анализ себестоимости производства
1.3.5 Себестоимость единицы продукции
1.3.6 Калькуляции
1.4. Объемы перевозок
1.4.1 Отгрузочные документы
1.5. Информация по труду и заработной плате
1.5.1. Данные по численности работников (штатные расписания)
Информация по заработной плате АО «Аэропорт Павлодар» (должностные оклады,
1.5.2.
размер заработной платы конкретных работников)
Система оплаты труда (положение об оплате, нормы времени и расценки, коэффициент
1.5.3.
оплаты труда)
1.5.4 Тарифные ставки
1.6 Переписка с энергоснабжающими организациями, поставщиками продукции
1.7 Регистры бухгалтерского учета и внутренней бухгалтерской отчетности.

1.8 Юридические конфликты

18
 2 Техническая информация
2.1. Программы проведения научно-исследовательских работ.
2.2 Главные проблемы и варианты их решений
2.3. Научно-технические разработки специалистов АО «Аэропорт Павлодар»
2.4 Структура локально-вычислительной сети (ЛВС)
2.5 Способы доступа к ЛВС
2.6 Вся информация, хранящаяся на файловых серверах (центральных компьютерах)
2.7 Информация о результатах разработки и внедрения АСУТП
2.8 Наличие исправного автотранспорта, воздушного транспорта
2.9 Информация о программно-технических решениях систем учета.
2.10 Количество ГСМ на участке
2.11 Наличие запасных частей, материалов на складах АО «Аэропорт Павлодар»
3 Информация о кадрах
3.1. Имена, адреса и телефоны сотрудников
3.2 Сведения о квалификации сотрудников
3.3 Сведения о состоянии здоровья сотрудников
3.4 Данные о наличие детей
4 Другая информация
4.1 Публикации на корпоративном Web-сайте
4.2 Объявление о корпоративной вечеринке

4. Оценить жизненный цикл информационного продукта (на примере конкретного документа,

например, научно-технической документации, плана развития, годового отчета, политики
информационной безопасности и т.п.).
5. Оценить и записать в таблицу условную стоимость информации по 10-балльной шкале по таким
критериям как:
 срок жизни (чем он ниже, тем уровень конфиденциальности должен быть выше),
 последствия от утечки информации для бизнеса, извлечения прибыли;
 последствия от утечки для репутации фирмы, вероятности оттока клиентов;
 уровень наказания (штраф, др.) за необеспечение требований законодательства в случае утечки;
 затраты (общие - материальные, временные) на оперативное внесение изменений в данные в
случае их утечки и компрометации.
7. Сформировать перечень конфиденциальных документов фирмы (организации) с
помощью алгоритма, описанного выше.
8. Представить пример политики безопасности для данной организации, которая будет
включать в себя следующие пункты: термины и определения, цели и задачи, разделение полномочий и
порядок внесения изменений в политику безопасности.

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Дать определение конфиденциальной информации, опишите виды конфиденциальной

информации ?
2. Какие ФЗ, связанные с интерпретацией понятия информации ограниченного доступа вы
можете назвать?
3. Какие критерии отнесения информации к информации ограниченного доступа вы можете
назвать?
4. Привести примеры информации, ограничение доступа к которой запрещено
законодательством.
19
 5. Какие правила работы с конфиденциальными документами должны быть предусмотрены
в организации?
6. Дайте определение и опишите основные характеристики политики безопасности.
7. Опишите как бы Вы ввели процедуру официального получения разрешения на доступ к
ресурсам?

ПРАКТИЧЕСКАЯ РАБОТА 5. Анализ рынка и подбор СЗИ

Теоретическая часть
Средства обеспечения защиты информации в части предотвращения преднамеренных действий в
зависимости от способа реализации можно разделить на группы:
1. Технические (аппаратные) средства. Это различные по типу устройства (механические,
электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты
информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же
состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи
решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые
фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих»
потенциальные каналы утечки информации или позволяющих их обнаружить.
2. Программные средства включают программы для идентификации пользователей,
контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа
временных файлов, тестового контроля системы защиты и др.
3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные
и программные средства в отдельности, и имеют промежуточные свойства.
4. Организационные средства складываются из организационно-технических (подготовка
помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к
ней и др.) и организационно-правовых (национальные законодательства и правила работы,
устанавливаемые руководством конкретного предприятия).
При анализе существующего рынка средств защиты информации в качестве основных показателей
можно рассматривать:
 приемлемую стоимость;
 наличие сертификата;
 возможность масштабирования;
 надежность;
 эффективность обеспечения информационной безопасности предприятия;
 совместимость с существующими ПО;
 работоспособность с учетом примененных на предприятии решений.
Для оценки конкурентоспособности СЗИ лучше всего подходят три известных метода: метод,
основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных
оценок и метод тестирования.
Интегральный показатель конкурентоспособности – это обобщенная численная
характеристика конкурентоспособности товара, которая рассчитывается по формуле:

