Академический Документы
Профессиональный Документы
Культура Документы
высшего образования
АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ
Астрахань 2022
Составитель: Космачева И.М., доцент кафедры «Информационная безопасность»
2
СОДЕРЖАНИЕ
3
ПРАКТИЧЕСКАЯ РАБОТА 1. Построение функциональной модели процессов обеспечения
информационной безопасности
Теоретическая часть
Отсутствие чёткого понимания конечного перечня обязанностей как у самих ИБ-специалистов, так
и у смежных подразделений снижает эффективность работы службы ИБ.
У ИБ-специалистов немало смежных областей со службой безопасности, ИТ-подразделениями:
управление уязвимостями, мониторинг действий пользователей с помощью DLP, работа с
коммерческой тайной и другие. При отсутствии чёткого деления задач образуются зоны
нераспределённой ответственности.
Главная особенность процессного управления — в том, что оно помогает посмотреть на
деятельность компании как на единую систему взаимосвязанных элементов: процессов, в том числе
сквозных, проходящих через несколько подразделений.
Построение функциональной модели процессов обеспечения информационной безопасности
целесообразно проводить в соответствии со стандартами IDEF (IDEF0, IDEF3, IDEF5, DFD и др.).
ЗАДАНИЕ:
1. С использованием нотации IDEF0 построить функциональную модель, диаграмму нулевого
уровня и двух уровней декомпозиции для предложенного преподавателем процесса
обеспечения ИБ для некоторого предприятия (варианты можно выбрать в приложении 1):
A. управление доступом,
B. управление обновлениями программного обеспечения,
C. обеспечение криптографической защиты,
D. управление резервным копированием,
E. управление мониторингом действий пользователей,
F. управление антивирусной защитой,
G. управление процессом оценки кандидатов при приеме на работу в отдел ИБ,
H. управление процессом повышения осведомленности пользователей о политиках
информационной безопасности, принятых в компании,
I. контроль выполнения требований информационной безопасности сотрудниками в
процессе работы,
J. процесс проведения независимых аудитов и пентестов информационной безопасности,
K. процесс обеспечения непрерывности бизнеса и восстановления работоспособности
информационных систем и данных после сбоев).
L. управление процессом миграции СЗИ и прикладного ПО на альтернативные версии в
рамках задач импортозамещения.
2. Представить доклад в виде презентации по описанию основных подпроцессов основного
процесса, их сущности, способов реализации.
КОНТРОЛЬНЫЕ ВОПРОСЫ
Теоретическая часть
Под проектом понимается четко определенная последовательность мероприятий, направленных на
достижение некоторой цели, имеющих начало и конец, управляемых людьми посредством таких
факторов, как время, стоимость, ресурсы и качество. Проектирование и конструирование спутников,
создание роботов, запуск любого серьёзного продукта — всё это сложные большие проекты. Разработка
или ИТ-продуктов, проектирование систем защиты во многом относится к той же категории.
4
Приходится привлекать, распределять и вкладывать большие суммы, взаимодействовать с
поставщиками и подрядчиками (нередко это команды на аутсорсинге). В результате формируются
сложные зависимости, которые нужно отслеживать и корректировать, вовремя оценивать все риски,
определять критичные операции, задержка в сроках начала и завершения выполнения которых может
приводить к срыву всего проекта в целом.
Проекты предусматривают выполнение десятка тысяч работ и большое число участников. Ценой
провалов могут стать штрафы, простои, ухудшение деловой репутации и т.д.
Под бизнес-процессом (задачей) в системах управления проектами понимаются все действия и
события, имеющие начало и конец и необходимые для выполнения проекта. Каждый проект имеет
ограниченный срок выполнения, фиксированный бюджет и требует определенного объема работ.
Для описания проекта используются два основных способа: табличный и графический:
6
Срок
(рабоч
Стадия Этап/содержание работ Результаты работ Исполнители работ
их
дней3)
необходимой для ввода действие в составе:
Системы в действие План пуско-
наладочных работ.
Программа и
методика испытаний.
Пуско-наладочные Завершены пуско- Подрядная организация 7
работы в соответствии с наладочные работы.
планом пуско- Система
наладочных работ готова к предварительным
испытаниям
Разработка Эксплуатационная Подрядная организация 14
эксплуатационной документация в составе:
документации Инструкция
Администратора Системы;
Инструкция
Администратора ИБ
Системы;
Инструкция по
эксплуатации Системы;
Паспорт Системы
Проведение Протокол предварительных Подрядная организация 5
предварительных испытаний. Заказчик
испытаний Акт перевода Системы в
опытную эксплуатацию
Опытная эксплуатация Рабочий журнал опытной Подрядная организация 14
Системы в эксплуатации. Заказчик
соответствии с Акт завершения опытной
программой опытной эксплуатации Системы
эксплуатации
Проведение Протокол приемочных Подрядная организация 7
приемочных испытаний испытаний Системы. Заказчик
Акт о приемке Системы в
постоянную эксплуатацию
В рамках проекта должна быть создана проектная команда в составе следующих ролей:
Руководитель проекта – отвечает за организационные вопросы реализации проекта,
координирует взаимодействие в команде проекта и с внешними организациями, обеспечивает
соответствие выполняемых работ требованиям проектной и нормативной документации, контролирует
сроки выполнения проекта.
