Критические процессы в организации ЯрГУ им. П.Г. Демидова
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Ярославский государственный университет им. П.Г. Демидова»
(ЯрГУ)
Математический факультет
Кафедра компьютерной безопасности и математических методов обработки информации
ОТЧЁТ ПО ПРАКТИКЕ
Студента (ки) Дороговой Ирины Борисовны
Курс 4 форма обучения: очная, внебюджетная учебная группа: ИБ-41БО
Направление подготовки (специальность):
10.03.01 Информационная безопасность
Вид практики: преддипломная
Способ проведения практики: стационарная
Сроки практики: с 16.05.2020 по 14.06.2020 (4нед.)
База практики: кафедра КБ и ММОИ ЯрГУ им. П.Г.Демидова
Руководитель практики от организации-базы практики:
Саханда Алексей Владимирович, ст. преп. кафедры КБ и ММОИ
Ярославль 2020 г.
СОДЕРЖАНИЕ
1. Отзыв руководителя. 3
2. Постановка задач. 5
3. Индивидуальное задание. 6
4. Дневник практики. 11
5. Процесс работы.. 13
6. Заключение. 20
Отзыв руководителя
Студентка 4 курса математического факультета Ярославского государственного университета имени П.Г.Демидова Дорогова Ирина Борисовна, за время прохождения практики с 16.05.2020 по 14.06.2020 на кафедре компьютерной безопасности и математических методов обработки информации, проявила себя как ответственный, добросовестный и заинтересованный работник.
|
|
|
Во время прохождения практики:
Изучила:
— нормативно-правовые документы в области защиты информационной безопасности;
— требования и приобрела практические навыки в ведении и оформлении научной и технической документации;
— методы анализа и моделирования угроз безопасности КИИ.
Выполнила:
— провела анализ, систематизировала и обобщила информацию по исследуемой теме, а также анализ её научной и практической значимости;
— получила необходимые профессиональные навыки в работе по избранному направлению будущей деятельности.
Показала, что умеет:
— организовывать работу, выделять главное, находить и пользоваться источниками информации.
За время прохождения практики, Дорогова Ирина показала высокий уровень теоретической подготовки, полученный во время обучения в ЯрГУ им. П.Г.Демидова. К выполнению заданий подходила творчески, с инициативой, проявляла стремления к овладению новыми знаниями и навыками.
Показала себя грамотным специалистом в области защиты информации.
В отношениях с коллегами тактична, вежлива, готова помочь им при возникновении вопросов или решении спорных ситуаций.
|
|
|
Дорогова Ирина добросовестно выполнила все поставленные задачи, успешно прошла практику, заслуживает оценки «отлично».
Руководитель практики: ________________________________________________________
(Ф.И.О.)
____________ __________________
(Подпись) (Дата)
Постановка задач
Основная задача: приобретение опыта в исследовании проблемы защиты информационной инфраструктуры субъектов КИИ, а также изучить необходимые нормативно-правовые акты по этой проблеме.
Во время преддипломной практики, необходимо:
Изучить:
— источники информации по теме выпускной квалификационной работы (ВКР), которые использовать в дальнейшем для написания ВКР;
— исследовать вопросы информационной безопасности;
— требования к оформлению научно-технической документации.
Выполнить:
— проанализировать, систематизировать и обобщить информацию по теме ВКР;
— проанализировать научную и практическую значимость исследований.
Цели:
— систематизация, расширение, закрепление и углублению теоретических профессиональных знаний, полученных в результате изучения дисциплин направления и специальных дисциплин профильной программы подготовки;
|
|
|
— получить навыки в самостоятельном проведении исследований и экспериментов;
— получить практические навыки в работе по избранному направлению специализированной подготовки.
Индивидуальное задание
Индивидуальным заданием было изучение вопроса: «Выявление критических процессов организации и оценка системы на принадлежность к критической информационной инфраструктуре, и её категорирование».
Для каждого выявленного процесса должна быть оценка критичности его нарушения с точки зрения возможных негативных последствий. В соответствии с разъяснениями ФСТЭК России, критический процесс им становится, если есть соответствующие последствия в любом масштабе, даже если они по своему масштабу не превышают нижний порог показателей 3-ей категорий значимости, поэтому оцениваются не масштабы возможных последствий, а сам факт их возможности.
