СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ»

Стр 1 из 2Следующая ⇒

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

К ПРАКТИЧЕСКИМ ЗАНЯТИЯМ

по дисциплине

«КОМПЬЮТЕРНОЕ МОДЕЛИРОВАНИЕ

СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ»

Направление подготовки (cспециальность):

10.03.01 «Информационная безопасность»

Профиль подготовки:

«Организация и технология защиты информации»

Квалификация выпускника:

бакалавр

Форма обучения:

Очная, очно-заочная

Тула 2017 г.

Методические указания к практическим занятиям по дисциплине «Компьютерное моделирование систем защиты информации» составлены к.т.н., доцентом С.Ю. Борзенковой, рассмотрены, обсуждены и утверждены на заседании кафедры «Информационная безопасность» института прикладной математики и компьютерных наук.

протокол № от « » 20 г.

Зав. кафедрой А.А. Сычугов

Методические указания к практическим занятиям по дисциплине «Компьютерное моделирование систем защиты информации» пересмотрены, обсуждены и утверждены на заседании кафедры «Информационная безопасность» института прикладной математики и компьютерных наук.

протокол № от « » 20 г.

Зав. кафедрой А.А. Сычугов

Оглавление

Практическое занятие № 1.. 4

Практическое занятие №2.. 22

Практическое занятие №3.. 32

Практическое занятие №4.. 40

Практическое занятие №5.. 48

БИБЛИОГРАФИЧЕСКИЙ СПИСОК.. 57

ПРИЛОЖЕНИЕ 1.. 58

ПРИЛОЖЕНИЕ 2.. 93

ПРИЛОЖЕНИЕ 3.. 104

Практическое занятие № 1

Анализ рисков информационной безопасности с помощью построения модели информационных потоков

1. Цель работы: рассмотреть методику анализа рисков информационной безопасности с помощью построения модели информационной системы организации, средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель защищенности каждого вида информации. Реализовать методику средствами Excel.

Средства защиты:

Средство защиты	Вес средства защиты

Средства физической защиты

Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение)

Средства локальной защиты

Отсутствие дисководов и USB портов

Средства корпоративной сетевой защиты

. Межсетевой экран

Обманная система

Система антивирусной защиты на сервере

Средства резервирования и контроля целостности

Аппаратная система контроля целостности

1.1 .Средства защиты первой информации (бухгалтерский отчет):

Средство защиты	Вес средства защиты
Средства локальной защиты
Средства криптографической защиты (криптозащита данных на ПК)	20
Средства резервирования и контроля целостности
Резервное копирование	10
Программная система контроля целостности	10

При этом, сервером в данном примере будем считать компьютер, на котором несколько папок открыты для удаленного доступа.

1.2. Средства защиты второй информации (база клиентов Компании):

Средств защиты информации нет.

Средства защиты рабочей станции:

Средство защиты	Вес средства защиты

Средства физической защиты

Контроль доступа в помещение, где расположен ресурс (физическая охрана, дверь с замком, специальный пропускной режим в помещение) 10

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Средства персональной сетевой защиты

Персональный межсетевой экран 3 Система криптозащиты электронной почты 10

2.1 .Средства защиты информации (база данных наименований товаров Компании с их описанием):

Средство защиты	Вес средства защиты
Средства резервирования и контроля целостности
Резервное копирование	10
Программная система контроля целостности	10

3. Средства защиты клиентского места группы пользователей:

Средства защиты клиентского места бухгалтера (группа обычных пользователей)

Средство защиты	Вес средства защиты

Средства физической защиты

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Средства физической защиты

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Задание на практическое занятие

В результате выполнения работы:

1. провести инвентаризацию ресурсов;

2. Рассчитать значения риска для каждого ценного ресурса организации;

3. Рассчитать значения риска для ресурсов после задания контрмер (остаточный риск);

4. Проанализировать эффективность контрмер;

5. Дать рекомендации.

Варианты заданий приведены в приложении 1.

Порядок выполнения работы

1. Ознакомиться с примером ручного расчета рисков информационной системы на основе модели информационных потоков;

2. Согласно варианту в Приложении 1 к лабораторным работам найти необходимые данные для своей ИС.