Куратор (координатор) проекта – назначается из тор-менеджмента компании, обеспечивает
контроль общего хода выполнения проекта и решение вопросов, выходящих за пределы компетенции
остальных членов проектной команды, в том числе разрешение конфликтных ситуаций.
Инженер проекта – отвечает за качество технической части проекта, координирует работу
команды исполнителей.
Основной персонал проекта – специалисты, непосредственно исполняющие задачи проекта и
осуществляющие контроль качества его результатов.
7
Вспомогательный персонал проекта – специалисты, выполняющие одну или несколько не
основных (вспомогательных) функций и задач в проекте.
Для управления проектами существуют различные прикладные программы, например Microsoft
Project.
Microsoft Project предлагает различные средства для создания и ведения проекта. Одним из
наиболее удобных инструментов является диаграмма Гантта (Gantt Chart), на которой каждая работа
представляется в виде полосы, расположенной на временной шкале.
График Ганта представляет собой диаграмму, по оси ординат которой откладываются
наименования работ в установленном пользователем порядке (обычно — в порядке ввода), а по оси
абсцисс — время. Каждая работа представляется полосой на графике, указывающей занимаемый ею
период времени. Критические работы выделяются красным цветом. График Ганта представляет собой
удобное средство отображения сетевого плана.
ЗАДАНИЕ:
1. Решить задачу своего варианта в тетради из приложения 2.
2. Постройте граф, найдите критический путь и длительность проекта для задачи управления
проектом внедрения DLP системы (условие см. выше) и процессом разработки безопасного
программного обеспечения (условие задайте самостоятельно).
3. В Microsoft Project или с помощью любого аналога (Битрикс 24, GanttProject) построить
график Ганта, промоделировать процесс управления проектом.
4. Подготовить отчет с программой, защитить его устно и выложить проект на портал.
КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Что такое DLP- система?
2. Назначение сетевого планирования.
3. Что такое график Ганта?
4. Как находится критический путь проекта?
5. Какие операции проекта называются критическими?
.
Теоретическая часть
От уровня информационной безопасности организации зависят его репутация и
конкурентоспособность. Информационная безопасность (ИБ)– это состояние защищенности всех его
информационных активов предприятия. Главная задача злоумышленников (внешних нарушителей и
инсайдеров), атакующих информационные системы, – получение контроля над информационными
активами организации для последующего совершения неправомерных действий по заказу
недобросовестных конкурентов.
Термин «информационная безопасность» подразумевает состояние защищенности данных от трех
основных рисков: нарушение конфиденциальности, целостности, доступности.
Применительно к производственному предприятию эта триада изменяется, так как в
производственном процессе информация играет роль не актива, а инструмента управления.
Информационные потоки должны обеспечить непрерывность и безаварийность процесса
производства. Это обусловливает особый подход к организации системы ИБ на производстве.
Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак
на объекты инфраструктуры.
Под критической информационной инфраструктурой (далее — КИИ) понимаются
информационные системы, информационно-телекоммуникационные сети, автоматизированные
системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их
взаимодействия.
Субъектами КИИ являются компании, работающие в стратегически важных для государства
областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-
8
энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической,
горнодобывающей, металлургической и химической промышленности, а также организации,
обеспечивающие взаимодействие систем или сетей КИИ.
Объекты критической информационной инфраструктуры— информационные системы (ИС),
информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ)
субъектов критической информационной инфраструктуры.
10
Рисунок 3- Порядок категорирования объектов критической информационной инфраструктуры РФ
11
нарушения или прекращения функционирования объекта КИИ и/или нарушения безопасности
обрабатываемой объектом информации.
Приказом ФСБ РФ в 2018 году был создан Национальный координационный центр по
компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и является
составной частью сил, предназначенных для обнаружения, предупреждения и ликвидации последствий
компьютерных атак и реагирования на компьютерные инциденты, техническая инфраструктура НКЦКИ
используется для функционирования системы ГосСОПКА.
Главным документом, регулирующим правоотношения между гражданами, является Конституция
(ст. 71).
На следующем уровне по значению стоят Федеральные Законы (ФЗ) страны (Основным
документом среди них является Гражданский кодекс (ГК)), акты президента и правительства,
ведомственные нормативные акты.
Ответственность за правонарушения регулируют кодекс об административных правонарушениях
(КоАП), трудовой кодекс (ТК), ГК и уголовный кодекс (УК).
ЗАДАНИЕ:
1. Выбрать по одному из нормативных актов 3 разных видов (ФЗ, постановление или приказ,
отраслевой стандарт), подготовить презентацию (краткий обзор содержания) с приведением главных
тезисов, раскрывающих сжато основной смысл данного нормативного акта.
2. Подготовить тест из трех вопросов с ответами в открытой форме (с вариантами ответов)
по информации, представленной в теоретической части.
3. Изучить требования ФЗ для составления и категорирования перечня объектов
критической информационной инфраструктуры.
