Часть 3. Изучение законодательной базы в области информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №2
Информационные угрозы. Классификация угроз безопасности. Государственное регулирование информационной безопасности
Цель:
- научиться идентифицировать угрозы информационной безопасности;
- познакомиться со справочно-правовой системой «Консультант Плюс». Освоить поиск необходимых нормативных документов;
- познакомиться с правовыми документами, направленными на поддержание законодательного уровня обеспечения информационной безопасности. Научиться аннотировать правовые документы.
Указание: работа рассчитана на два занятия (4 часа).
Часть 1: Информационные угрозы. Классификация угроз безопасности
Теоретические сведения
Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию.
Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации.
Классификация угроз информационной безопасности:
Угрозы конфиденциальности
· хищение (копирование) информации, средств ее обработки, носителей;
· утрата (неумышленная потеря, утечка) информации, средств ее обработки и носителей;
· несанкционированное ознакомление, распространение.
|
|
Угрозы доступности
· блокирование информации;
· уничтожение информации и средств ее обработки (носителей);
· блокирование канала передачи информации и средств обработки информации.
Угрозы целостности
· модификация (искажение) информации;
· отрицание подлинности информации;
· навязывание ложной информации, обман;
· уничтожение информации.
Хищение – совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.
Копирование компьютерной информации – повторение и устойчивое запечатление информации на машинном или ином носителе.
Уничтожение – внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.
Уничтожение компьютерной информации – стирание ее в памяти ЭВМ.
Повреждение – изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.
|
|
Модификация компьютерной информации – внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.
Блокирование компьютерной информации – искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.
Несанкционированное уничтожение, блокирование модификация, копирование информации – любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.
Обман (отрицание подлинности, навязывание ложной информации) – умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений
Информационные угрозы могут быть обусловлены:
· естественными факторами;
· антропогенными факторами.
Антропогенные факторы, подразделяются на:
1. угрозы, носящие случайный, неумышленный характер;
2. угрозы, обусловленные умышленными, преднамеренными действиями людей.
|
|
Задание:
Заполните таблицу следующего вида, указав соответствующий нарушаемый аспект системы информационной безопасности
Таблица 1. Виды реализаций информационных угроз
№ | Реализация угрозы | Аспект системы |
1. | Разглашение информации о поставках сотрудником отдела | Конфиденциальность |
2. | Случайная ошибка в договорах с поставщиками, допущенная работником отдела | Целостность |
3. | Кража документов по договорным отношениям с поставщиками | Конфиденциальность |
4. | Преднамеренное удаление базы по поставкам конкурентом при непосредственном доступе к серверу или компьютеру | Доступность |
5. | Получение конкурентами информации об объемах и графиках поставок из переписки с поставщиками | Конфиденциальность |
6. | Кража конкурентами договоров на поставку | Доступность |
7. | Специальное внесение изменений в базу графиков и объемов поставок конкурентом при его непосредственном доступе к серверу или компьютеру | Целостность |
8. | Непосредственный доступ конкурента к компьютеру или серверу и кража информации | Конфиденциальность |
9. | Уничтожение документов по договорам и базы поставок в результате пожара | Доступность |
10. | Внедрение конкурентом через сеть Интернет или внутреннюю сеть, в сервер или компьютер, про граммы для передачи ему всей обрабатываемой и хранимой там информации | Конфиденциальность |
11. | Преднамеренное удаление базы по поставкам конкурентом путем доступа из внешней сети интернет или локальной сети | Доступность |
12. | Кража сервера или компьютера с информацией о поставках | Конфиденциальность |
13. | Кража базы данных по графикам и объемам поставок в результате доступа внешнего нарушителя из сети Интернет или внутренней сети | Конфиденциальность |
14. | Специальное внесение изменений в базу графиков и объемов поставок конкурентом из внешней или внутренней сети | Целостность |
15. | Случайное удаление сотрудником отдела базы данных или файлов с сервера или рабочей станции | Доступность |
16. | Специальное внесение изменений в данные об отпускных ценах сотрудником отдела по данным конкурента | Целостность |
17. | Утрата сотрудником отдела внешнего носителя информации с информацией о поставках | Доступность |
|
|
Доступные аспекты для выбора и использования: Конфиденциальность / Доступность / Целостность
Часть 2. Поиск нормативных документов, регламентирующих информационную безопасность и защиту информации с помощью СПС «Консультант+»
Цель: познакомиться со справочно-правовой системой «Консультант Плюс». Освоить поиск необходимых нормативных документов
Примечание: Для выполнения задания используйте некоммерческую интернет-версию системы КонсультантПлюс онлайн, предоставляющую круглосуточно в свободном доступе основные документы федерального законодательства и списки всех документов с краткой информацией (справками).
http://www.consultant.ru/online/
Задание:
1) С помощью СПС «КонсультантПлюс» найти нормативные документы, регламентирующие информационную безопасность и защиту информации по заданной теме. Выбрать вариант в соответствии с номером студента по журналу.
Вариант 9
Документы об аттестации объектов информатизации по требованиям безопасности информации
Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
2.1. Организационную структуру системы аттестации объектов информатизации образуют:
- федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации - Гостехкомиссия России;
- органы по аттестации объектов информатизации по требованиям безопасности информации;
- испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
- заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
2.2. Федеральный орган по сертификации и аттестации осуществляет следующие функции:
- организует обязательную аттестацию объектов информатизации;
- создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
- устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
- организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
- аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
- осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
- рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
- организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.
2.3. Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.
2.4. Органы по аттестации:
- аттестуют объекты информатизации и выдают "Аттестаты соответствия";
- осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
- отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
- формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
- ведут информационную базу аттестованных этим органом объектов информатизации;
- осуществляют взаимодействие с Гостехкомиссией России и ежеквартально информируют его о своей деятельности в области аттестации.
2.5. Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на объекте информатики, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации".
2.6. Заявители:
- проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
- привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
- предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
- привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
- осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
- извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
- предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию
2) Систематизировать названия найденных документов по типам (положение, кодекс, закон, указ, приказ и т.п.). Результат оформить в виде таблицы (см. ниже). Для каждого названия документа ввести краткое резюме (основную мысль данного документа) – не более 2–3 предложений.
Таблица 2
№ | Название документа | Вид документа | Выходные данные | Краткая аннотация |
1. | ||||
2. | ||||
3. |
Часть 3. Изучение законодательной базы в области информационной безопасности
Цель: познакомиться с нормативными актами различных уровней на предмет информационной безопасности. Научиться аннотировать правовые документы.
Задание:
1) Найти и нормативные акты различных уровней на предмет информационной безопасности. Для получения необходимых сведений студент может использовать любые источники, в том числе интернет. Базовым инструментом является система Консультант Плюс.
Дата добавления: 2020-12-22; просмотров: 286; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!