,
где КИ – интегральный показатель конкурентоспособности;
КТ – коэффициент технической прогрессивности;
КФ – коэффициент функциональных возможностей;
КН – коэффициент соответствия нормативам;
КЗ – коэффициент затрат.

Коэффициенты КТ, КФ и КЗ находятся путём сравнения технических, функциональных и

стоимостных показателей оцениваемого средства защиты информации с аналогичными показателями
СЗИ конкурента, принятого за базу. Коэффициент КН определяется в зависимости от того, насколько

20
оцениваемое СЗИ соответствует установленным стандартам и нормативам и может принимать значения
от 0,5 до 1.
Преимущество метода – учитывается ряд важных факторов, влияющих на уровень
конкурентоспособности СЗИ. Недостатки – можно неправильно выбрать параметры для сравнения; не
всегда есть возможность получить необходимую информацию о СЗИ.
Сущность метода экспертных оценок состоит в определении ряда технических, экономических
и прочих параметров и присвоении СЗИ оценок по каждому из них. Показатель конкурентоспособности
определяется по формуле:
,
где KСЗИ – показатель конкурентоспособности средства защиты информации;
Il – балльная оценка l-го параметра; βl – коэффициент весомости l-го параметра; h – количество
оцениваемых параметров.
В случае, когда оценки ставятся группой экспертов необходимо вычислить коэффициент
конкордации Кендалла для того, чтобы выяснить, насколько мнения экспертов согласованы между
собой. Для проверки значимости находится критерий Пирсона (χ2). Полученное значение критерия
Пирсона сравнивается с табличным значением. Если χ2 больше таблично значения, то мнения экспертов
значимы.
Преимущества метода экспертных оценок – в его простоте и возможности проводить
сравнительную оценку при небольшом количестве исходных данных. Главный недостаток заключается
в том, что результат полностью зависит от субъективного мнения экспертов.
Тестирование СЗИ может рассматриваться как отдельный метод оценки конкурентоспособности.
Объект защиты, охраняемый СЗИ, специально подвергается атакам, либо эти атаки имитируются.
Определяется количество или процент успешно отражённых атак. Тестирование чаще всего
используется для сравнительной оценки программного обеспечения, например, антивирусов. Анализ
конкурентоспособности позволяет получить сравнительную оценку средств защиты информации для
общего случая.

ЗАДАНИЕ:
1. Представьте на схеме как на рисунке, помещение условной организации, где происходит
обработка или хранение информации. Построить схему в редакторе (например, в онлайн-радакторе по
ссылке https://www.draw.io/).

Рисунок 6 – План помещения

2. На схеме указать технические средства защиты контролируемой зоны.
3. Подберите несколько типов СЗИ разных разработчиков (антивирусы, DLP, видеокамеры,
другое ) и обоснуйте свой выбор методом экспертных оценок.

ВОПРОСЫ
21
 1. Какие методы сравнения СЗИ существуют?
2. На какие группы можно разбить средства обеспечения защиты информации?
3. Какие критерии оценки СЗИ вы знаете?

ПРАКТИЧЕСКАЯ РАБОТА 6. Методы повышения осведомленности пользователей в сфере

ИБ, аттестация сотрудников

Теоретическая часть

Аттестация сотрудников необходима для определения уровня соответствия работника занимаемой