Критериев оценки критичности нарушения процессов в 127 ПП не определено, поэтому необходимо использовать «Перечень критериев значимости объектов и их значения» из Приложения к 127 ПП. Соответственно, нужно определить для каждого рассматриваемого процесса способно ли его нарушение повлечь последствие, соответствующее критериям значимости из 127 ПП.
|
|
|
Рассмотрим это на примере ЯрГУ им. П.Г. Демидова. При оценке критичности взяты лишь часть процессов. Оценка критичности процессов выполняется на этапе обследования, и её результаты отражаются в таблице 1:
Таблица 1
Критические процессы в организации ЯрГУ им. П.Г. Демидова
| № п/п | Наименование процесса | |
| 1 | Реализация образовательных программ, подготовка специалистов разного профиля в соответствии с госзаказом | |
| 2 | Проведение научных исследований, экспертных и аналитических работ | |
| 3 | Распространение современных научных знаний, в т.ч. зарубежного научного опыта | |
| 4 | Научно-методическое и кадровое обеспечение развития науки | |
| 5 | Создание условий для подготовки научными и педагогическими работниками диссертаций на соискание ученых степеней | |
| 6 | Проведение работ, связанных с использованием сведений составляющих гостайну, оказание услуг по защите гостайны | |
| 7 | Содействие интеграции науки и образования в международное научно-исследовательское и образовательное пространство | |
| 8 | Организация и проведение фундаментальных и поисковых научных исследований, и использование их в образовательном процессе | |
| 9 | Выполнение заказов на научные исследования и разработки | |
| 10 | Продвижение образовательных и исследовательских программ в международное образовательное и научное пространство | |
| 11 | Управление правами на результаты интеллектуальной деятельности | |
| 12 | Создание средств защиты информации | |
| 13 | Информационное обеспечение структурных подразделений университета | |
| 14 | Создание, развитие, применение информационных сетей, баз данных, программ | |
| 15 | Написание, издание и тиражирование учебных пособий, методических и периодических изданий | |
| 16 | Комплектование, хранение, учет и использование архивных документов, образовавших в процессе деятельности | |
| 17 | Организация питания | |
| 18 | Проведение конференций, семинаров и иных мероприятий | |
| 19 | Управление персоналом | |
| 20 | Бухгалтерский учет | |
| 21 | Контрольно-пропускной режим | |
| 22 | Видеонаблюдение | |
| 23 | Обслуживание IT-инфраструктуры | |
| 24 | Обслуживание инженерных систем (пожарная, сигнализации, электропитание и т.д.) | |
| 25 | Работа с обращениями клиентов | |
| 26 | Претензионная и судебная работа | |
| … | … |
Ряд процессов, таких как № 15, 17, 21, 24, 25, 26 и т.д. — необходимо отделять от процесса обучения, проведение научных и аналитических работ. В свою очередь эти процессы связаны и взаимодействуют со всеми другими процессами, но, как правило, все вышеперечисленные процессы могут функционировать и без них. Например, сам факт нарушения контроля доступа или видеофиксации не влечёт какого-то ущерба, поэтому данные процессы должны выделяться отдельно и, в большинстве случаев, они не будут являться критическими. При этом необходимо учитывать потенциальное влияние на другие процессы.
В настоящее время, ЯрГУ им. П.Г. Демидова функционирует как единый научно-исследовательский комплекс: осуществляет свою деятельность и взаимодействует с НИИ учреждениями и организациями в рамках выполнения научно-исследовательских работ, и оказанием услуг, в соответствии с действующим законодательством Российской Федерации, иными нормативными актами РФ, приказами ФСТЭК и ФСБ России, а также Уставом университета.
Основные виды деятельности:
— деятельность по образовательным программам;
— научая деятельность;
— организация и проведение общественно-значимых мероприятий в сфере образования, науки и молодёжной политики.
Дополнительные виды деятельности:
— научные исследования в области общественных, гуманитарных и технических наук, относящихся к основным видам деятельности, для граждан и юр. лиц за плату.
Иные виды деятельности:
Университет также вправе заниматься хозрасчётными видами деятельности.