3. Вручную рассчитать риск ИС.

4. Реализовать алгоритм анализа рисков на основе модели информационных потоков в программе Excel.

Содержание отчета

Отчет должен содержать:

· данные и результаты ручного расчета;

· обоснование выбора эффективности специфичных средств защиты;

· экранные формы процесса выполнения работы;

· краткие отчеты программы до и после введения контрмер;

· анализ рисков в ИС по отчетам;

· выводы.

Практическое занятие №2

Задание на практическое занятие

Провести расчет риска для ИС на основе модели угроз и уязвимостей согласно вариантам задания, приведенных в приложении 2.

Порядок выполнения работы

1. Ознакомиться с примером ручного расчета рисков информационной системы на основе модели угроз и уязвимостей;

2. Вручную рассчитать риск ИС для двух вариантов работы алгоритма (в денежных единицах и процентах).

3. Реализовать алгоритм анализа рисков на основе модели информационных потоков в программе Excel.

Содержание отчета

Отчет должен содержать:

· данные и результаты ручного расчета;

· обоснование выбора эффективности специфичных средств защиты;

· экранные формы процесса выполнения работы;

· краткие отчеты программы до и после введения контрмер;

· анализ рисков в ИС по отчетам;

· выводы.

Практическое занятие №3

Задание на практическое занятие

1. Ознакомиться с основными принципами метода Дельфи;

2. Определить перечень идентифицированных угроз и уязвимостей в соответствие с вариантом;

3. Получить экспертные оценки, используя 5-х соседей в качестве экспертов;

4. Определить наименьшую и наибольшую вероятности угроз и уязвимостей с помошью метода Дельфи (2-3 итерации);

5. Определить численные показатели цены нанесенного ущерба при реализации рассмотренных угроз и уязвимостей, сравнить с табличными значениями.

Варианты:

1. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.3; 4.5; 4.9

2. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.4; 4.10;

3. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.4; 4.10;

4. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.3; 4.9;

5. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.4; 4.10;

6. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.3; 4.5; 4.9

Порядок выполнения работы

Оценка рисков ИБ с помощью метода Дельфи (пример)

Исследуем следующий перечень идентифицированных угроз для вычислительным систем (взяты из каталога угроз BSI).

1. Force Majeure, Fire – форс-мажорные ситуации – пожар (T 1.4);

2. Software vulnerabilities or errors – уязвимые места в программах или ошибки (T 4.22);

3. Unauthorised use of rights – неавторизированное использование прав (T 2.7);

4. Insecure protocols in public networks – использование протоколов, не осуществляющих шифрацию данных (T 2.87);

5. Lack of or Inadequate IT Security Management – отсутствие или неадекватность управлением безопасности в информационных технологиях (T 2.66);

6. Inappropriate handling of passwords – несоответствующая парольная политика (T 3.43);

7. Negligent destruction of equipment or data – разрушение оборудования или данных из-за небрежности (T 3.2);

8. Interception of telephone calls and data transmissions – угроза перехвата информации при ее передаче по каналам связи (T 5.12);

9. Threat posed by internal staff during maintenance/administration work – предумышленная угроза от работников предприятия, занимающихся поддержанием и администрированием систем (T 5.16);

10. Computer viruses – компьютерные вирусы (T 5.23).

Соберем оценки от 5 экспертов по двум вопросам:

1. вероятность реализации каждой угрозы (от 0 до 1);

2. стоимость потерь при реализации каждой угрозы (0 – минимальные потери, 1 – максимальные).

Первый тур

Оценки вероятностей реализации конкретных угроз.