должности. Аттестация проводится по итогам обучающих мероприятий и затем проводится раз в год.
Аттестация проводится посредством тестирования или собеседования. Задаваемые вопросы
должны учитывать сферу деятельности сотрудника, необходимый для занимаемой им должности
уровень знаний.
При планировании аттестации необходимо определить минимальный уровень знаний (балл)
необходимый для прохождения аттестации.
Аттестация проводится в несколько этапов: подготовка, сама аттестация и подведение итогов.
Подготовка, осуществляемая кадровой службой, включает:
 разработку принципов и методики проведения аттестации;
 издание нормативных документов по подготовке и проведению аттестации (приказ,
список аттестационной комиссии, методика проведения аттестации, план проведения аттестации,
программа подготовки руководителей, инструкция по хранению персональной информации);
 подготовку специальной программы по подготовке к проведению аттестационных
мероприятий (при проведении аттестации в первый раз по новой методике);
 подготовку материалов аттестации (бланки, формы и т.д.).
Проведение аттестации:
 аттестуемые заполняют тестовые бланки, либо руководители заполняют оценочные формы по
итогам собеседования;
 анализируются результаты;
 проводятся заседания аттестационной комиссии.
Подведение итогов аттестации:
 анализ кадровой информации, ввод и организация использования персональной информации;
 подготовка рекомендаций по работе с персоналом;
 утверждение результатов аттестации.

Обучение сотрудников и пользователей методам противодействия актуальным угрозам ИБ

По мнению многих специалистов, самую большую угрозу информационной безопасности

представляют методы социальной инженерии, хотя бы потому, что использование социального
хакерства не требует значительных финансовых вложений и доскональных знаний компьютерных
технологий, а также потому, что людям присущи некоторые поведенческие наклонности, которые
можно использовать для осторожного манипулирования.
Социальная инженерия — наука, которая определяется как набор методов манипулирования
поведением человека, основанных на использовании слабостей человеческого фактора, без применения
технических средств.
И как бы не совершенствовались технические системы защиты, люди так и будут оставаться
людьми со своими слабостями, предрассудками, стереотипами, с помощью которых и происходит
управление.
Настроить же человеческую «программу безопасности» — самое сложное и не всегда приводящее
к гарантированным результатам дело, так как этот фильтр необходимо подстраивать постоянно.
Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность
— это процесс, а не результат».

22
 Области применения социальной инженерии:
 общая дестабилизация работы организации с целью снижения её влияния и возможности
последующего полного разрушения организации;
 финансовые махинации в организациях;
 фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным
частных лиц;
 воровство клиентских баз данных;
 конкурентная разведка;
 общая информация об организации, о её сильных и слабых сторонах, с целью последующего
уничтожения данной организации тем или иным способом (часто применяется для рейдерских атак);
 информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в
свою организацию.
Чтобы атаковать организацию, хакеры, использующие социальную инженерию, эксплуатируют
доверчивость, лень, хорошие манеры и энтузиазм персонала.

Методики социальной инженерии

Основная (и иногда самая эффективная) атака методом социальной инженерии осуществляется с
использованием информационного наполнения сообщения. Независимо от того, насколько
пользователь осознает опасность неизвестных ссылок или просмотра вложения, если атакующий
сможет придумать текст сообщения, вызывающий интерес, за которым последует открытие вложения,
эта атака будет успешной.

