Курсовая работа
Задание на курсовую работуКурсовая работа «Разработка инструмента по оценки соответствия информационной безопасности организаций отраслевым требованиям» выполняется в рамках дисциплины «Методология оценки безопасности информационных технологий», студентами заочного обучения (с применением дистанционных технологий).
Для достижения цели студенты решают следующие задачи:
1) сбор и анализ актуальных нормативных документов из открытых источников в соответствии с заданием;
2) осуществление выбора критериев для степени соответствия сформированным актуальным требованиям по обеспечению информационной безопасности организации (далее просто соответствия);
3) разработка опросных листов для оценки соответствия;
4) разработка процедуры оценки соответствия;
5) разработка программы, реализующей оценку соответствия;
6) разработка рекомендаций по работе с программой.
В рамках работы необходимо разработать программный инструмент, позволяющий оценить соответствие в организациях заданного профиля и предложить вариант её интерпретации.
Индивидуальные варианты размещены в приложении А.
Итоговый балл по курсовой работе будет определяться уровнем выполняемой работы на основании:
- качества выполненного обзора источников (нормативные документы);
- качеством сформулированных критериев оценки (структурированность, количество, правильность составления вопросов (правила русского языка), полнота требований и другое);
- сложностью реализации процедуры оценки соответствия организации требованиям по ИБ (язык программирования, оригинальность математического аппарата);
- наличием и качеством материала, сопровождающего программную реализацию (инструкция пользователя, пояснения по интерпретации результатов).
=============================================
Вариант определяется по вашему номеру пароля.1. провайдер услуг Интернет (уровень городского провайдера);
2. служба, занимающаяся обеспечением ИБ на железной дороге (ОАО «РЖД»);
3. провайдер решений для участников финансового рынка РФ (ГК ЦФТ);
4. региональный банк (пример, ОАО «Региональный банк развития»);
5. крупная гидроэлектростанция (Саяно-Шушенская ГЭС);
6. крупное промышленное предприятие (ОАО "НАЗ");
7. филиал федерального телекоммуникационного провайдера (ОАО «Ростелеком);
8. бизнес-центр класса «А» (БЦ «Кронос», г. Новосибирск);
9. крупный научно-исследовательский институт (ИВТ СО РАН);
10. крупное предприятие оборонного значения (НАЗ им. В.П.Чкалова);
11. национальная социальная сеть («ВКонтакте»);
12. подразделение крупного муниципального образования (Администрация городского района);
13. предприятие системы органов внутренних дел РФ (например, ГУ МВД России по Новосибирской области);
14. крупное сбытовое предприятие (ОАО «Газпром»);
15. общественная транспортная система на электрической тяге (Новосиби́рский метрополитен);
16. муниципальное унитарной предприятие стратегического значения («ГОРВОДОКАНАЛ», Новосибирск);
17. системный интегратор в области ИТ (КРОК инкорпорейтед);
18. площадка для электронных торгов (ЗАО «Московская межбанковская валютная биржа»);
19. разработчик геоинформационных систем (ООО «ДубльГИС);
20. провайдер услуг сотовой связи (ОАО «МТС»);
21. крупная страховая компания (ООО «Росгосстрах»);
22. крупная торговая сеть (ЗАО «Евросеть»);
23. консалтинговая компания (Консалтинговая группа «ЭДВАЙС»);
24. компания в сфере информационной безопасности (ЗАО «Лаборатория Касперского»);
25. международный торговый интернет-центр («eBay» Inc);
=============================================
Лабораторная работа №1 Использование Microsoft Security Assessment Tool (MSAT)
1.1 Цель
Ознакомиться и получить практические навыки работы с программные продукты для оценки рисков.
1.5 Контрольные вопросы
1. Что подразумевается под оценкой рисков?
2. Удобно ли использование данной программы при оценке информационной безопасности в государственных организаций? Почему?
3. Какие разделы для поднятия точности результата вы бы добавили в программу при выполнении вашего индивидуального задания? Какие бы убрали?
Лабораторная работа №2 «Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager»
1 Цель работы
Изучить способы проведения оценки рисков информационной системы в программе «R·Vision: Risk Manager», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.
Варианты заданий: определяются в соответствии с таблицей Приложения А по цифре пароля (последние две).
5 Контрольные вопросы
1. Дайте краткую характеристику программы «R·Vision: Risk Manager».
2. Охарактеризуйте шаги процесса оценки рисков ИБ в «R·Vision: Risk Manager».
3. Объясните понятие «качественно-количественная оценка», приведите примеры.