	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	0,2	0,7	0,3	0,7	0,8	0,9	0,85	1	0,5	1
Эксперт 2	0,3	0,9	0,5	0,3	0,5	0,3	0,9	0,6	1	0,6
Эксперт 3	0,1	0,75	0,6	0,4	0,6	0,4	0,5	0,8	0,1	0,8
Эксперт 4	0,5	0,5	0,7	0,8	0,1	0,6	0,7	0,3	0,2	0,5
Эксперт 5	0,25	0,8	0,6	0,5	0,7	0,5	0,6	0,8	0,4	0,7

Оценки стоимости потери при реализации угроз

	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	1	0,5	0,6	0,8	0,6	1	0,7	0,6	0,9	0,4
Эксперт 2	0,95	0,6	0,9	0,7	0,8	0,6	0,5	0,3	0,7	1
Эксперт 3	0,9	1	0,85	0,3	0,5	0,5	0,2	0,8	1	0,8
Эксперт 4	0,8	0,65	0,5	1	0,95	0,85	0,8	1	0,3	0,6
Эксперт 5	0,8	0,7	0,6	0,75	0,8	0,8	0,6	0,5	0,4	0,6

Вычислим медиану каждой из угроз и выберем квартили, выделив крайние значения.

Вероятности реализации
	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	0,2	0,7	0,3	0,7	0,8	0,9	0,85	1	0,5	1
Эксперт 2	0,3	0,9	0,5	0,3	0,5	0,3	0,9	0,6	1	0,6
Эксперт 3	0,1	0,75	0,6	0,4	0,6	0,4	0,5	0,9	0,1	0,8
Эксперт 4	0,5	0,5	0,7	0,8	0,1	0,6	0,7	0,3	0,2	0,5
Эксперт 5	0,8	0,7	0,6	0,75	0,8	0,8	0,6	0,5	0,4	0,6
M	0,3	0,7	0,6	0,7	0,6	0,6	0,7	0,6	0,4	0,6

Стоимость потерь
	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	1	0,5	0,6	0,8	0,6	1	0,7	0,6	0,9	0,4
Эксперт 2	0,95	0,6	0,9	0,7	0,8	0,6	0,5	0,3	0,7	1
Эксперт 3	0,9	1	0,85	0,3	0,5	0,5	0,2	0,8	1	0,8
Эксперт 4	0,8	0,65	0,5	1	0,95	0,85	0,8	1	0,3	0,6
Эксперт 5	0,85	0,7	0,55	0,5	1	0,7	0,4	0,5	0,8	0,8
M	0,9	0,65	0,6	0,7	0,8	0,7	0,5	0,6	0,8	0,8

Второй тур

Вероятности реализации
	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	0,2	0,7	0,3	0,7	0,7	0,9	0,85	0,9	0,5	1
Эксперт 2	0,3	0,7	0,5	0,3	0,5	0,4	0,8	0,6	1	0,6
Эксперт 3	0,2	0,75	0,6	0,4	0,6	0,4	0,5	0,9	0,2	0,8
Эксперт 4	0,5	0,5	0,6	0,8	0,1	0,6	0,7	0,3	0,2	0,6
Эксперт 5	0,4	0,6	0,5	0,5	0,3	0,5	0,6	0,7	0,5	0,7
M	0,3	0,7	0,5	0,5	0,5	0,5	0,7	0,7	0,5	0,7

Стоимость потерь
	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	0,9	0,6	0,6	0,8	0,6	0,8	0,7	0,6	0,9	0,4
Эксперт 2	0,95	0,6	0, 8	0,7	0,8	0,6	0,5	0,3	0,7	0,8
Эксперт 3	0,9	1	0,85	0,3	0,6	0,5	0,2	0,8	0,9	0,8
Эксперт 4	0,8	0,65	0,5	0,9	0,95	0,85	0,7	0,9	0,3	0,6
Эксперт 5	0,8	0,7	0,6	0,5	0,8	0,7	0,4	0,5	0,7	0,7
M	0,9	0,65	0,6	0,7	0,8	0,7	0,5	0,6	0,7	0,7

Третий тур

Вероятности реализации
	У1	У2	У3	У4	У5	У6	У7	У8	У9		У10
Эксперт 1	0,2	0,7	0,3	0,6	0,7	0,7	0,8	0,9	0,6		0,8
Эксперт 2	0,3	0,7	0,5	0,3	0,5	0,4	0,8	0,6	0,7		0,6
Эксперт 3	0,2	0,75	0,6	0,4	0,6	0,4	0,5	0,9	0,3		0,8
Эксперт 4	0,5	0,5	0,6	0,65	0,4	0,6	0,7	0,3	0,2		0,6
Эксперт 5	0,3	0,6	0,5	0,6	0,55	0,5	0,6	0,5	0,4		0,7
M	0,3	0,7	0,5	0,6	0,55	0,5	0,7	0,6	0,4		0,7