Рисунок 7 – Фишинговая рассылка

Как показал анализ успешных атак обычно используются следующие эмоции и качества:
неопытность, любопытство, жадность, застенчивость, любезность, себялюбие, доверчивость,
желание, страх, взаимность, дружелюбие.
Социальные инженеры постоянно оттачивают свое мастерство, придумывая новые и
оригинальные способы одурачить пользователей или целые организации. И работа службы
безопасности сети предприятия заключается в том, чтобы быть в курсе последних методик.
Первый и наиболее важный момент, на который нужно указать относительно подготовки
пользователей – это то, что обучение есть циклический процесс без начала и конца.
Тренинг по безопасности должен быть формализованным процессом для каждого вновь взятого на
работу сотрудника. Необходимо уделять особое внимание проблемам защиты сети и обучению
23
противодействия социальной инженерии. Это обучение должно сосредоточиться не только на том, как
избежать воздействия социальной инженерии, но главное на том, как вести себя в ситуации, когда
человек уже столкнулся с реальной атакой. Направления угроз, которые должны быть охвачены в этом
процессе обучения, включают:
 Взаимодействие лицом-к-лицу: это упражнение обычно называется «как определить
ложного поставщика». Ролевая игра представляет собой прекрасный инструмент,
демонстрирующий, как самые простые вопросы или настойчивость разгневанного поставщика
могут являться стратегическим маневром злоумышленника, который пытается собрать
информацию или получить доступ к сети предприятия.
 E-mail: примеры почтовых атак на каждом шагу. Персонал должен уметь разглядеть признаки
несоответствия – письмо получено от сотрудника компании, но оно не соответствует
корпоративной политике. В таких письмах может отсутствовать блок подписи или шрифты могут
не соответствовать корпоративным стандартам.
 Вэб-сайты: безопасность вэб-сайтов идет рука об руку с безопасностью электронной почты.
Необходимо научить сотрудников просматривать ссылку, указанную в письме не нажимая на нее.
Многие фишинговые письма содержат ссылки на сайт злоумышленника. Во многих случаях
отображенная ссылка не соответствует основному адресу, с которого получено письмо.
 Телефон: должен быть выработан процесс, указывающий как действовать в случае атак по
телефону. Персонал должен быть проинструктирован, чтобы слепо не следовать директивам
абонента. Необходимо научить их правильно и эффективно использовать имеющиеся под рукой
ресурсы, такие как определитель номера и внутренние инструкции.
 Информация на бумажном носителе: целенаправленные поиски в мусорном контейнере — общий
практикуемый метод для злоумышленников, чтобы получить информацию, компрометирующую
предприятия и отдельных потребителей. Должна быть выработана строгая политика для
уменьшения вероятности этой угрозы. Предложения по защите от данных видов угроз включают в
себя использование запирающихся ящиков и шкафов для хранения папок, а также использования
шредеров для уничтожения бумаг.
 Пароли: всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и
пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты
и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это
право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные
данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть
определенные данные в момент его отсутствия.
Рекомендации, описанные выше, могут быть использованы в качестве базисной программы для
обучения конечных пользователей основам безопасности. Причем обучение должно периодически
повторяться и, возможно, усложняться.
Программы повышения осведомлённости

Для системного и процессного обучения сотрудников необходимо разработать комплекс

мероприятий.
Заставить человека учить то, что ему не интересно, и соблюдать то, что ему не понятно, —
невозможно. Создавать рекомендуют для сотрудников комплексные программы повышения
осведомлённости, излагая материал простым и доступным языком и облекая его в игровую форму.
Основным требованием этих мероприятий должны стать простота изложения, четкое определений
целей предпринятых мер защиты, а также конкретизированные указания по противодействию атакам,
созданным социальной инженерией.
Обучающие материалы также должны быть интересными по содержанию. В процессе обучения
важно понимать, что рядовым сотрудникам не обязательно досконально знать все проблемы и вопросы
информационной безопасности.
Комплекс мероприятий по обучению сотрудников может состоять из следующих решений:
 Проведение семинаров с сотрудниками;
 Система дистанционного обучения;

24
  Нестандартные средства обучения: скринсейверы, офисные принадлежности с нанесенными на
них напоминаниями и т.п.
Семинар – это одна из форм обучения, в которой теория обязательно опирается на практику. Суть
методики проведения семинара заключается в следующем: докладчик предлагает присутствующим
прослушать лекционный материал, который может включать также показ фильмов, иллюстраций,
слайдов, практических примеров. Далее все услышанное и увиденное обсуждается. Присутствующие на
проведении семинара могут задать свои вопросы, поделиться мнением или же попытать применить
услышанные сведения на практике. Главное преимущество семинаров по сравнению с другими
формами обучения – интерактивность. Благодаря этому качеству, становится возможным добиться
эффективности мероприятия. В ходе подготовки к семинару определяются:
 Участники;
 Место и время проведения;
 Необходимое оборудование;
 Рассылка материалов и результатов семинара.
Под «нестандартными» средствами повышения квалификации сотрудников компании в области
ИБ понимаются различные методы, благодаря которым на эмоциональном и подсознательном уровне
сотрудник запоминает учебный материал и понимает важность требований информационной
безопасности. Такими средствами могут послужить скринсейверы, новости по ИБ, офисные
принадлежности.
Скринсейвер (хранитель экрана) — заставка, которая появляется на экране, если долгое время не
нажимать кнопки на клавиатуре и не перемещать мышь. Установка на экраны мониторов компьютеров
скринсейверов по вопроса корпоративной безопасности – эффективный способ напоминания персоналу
о существующих в компании правилах и регламентах корпоративной безопасности. Рекомендуется
обновлять скринсейверы каждые 2 месяца для повышения эффективности их действия.
Новости по ИБ стимулируют сотрудников к самоконтролю, однако важно учитывать то, что
новостная лента должна быть понятной для сотрудников с нулевым уровнем знаний по ИБ. Сотрудники
на протяжении всего рабочего дня используют эти материалы или, по крайней мере, находятся в
непосредственной близости от них. Чтобы обычная шариковая ручка кроме своей основной
функциональности превратилась, в том числе, и в так называемый обучающий материал, достаточно
нанести на нее надпись – например: «Не предназначена для записи паролей».
Информация, доносимая до работников, должна быть короткой, четкой и понятной. Для этой цели
замечательно подходят плакаты, которые развешиваются в совершенно различных местах — в
столовой, у мест печати, у лифтов и т.п.