4. Для произвольно выбранной организации определить является ли она субъектом КИИ.
5. Определить перечень управленческих, технологических, производственных, финансово
экономических и (или) иных процессов в рамках выполнения функций (полномочий) или
осуществления видов деятельности субъекта критической информационной инфраструктуры.
6. Определить перечень объектов КИИ и описать их в виде таблицы:
КОНТРОЛЬНЫЕ ВОПРОСЫ
12
4. Описать Порядок категорирования объектов критической информационной
инфраструктуры РФ.
5. Сколько категорий значимости объектов критической информационной инфраструктуры
существует? Какая самая высокая категория ?
6. Дать определение терминам: компьютерная атака, информационная безопасность,
кибермошенничество.
Теоретическая часть
Для успешного осуществления своей деятельности по управлению объектами некоторой
предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:
–доступности, своевременного доступа (за приемлемое для них время) к необходимой им
информации и определенным автоматизированным службам;
– конфиденциальности (сохранения в тайне) определенной части информации; – целостности
информации;
– защиты от навязывания им ложной (недостоверной, искаженной) информации (т. е. от
дезинформации);
– защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав
собственника информации и т. п.).
Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную и
информацию, доступ к которой ограничен федеральными законами (информация ограниченного
доступа). Информация с ограниченным доступом делится на конфиденциальную и секретную
(информацию, составляющую государственную тайну).
Конфиденциальная информация – это сведения, не подлежащие публичному распространению
и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя
обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям
секретной информации может грозить дисциплинарная, материальная, административная, а в
некоторых случаях даже уголовная ответственность.
К сведениям, представляющим государственную тайну, относится информация:
– в военной области;
– в области экономики, науки, техники, имеющая стратегическое значение;
– в области внешней политики и внешней экономической деятельности;
– в области разведывательной, контрразведывательной и оперативно-розыскной деятельности.
Отнесение информации к государственной тайне осуществляется в соответствии с ФЗ РФ от 21.07.1993
№ 5485-1 «О государственной тайне».
В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня
сведений конфиденциального характера» к конфиденциальной информации относятся:
1. сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных федеральными законами случаях;
2. служебная тайна. Характерные отличительные свойства такой информации — получение
сведений в процессе служебной деятельности и ограничение к ним доступа.
3. профессиональная тайна (врачебная, нотариальная, адвокатская, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.);
Основное отличие состоит в том, что получателями служебной тайны являются работники
определенного госоргана, которые узнали о ней, выполняя свою работу. Например, если врачу в ходе
лечения пациента становится известен его диагноз, эта информация является врачебной
(профессиональной) тайной доктора, вне зависимости, в какой структуре он работает. А если данные о
заболеваниях гражданина будут запрошены следователем для раскрытия преступления, то для
работников следственного органа они будут составлять служебную тайну.
4. тайна следствия и судопроизводства;
5. коммерческая тайна;
13
Конфиденциальная коммерческая информация, ее сохранение, способствует успешной
деятельности компании, дает ей преимущество над конкурентами, и компания сама устанавливает
режим секретности для определенной информации, фиксируя это в специальном Положении. Также
руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям,
которые составляют коммерческую тайну.
6. сведения о сущности изобретения.
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями,
работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным
следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные
санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную
информацию, распространитель может получить дисциплинарное взыскание, вплоть до увольнения, или
уголовное наказание в соответствии с 183-й статьей УК РФ.
Не может быть ограничен доступ в соответствии с ФЗ «Об информации, информационных
технологиях и о защите информации» :
1) к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и
гражданина, а также устанавливающим правовое положение организаций и полномочия
государственных органов, органов местного самоуправления;
2) информации о состоянии окружающей среды;
3) информации о деятельности государственных органов и органов местного самоуправления, а
также об использовании бюджетных средств (за исключением сведений, составляющих
государственную или служебную тайну);
4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в
государственных, муниципальных и иных информационных системах, созданных или предназначенных
для обеспечения граждан (физических лиц) и организаций такой информацией;
5) иной информации, недопустимость ограничения доступа к которой установлена федеральными
законами.
При отнесении информации к разряду защищаемой надо исходить из принципа экономической
выгоды и безопасности фирмы. Чрезмерное сокрытие информации по деятельности фирмы может
обернуться потерей прибыли, т. к. условия рынка требуют широкой рекламы производимой продукции
и услуг. Пренебрежительное отношение к конфиденциальной информации также ведет к большим
потерям, таким как срыв переговоров; утрата возможностей заключения выгодных контрактов; отказ от
решений, становящихся экономически неэффективными в результате разглашения информации;
дополнительные финансовые затраты для принятия новых решений; снижение рыночной стоимости
продукции или сокращение объемов продаж; разрыв или существенное снижение уровня деловых
отношений с партнерами; потеря возможности патентования и продажи лицензий; ухудшение условий
получения кредитов; появление трудностей (сокращение объемов продаж, приобретении оборудования;
сокращение рынка сбыта вследствие опережающих поставок аналогичной продукции конкурентом;
сокращение конкурентами затрат на проведение научных и опытных работ.