Стоимость потерь
	У1	У2	У3	У4	У5	У6	У7	У8	У9	У10
Эксперт 1	0,9	0,6	0,6	0,8	0,6	0,8	0,7	0,6	0,9	0,5
Эксперт 2	0,9	0,6	0,8	0,7	0,8	0,6	0,5	0,5	0,7	0,8
Эксперт 3	0,9	0,7	0,8	0,3	0,6	0,5	0,4	0,8	0,9	0,8
Эксперт 4	0,8	0,65	0,50	0,8	0,95	0,8	0,7	0,9	0,55	0,6
Эксперт 5	0,85	0,65	0,6	0,7	0,75	0,7	0,6	0,7	0,8	0,7
M	0,9	0,65	0,6	0,7	0,75	0,7	0,6	0,7	0,8	0,7

Для каждой из оценок "ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ" и "СТОИМОСТЬ ПОТЕРЬ" найдем вероятность риска по формуле РИСК=ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ * СТОИМОСТЬ ПОТЕРЬ.

Номер	1	2	3	4	5	6	7	8	9	10
Риск	0,27	0,4875	0,3	0,52	0,4125	0,35	0,42	0,42	0,40	0,49

Ранжируем угрозы по возрастанию риска.

1	3	6	5	9	7	8	2	10	4
0,27	0,3	0,35	0,4125	0,40	0,42	0,42	0,4875	0,49	0,52

Таким образом, наименьшая вероятность риска для угрозы «Force Majeure, Fire» (0,27), а наибольшая вероятность риска у угрозы «Insecure protocols in public networks» (0,52).

Таблица Л1 - Уязвимости и угрозы информационной безопасности

Уязвимости и угрозы

Р (вероятность реализации)

1 ОБЪЕКТИВНЫЕ УЯЗВИМОСТИ 1.1 Побочные излучения элементов технических средств

0,161

1.2 Излучения кабельных линий технических средств

0,15

1.3 Излучения на частотах работы генераторов

0,12

1.4 Наводки электромагнитных излучений на линии и проводники

0,04

1.5 Просачивание сигналов в цепи электропитания, в цепи заземления

0,04

1.6 Акустические излучения

0,161

1.7 Виброакустические излучения

0,161

Активизируемые

1.8 Аппаратные закладки, устанавливаемые в телефонные линии

0,577

1.9 Аппаратные закладки, устанавливаемые в помещениях

0,231

1.10 Вредоносные программы

0,577

1.11 Технологические выходы из программ

0,346

1.12 Нелегальные копии ПО

0,208

Определяемые особенностями элементов

1.13 Обладающие электроакустическими преобразованиями телефонные аппараты

0,326

1.14 Обладающие электроакустическими преобразованиями громкоговорители

0,326

1.15 Подверженные воздействию электромагнитного поля магнитные носители

0,136

1.16 Подверженные воздействию электромагнитного поля микросхемы

0,027

Определяемые особенностями защищаемого объекта

1.17 Отсутствие контролируемой зоны

0,636

1.18 Наличие прямой видимости объектов

0,79

1.19 Наличие удаленных и мобильных элементов объекта

0,79

1.20 Наличие вибрирующих отражающих поверхностей

0,474

1.21 Использование радиоканалов

0,79

1.22 Использование глобальных информационных сетей

0,79

1.23 Использование арендуемых каналов

0,79

2 СУБЪЕКТИВНЫЕ УЯЗВИМОСТИ

Ошибки (халатность)

2.1 При вводе данных (информации)