Рисунок 8 – Пример контента для скринсейвера, плакатов

Разделите ваших сотрудников на группы и найдите темы, актуальные для каждой из них. Топ-
менеджерам вряд ли будет интересно изучать уязвимости программного обеспечения, а для

25
разработчиков это — один из главных аспектов ИБ. Когда темы определены, подумайте о форматах
обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников фронт-офиса не
так много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут короткие
видеоролики и яркие плакаты — их можно размещать и демонстрировать и в рабочих помещениях, и в
комнатах отдыха. Сотрудники бек-офиса могут уделить обучению больше внимания, поэтому им лучше
адресовать электронные курсы со включённой проверкой знаний и периодические почтовые рассылки.
Ещё одна хорошая практика — перед тем, как проводить обучение по информационной безопасности,
проверить, что ваши сотрудники уже знают. Самый простой способ это сделать — провести
тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания.
Собрав статистику, вы поймёте, на каких темах нужно сделать основной акцент.
Скажи мне и я забуду. Покажи мне и я запомню. Дай мне действовать самому, и я пойму»
Конфуций
Следуя правилу, что из прочитанного усваивается только 10%, из услышанного — только 20%, из
увиденного — 30%, из проработанного в упражнениях — 90%, процессы проведения повышения
квалификации, уровня осведомленности пользователей о вопросах ИБ, должны опираться на практику.
Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. В
этом случае они отправляются пользователям выборочно, по разным сценариям и в разных шаблонах —
и идут в тесной связке с основными обучающими материалами. Например, если ваш сотрудник
«поддался на провокацию» и открыл скомпилированное фишинговое письмо, то его можно повторно
направить на изучение курса, посвящённого социальной инженерии. Кстати, в некоторые СДО входит
учебный фишинговый модуль — тоже повод задуматься о приобретении такой системы.
Обучение становится вдвойне приятным, когда его результаты можно сравнить с достижениями
других пользователей, а ещё лучше — увидеть в реальной жизни. С первым поможет создание
рейтингов обучения и выделение лидеров, рейтинг можно разместить и обновлять на корпоративном
портале. Визуализация может быть самой разной, от стандартного покорения горных вершин до,
скажем, прохождения процесса эволюции.
Создайте систему премирования за наибольшее количество достижений, и рост мотивации не
заставит себя долго ждать.

ЗАДАНИЕ:
1. Подготовить семинар по одному из актуальных вопросов в области информационной
безопасности, например, о том, что именно должно быть определено в поручении на обработку
(перечень персональных данных, перечень действий с персональными данными, цели их обработки и
т.д.). Семинар должен сопровождаться презентацией. Подготовить список вопросов для аттестации
сотрудников предприятия по данному вопросу.
2. Подготовить плакат на тему «Безопасное использование мобильных устройств».
3. Просмотреть учебные материалы на сайте https://sdo.itsecurity.ru/view_doc.html?
mode=default
Логин и пароль для входа - guest_KII.
4. Подготовить урок на тему: «Безопасное использование мобильных устройств».
Выделять в уроке следующие блоки:
1. Кто является злоумышленником
2. Какая у него цель
3. Основные способы атаки/совершения неправомерных действий
4. Какие ошибки может допустить работник
5. Как защититься/не допустить ошибки
6. Что делать если попался на крючок

ВОПРОСЫ
1. Что такое метод социальной инженерии, фишинг?
2. Какие человеческие качества эксплуатируются в процессе применения социальной
инженерии?
3. Что такое Скринсейвер, как это используется в процессе повышения
осведомлённости пользователей?
26
4. Приемы проведения эффективной процедуры повышения осведомлённости
пользователей в вопросах ИБ?

