Проблемная ситуация в сфере информационной безопасности
ГАОУ СПО СКСЭиП
Методические указания
к выполнению практических работ по дисциплине "Информационная безопасность"
Михайлова Т.В.
Стерлитамак
2015 год
Содержание:
Пояснительная записка. 5
Практическая работа № 1. 6
«Анализ рисков информационной безопасности»
Практическая работа № 2. 9
«Обеспечение информационной безопасности в ведущих зарубежных странах»
Практическая работа № 3. 11
«Построение концепции информационной безопасности предприятия»
Практическая работа № 4. 16
«Процедура аутентификации пользователя на основе пароля»
Практическая работа № 5. 22
«Программная реализация криптографических алгоритмов»
Практическая работа №6. 30
«Механизмы контроля целостности данных»
Практическая работа № 7. 35
«Алгоритмы поведения вирусных и других вредоносных программ»
Практическая работа № 8. 41
«Алгоритмы предупреждения и обнаружения вирусных угроз»
Практическая работа № 9. 48
«Пакеты антивирусных программ»
Дополнительно: Домашнее задание. 51
на тему "Построение VPN на базе программного обеспечения"
Список использованных источников и рекомендуемой литературы: 53
Практическая работа № 1
«Анализ рисков информационной безопасности»
- Цель работы
Ознакомиться с алгоритмами оценки риска информационной безопасности.
- Краткие теоретические сведения
Риск ИБ – потенциальная возможность использования определенной угрозойуязвимостейактива или группы активов для причинения вреда организации.
Уязвимость- слабость в системе защиты, делающая возможной реализацию угрозы.
Угроза ИБ - совокупность условий и факторов, которые могут стать причиной нарушений целостности, доступности, конфиденциальности информации.
Информационный актив – это материальный или нематериальный объект, который:
- является информацией или содержит информацию,
- служит для обработки, хранения или передачи информации,
- имеет ценность для организации.
Задание
1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»
2. Ознакомьтесь с Приложениями C, Dи Е ГОСТа.
3. Выберите три различных информационных актива организации (см. вариант).
4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.
5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.
6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.
Содержание отчета
1. Титульный лист
2. Содержание
3. Задание
4. Обоснование выбора информационных активов организации
5. Оценка ценности информационных активов
6. Уязвимости системы защиты информации
7. Угрозы ИБ
8. Оценка рисков
9. Выводы
Варианты
Вариант – номер по списку в журнале.
Номер варианта
| Организация
| Метод оценки риска
(см. Приложение Е
ГОСТа)
|
| Отделение коммерческого банка
|
|
| Поликлиника
|
|
| Колледж
|
|
| Офис страховой компании
|
|
| Рекрутинговое агентство
|
|
| Интернет-магазин
|
|
| Центр оказания государственных услуг
|
|
| Отделение полиции
|
|
| Аудиторская компания
|
|
| Дизайнерская фирма
|
|
| Офис интернет-провайдера
|
|
| Офис адвоката
|
|
| Компания по разработке ПО для сторонних организаций
|
|
| Агентство недвижимости
|
|
| Туристическое агентство
|
|
| Офис благотворительного фонда
|
|
| Издательство
|
|
| Консалтинговая фирма
|
|
| Рекламное агентство
|
|
| Отделение налоговой службы
|
|
| Офис нотариуса
|
|
| Бюро перевода (документов)
|
|
| Научно проектное предприятие
|
|
| Брачное агентство
|
|
| Редакция газеты
|
|
| Гостиница
|
|
| Праздничное агентство
|
|
| Городской архив
|
|
| Диспетчерская служба такси
|
|
| Железнодорожная касса
|
|
Практическая работа № 2.
«Обеспечение информационной безопасности в ведущих зарубежных странах»
- Цель работы
Ознакомление с основными принципами обеспечения информационной безопасности в ведущих зарубежных странах.
- Краткие теоретические сведения
Обеспечение защиты информации волновало человечество всегда. В процессе эволюции цивилизации менялись виды информации, для её защиты применялись различные методы и средства.
Процесс развития средств и методов защиты информации можно разделить на три относительно самостоятельных периода:
Наблюдаемые в последние годы тенденции в развитии информационных технологий могут уже в недалеком будущем привести к появлению качественно новых (информационных) форм борьбы, в том числе и на межгосударственном уровне, которые могут принимать форму информационной войны, а сама информационная война станет одним из основных инструментов внешней политики, включая защиту государственных интересов и реализацию любых форм агрессии. Это является одной из причин, почему полезно ознакомиться с основными принципами обеспечения ИБ в ведущих зарубежных странах.
Другая причина заключается в том, что большинство применяемых на территории РФ средств и методов обеспечения ИБ основаны на импортных методиках и строятся из импортных компонентов, которые были разработаны в соответствии с нормами и требованиями по обеспечению ИБ стран-изготовителей. В связи с этим прежде чем приступить к изучению непосредственно технологий и средств обеспечения ИБ, следует познакомиться с политикой ИБ ведущих зарубежных стран.
- Задание
- Подготовить краткий доклад по заданному вопросу (см. вариант), используя учебное пособие Аверченкова, В.И. "Системы защиты информации в ведущих зарубежных странах" и другие доступные источники информации.
- Заполнить таблицу " Системы обеспечения ИБ в ведущих зарубежных странах "(см. вариант) на основе подготовленного материала, а также докладов других студентов.
- Провести анализ собранной информации и сделать выводы.
- Содержание отчета
1. Титульный лист
2. Содержание
3. Задание
4. Таблица "Системы обеспечения ИБ в ведущих зарубежных странах"
5. Выводы
Варианты
Вариант – номер по списку в журнале.
Страна
| Основные принципы обеспечения ИБ
| Основные документы в области обеспечения ИБ
| Структура государственных органов обеспечения национальной ИБ
| США
|
|
|
| Евросоюз
|
|
|
| Великобритания
|
|
|
| Швеция
|
|
|
| Франция
|
|
|
| Германия
|
|
|
| Китай
|
|
|
| Япония
|
|
|
| Швейцария
|
|
|
|
Практическая работа № 3
«Построение концепции информационной безопасности предприятия»
- Цель работы
Знакомство с основными принципами построения концепции ИБ предприятия, с учетом особенностей его информационной инфраструктуры.
- Краткие теоретические сведения
До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности. Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Концепция информационной безопасности используется для:
· принятия обоснованных управленческих решений по разработке мер защиты информации;
· выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
· координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
· и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.
Задание
Используя предложенные образцы, разработать концепцию информационной безопасности компании (см. вариант), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):
Общие положения
Назначение Концепции по обеспечению информационной безопасности.
1.2. Цели системы информационной безопасности
1.3. Задачи системы информационной безопасности.
Проблемная ситуация в сфере информационной безопасности
2.1. Объекты информационной безопасности.
2.2. Определение вероятного нарушителя.
2.3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.
2.4. Основные виды угроз информационной безопасности Предприятия.
· Классификации угроз.
· Основные непреднамеренные искусственные угрозы.
· Основные преднамеренные искусственные угрозы.
2.5. Общестатистическая информация по искусственным нарушениям информационной безопасности.
2.6. Оценка потенциального ущерба от реализации угрозы (см. Практическую работу № 1).
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|