Лабораторная работа №2 по дисциплине: "Планирование и управление информационной безопасностью" ДО СИБГУТИ. Вариант №5.

Лабораторная работа 2
Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager
По дисциплине: Планирование и управление информационной безопасностью.
1. Цель работы
Изучить способы проведения оценки рисков информационной системы в программе «R-Vision: SGRC», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.

2. Регистрация в системе
Авторизация в системе R-Vision SGRC
1. Заходим на сайт: https://demo-sibsau1.rvision.ru/login
2. Введим логин и пароль (admin / admin). Галочку «запомнить меня» НЕ ставить!
Для проведения лабораторной работы студентам предлагается выбрать тип предприятия, для которого проводятся мероприятия обеспечения информационной безопасности (Приложение А).

Вариант №5
Частная медицинская клиника «Добрый Доктор» Мирошниченко.
Профиль организации: здравоохранение.
Структура: главный офис, научная лаборатория, стационар.
Бизнес-процессы: главный офис занимается предоставлением Сервисов и услуг; лаборатория занимается Исследованиями и разработкой; стационар занимается Обслуживанием клиентов/населения.
Информационные активы: в главном офисе обрабатываются Персональные данные посетителей; научная лаборатория обрабатывает Методологическую информацию по оказанию организацией услуг (информация для служебного использования); стационар работает с Персональными данными клиентов-физических лиц.
Домен: dd
Персонал: 1 директор, 3 специалиста по работе с клиентами в главном офисе, 4 научных работника в лаборатории, 4 медработника в стационаре.
Помещения: 3 помещения в бизнес-центре в Центральном районе г. Новосибирска для главного офиса, 1 здание в Дзержинском районе г. Новосибирска для стационара, 2 помещения в Советском районе г. Новосибирска для лаборатории.
Оборудование:
12 рабочих станции с операционной системой Windows 7;
В главном офисе расположена Серверная:
кластер СУБД Oracle (2 Серверных машины);
сервер CRM «ЗдравКлиент»;
сервер АС «Электронная регистратура»;
сервер Windows Server 2008 (ActiveDirectory).
Сети:
10.0.1.1 – 10.0.1.254– подсеть главного офиса
10.0.2.1-10.0.2.20 – подсеть лаборатории
10.0.3.1-10.0.3.20 – подсеть стационара
Инциденты:
Несанкционированный доступ к информации в главном офисе.
Проникновение посторонних лиц на территорию лаборатории.
Сбой/отказ в работе технических средств в стационаре.
Документы по ИБ, утвержденные в компании:
Политика обработки и защиты персональных данных, действие которой распространяется на главный офис и стационар.
Порядок уничтожения конфиденциальной информации, применяемый в научной лаборатории.
Защитные меры: выберите защитные меры для актива «Персональные данные посетителей».
Замечания:
Не уничтожены бумажные носители информации, содержащие персональные данные клиентов, после окончания сроков их обработки в стационаре.
Проводится обработка персональных данных посетителей без получения от них согласия в письменной форме в главном офисе.
Задача:
Внедрить средства парольной защиты на рабочих станциях организации.
Оценка рисков проводится для актива «Персональные данные клиентов-физических лиц».
Источники угроз: выберите источники из категории «Техногенные и природные источники».
Предпосылки: выберите предпосылки из категорий «Предпосылки, связанные с действиями персонала» и «Предпосылки, связанные с используемым прикладным и общесистемным программным обеспечением».
Защитные меры, указываемые при оценке риска: выберите меры из категории «Обеспечение безопасности при взаимодействии с третьими сторонами».
Мероприятия по обработке рисков:
Для риска №1 – Внедрение защитной меры. Выберите меру с высокой степенью эффективности.
Для риска №2– Уход от риска с низкой степенью эффективности.
Для риска №3 – Передача риска со средней степенью эффективности.

3. Задание на выполнение
Далее рассмотрено пошаговое заполнение данных о предприятии в R – Vision SGRC. Введим в систему данные о предприятии моего варианта в соответствии с приведенным выше планом, ответим на контрольные вопросы.
3.1 Активы:
Информационные активы – это информационные ресурсы или средства обработки информации организации (ГОСТ Р ИСО/ТО 13569 2007). В данном разделе содержатся данные как по бизнес-активам организации (информационные активы, бизнес-процессы, персонал), так и по ИТ-активам (оборудование, ПО, сети и т.д.).
3.1.1 Организация
3.1.2. Бизнес-процесс
3.1.3 Информация
3.1.4 Домен
3.1.5 Персонал
3.1.6 Помещение
3.1.7 Оборудование
3.1.8 Сети
3.2 Инциденты
3.3 Меры защиты
3.3.1 Документы
3.3.2 Защитные меры
3.4 Замечания
3.5 Задачи
3.6 Риски
3.6.1 Оценка риска
3.6.2 Идентификация рисков
3.6.3 Мероприятия по обработки рисков
Вывод по проделанной работе

Лабораторная работа 2 24.04.2021 25.04.2021 Зачет Уважаемый Мирошниченко Иван Алексеевич, Отчет зачтен. Киселев Антон Анатольевич