4. Какие разновидности ущерба Вы знаете? В чем их отличие и взаимосвязи?
5. Поясните что такое «Информационный актив». Приведите примеры.
6. Что подразумевается под объектами среды? Приведите примеры.
7. Что подразумевается под источниками угроз? Приведите примеры.
8. Расскажите о возможных предпосылках к реализации угроз безопасности. Какие разновидности Вы знаете?
9. Какие меры защиты Вы можете назвать? Какое назначение имеют эти меры при управлении ИБ?
10. Расскажите, с какими уровнями Вы познакомились в «R·Vision: Risk Manager», с помощью чего можно переходить с уровня на уровень?
11. Перечислите и поясните виды отчетов, которые способна генерировать «R·Vision: Risk Manager»?
12. Какие способы проведения оценки рисков есть в «R·Vision: Risk Manager»? Поясните различия между способами проведения оценки.
=============================================
Варианты заданий
№
Описание информационной системы
1
Организационно-плановый отдел. Данный отдел составляет методологическую информацию по оказанию услуг организации. Требования организации к целостности такой информации низкие, к конфиденциальности - средние, а к доступности – высокие.
В отделе установлены стационарные рабочие станции, мобильные технические средства, а также сервер баз данных, имеющий прямое подключение к сети Интернет.
К данной информационной системе также имеют доступ на уровне пользователя представители контрагентов (представители компании, с которой заключен договор). В договоре не указана степень квалификации таких представителей, поэтому она может отсутствовать или быть низкой, а также такой персонал не осведомляется о вопросах ИБ и о принятых в организации требованиях по защите информации.
Сама организация расположена в регионе, подверженном наводнениям, подтоплениям.
Недавно в организации произошел инцидент, который выявил наличие ошибок в части разграничения доступа/данных пользователей ПО.
2
Информационно-аналитический отдел. Отдел работает с информацией о деятельности на рынке ценных бумаг. Требования организации к конфиденциальности такой информации высокие, к целостности – минимальные, а к доступности – высокие.
В отделе установлены стационарные рабочие станции, ноутбуки (мобильные технические средства) и сервер баз данных, не имеющий прямого подключения к сети Интернет.
Работники отдела обладают правом доступа к сети Интернет для просмотра интернет-сайтов, а также правом локального администрирования своей рабочей станции или ноутбука.
Недавно в организации произошел инцидент, который выявил наличие ошибок в программном коде, способных приводить к сбою в работе программного обеспечения.
Отделом ИБ составлена модель нарушителя ИБ организации и выявлены категории нарушителей, которые могут воздействовать на организацию в целом, и на информационно-аналитический отдел, в частности: рядовые преступники/нарушители; преступные группировки, профессионалы; спецслужбы иностранных организаций; неблагоприятные события природного или техногенного характера.
3
Отдел Интернет-проектов. Отдел занимается разработкой веб-сайта организации, имеет доступ к содержанию веб-сайта и к официально публикуемой информации. Требования организации к конфиденциальности такой информации низкие, к целостности – средние, а к доступности – высокие.
Отдел оборудован стационарным компьютером и ноутбуком. Публичная отчетность, которую необходимо размещать на сайте организации, хранится в системе хранения, предоставляемой провайдером (PaaS).
Сотрудники отдела имеют право подключать и использовать сменные носители и обладают правом локального администрирования своей рабочей станции или ноутбука.
В последнее время в регионе, в котором расположена организация (а также организация провайдера) наблюдается всплеск активности преступных группировок и профессионалов.
4
Отдел внутреннего контроля и аудита. В отделе находится информация о результатах внутренних проверок организации. Требования организации к конфиденциальности такой информации высокие, к целостности – средние, а к доступности – несущественные.
Отдел оборудован стационарными рабочими станциями и сервером, имеющим прямое подключение к сети Интернет. В организации отсутствует надлежащая утилизация носителей информации и оборудования.
На сервере отдела установлено ПО сторонней компании, используемое при проведении аудита организации. Администрированием данного прикладного ПО занимается персонал сторонней организации. Недавно на сайте этой организации появилась информация о наличии ошибок в программном коде ПО, способных приводить к сбою в работе ПО.
В последнее время в регионе, в котором расположена организация наблюдается всплеск активности преступных группировок и профессионалов.
5
ИТ-отдел. Оперирует сведениями об ИТ-инфраструктуре организации. Требования организации к конфиденциальности данных сведений (информации) высокие, к целостности – средние, а к доступности – низкие.