Этими видами деятельности он может заниматься только при получении лицензии, на указанные виды деятельности. Идентификация объектов КИИ, функционирующих в сфере «Наука», осуществляется в соответствии с ФЗ от 23.08.1996 №127-ФЗ «О науке и государственной научно-технической политике», где есть определение, помогающее в самоопределении субъектов КИИ.
«Подразделение (совокупность структурных подразделений), которое создано научной организацией и (или) образовательной организацией, располагает научным и (или) технологическим оборудованием, квалифицированным персоналом и обеспечивает в интересах 3-х лиц выполнение работ и оказание услуг для проведения научных исследований, а также осуществления экспериментальных разработок».
Далее — в соответствии ФЗ от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», субъектами КИИ признаются госучреждения, функционирующие в одной из 14 сфер деятельности (в нашем случае, функционирует в сфере «Наука») и имеющая ИС. Таким образом, на основании вышеизложенного можно сделать вывод о том, что ЯрГУ им. П.Г. Демидова является субъектом КИИ.
Используя перечень критериев значимости объектов КИИ и их значения из Приложения к 127 ПП, рассматриваем каждый процесс и выясняем, способно ли его нарушение повлечь последствие соответствующим критериям значимости из 127 ПП.
В Заключении делаем вывод о том, что негативных социальных, политических, экономических последствий и последствий для обороны страны, безопасности государства и правопорядка не выявлено и отсутствует необходимость присвоения одной из категорий значимости. Это Заключение хранится в организации до вывода из эксплуатации соответствующих объектов КИИ или до изменения решений, принятых в Заключении из-за изменений в работе организации или самих объектов КИИ.
P.S. При выявлении одной из категории значимости у объекта КИИ, происходит процедура категорирования, процесс которой показан на рис.1:
Рис.1 Процедура категорирования
Дневник практики
Календарно-тематический план-график практики, сведения о выполняемой работе:
| № п/п | Вид деятельности | Календарный срок предполагаемого выполнения / в т.ч. кол-во часов | Дата (число месяц год) | Наименование работы | Кол-во отработ-анных часов | Оценка по итогам выпол-нения работы | Подпись руководителя практики от организации |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 1 | Установочные мероприятия | 16.05.2020
2 часа | 16.05.2020 | Участие в установочной конференции. | 1 | ||
| Ознакомление с нормативными документами ЯрГУ. | 1 | ||||||
| 2 | Процесс работы | 18.05.2020 – 10.06.2020
209 часов | 18.05.2020 | Прохождение общего инструктажа, инструктажа по технике безопасности, пожарной безопасности | 4 | ||
| 19.05.2020 | Встреча с руководителем практики и обсуждение с ним плана работ, постановки задач, ознакомление с местом работы. | 1 | |||||
| 19.05.2020 – 22.05.2020 | Изучение правовых документов в области защиты информации: Указы Президента, ПП, приказы ФСБ и ФСТЭК и другие ведомственные документы. | 5 | |||||
| 25.05.2020 – 27.05.2020 | Подбор материалов для выполнения выпускной квалификационной работы (ВКР) | 5 | |||||
| 28.05.2020 – 02.06.2020 | Изучение материалов для ВКР | 80 | |||||
| 02.06.2020 – 9.06.2020 | Написание глав ВКР и их редакция | 105 | |||||
| 9.06.2020 – 10.06.2020 | Оформление ВКР | 9 | |||||
| 3 | Отчёт о прохождении практики | 11.06.2020
2 часа | 11.06.2020 | Написание отчёта о прохождении практики | 1 | ||
| 11.06.2020 | Получение отзыва от руководителя практики | 1 | |||||
| 4 | Итоговые мероприятия | 12.05.2020 – 15.06.2020
3 часа | 12.06.2020 | Предоставление отчёта о прохождении практики на кафедру | 1 | ||
| 15.06.2020 | Итоговая конференция | 2 |
Процесс работы
В ходе работы, использовались следующие нормативно-правовые документы, которые в дальнейшем использовались для написания ВКР:
— Федеральный закон от 21.07.2011 №256 «О безопасности объектов ТЭК»;
— Приказ ФСТЭК России от 11.02.2013 №17 «О защите информации, не составляющей гостайну…»;
— Приказ ФСТЭК России от 18.02.2013 №21 «О персональных данных»;
— Указ Президента РФ от 15.01.2013 №31с «О создании ГосСОПКА»;
— Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в АСУ»;
— «Доктрина информационной безопасности РФ» (Утв. Указом Президента РФ от 05.12.2016 №646);
— Стратегия развития информационного общества в РФ на 2017-2030 годы.