0,817

2.2 При включении/выключении технических средств

0,327

2.3 При эксплуатации программного обеспечения

0,327

2.4 При использовании средств обмена информацией

0,653

2.5 При настройке программного обеспечения

0,392

2.6 При настройке технических средств

0,49

2.7 При настройке штатных средств защиты программного обеспечения

0,817

2.8 Повреждение (удаление) программного обеспечения

0,817

2.9 Повреждение (удаление) данных

0,817

2.10 Повреждение (уничтожение) носителей информации

0,817

2.11 Повреждение каналов связи

0,49

Нарушения

2.12 Доступа к техническим средствам

0,505

2.13 Соблюдения конфиденциальности

0,79

2.14 Энергообеспечения

0,632

2.15 Жизнеобеспечения

0,316

2.16 Обработки и обмена информацией

0,79

2.17 Хранения и уничтожения носителей информации

0,632

2.18 Уничтожения производственных отходов и брака

0,632

Психогенные

2.19 Стрессовые ситуации

0,37

3 СЛУЧАЙНЫЕ УЯЗВИМОСТИ

Сбои и отказы

3.1 Отказы ТС обрабатывающих информацию

3.2 Отказы ТС обеспечивающих работоспособность средств обработки

0,6

3.3 Старение и размагничивание дискет и съемных носителей

3.4 Старение и размагничивание жестких дисков

3.5 Старение элементов микросхем

0,48

3.6 Старение кабелей и соединительных линий

0,24

3.7 Сбои операционных систем и СУБД

0,64

3.8 Сбои прикладных программ

0,32

3.9 Сбои сервисных программ

0,24

3.10 Сбои антивирусных программ

0,8

3.11 Сбои электропитания оборудования, обрабатывающего информацию

0,8

Косвенные причины

3.12 Географическое положение объекта и климатические условия

0,776

3.13 Физический износ оборудования и сооружений

0,776

3.14 Повреждения жизнеобеспечивающих коммуникаций

0,97

3.15 Физическое состояние субъекта

0,233

4 УГРОЗЫ

Р (вероятность реализации)

4.1 Хищение (копирование) информации и средств её обработки

0,19

4.2 Утрата (потеря, утечка) информации и средств её обработки

0,1

4.3 Модификация (искажение) информации

0,14

4.4 Отрицание подлинности информации

0,09

4.5 Навязывание ложной информации

0,06

4.6 Блокирование информации

0,17

4.7 Уничтожение информации и средств её обработки

0,11

4.8 Создание условий реализации угроз ИБ

0,14

Стихийные бедствия

4.9 Пожар

0,1

4.10 Ураган

0,08

Содержание отчета

Отчет представляет собой файл формата .xls, в котором произведены необходимые расчеты и показаны итоговые результаты.

Практическое занятие №4

Задание на практическое занятие

1. Ознакомиться с основными принципами метода анализа иерархий Саати;

2. Все угрозы и уязвимости, выделенные в соответствие с перечнем, приведенным угороз, проранжировать по вероятности реализации и стоимости потерь. Ранжировку произвести согласно методу анализа иерархий Саати;

3. На основании расчетов, произведенных в п.2, произвести ранжировку рисков по методу анализа иерархий Саати одновременно по двум критериям – вероятность реализации и цена потерь (используя метод анализа иерархий для нескольких критериев). Веса критериев «Вероятность реализации» и «Цена потерь» принять одинаковыми

4. При проведении расчетов оценивать степень согласованности мнений эксперта, проводящего парные сравнения (данные мнения должны быть обязательно согласованы – должно быть выполнено условие ОС < 0.15);

5. На основании выполненных расчетов в задании 5, разделить риски на приемлемые и не приемлемые.

Варианты:

1. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.3; 4.5; 4.9

2. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.4; 4.10;

3. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.4; 4.10;

4. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.3; 4.9;

5. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.1; 4.4; 4.10;

6. 1.1; 1.3; 1.5; 1.9 1.12; 1.17; 1.22; 2.1; 2.3; 2.5; 2.9; 2.12; 2.17; 3.1; 3.3; 3.5; 3.9; 3.14; 4.2; 4.3; 4.5; 4.9

Порядок выполнения работы

Оценка и анализ рисков ИБ с помощью метода анализа иерархий Саати.

Рассмотрим пример задачи ранжирования сетевых уязвимостей обнаруженных на файловом сервере SteamP (172.16.X.X) в соответствии с их значимостью для жизнедеятельности этого сервера.