Ценность информации определяется степенью ее полезности для владельца. Цена, как и ценность
информации, связана с полезностью информации для конкретных людей, организаций, государств.
Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае
информация не может быть товаром, а следовательно, она не имеет и цены. Как любой товар,
информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость
зависит от выбора путей получения информации и минимизации затрат при добывании необходимых
сведений выбранным путем.
Для каждой «единицы» защищаемой информации есть несколько параметров, которые
необходимо учитывать:
– статичность;
– размер и тип доступа;
– время жизни;
– стоимость создания;
– стоимость потери конфиденциальности;
– стоимость скрытого нарушения целостности;
– стоимость утраты.
14
Статичность определяет, может ли защищаемая информация изменяться в процессе нормального
использования. Так изменяется содержимое базы данных при добавлении новых или модификации
существующих записей. Размер и тип доступа (последовательный или произвольный) также
накладывают ограничения на средства защиты. Время жизни информации – это важный параметр,
определяющий, как долго информация должна находиться в статусе защищаемой. Время устаревания
информации изменяется в довольно широких границах. Для каких-то субъектов она устаревает за доли
секунд, для других остается актуальной в течение долгого времени.
С(t)=e-2.3t/ τ С0
где С0 – ценность информации в момент ее возникновения (получения); t – время от момента
возникновения информации до момента определения ее стоимости; τ – время от момента возникновения
информации до момента ее устаревания.
Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть
вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения
целостности могут носить различный характер. Они могут быть как случайными, так и
преднамеренными. Модификации может подвергаться не только непосредственно текст сообщения или
документа, но и дата отправки или имя автора. Стоимость утраты описывает ущерб от полного или
частичного разрушения информации. При обнаружении нарушения целостности и невозможности
получить ту же информацию из другого источника информация считается утраченной.
Рассмотрим алгоритм формирования списка конфиденциальных документов фирмы (организации)
с учетом рассмотренных выше свойств информации.
Для формирования перечня конфиденциальных документов и определения степени их важности
необходимо ввести систему показателей важности документов и использовать методы свертки
критериев:
15
N
v j=∑ wi v ji →max
i=1 ,
где vj – обобщенный показатель важности j-го документа;
wi - вес i-гo критерия для оценки важности, ценности документа с точки зрения обеспечения его
конфиденциальности;
vji – значение j-го документа по i-му критерию.
При этом необходимо учитывать в формуле направление оптимизации по каждому критерию.
16
Правовую основу политики безопасности должны составлять законы Российской Федерации и
другие законодательные акты, определяющие права и ответственность граждан, сотрудников и
государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по
вопросам безопасности информации, утвержденные органами государственного управления различного
уровня в пределах их компетенции.
Плановая актуализация политики производится ежегодно и имеет целью приведение в
соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к
защите информации.
Внеплановая актуализация политики информационной безопасности производится в обязательном
порядке в следующих случаях:
при изменении политики РФ в области информационной безопасности, указов и законов
РФ в области защиты информации;
при изменении внутренних нормативных документов (инструкций, положений,
руководств), касающихся информационной безопасности предприятия;
при происшествии и выявлении инцидента (инцидентов) по нарушению информационной
безопасности, влекущего ущерб предприятию.
Ответственными за актуализацию политики информационной безопасности (плановую и
внеплановую) несет подразделение, ответственное за обеспечение ИБ. Контроль за исполнением
требований политики и поддержанием ее в актуальном состоянии возлагается на подразделение,
ответственное за обеспечение ИБ.
Регламент - документ, который перечисляет и описывает по порядку этапы (шаги), которые
должен предпринимать участник или группа участников для выполнения некоторого процесса, как
правило, с указанием требуемых сроков выполнения этапов (шагов).
Регламенты предназначены для того, чтобы формализовать процессы, связанные с обеспечением
информационной безопасности и определить роли, ответственные за корректную организацию того или
иного процесса.
Регламенты могут быть разработаны для:
процессов резервного копирования и восстановления;
антивирусной защиты;
выпуска, эксплуатации и отзыва криптографических ключей;
управления учетными записями пользователей;
обработки инцидентов ИБ;
обработки нештатных/чрезвычайных ситуаций и пр.
В общем случае порядок проведения предварительных работ следующий:
сбор и анализ информации о существующей организационно-штатной структуре,
ответственной за обеспечение ИБ.
формализация действующих у Заказчика процессов, связанных с обеспечением ИБ.
выявление расхождений существующего распределения обязанностей и действующих
процессов с концепцией и политиками ИБ, лучшими практиками (best practices).
ЗАДАНИЕ
1. Выбрать вариант вида деятельности условной организации:
A. производство электронных устройств;
B. разработка программных продуктов;
C. производство продуктов питания;
D. торговля бытовой техникой;
E. медицинские услуги населению;
F. юридические услуги населению;
G. аутсорсинг (передача стороннему подрядчику некоторых бизнес-функций или частей
бизнес-процесса предприятия c целью повысить производительность труда или снизить
себестоимость продукции преимущественно за счёт более дешёвой рабочей силы у
подрядчика );
17
H. строительство;
I. реклама;
J. опасное производство;
K. туристический бизнес.
2. Выбрать произвольную фирму, организацию (реально существующую), занимающуюся
выбранным видом деятельности. Оценить примерное количество руководителей и сотрудников в
организации, число основных конкурентов, партнеров и взаимодействующих организаций. Описать
характеристики организации в таблице.