В отделе установлен сервер баз данных, не имеющий прямого подключения к сети Интернет. К серверу подключены терминалы, с которых осуществляется доступ сотрудников отдела к серверу. У ИТ-администратора/начальника отдела имеется стационарная рабочая станция, также имеющая соединение с сервером.
Недавно в организации произошло неблагоприятное событие техногенного характера, в результате которого обнаружилось присутствие ошибок в программном коде, способных приводить к сбою в работе ПО сервера.
После этого на должность ИТ-администратора назначен новый сотрудник, не имеющий должного опыта работы на данной должности, т.е. с низкой квалификацией.
6
Архивный отдел. Хранятся личные дела сотрудников организации, в том числе их персональные данные. Требования к конфиденциальности такой информации высокие, к целостности – средние и к доступности – средние.
Архивные дела представлены в виде бумажных носителей информации. Также в помещении архива расположен сервер базы данных, не имеющий прямого подключения к сети Интернет, на котором ведется каталогизация архивных дел.
В архиве сложилась неблагоприятная рабочая обстановка из-за высокой запыленности помещения.
Также недавно в организации были массовые сокращения среди сотрудников, обладающих ограниченными правами, в том числе и среди сотрудников архивного отдела, что привело к снижению морального состояния оставшихся сотрудников. Позже произошло снижение зарплат сотрудников, что привело к оттоку высококвалифицированных работников из организации (следовательно, на освободившиеся должности назначались сотрудники с низкой квалификацией).
7
Информационно-аналитический отдел. В отделе находятся внутренние документы общего доступа. Требования организации к конфиденциальности такой информации несущественные, к целостности – средние, а к доступности – высокие.
Эти документы располагаются на файловом сервере, имеющем прямое подключение к сети Интернет. Сотрудники имеют доступ к серверу через терминалы (тонкие клиенты), установленные в отделе, а также сотрудники, работающие по удаленному доступу через сеть Интернет, имеют доступ к серверу через мобильные технические средства, выданные им организацией.
Для доступа к серверу сотрудникам выдаются простые для запоминания пароли.
В последнее время в регионе, в котором расположена организация, наблюдается всплеск активности преступных группировок и профессионалов.
Также данный регион признан регионом с высоким уровнем террористической опасности из-за активных действий террористов и террористических организаций.
8
Почтово-секретарский отдел. Обрабатываются сведения о деятельности органов управления. Требования организации к конфиденциальности такой информации высокие, к целостности – несущественные, к доступности – средние.
В отделе располагаются стационарные рабочие станции и неэлектронные носители информации (бумажные документы).
У отдела заключен договор со сторонней организацией о поставке и обслуживании прикладного программного обеспечения. По договору у персонала сторонней организации, который будет осуществлять обслуживание ПО, имеется доступ на уровне пользователя к данной информационной системе.
Также в помещении данного отдела находится водопроводная коммуникация, которая может стать источником неблагоприятных событий техногенного характера.
9
Отдел информационной безопасности. В отделе расположены сведения о системе информационной безопасности. Требования организации к конфиденциальности такой информации критичные, к целостности – средние, к доступности – средние.
Отдел оборудован файловым сервером, не имеющим прямого подключения к сети Интернет, и стационарными рабочими станциями, подключенными к данному серверу. Также в отделе находятся электронные носители информации.
Недавно в организации произошло неблагоприятное событие техногенного характера, которое выявило наличие ошибок в программном коде, способных приводить к сбою в работе ПО отдела. Ведущий инженер отсутствовал на рабочем месте во время этого события и отдел не смог оперативно среагировать на данный инцидент. Инженера уволили, но его идентификаторы доступа еще не заблокированы.
10
Бухгалтерия. В отделе работают со сведениями о бухгалтерском и налоговом учете. Требования организации к конфиденциальности такой информации минмиальные, к целостности – высокие, к доступности – средние.
Отдел оборудован стационарными и мобильными рабочими станциями. Также часть информации располагается на электронных носителях информации. Из отдела выходят линии связи, располагающиеся за пределами организации.
Помимо сотрудников доступ в отдел имеет также обслуживающий персонал (уборщики, электрики, в том числе работников сторонних организаций). Сотрудники отдела при подготовке квартальных отчетов имеют возможность использовать электронные носители со сведениями о бухгалтерском и налоговом учете за перделами территории организации.
Передача информации ведется по каналам связи в открытом виде.
В последнее время в регионе, в котором расположена организация, наблюдается всплеск активности спецслужб иностранных государств.