И уже в свете новых требований к вопросам обеспечения информационной безопасности был принят Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В процессе прохождения практики, мной были написаны следующие главы для выпускной квалификационной работы:
Введение
Используемые определения, термины
Используемые сокращения
Общая информация
1. Исследование вопроса обеспечения безопасности критической информационной инфраструктуры
Вопрос исследования безопасности КИИ можно представить в виде схемы, представленной на рис.2:
Рис. 2 Критические системы информационной инфраструктуры
Из рис.2 складывается представление о серьёзных угрозах информационной безопасности Российской Федерации.
2. Определение принадлежности к субъектам КИИ
Порядок работ по категорированию субъектов КИИ (рис.3):
Рис.3 Порядок работ по категорированию объектов КИИ
2.1 Субъекты КИИ, которым принадлежат системы, работающие в 14 сферах
2.2 Субъекты, обеспечивающие взаимодействие с объектами КИИ
3. Создание комиссии по категорированию
4. Формирование перечня критических процессов субъекта КИИ
4.1 Определение критических процессов
4.2 Формирование перечня критических процессов
4.3 Выявление критических процессов в организации
4.4 Оценка системы на принадлежность к критической информационной инфраструктуре и её категорирование
5. Формирование перечня объектов КИИ, подлежащих категорированию
5.1 Формирование перечня объектов
5.2 Передача перечня объектов, подлежащие категорированию в ФСТЭК России
6. Категорирование объектов КИИ
6.1 Определение категории объектов КИИ
6.2 Определение категории значимых объектов КИИ
6.3 Оформление и передача в ФСТЭК России результатов категорирования
Внесение сведений в Реестр значимых объектов КИИ показан на рис. 4:
Рис .4 Порядок внесений сведений в Реестр значимых объектов КИИ
6.4 Внесение изменений в результаты категорирования
7. Безопасность критической информационной инфраструктуры
7.1 Обеспечение безопасности объектов КИИ
О безопасности КИИ (рис.5):
Рис.5 О безопасности КИИ
Требования к обеспечению безопасности значимых объектов (ЗО) КИИ (рис.6):
Рис .6 Требования к обеспечению безопасности
Особенности реализации требований безопасности значимых объектов (рис.7):
Рис .7 Особенности реализации требований
Средства системы безопасности значимых объектов (рис.8):
Рис.8 Средства системы безопасности значимых объектов
7.2 Анализ возможных источников угроз и действий, предполагаемых нарушителем
7.3 Разработка модели угроз безопасности объектов КИИ
Силы системы безопасности значимых объектов (рис.9):
Рис.9 Силы системы безопасности значимых объектов
Комплексный подход к безопасности значимых объектов КИИ включает в себя следующие составные части (рис. 10):
Рис.10 Комплексный подход к безопасности значимых объектов КИИ
7.4 Оценка масштаба последствий и соотнесения со значениями показателей категории
8. Взаимодействие с ФСТЭК и ФСБ России по КИИ
8.1 Взаимодействие и ответственность ФСТЭК и ФСБ России по КИИ
8.2 Проблемы взаимодействия ФСТЭК и ФСБ России
8.3 Создание ГосСОПКА
8.4 Создание НКЦКИ
8.5 Взаимодействие с ГосСОПКА (сроки и требования информирования об инцидентах)
Заключение
Заключение
В ходе прохождения практики, мною были получены теоретические знания и практические навыки в области защиты информационной инфраструктуры субъектов КИИ, а также получены знания в области юриспруденции в этих вопросах.
Неоценимую роль при этом сыграла теоретическая подготовка и знания, полученные в ходе учёбы в ЯрГУ им. П.Г.Демидова.
Считаю, что все полученные теоретические знания и практические навыки помогут мне в дальнейшей работе.
Дата добавления: 2021-07-19; просмотров: 247; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!