3. Сформировать примерный перечень документов фирмы (организации). Например, для АО
«Аэропорт Павлодар» неполный список может иметь вид, представленный в таблице 2:
№ п/п Содержание
1 Деловая информация
1.1. Финансовая информация
1.1.1 Сведения по движению денежных средств
1.1.2 Данные ежеквартальных кассовых планов
1.1.3 Информация по кредитам предприятия
1.1.4 Информация по получению наличных денег на заработную плату (дата, время)
1.1.5 Оперативная информация по дебиторской, кредиторской задолженности
Информация о рынке сбыта ( объем, тенденция и прогноз сбыта конкретной
1.2.
продукции, рыночная политика и планы, отношения с потребителями и поставщиками
1.2.1 Данные о цене на выпускаемую и поставляемую продукцию и услуги
1.2.2 Отдельные виды соглашений, предложений, договоров
1.3. Планово-экономическая информация
Информация по расчету эффективности технический мероприятий АО «Аэропорт
1.3.1
Павлодар»
1.3.2 Расчет производства и реализации в денежном выражении (план, ожидаемое, отчет)
1.3.3 Отчеты о производственно-хозяйственной деятельности по АО «Аэропорт Павлодар»
1.3.4 Анализ себестоимости производства
1.3.5 Себестоимость единицы продукции
1.3.6 Калькуляции
1.4. Объемы перевозок
1.4.1 Отгрузочные документы
1.5. Информация по труду и заработной плате
1.5.1. Данные по численности работников (штатные расписания)
Информация по заработной плате АО «Аэропорт Павлодар» (должностные оклады,
1.5.2.
размер заработной платы конкретных работников)
Система оплаты труда (положение об оплате, нормы времени и расценки, коэффициент
1.5.3.
оплаты труда)
1.5.4 Тарифные ставки
1.6 Переписка с энергоснабжающими организациями, поставщиками продукции
1.7 Регистры бухгалтерского учета и внутренней бухгалтерской отчетности.
18
2 Техническая информация
2.1. Программы проведения научно-исследовательских работ.
2.2 Главные проблемы и варианты их решений
2.3. Научно-технические разработки специалистов АО «Аэропорт Павлодар»
2.4 Структура локально-вычислительной сети (ЛВС)
2.5 Способы доступа к ЛВС
2.6 Вся информация, хранящаяся на файловых серверах (центральных компьютерах)
2.7 Информация о результатах разработки и внедрения АСУТП
2.8 Наличие исправного автотранспорта, воздушного транспорта
2.9 Информация о программно-технических решениях систем учета.
2.10 Количество ГСМ на участке
2.11 Наличие запасных частей, материалов на складах АО «Аэропорт Павлодар»
3 Информация о кадрах
3.1. Имена, адреса и телефоны сотрудников
3.2 Сведения о квалификации сотрудников
3.3 Сведения о состоянии здоровья сотрудников
3.4 Данные о наличие детей
4 Другая информация
4.1 Публикации на корпоративном Web-сайте
4.2 Объявление о корпоративной вечеринке
КОНТРОЛЬНЫЕ ВОПРОСЫ
Теоретическая часть
Средства обеспечения защиты информации в части предотвращения преднамеренных действий в
зависимости от способа реализации можно разделить на группы:
1. Технические (аппаратные) средства. Это различные по типу устройства (механические,
электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты
информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же
состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи
решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые
фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих»
потенциальные каналы утечки информации или позволяющих их обнаружить.
2. Программные средства включают программы для идентификации пользователей,
контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа
временных файлов, тестового контроля системы защиты и др.
3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные
и программные средства в отдельности, и имеют промежуточные свойства.
4. Организационные средства складываются из организационно-технических (подготовка
помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к
ней и др.) и организационно-правовых (национальные законодательства и правила работы,
устанавливаемые руководством конкретного предприятия).
При анализе существующего рынка средств защиты информации в качестве основных показателей
можно рассматривать:
приемлемую стоимость;
наличие сертификата;
возможность масштабирования;
надежность;
эффективность обеспечения информационной безопасности предприятия;
совместимость с существующими ПО;
работоспособность с учетом примененных на предприятии решений.
Для оценки конкурентоспособности СЗИ лучше всего подходят три известных метода: метод,
основанный на нахождении интегрального показателя конкурентоспособности, метод экспертных
оценок и метод тестирования.
Интегральный показатель конкурентоспособности – это обобщенная численная
характеристика конкурентоспособности товара, которая рассчитывается по формуле:
,
где КИ – интегральный показатель конкурентоспособности;
КТ – коэффициент технической прогрессивности;
КФ – коэффициент функциональных возможностей;
КН – коэффициент соответствия нормативам;
КЗ – коэффициент затрат.
