|
Планирование и управление информационной безопасностью Вар 5
|
|
| engineerklub | Дата: Пятница, 05.11.2021, 08:17 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 37290
Статус: Offline
| Планирование и управление информационной безопасностью" ДО СИБГУТИ. Вариант №5
Тип работы: Работа Лабораторная
Сдано в учебном заведении: ДО СИБГУТИ
Описание:
Лабораторная работа 1
Знакомство с возможностями программного комплекса Microsoft Security Assessment Tool (MSAT)
По дисциплине: Планирование и управление информационной безопасностью.
1 Цель
Ознакомиться и получить практические навыки работы с программные продукты для оценки рисков.
2 Теоретические положения
Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) — это бесплатное средство, разработанное чтобы помочь организациям оценить уязвимости в ИТ-средах, предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз. MSAT — это простой, экономичный способ приступить к усилению безопасности вычислительной среды предприятия. Начните процесс, сделав снимок текущего состояния безопасности, и затем используйте MSAT для постоянного отслеживания способности инфраструктуры отвечать на угрозы.
В корпорации Microsoft основным приоритетом является безопасность сетей, бизнес-серверов, компьютеров конечных пользователей, мобильных устройств и данных наших клиентов. Мы намерены предоставлять средства безопасности, подобные MSAT, чтобы помочь клиентам повысить безопасность бизнеса.
Понимание рисков
MSAT разработан, чтобы помочь в определении и устранении угроз безопасности в ИТ-среде. Это средство применяет целостный подход к измерению уровня безопасности и охватывает такие темы, как персонал, процессы и технологии.
MSAT предоставляет следующие возможности:
• понятную, исчерпывающую и постоянную осведомленность об уровне безопасности;
• инфраструктуру эшелонированной защиты, соответствующую отраслевым стандартам;
• подробные, постоянные отчеты, сравнивающие базовые показатели с достигнутыми успехами;
• проверенные рекомендации и расставленные по приоритетности действия для улучшения безопасности;
• структурированные рекомендации от Microsoft и отрасли.
Процесс MSAT
MSAT состоит из более чем 200 вопросов, охватывающих инфраструктуру, приложения, операции и персонал. Вопросы, связанные с ними ответы и рекомендации выводятся из общепринятых практических рекомендаций, стандартов, таких как ISO 17799 и NIST-800.x, а также рекомендаций и предписаний от группы надежных вычислений Microsoft и других внешних источников по безопасности.
Оценка разработана для определений бизнес-рисков организации и мер безопасности, развернутых для их смягчения. Концентрируясь на распространенных проблемах, вопросы были разработаны для предоставления высокоуровневой оценки рисков, заключенных в технологии, процессах и персонале, поддерживающих бизнес.
Начиная с серии вопросов о бизнес-модели компании, средство создает профиль бизнес-риска (BRP), измеряя риск, связанный с действиями компании, согласно отраслевым и бизнес-моделям, определенным BRP. Вторая серия вопросов предназначена для составления списка мер безопасности, развернутых компанией с течением времени. Вместе эти меры безопасности образуют уровни защиты, предоставляя большую защищенность от угроз безопасности и конкретных уязвимостей. Каждый уровень вносит вклад в комбинированную стратегию глубокой защиты. Их сумма именуется индексом глубокой защиты (DiDI). Затем BRP и DiDI сравниваются, чтобы измерить распределение угроз по областям анализа — инфраструктуре, приложениям, операциям и людям.
СКАЧАТЬ
|
| |
|
|
| engineerklub | Дата: Пятница, 05.11.2021, 08:18 | Сообщение # 2 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 37290
Статус: Offline
| Вдобавок к измерению соответствия защиты угрозам безопасности это средство также измеряет зрелость безопасности организации. Зрелость безопасности относится к эволюции надежной безопасности и поддерживаемых практик. На нижнем уровне существуют немногие способы защиты и действия заключаются в реагировании. На верхнем уровне установленные и проверенные процессы позволяют компании действовать проактивно и при необходимости отвечать более эффективно и единообразно.
Для среды предлагаются способы управления рисками путем учета существующих технологий, текущего уровня безопасности и стратегий глубокой защиты. Предложения разработаны, чтобы пользователь смог перейти к проверенным на практике удачным решениям.
Эта оценка — включая вопросы, измерения и рекомендации — разработана для организаций среднего размера, содержащих от 50 до 1500 настольных систем. Она предназначена для широкого охвата областей потенциального риска в среде, а не для предоставления глубокого анализа конкретных технологий или процессов. Как следствие, средство не может оценивать эффективность примененных мер безопасности. Это средство следует использовать как предварительное руководство, помогающее в разработке базовых показателей для концентрации на конкретных областях, требующих более пристального внимания. Исходя из руководства, предоставленного MSAT, и реализованных действий по обеспечению безопасности, средство можно запускать так часто, как нужно, для получения дальнейшей информации о прогрессе относительно базовых показателей, установленных в отчете MSAT.
Обзор средства оценки
Данное средство безопасности Microsoft Security Assessment Tool разработано для помощи в определении и устранении угроз безопасности в вычислительной среде. Это средство применяет целостный подход к измерению уровня безопасности, охватывая такие темы, как персонал, процессы и технологии. Находки соединены с предписаниями и рекомендованными усилиями по смягчению рисков, включая ссылки на дополнительные отраслевые руководства, по мере необходимости. Эти руководства могут помочь в пополнении знаний о конкретных целях и методах, которые могут помочь в изменении уровня безопасности ИТ-среды.
Оценка состоит из более чем 200 вопросов, разбитых на четыре категории.
• Инфраструктура;
• Приложения;
• Эксплуатация;
• Персонал.