27
 ЛИТЕРАТУРА:

1. Гамза В.А. Безопасность банковской деятельности : учебник для вузов / В.А. Гамза, И. Б.
Ткачук, И.М. Жилкин. – 3-е изд., перераб. и доп. –М. : Издательство Юрайт, 2014. -513 с.- Серия:
Бакалавр. Базовый курс.
2. Информационная безопасность на производстве. [Электронный ресурс]. - Режим доступа :
https://Searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/informatsionnaya-bezopasnost-v-otraslyakh/
informatsionnaya-bezopasnost-na-proizvodstve/
3. Кожевникова, И. С. Применение машинного обучения для обнаружения сетевых аномалий
/ И. С. Кожевникова, Е. В. Ананьин, А. В. Лысенко, А. В. Никишова. — Текст : непосредственный //
Молодой ученый. — 2016. — № 24 (128). — С. 19-21. — URL: https://moluch.ru/archive/128/35376/ (дата
обращения: 23.01.2021).
4. Сравнительный обзор средств предотвращения утечек данных (DLP) . [Электронный
ресурс]. - Режим доступа : https://safe-surf.ru/specialists/article/5233/609990/#Особенности%20выбора
%20DLP%20систем.

28
 Приложение 1
Варианты организаций

1. Детская поликлиника «Солнце». Оказывает услуги медицинского характера; должна иметь

возможность записи пациентов через Интернет, в регистратуре и получение талона у лечащего врача;
результаты обследования должны заноситься в базу поликлиники и дополнительно дублироваться в
карту пациента (бумажный носитель); должна предусматриваться система хранения персональных
медицинских карт в поликлинике; должна предусматриваться возможность получения удаленного
доступа пациента к результатам обследований; необходимо учитывать возможность перевода пациента
и его данных в другое лечащее учреждение, а также получение дополнительных данных из других
учреждений.

2. Туристическое агентство «Чемодан». Оказывает услуги туристического характера; должно

иметь возможность оформления паспортов, виз, разрешений на вывоз несовершеннолетних детей за
границу; бронирование и оплату санаториев, баз отдыха, гостиниц, экскурсий, перелета, трансфера.

3. Автошкола «Пятое колесо». Оказывает образовательные услуги; должна иметь возможность

дистанционной записи на практические и дополнительные занятия; учета промежуточных результатов
обучения.
4. Агентство недвижимости «Новоселье». Оказывает услуги по покупке/продаже/обмену/съему
жилья.

5. Реабилитационный центр «Силушка богатырская». Оказывает восстановительные медицинские

услуги пациентам всех возрастов; должен иметь возможность доступа к данным обследований пациента
в других клиниках за большой период времени; помимо всех требований, предъявляемым к детской
поликлинике (см. пункт 1) необходимо предусмотреть запись пациента в другие медицинские
учреждения.

6. Страховое агентство «Цунами». Оказывает услуги в сфере страхования; должна

предусматриваться возможность страхования жизни, здоровья, жилья, автосредства, отпуска и т.д.

7. Негосударственный пенсионный фонд «Гарантия». Оказывает услуги по формированию

пенсионных выплат; должна поддерживаться функция «горячей линии»;

8. Управляющая компания «Теремок». Оказывает услуги по восстановлению и поддержке

состояния жилищного фонда клиентов; должна иметь возможность взаимодействия с коммунальными
службами, поставщиками услуг.

9. Центр занятости «Статус». Оказывает услуги по трудоустройству населения; должен

предусматривать возможность сотрудничества с другими компаниями; проведения статистических
исследований.

10. Охранное предприятие «Спокойствие». Оказывает услуги по охране различных объектов;

должна поддерживаться функция оперативного внесения в базу состояние объектов охраны. При
выполнении практических занятий студенту выпадает роль сотрудника отдела информационной
безопасности и технической защиты выбранного объекта, который представляет собой корпоративную
информационную систему (КИС), обрабатывающую и хранящую персональные данные клиентов

29
 Приложение 2
Варианты заданий к лабораторной №2
Задача 1
Руководитель проекта разработал следующий перечень работ:
Работа Непосредственно предшествующая Время выполнения
работа
A - 4
B - 6
C - 5
D B 2
E A 9
F B 4
G C, D 8
H B, E 3
I F, G 5
J H 7
Вопросы:
Какова длина критического пути?
Сколько работ находится на критическом пути?
Можно ли отложить выполнение работы F без отсрочки завершения проекта в целом ?