20
оцениваемое СЗИ соответствует установленным стандартам и нормативам и может принимать значения
от 0,5 до 1.
Преимущество метода – учитывается ряд важных факторов, влияющих на уровень
конкурентоспособности СЗИ. Недостатки – можно неправильно выбрать параметры для сравнения; не
всегда есть возможность получить необходимую информацию о СЗИ.
Сущность метода экспертных оценок состоит в определении ряда технических, экономических
и прочих параметров и присвоении СЗИ оценок по каждому из них. Показатель конкурентоспособности
определяется по формуле:
,
где KСЗИ – показатель конкурентоспособности средства защиты информации;
Il – балльная оценка l-го параметра; βl – коэффициент весомости l-го параметра; h – количество
оцениваемых параметров.
В случае, когда оценки ставятся группой экспертов необходимо вычислить коэффициент
конкордации Кендалла для того, чтобы выяснить, насколько мнения экспертов согласованы между
собой. Для проверки значимости находится критерий Пирсона (χ2). Полученное значение критерия
Пирсона сравнивается с табличным значением. Если χ2 больше таблично значения, то мнения экспертов
значимы.
Преимущества метода экспертных оценок – в его простоте и возможности проводить
сравнительную оценку при небольшом количестве исходных данных. Главный недостаток заключается
в том, что результат полностью зависит от субъективного мнения экспертов.
Тестирование СЗИ может рассматриваться как отдельный метод оценки конкурентоспособности.
Объект защиты, охраняемый СЗИ, специально подвергается атакам, либо эти атаки имитируются.
Определяется количество или процент успешно отражённых атак. Тестирование чаще всего
используется для сравнительной оценки программного обеспечения, например, антивирусов. Анализ
конкурентоспособности позволяет получить сравнительную оценку средств защиты информации для
общего случая.
ЗАДАНИЕ:
1. Представьте на схеме как на рисунке, помещение условной организации, где происходит
обработка или хранение информации. Построить схему в редакторе (например, в онлайн-радакторе по
ссылке https://www.draw.io/).
ВОПРОСЫ
21
1. Какие методы сравнения СЗИ существуют?
2. На какие группы можно разбить средства обеспечения защиты информации?
3. Какие критерии оценки СЗИ вы знаете?
Теоретическая часть
22
Области применения социальной инженерии:
общая дестабилизация работы организации с целью снижения её влияния и возможности
последующего полного разрушения организации;
финансовые махинации в организациях;
фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным
частных лиц;
воровство клиентских баз данных;
конкурентная разведка;
общая информация об организации, о её сильных и слабых сторонах, с целью последующего
уничтожения данной организации тем или иным способом (часто применяется для рейдерских атак);
информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в
свою организацию.
Чтобы атаковать организацию, хакеры, использующие социальную инженерию, эксплуатируют
доверчивость, лень, хорошие манеры и энтузиазм персонала.
24
Нестандартные средства обучения: скринсейверы, офисные принадлежности с нанесенными на
них напоминаниями и т.п.
Семинар – это одна из форм обучения, в которой теория обязательно опирается на практику. Суть
методики проведения семинара заключается в следующем: докладчик предлагает присутствующим
прослушать лекционный материал, который может включать также показ фильмов, иллюстраций,
слайдов, практических примеров. Далее все услышанное и увиденное обсуждается. Присутствующие на
проведении семинара могут задать свои вопросы, поделиться мнением или же попытать применить
услышанные сведения на практике. Главное преимущество семинаров по сравнению с другими
формами обучения – интерактивность. Благодаря этому качеству, становится возможным добиться
эффективности мероприятия. В ходе подготовки к семинару определяются:
Участники;
Место и время проведения;
Необходимое оборудование;
Рассылка материалов и результатов семинара.
Под «нестандартными» средствами повышения квалификации сотрудников компании в области
ИБ понимаются различные методы, благодаря которым на эмоциональном и подсознательном уровне
сотрудник запоминает учебный материал и понимает важность требований информационной
безопасности. Такими средствами могут послужить скринсейверы, новости по ИБ, офисные
принадлежности.
Скринсейвер (хранитель экрана) — заставка, которая появляется на экране, если долгое время не
нажимать кнопки на клавиатуре и не перемещать мышь. Установка на экраны мониторов компьютеров
скринсейверов по вопроса корпоративной безопасности – эффективный способ напоминания персоналу
о существующих в компании правилах и регламентах корпоративной безопасности. Рекомендуется
обновлять скринсейверы каждые 2 месяца для повышения эффективности их действия.
Новости по ИБ стимулируют сотрудников к самоконтролю, однако важно учитывать то, что
новостная лента должна быть понятной для сотрудников с нулевым уровнем знаний по ИБ. Сотрудники
на протяжении всего рабочего дня используют эти материалы или, по крайней мере, находятся в
непосредственной близости от них. Чтобы обычная шариковая ручка кроме своей основной
функциональности превратилась, в том числе, и в так называемый обучающий материал, достаточно
нанести на нее надпись – например: «Не предназначена для записи паролей».