Было выделено следующее множество уязвимостей:

· возможен доступ на запись/чтение к любым файлам на сервере;

· возможно несанкционированное создание файлов на сервере с последующим получение привилегий пользователя из под которого запущена служба smb;

· возможно исполнение произвольного кода, используя переполнение буфера в службе smb;

· возможна реализация отказа в обслуживании на сервер через службу smb;

· на сервере размещены зараженные вирусами файлы;

· возможно выполнение произвольного кода через службу lpd.

Ранжирование уязвимостей производилось на девяти бальной шкале Т. Саати.

Пусть в результате экспертных оценок парного сравнения уязвимостей получена следующая матрица парных сравнений (только для примера)

Матрица имеет следующий собственный вектор: ; ; ; ; ; (при максимальном собственном значении ). Соответственно данному вектору, уязвимости были ранжированы по их важности следующим образом (по номерам): 3, 2, 6, 4, 5, 1. Самая важная (критичная) с точки зрения жизнедеятельности сервера – узвимость «возможно исполнение произвольного кода, используя переполнение буфера в службе smb», самая неважная «возможен доступ на запись/чтение к любым файлам на сервере».

Пример.

Исследуем следующие угрозы для вычислительным систем.

· Force Majeure, Fire – форс-мажорные ситуации – пожар (T 1.4);

· Software vulnerabilities or errors – уязвимые места в программах или ошибки (T 4.22);

· Unauthorised use of rights – неавторизированное использование прав (T 2.7);

· Insecure protocols in public networks – использование протоколов, не осуществляющих шифрацию данных (T 2.87);

· Lack of or Inadequate IT Security Management – отсутствие или неадекватность управлением безопасности в информационных технологиях (T 2.66);

· Inappropriate handling of passwords – несоответствующая парольная политика (T 3.43);

· Negligent destruction of equipment or data – разрушение оборудования или данных из-за небрежности (T 3.2);

· Interception of telephone calls and data transmissions – угроза перехвата информации при ее передаче по каналам связи (T 5.12);

· Threat posed by internal staff during maintenance/administration work – предумышленная угроза от работников предприятия, занимающихся поддержанием и администрированием систем (T 5.16);

· Computer viruses – компьютерные вирусы (T 5.23).

Проведем сравнительный анализ данных угроз по степени серьезности происшествия.

Таблица Л4 - Сравнительный анализ данных угроз

X10

0,1429

0,2

0,125

0,3333

0,1429

0,25

0,2

0,1667

0,1111

0,2

0,3333

0,5

0,1111

0,2

0,3333

0,2

0,3333

0,2

0,1667

0,5

0,2

0,1429

0,125

0,2

0,5

0,3333

X10

0,1111

0,1667

0,1111

0,1429

0,3333

0,1429

Сравнение производится путем постановки каждой паре угроз (a_i, a_j) элемента a_ij, принимающего значения от 1 до 9 (на качественной шкале, предложенной Саати). В результате парного сравнения всех элементов формируется матрица парных сравнений A_n_*_n, где n – число сравниваемых элементов (n=10).

Далее вычисления производятся с помощью программы MathCad.

Вектор собственных значений вычислим с помощью функции eigenvals из MathCad. Получаем

12.173

0.051+3.500i

0.051-3.500i

-0.888+2.448i

-0.888-2.448i

-0.278+2.277i

-0.278-2.277i

0.245+1.300i

0.245-1.300i

-0.433

Максимальное собственное значение матрицы l_max=12.173.

Индекс согласованности (ИС) для него равен 2,173 / 9 = 0,241.

ОС=ИС/CC=0,241 / 1,49 = 0,162

Вообще говоря, при таком отношении согласованности сформированную матрицу нельзя считать согласованной, мнения эксперта здесь расходятся (либо он формально подошел к решению задачи). Для примера, рассчитаем собственный вектор матрицы A не повторяя опрос эксперта заново

Для максимального собственного значения матрицы A_n_*_n l_max=12.173 вычислим собственный вектор матрицы A_n_*_n (с помощью функции MathCad eigenvec). Таблица Л5.