Задача 2
Проект пусконаладки компьютерной системы состоит из восьми работ. Непосредственно
предшествующие работы и продолжительность выполнения работ показаны ниже.

Работа Непосредственно предшествующая Время выполнения

работа
A - 3
B - 6
C A 2
D B, C 5
E D 4
F E 3
G B, C 9
H F, G 3

Вопросы:
Сколько времени потребуется для выполнения проекта?
Сколько работ на критическом пути?
Чему равно наиболее раннее время начала работы C?

Задача 3
Рассмотрите следующую сеть проекта (продолжительность работ показана в неделях):
Работа Непосредственно предшествующая работа Время выполнения
A - 5
B - 3
C A 7
D A 6
E B 7
F D, E 3
G D, E 10
H C, F 8

30
Вопросы
За какое минимальное время может быть выполнен проект?
Сколько работ находится на критическом пути?
На сколько недель можно отложить выполнение работы D без отсрочки завершения проекта в целом ?

Задача 4
Экономический факультет МГУ разрабатывает новую программу повышения квалификации
преподавателей количественных методов анализа экономики. Желательно, чтобы эту программу можно
было реализовать в наиболее сжатые сроки. Существуют взаимосвязи между дисциплинами, которые
необходимо отразить, составляя расписание занятий по программе. Например, сетевые методы
планирования должны рассматриваться лишь после того, как слушатели обсудят различные аспекты
(коммерческие, финансовые, экономические, технические и т.д.) проектного анализа, связанные с
жизненным циклом проекта. Дисциплины и их взаимосвязь указаны в следующей таблице.
Дисциплина Непосредственно предшествующая Время изучения в днях
дисциплина
A - 4
B - 6
C A 2
D A 6
E C, B 3
F C, B 3
G D, E 5

Вопросы:
Найдите минимальное время, за которое можно выполнить программу.
Какое количество дисциплин находится на критическом пути?
Каков резерв времени изучения дисциплины F?

Задача 5
В таблице показаны этапы покупки нового автомобиля.

Работа Предшествующая работа Длительность (дни)

А: Принятие окончательного - 3
решения о покупке автомобиля
В: Поиск потенциального A 14
покупателя имеющегося
автомобиля
С: Составление списка A 1
желаемых моделей машин
D: Исследование желаемых C 3
моделей
Е: Консультации у C 1
автомехаников
F: Сбор рекламных материалов C 2
продавцов автомобилей
G: Обобщение полученной D, E, F 1
информации
Н: Выбор трех наиболее G 1
подходящих моделей
I: Знакомство "в натуре" с H 3
выбранными моделями
J: Сбор финансовой информации H 2
К: Выбор одного автомобиля I, J 2
31
 Работа Предшествующая работа Длительность (дни)
L: Выбор продавца автомобиля K 2
М: Выбор автомобиля желаемого L 4
цвета
N: Повторная дорожная L 1
проверка выбранной модели
О: Покупка нового автомобиля B, M, N 3

Вопросы:
Сколько работ на критическом пути?
На сколько можно отложить начало выполнения работы J, чтобы это не повлияло на срок выполнения
проекта?

Задача 6
Городская администрация рассматривает возможность переустройства рынка. После сноса старых
палаток проектом предусматривается строительство павильонов с последующей сдачей их в аренду
торговым фирмам. Работы, которые необходимо выполнить при реализации проекта, их взаимосвязь и
время выполнения каждой из работ указаны в следующей таблице.

Работа Содержание работы Непосредственно Время выполнения

предшествующая работа (недель)
A Подготовить архитектурный - 5
проект
B Определить будущих - 6
арендаторов
C Подготовить проспект для A 4
арендаторов
D Выбрать подрядчика A 3
E Подготовить документы для A 1
получения разрешения
F Получить разрешение на E 4
строительство
G Осуществить строительство D, F 14

H Заключить контракты с B, C 12
арендаторами
I Вселить арендаторов в G, H 2
павильоны

Вопросы:
Сколько работ на критическом пути?
На сколько можно отложить начало выполнения работы E, чтобы это не повлияло на срок выполнения
проекта?
На сколько можно отложить начало выполнения работы B, чтобы это не повлияло на срок выполнения
проекта (полный резерв времени)?