Информация, доносимая до работников, должна быть короткой, четкой и понятной. Для этой цели
замечательно подходят плакаты, которые развешиваются в совершенно различных местах — в
столовой, у мест печати, у лифтов и т.п.
Разделите ваших сотрудников на группы и найдите темы, актуальные для каждой из них. Топ-
менеджерам вряд ли будет интересно изучать уязвимости программного обеспечения, а для
25
разработчиков это — один из главных аспектов ИБ. Когда темы определены, подумайте о форматах
обучающих материалов: их тоже нужно персонализировать. Например, у сотрудников фронт-офиса не
так много свободного времени, а иногда и нет личного рабочего компьютера. Им подойдут короткие
видеоролики и яркие плакаты — их можно размещать и демонстрировать и в рабочих помещениях, и в
комнатах отдыха. Сотрудники бек-офиса могут уделить обучению больше внимания, поэтому им лучше
адресовать электронные курсы со включённой проверкой знаний и периодические почтовые рассылки.
Ещё одна хорошая практика — перед тем, как проводить обучение по информационной безопасности,
проверить, что ваши сотрудники уже знают. Самый простой способ это сделать — провести
тестирование, даже небольшое, и разослать письма, имитирующие настоящие вредоносные послания.
Собрав статистику, вы поймёте, на каких темах нужно сделать основной акцент.
Скажи мне и я забуду. Покажи мне и я запомню. Дай мне действовать самому, и я пойму»
Конфуций
Следуя правилу, что из прочитанного усваивается только 10%, из услышанного — только 20%, из
увиденного — 30%, из проработанного в упражнениях — 90%, процессы проведения повышения
квалификации, уровня осведомленности пользователей о вопросах ИБ, должны опираться на практику.
Учебные фишинговые рассылки хорошо использовать и для периодической проверки знаний. В
этом случае они отправляются пользователям выборочно, по разным сценариям и в разных шаблонах —
и идут в тесной связке с основными обучающими материалами. Например, если ваш сотрудник
«поддался на провокацию» и открыл скомпилированное фишинговое письмо, то его можно повторно
направить на изучение курса, посвящённого социальной инженерии. Кстати, в некоторые СДО входит
учебный фишинговый модуль — тоже повод задуматься о приобретении такой системы.
Обучение становится вдвойне приятным, когда его результаты можно сравнить с достижениями
других пользователей, а ещё лучше — увидеть в реальной жизни. С первым поможет создание
рейтингов обучения и выделение лидеров, рейтинг можно разместить и обновлять на корпоративном
портале. Визуализация может быть самой разной, от стандартного покорения горных вершин до,
скажем, прохождения процесса эволюции.
Создайте систему премирования за наибольшее количество достижений, и рост мотивации не
заставит себя долго ждать.
ЗАДАНИЕ:
1. Подготовить семинар по одному из актуальных вопросов в области информационной
безопасности, например, о том, что именно должно быть определено в поручении на обработку
(перечень персональных данных, перечень действий с персональными данными, цели их обработки и
т.д.). Семинар должен сопровождаться презентацией. Подготовить список вопросов для аттестации
сотрудников предприятия по данному вопросу.
2. Подготовить плакат на тему «Безопасное использование мобильных устройств».
3. Просмотреть учебные материалы на сайте https://sdo.itsecurity.ru/view_doc.html?
mode=default
Логин и пароль для входа - guest_KII.
4. Подготовить урок на тему: «Безопасное использование мобильных устройств».
Выделять в уроке следующие блоки:
1. Кто является злоумышленником
2. Какая у него цель
3. Основные способы атаки/совершения неправомерных действий
4. Какие ошибки может допустить работник
5. Как защититься/не допустить ошибки
6. Что делать если попался на крючок
ВОПРОСЫ
1. Что такое метод социальной инженерии, фишинг?
2. Какие человеческие качества эксплуатируются в процессе применения социальной
инженерии?
3. Что такое Скринсейвер, как это используется в процессе повышения
осведомлённости пользователей?
26
4. Приемы проведения эффективной процедуры повышения осведомлённости
пользователей в вопросах ИБ?
27
ЛИТЕРАТУРА:
1. Гамза В.А. Безопасность банковской деятельности : учебник для вузов / В.А. Гамза, И. Б.
Ткачук, И.М. Жилкин. – 3-е изд., перераб. и доп. –М. : Издательство Юрайт, 2014. -513 с.- Серия:
Бакалавр. Базовый курс.
2. Информационная безопасность на производстве. [Электронный ресурс]. - Режим доступа :
https://Searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/informatsionnaya-bezopasnost-v-otraslyakh/
informatsionnaya-bezopasnost-na-proizvodstve/
3. Кожевникова, И. С. Применение машинного обучения для обнаружения сетевых аномалий
/ И. С. Кожевникова, Е. В. Ананьин, А. В. Лысенко, А. В. Никишова. — Текст : непосредственный //
Молодой ученый. — 2016. — № 24 (128). — С. 19-21. — URL: https://moluch.ru/archive/128/35376/ (дата
обращения: 23.01.2021).