В данном векторе отражены численные веса важности каждой из 10 угроз.

С точки зрения эксперта получено, что по наносимому ущербу наиболее серъезна угроза «Пожар» (с весом 0.565), а наименее опасна – «Computer viruses» (с весом 0.044).

Пример расчета весов для численного метода нахождения вектора w=(w₁,…,w_n) представлен далее.

Таблица Л5 - Собственный вектор матрицы A_n_*_n

Индекс угрозы	Название угрозы	Веса важности угроз
10	T5.23	0.044
8	T5.12	0.059
3	T2.7	0.064
4	T2.87	0.129
2	T4.22	0.136
9	T5.16	0.243
6	T3.43	0.310
7	T3.2	0.426
5	T2.66	0.548
1	T1.4	0.565

Для максимального собственного значения матрицы A_n_*_n l_max=12.173 вычислим собственный вектор матрицы A_n_*_n (с помощью функции MathCad eigenvec). Таблица Л6

Таблица Л6 - Собственный вектор матрицы A_n_*_n

Индекс угрозы	Название угрозы	Веса важности угроз
10	T5.23	0.044
8	T5.12	0.059
3	T2.7	0.064
4	T2.87	0.129
2	T4.22	0.136
9	T5.16	0.243
6	T3.43	0.310
7	T3.2	0.426
5	T2.66	0.548
1	T1.4	0.565

В данном векторе отражены численные веса важности каждой из 10 угроз.

Содержание отчета

Практическое занятие№5

Свойства матрицы

Предложенная модель представления СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые общие вопросы, начиная с любого из них. И когда вы пройдетесь по всем, то поймете что уже есть, а чего не хватает для достижения поставленной цели.

Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов матрицы соответствующими требованиями, получим достаточно полное техническое задание. Причем сформулировать эти требования можно на основе любых стандартов - международных, европейских, американских., российских, украинских…

Оценить эффективность создаваемой или уже функционирующей СЗИ можно использовать подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки. Существует много методов оценок, выбирайте любой понятный и прозрачный для вас. Наиболее популярный на сегодняшний день метод "Три П" - пол, палец, потолок.
Наглядно указанные свойства матрицы приведены на рис.9.

Рисунок 9. Свойства матрицы информационной безопасности

Программа Project . exe

Задание на практическое занятие

1. Ознакомиться с программой Project.exe.

2. Выполнить необходимые расчеты

Порядок выполнения работы

Программа оценки эффективности систем защиты информации "Оценка СЗИ"

Программа "Оценка СЗИ" иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы, описание которой приведено выше, она разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации. С помощью указанной программы осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному. Программа "Оценка СЗИ" реализована на языке программирования Delphi и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации. Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если вы, приступая к созданию системы защиты, не знаете с чего начать, попробуйте ответить на предлагаемые в матрице вопросы, начиная с любого из них. И когда вы пройдетесь по всем вопросам, то поймете что уже сделано, а чего не хватает для достижения поставленной цели. Если желаете поставить задачу на создание СЗИ, то заполнив 140 элементов (вопросов) матрицы соответствующими требованиями, получим достаточно полное техническое задание
Интерфейсы программы с некоторыми комментариями представлены на рисунках 10, 11, 12, 13. При внимательном рассмотрении можно узнать уже знакомую нам "матрицу знаний СЗИ" в несколько другом представлении.

На рис. 10. показан интерфейс ввода данных. Заказчик определяет необходимые требования к системе защиты и устанавливает заданный уровень безопасности в соответствующие элементы матрицы. Эксперты в процессе проведения оценки качества созданной системы защиты определяют реализован ли заданный уровень безопасности и свои оценки выставляют в тех же элементах матрицы, только в режиме "достигнутый"

Рис. 10. Интерфейс ввода данных

На рис. 11 можно посмотреть графическое представление количественных и качественных оценок по каждому из элементов матрицы. Здесь наглядно показано как сравнивается заданный уровень безопасности с достигнутым.

Рис. 11. Сравнение заданного и достигнутого уровней безопасности.