Задача 7
Рассмотрите следующую сеть проекта:
Работа Непосредственно предшествующая работа Время выполнения
A - 3
B - 8
C A 6
D A 6

32
 E B 9
F D, E 3
G D, E 7
H C, F 8

Вопросы
За какое минимальное время может быть выполнен проект?
Сколько работ находится на критическом пути?
На сколько недель можно отложить выполнение работы E без отсрочки завершения проекта в целом ?

Задача 8
В таблице приведены работы, выполняемые при строительстве нового каркасного дома.

Работа Предшествующие работы Длительность (дни)

A - Очистка строительного участка
B - Завоз оборудования
C - Земляные работы
D - Заливка фундамента
E - Наружные сантехнические работы
F - Возведение каркаса дома
G - Прокладка электропроводки
H - Создание перекрытий
I - Создание каркаса крыши
J - Внутренние сантехнические работы
K - Покрытие крыши
L - Наружные изоляционные работы
M - Вставка окон и наружных дверей
N - Обкладка дома кирпичом
O - Штукатурка стен и потолков
P - Облицовка стен и потолков
Q - Изоляция крыши
R - Окончание внутренних отделочных
работ
S - Окончание наружных отделочных
работ
T - Ландшафтные работы
– 1
– 2
А 1
С 2
В, 6
D 10
F 3
G 1
F 1
Е, 5
I 2
F, 1
F 2
L 4
G 2
О 2
I 1
Р 7
I 7
S 3

Задача 9
Московский государственный университет рассматривает предложение о строительстве новой
библиотеки. Работы, которые следует выполнить перед началом строительства, представлены ниже.
Продолжительность работ показана в неделях.

Работа Содержание работы Непосредственно Время выполнения

предшествующая (недель)
работа
A Определить место строительства - 6
B Разработать первоначальный проект - 8
C Получить разрешение на строительство A, B 12
D Выбрать архитектурную мастерскую C 4
E Разработать смету затрат на C 6
строительство
F Разработать проект строительства D, E 15
G Получить финансирование E 12
33
 H Нанять подрядчика F, G 8

Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
Через какое минимальное время после принятия решения о реализации проекта можно начать работу по
строительству библиотеки?
На сколько недель можно отложить выбор архитектурной мастерской?

Задача 10
В таблице приведены этапы выполнения работ по замене линии электропередач.

Работа Предшествующие работы Длительность (дни)

А: Определение объема работ
В: Извещение пользователей о A
временном отключении электросети
С: Подвозка материалов и оборудования
D: Предварительные работы
Е: Заготовка опор и материалов
F: Развозка опор
G: Определение нового местоположения
опор
Н: Разметка местоположения опор
I: Земляные работы для установки новых
опор
J: Установка новых опор
К: Ограждение старой линии
L: Прокладка новых проводов
М: Обустройство новой линии
N: Натяжка проводов
О: Подрезка деревьев
Р: Отключение старой электролинии
Q: Подключение новой электролинии
R: Уборка территории
S: Удаление проводов старой линии
Т: Удаление опор старой линии
U: Возврат материалов и оборудования
- 1
0,5
A 1
A 0,5
C, D 3
E 3,5
D 0,5
G 0,5
H 3
F, I 4
F, I 1
J, K 2
L 2
L 2
D 2
B, M, N, O 0,1
P 0,5
Q 1
Q 1
S 2
R, T 2

Задача 11
Компания готовит бюджет производства нового изделия. В таблице представлены этапы подготовки
бюджета и их длительность.
Работа Предшествующие работы Длительность (дни)
A: Прогнозирование объема продаж — 10
B: Изучение рынка конкурирующих — 7
товаров
C: Доводка изделия А 5
D: Подготовка производственного плана С 3
E: Оценка стоимости производства D 2
F: Определение отпускной цены В, E 1
G: Подготовка бюджета Е, F 14

Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
За какое минимальное время может быть выполнен проект?
34
Задача 12
В таблице приведена последовательность работ по разработке и производству станков.

Работа Предшествующие работы Длительность

A – составление сметы затрат
B – согласование оценок
C – покупка собственного оборудования
D – подготовка конструкторских проектов
E – строительство основного цеха
F – монтаж оборудования
G – испытание оборудования
H – определение типа модели
I – проектирование внешнего корпуса
J – создание внешнего корпуса
K – конечная сборка
L – контрольная проверка
– 3
A 6
B 1
B 2
D 10
C,E 5
F 4
D 9
D 7
H,I 6
G,J 3
K 7

Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
За какое минимальное время может быть выполнен проект?

35