Вопросы, составляющие опросную часть средства, и связанные с ними ответы извлечены из общепринятых практических рекомендаций по безопасности как общих, так и конкретных. Предлагаемые вопросы и рекомендации основаны на общепринятых стандартах, таких как ISO 17799 и NIST-800.x, а также рекомендациях и предписаниях от группы надежных вычислений Microsoft и других внешних источников по безопасности.
3 Выполнение работы
3.1 Характеристика информационной безопасности ПАО «Ростелеком»
СКАЧАТЬ
|
| |
|
|
| engineerklub | Дата: Пятница, 05.11.2021, 08:19 | Сообщение # 3 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 37290
Статус: Offline
| Тип работы: Работа Лабораторная
Сдано в учебном заведении: ДО СИБГУТИ
Описание:
Лабораторная работа 2
Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager
По дисциплине: Планирование и управление информационной безопасностью.
1. Цель работы
Изучить способы проведения оценки рисков информационной системы в программе «R-Vision: SGRC», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.
2. Регистрация в системе
Авторизация в системе R-Vision SGRC
1. Заходим на сайт: https://demo-sibsau1.rvision.ru/login
2. Введим логин и пароль (admin / admin). Галочку «запомнить меня» НЕ ставить!
Для проведения лабораторной работы студентам предлагается выбрать тип предприятия, для которого проводятся мероприятия обеспечения информационной безопасности (Приложение А).
Вариант №5
Частная медицинская клиника «Добрый Доктор» Мирошниченко.
Профиль организации: здравоохранение.
Структура: главный офис, научная лаборатория, стационар.
Бизнес-процессы: главный офис занимается предоставлением Сервисов и услуг; лаборатория занимается Исследованиями и разработкой; стационар занимается Обслуживанием клиентов/населения.
Информационные активы: в главном офисе обрабатываются Персональные данные посетителей; научная лаборатория обрабатывает Методологическую информацию по оказанию организацией услуг (информация для служебного использования); стационар работает с Персональными данными клиентов-физических лиц.
Домен: dd
Персонал: 1 директор, 3 специалиста по работе с клиентами в главном офисе, 4 научных работника в лаборатории, 4 медработника в стационаре.
Помещения: 3 помещения в бизнес-центре в Центральном районе г. Новосибирска для главного офиса, 1 здание в Дзержинском районе г. Новосибирска для стационара, 2 помещения в Советском районе г. Новосибирска для лаборатории.
Оборудование:
12 рабочих станции с операционной системой Windows 7;
В главном офисе расположена Серверная:
кластер СУБД Oracle (2 Серверных машины);
сервер CRM «ЗдравКлиент»;
сервер АС «Электронная регистратура»;
сервер Windows Server 2008 (ActiveDirectory).
Сети:
10.0.1.1 – 10.0.1.254– подсеть главного офиса
10.0.2.1-10.0.2.20 – подсеть лаборатории
10.0.3.1-10.0.3.20 – подсеть стационара
Инциденты:
Несанкционированный доступ к информации в главном офисе.
Проникновение посторонних лиц на территорию лаборатории.
Сбой/отказ в работе технических средств в стационаре.
Документы по ИБ, утвержденные в компании:
Политика обработки и защиты персональных данных, действие которой распространяется на главный офис и стационар.
Порядок уничтожения конфиденциальной информации, применяемый в научной лаборатории.
Защитные меры: выберите защитные меры для актива «Персональные данные посетителей».
СКАЧАТЬ
|
| |
|
|
| engineerklub | Дата: Пятница, 05.11.2021, 08:19 | Сообщение # 4 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 37290
Статус: Offline
| Замечания:
Не уничтожены бумажные носители информации, содержащие персональные данные клиентов, после окончания сроков их обработки в стационаре.
Проводится обработка персональных данных посетителей без получения от них согласия в письменной форме в главном офисе.
Задача:
Внедрить средства парольной защиты на рабочих станциях организации.
Оценка рисков проводится для актива «Персональные данные клиентов-физических лиц».
Источники угроз: выберите источники из категории «Техногенные и природные источники».
Предпосылки: выберите предпосылки из категорий «Предпосылки, связанные с действиями персонала» и «Предпосылки, связанные с используемым прикладным и общесистемным программным обеспечением».
Защитные меры, указываемые при оценке риска: выберите меры из категории «Обеспечение безопасности при взаимодействии с третьими сторонами».
Мероприятия по обработке рисков:
Для риска №1 – Внедрение защитной меры. Выберите меру с высокой степенью эффективности.
Для риска №2– Уход от риска с низкой степенью эффективности.
Для риска №3 – Передача риска со средней степенью эффективности.
3. Задание на выполнение
Далее рассмотрено пошаговое заполнение данных о предприятии в R – Vision SGRC. Введим в систему данные о предприятии моего варианта в соответствии с приведенным выше планом, ответим на контрольные вопросы.
3.1 Активы:
Информационные активы – это информационные ресурсы или средства обработки информации организации (ГОСТ Р ИСО/ТО 13569 2007). В данном разделе содержатся данные как по бизнес-активам организации (информационные активы, бизнес-процессы, персонал), так и по ИТ-активам (оборудование, ПО, сети и т.д.).
3.1.1 Организация
3.1.2. Бизнес-процесс
3.1.3 Информация
3.1.4 Домен
3.1.5 Персонал
3.1.6 Помещение
3.1.7 Оборудование
3.1.8 Сети
3.2 Инциденты
3.3 Меры защиты
3.3.1 Документы
3.3.2 Защитные меры
3.4 Замечания
3.5 Задачи
3.6 Риски
3.6.1 Оценка риска
3.6.2 Идентификация рисков
3.6.3 Мероприятия по обработки рисков
Вывод по проделанной работе
СКАЧАТЬ
|
| |
|
|
