Лабораторные работы 1-2 по дисциплине: Планирование и управление информационной безопасностью. Вариант №26

Лабораторная работа 1
Использование Microsoft Security Assessment Tool (MSAT)

1 Цель работы
Ознакомиться и получить практические навыки работы с программные продукты для оценки рисков.

2 Характеристика деятельности организации

ЭЛТЕКС – ведущий российский разработчик и производитель телекоммуникационного оборудования. Все владельцы компании, включая директора предприятия, являются гражданами Российской Федерации. Основной деятельностью компании является разработка и производство телекоммуникационного и сетевого оборудования, промышле******************

------------------------------------------------------------------------------

5 Ответы на контрольные вопросы:
1) Что подразумевается под оценкой рисков?
2) Удобно ли использование данной программы при оценке информационной безопасности в государственных организаций? Почему?
3) Какие разделы для поднятия точности результата вы бы добавили в программу при выполнении вашего индивидуального задания? Какие бы убрали?
4) Удобно ли использование данной программы при оценке информационной безопасности в государственных организаций? Почему?

------------------------------------------------------------------------------

Содержание:

1 Цель работы 
2 Характеристика деятельности организации 
3 Результат индивидуального задания 
3.1 Понимание рисков 
3.2 Процесс MSAT 
3.3 Обзор средства оценки 
3.4 Выполнение работы 
4 Полезные рекомендации программы 
5 Ответы на контрольные вопросы 
6 Выводы по проделанной работе 
Список использованных источников 

=============================================
=============================================

Лабораторная работа 2
Проведение оценки рисков информационной безопасности
на базе продукта «R-Vision: SGRC

Цель работы

Изучить способы проведения оценки рисков информационной системы в программе «R-Vision: SGRC», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.

Вариант задания 12

Промышленное предприятие АО ПО «Новосибирский приборостроительный завод».

Профиль организации: приборостроение.

Структура: завод в Новосибирске, 2 представительства в Москве и Санкт-Петербурге.

Бизнес-процессы: завод занимается Производством оптических приборов, фото- и кинооборудования; представительства осуществляют Продажу произведенного товара.

Информационные активы: при производстве приборов используются Сведения, содержащие государственную тайну (для внутреннего пользования), в рамках деятельности по продаже в представительствах используются Персональные данные клиентов (для внутреннего пользования).

Домен: shvabenpz

Персонал: 1 генеральный директор, 115 работников цеха, 17 сотрудников в офисе завода, 7 сотрудников представительства в Москве и 6 сотрудников представительства в Санкт-Петербурге.

Помещения: завод расположен в отдельном здании г. Новосибирска, 4 кабинета в г. Москве и 3 кабинета в г. Санкт-Петербурге.

Оборудование:
25 рабочих станций с ОС Windows 7 и 5 с ОС Linux;
2 сервера СУБД IBM;
3 сервераWindows Server 2008 (Active Directory).
Сети: 10.24.1.1 – 10.24.1.50 – подсеть завода; 10.0.1.1-10.0.1.15 – подсеть представительства в Москве; 192.168.1.1-192.168.1.15 – подсеть представительства в Санкт-Петербурге.

Инциденты:
Непреднамеренное разглашение сотрудником сведений, содержащих государственную тайну.
Кража/утеря оборудования в цеху.
Несанкционированный доступ к конфиденциальной информации в представительстве в г. Москве.

Документы по ИБ, утвержденные в компании:
Политика информационной безопасности.
Политика обработки и защиты персональных данных, действие которой распространяется на всю структуру.
Политика обработки и защиты сведений, содержащих государственную тайну.

Защитные меры: выберите защитные меры для активов «Персональные данные клиентов» и «Сведения, содержащие государственную тайну».

Замечания:
Невнимательное размещение сотрудниками в социальных сетях фото из цеха и офиса завода, которое может повлечь за собой разглашение государственной тайны.
Отсутствует СКУД на входе в цех.

Задача:
Внедрить системы контроля и управления доступом на территории завода.
Ввести на постоянной основе регулярный инструктаж сотрудников.

Оценка рисков проводится для актива «Сведения, содержащие государственную тайну».
Источники угроз: выберите источники из категорий «Внутренние антропогенные источники» и «Внешние антропогенные источники».

Предпосылки: выберите предпосылки из категорий «Общеорганизационные предпосылки» и «Предпосылки, связанные с взаимодействием с третьими сторонами».

Защитные меры, указываемые при оценке риска: выберите меры из категорий «Управление информационной безопасностью» и «Обеспечение безопасности при взаимодействии с третьими сторонами».

Мероприятия по обработке рисков:
Для риска №1 – Внедрение защитной меры. Выберите меру с высокой степенью эффективности.
Для риска №2 – Разовое мероприятие со средней степенью эффективности.
Для риска №3 – Совершенствование защитной меры с высокой степенью эффективности.
Для риска №4 – Передача риска с низкой степенью эффективности.

------------------------------------------------------------------------------

8 Контрольные вопросы:
1) Что такое информационный актив?
2) Какими способами заполняется информация о сетевом оборудовании и структуре сети?
3) Существует ли возможность завести для одного и того же сотрудника несколько учётных записей?
4) Существует ли возможность создавать новый тип информационного актива, а не пользоваться ранее созданными?
5) Что такое инцидент информационной безопасности?
6) Каков жизненный цикл инцидента ИБ?
7) Какие уровни ущерба предусмотрены при создании нового инцидента в R-Vision-SGRS?
8) Какие меры могут быть предприняты по итогам инцидента? (приведите примеры)
9) Каким образом можно посмотреть - с какими объектами ИТ-инфраструктуры связан документ?
10) Какие типы документа можно добавлять в систему в качестве организационной защитной меры?
11) Какая категория пользователей имеет возможность создавать замечания?
12) Каков жизненный цикл задачи?
13) Что в рамках R-Vision-SGRS считается вторичным информационным активом?
14) Какими способами заполняется информация об обнаруженных уязвимостях?
15) При помощи какого инструмента участники комиссии по расследованию инцидента могут оставлять свои комментарии по поводу инцидента?
16) Какая категория пользователей имеет возможность создавать замечания?

------------------------------------------------------------------------------

Содержание:

Цель работы 
Вариант задания
1 Активы 
1.1 Организация, филиалы 
1.2 Бизнес процессы 
1.3 Информация
1.4 Домен 
1.5 Персонал 
1.6 Помещение 
1.7 Оборудование 
1.8 Программное обеспечение 
1.9 Сети 
2 Инциденты 
3 Система защиты 
3.1 Документы 
3.2 Защитные мера 
4 Аудит и контроль 
5 Задачи 
6 Риски 
7 Отчёты 
8 Контрольные вопросы 
Список использованных источников 

=============================================

Проверил(а): Киселев Антон Анатольевич
Оценка: Зачет
Дата оценки: 12.07.2023г.

Помогу с вашим вариантом, другой работой, дисциплиной или онлайн-тестом.
E-mail: sneroy20@gmail.com
E-mail: ego178@mail.ru