3. Анализ рисков информационной безопасности
Выполнить:
a) Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СТРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
b) Ознакомьтесь с Приложениями С, D и EГОСТа.
c) Выберите три различных информационных актива организации.
d) Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
e) Пользуясь Приложением C ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
f) Пользуясь одним из методов предложенных в Приложении E ГОСТа произведите оценку рисков информационной безопасности.
g) Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
Варианты
Номерварианта | Организация | Метод оценки риска |
1 | Отделение коммерческого банка | 1 |
2 | Поликлиника | 2 |
3 | Колледж | 3 |
4 | Офис страховой компании | 4 |
5 | Рекрутинговое агенство | 5 |
6 | Интернет магазин | 6 |
7 | Центр оказания государственных услуг | 7 |
8 | Отделение полиции | 8 |
9 | Аудиторская компания | 9 |
10 | Дизайнерская фирма | 10 |
11 | Офис интернет-провайдера | 11 |
12 | Офис адвоката | 12 |
4. Выполнение процедур аутенфикации пользователя на основе пароля
Выполнить:
a) Произвести расчет при исходных данных V,T,P однозначно можно определить лишь нижнюю границу S* числа всевозможных паролей. Целочисленное значение нижней границы вычисляется по формуле
b) 
(1)
c) где 
- целая часть числа, взятая с округлением вверх.
d) После нахождения нижней границы S* необходимо выбрать такие A и Lдля формирования S=AL, чтобы выполнялось неравенство (2).
e) 
(2)
f) При выборе S, удовлетворяющего неравенству (2), вероятность подбора пароля злоумышленника (при заданныхV и T) будет меньше, чем заданная P.
g) Где, P = 
, V= 15 паролей в день, Т= 11 дней, L=59
h) Зайти на любую службу электронной почты. Создать свой почтовый ящик и ввести пароль из алфавита L и количества знаков A.
i) Показать преподавателю оценку интернет сервиса вашего пароля (простой и т. п.)
j) Записать отчет в тетради. (стойкость данного пароля, правильность определения по формуле, выводы)
5. Изучение механизмов контроля целостности данных
Выполнить:
a) Изучить и конспектировать методы «контрольных сумм» и «циклического контрольного кода».
b) Сравнить оба метода.
6. Работа с основами криптографической защиты
7. Реализация криптографических алгоритмов
Выполнить:
a) Изучить симметричные и ассиметричные криптосистемы
b) Зашифровать методами «простой замены», «единичной перестановки», «двойной перестановки», «шифром Цезаря», «магическим квадратом» зашифровать по номеру варианту предложенные фразы.
Варианты
Номер варианта | Фраза для шифрования |
1 | Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. |
2 | Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. |
3 | Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. |
4 | Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. |
5 | Доступ к информации - возможность получения информации и ее использования. |
6 | Электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети. |
7 | Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. |
8 | Безопасность – отсутствие недопустимого риска |
9 | Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба |
10 | Риск – сочетаниевероятностисобытияиегопоследствий |
11 | Риск – сочетаниевероятностисобытияиегопоследствий |
12 | Защитная мера (или мера защиты, контрмера, мера контроля) - мера, используемая для уменьшения риска |
8. Изучение поведения вирусных и других вредоносных программ
9. Работа по предупреждению и обнаружению вирусных угроз
10. Проведение сравнительного анализа пакетов антивирусных программ
Выполнить:
a) Изучить поведение вредоносных программ
b) Изучить антивирусное программное обеспечение
c) Провести сравнительный анализ пакетов антивирусных программ и заполнить таблицу «плюсов» и «минусов» изученного ПО.
d) Научится устанавливать, настраивать, обновлять антивирусное программное обеспечение
e) При помощи антивирусных программ научится обнаруживать вирусные угрозы.
11. Построение концепции информационной безопасности предприятия
Выполнить:
Используя предложенные образцы, разработать концепцию информационной безопасности компании (см. вариант), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):
Общие положения
a) Назначение Концепции по обеспечению информационной безопасности.
b) Цели системы информационной безопасности
c) Задачи системы информационной безопасности.
Проблемная ситуация в сфере информационной безопасности
d) Объекты информационной безопасности.
e) Определение вероятного нарушителя.
f) Описание особенностей (профиля) каждой из групп вероятных нарушителей.
g) Основные виды угроз информационной безопасности Предприятия.
h) Классификации угроз.
i) Основные непреднамеренные искусственные угрозы.
j) Основные преднамеренные искусственные угрозы.
k) Общестатистическая информация по искусственным нарушениям информационной безопасности.
l) Оценка потенциального ущерба от реализации угрозы (см. Практическую работу № 1).
Механизмы обеспечения информационной безопасности Предприятия
m) Принципы, условия и требования к организации и функционированию системы информационной безопасности.
n) Основные направления политики в сфере информационной безопасности.
o) . Планирование мероприятий по обеспечению информационной безопасности Предприятия.
p) Критерии и показатели информационной безопасности Предприятия.
Мероприятия по реализации мер информационной безопасности Предприятия
q) Организационное обеспечение информационной безопасности.
r) Задачи организационного обеспечения информационной безопасности.
s) Подразделения, занятые в обеспечении информационной безопасности.
t) Взаимодействие подразделений, занятых в обеспечении информационной безопасности.
u) Техническое обеспечение информационной безопасности Предприятия.
v) Общие положения.
w) Защита информационных ресурсов от несанкционированного доступа.
x) Средства комплексной защиты от потенциальных угроз.
y) Обеспечение качества в системе безопасности.
z) Принципы организации работ обслуживающего персонала.
aa) Правовое обеспечение информационной безопасности Предприятия.
bb) Правовое обеспечение юридических отношений с работниками Предприятия.
cc) Правовое обеспечение юридических отношений с партнерами Предприятия.
dd) Правовое обеспечение применения электронной цифровой подписи.
ee) Оценивание эффективности системы информационной безопасности Предприятия.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 |