4. Сравнительный обзор средств предотвращения утечек данных (DLP) . [Электронный
ресурс]. - Режим доступа : https://safe-surf.ru/specialists/article/5233/609990/#Особенности%20выбора
%20DLP%20систем.
28
Приложение 1
Варианты организаций
29
Приложение 2
Варианты заданий к лабораторной №2
Задача 1
Руководитель проекта разработал следующий перечень работ:
Работа Непосредственно предшествующая Время выполнения
работа
A - 4
B - 6
C - 5
D B 2
E A 9
F B 4
G C, D 8
H B, E 3
I F, G 5
J H 7
Вопросы:
Какова длина критического пути?
Сколько работ находится на критическом пути?
Можно ли отложить выполнение работы F без отсрочки завершения проекта в целом ?
Задача 2
Проект пусконаладки компьютерной системы состоит из восьми работ. Непосредственно
предшествующие работы и продолжительность выполнения работ показаны ниже.
Вопросы:
Сколько времени потребуется для выполнения проекта?
Сколько работ на критическом пути?
Чему равно наиболее раннее время начала работы C?
Задача 3
Рассмотрите следующую сеть проекта (продолжительность работ показана в неделях):
Работа Непосредственно предшествующая работа Время выполнения
A - 5
B - 3
C A 7
D A 6
E B 7
F D, E 3
G D, E 10
H C, F 8
30
Вопросы
За какое минимальное время может быть выполнен проект?
Сколько работ находится на критическом пути?
На сколько недель можно отложить выполнение работы D без отсрочки завершения проекта в целом ?
Задача 4
Экономический факультет МГУ разрабатывает новую программу повышения квалификации
преподавателей количественных методов анализа экономики. Желательно, чтобы эту программу можно
было реализовать в наиболее сжатые сроки. Существуют взаимосвязи между дисциплинами, которые
необходимо отразить, составляя расписание занятий по программе. Например, сетевые методы
планирования должны рассматриваться лишь после того, как слушатели обсудят различные аспекты
(коммерческие, финансовые, экономические, технические и т.д.) проектного анализа, связанные с
жизненным циклом проекта. Дисциплины и их взаимосвязь указаны в следующей таблице.
Дисциплина Непосредственно предшествующая Время изучения в днях
дисциплина
A - 4
B - 6
C A 2
D A 6
E C, B 3
F C, B 3
G D, E 5
Вопросы:
Найдите минимальное время, за которое можно выполнить программу.
Какое количество дисциплин находится на критическом пути?
Каков резерв времени изучения дисциплины F?
Задача 5
В таблице показаны этапы покупки нового автомобиля.
Вопросы:
Сколько работ на критическом пути?
На сколько можно отложить начало выполнения работы J, чтобы это не повлияло на срок выполнения
проекта?
Задача 6
Городская администрация рассматривает возможность переустройства рынка. После сноса старых
палаток проектом предусматривается строительство павильонов с последующей сдачей их в аренду
торговым фирмам. Работы, которые необходимо выполнить при реализации проекта, их взаимосвязь и
время выполнения каждой из работ указаны в следующей таблице.
H Заключить контракты с B, C 12
арендаторами
I Вселить арендаторов в G, H 2
павильоны
Вопросы:
Сколько работ на критическом пути?
На сколько можно отложить начало выполнения работы E, чтобы это не повлияло на срок выполнения
проекта?
На сколько можно отложить начало выполнения работы B, чтобы это не повлияло на срок выполнения
проекта (полный резерв времени)?
Задача 7
Рассмотрите следующую сеть проекта:
Работа Непосредственно предшествующая работа Время выполнения
A - 3
B - 8
C A 6
D A 6
32
E B 9
F D, E 3
G D, E 7
H C, F 8
Вопросы
За какое минимальное время может быть выполнен проект?
Сколько работ находится на критическом пути?
На сколько недель можно отложить выполнение работы E без отсрочки завершения проекта в целом ?
Задача 8
В таблице приведены работы, выполняемые при строительстве нового каркасного дома.
Задача 9
Московский государственный университет рассматривает предложение о строительстве новой
библиотеки. Работы, которые следует выполнить перед началом строительства, представлены ниже.
Продолжительность работ показана в неделях.
Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
Через какое минимальное время после принятия решения о реализации проекта можно начать работу по
строительству библиотеки?
На сколько недель можно отложить выбор архитектурной мастерской?
Задача 10
В таблице приведены этапы выполнения работ по замене линии электропередач.
Задача 11
Компания готовит бюджет производства нового изделия. В таблице представлены этапы подготовки
бюджета и их длительность.
Работа Предшествующие работы Длительность (дни)
A: Прогнозирование объема продаж — 10
B: Изучение рынка конкурирующих — 7
товаров
C: Доводка изделия А 5
D: Подготовка производственного плана С 3
E: Оценка стоимости производства D 2
F: Определение отпускной цены В, E 1
G: Подготовка бюджета Е, F 14
Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
За какое минимальное время может быть выполнен проект?
34
Задача 12
В таблице приведена последовательность работ по разработке и производству станков.
Вопросы:
Сколько работ находится на критическом пути (фиктивные работы не учитываются)?
За какое минимальное время может быть выполнен проект?
35