Далее с помощью интерфейса на рис. 12 имеется возможность получить представление о системе защиты в целом. Ее эффективность наглядно отражена графически, а также рассчитана в виде обобщенных показателей уровня безопасности (количественного и качественного)

Рис. 12. Графическое представление оценки эффективности СЗИ.

Не стоит забывать, что требования к СЗИ имеют разную степень важности, которую необходимо учитывать при расчетах, используя соответствующие коэффициенты важности. Интерфейс для ввода коэффициентов важности представлен на рис. 13.

Рис. 13. Интерфейс для ввода коэффициентов важности.

Содержание отчета

Отчет представляет собой файл, котором последовательно выполнены все пункты лабораторной работы.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

Основная литература

1. Девянин П.Н. Модели безопасности компьютерных систем : учебное пособие для вузов / П.Н.Девянин .— М. : Академия, 2008 .— 144с. : ил.

2. Куприянов А.И. Основы защиты информации : учеб. пособие / А.И.Куприянов, А.В.Сахаров, В.А.Шевцов .— 2-е изд.,стер. — М. : Академия, 2007 .— 256с. : ил.

3. 2. Шумский А.А. Системный анализ в защите информации : учебное пособие для вузов / А.А.Шумский, А.А.Шелупанов .— М. : Гелиос АРВ, 2005 .— 224с. : ил.

Дополнительная литература

1. Мельников В.П. Информационная безопасность и защита информации : учеб.пособие для вузов / В.П.Мельников, С.А.Клейменов,А.М. Петраков;под ред.С.А.Клейменова .— 3-е изд.,стер. — М. : Академия, 2008 .— 336с.

2. Хорев П.Б. Методы и средства защиты информации в компьютерных системах : учеб.пособие для вузов / П.Б.Хорев .— 3-е изд.,стер. — М. : Академия, 2007 .— 256с. : ил.

3. Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2008. – 368 с.

Периодические издания

1) Вестник компьютерных и информационных технологий: научно-технический и производственный журнал.— М. : Машиностроение

2) Информационные технологии: теоретический и прикладной научно-технический журнал.- М.: Новые технологии

Список Интернет-ресурсов:

- http://citforum.ru/ - Учебные материалы на различные темы для пользователей

- www.securitylab.ru Обзор новостей, новых программ на компьютерную тематику

ПРИЛОЖЕНИЕ 1

Варианты для практического занятия № 1

Вариант 1.

Исходные данные:

Информационная система состоит из двух ресурсов: сервер и рабочей станции, которые находятся в одной сетевой группе. На сервере хранятся: бухгалтерский отчет и база Клиентов. На рабочей станции – база данных наименований товаров.

К серверу локальный доступ имеет группа пользователей: главный бухгалтер

К серверу удаленный доступ имеют группы пользователей (ко второй информации – база клиентов): бухгалтер (с рабочей станции), финансовый директор (через сеть Интернет)

К рабочей станции локальный доступ имеет группа пользователей (к базе данных наименований товаров): бухгалтер.

Средства защиты сервера:

Средство защиты	Вес средства защиты

Средства физической защиты

Контроль доступа в помещение, где расположен ресурс 25

Средства локальной защиты

Отсутствие дисководов и USB портов 10

Средства локальной защиты

Средства криптографической защиты (криптозащита данных на ПК) 20

Средства физической защиты

Контроль доступа в помещение, где расположен 10

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Средства физической защиты

Контроль доступа в помещение, где расположен ресурс 10

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Средства физической защиты

Контроль доступа в помещение, где расположен ресурс 10

Средства локальной защиты

Отсутствие антивирусной защиты (антивирусный монитор) 10 Отсутствие дисководов и USB портов 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства локальной защиты

Средства криптографической защиты 20

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10

Средства локальной защиты

Средства криптографической защиты 20

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства локальной защиты

Средства криптографической защиты 20

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства локальной защиты

Средства криптографической защиты 20

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие дисководов и USB портов 10 Отсутствие антивирусной защиты 10

Средства физической защиты

Контроль доступа в помещение 10

Средства локальной защиты

Отсутствие антивирусной защиты 10

1.1. Средства защиты информации первой рабочей станции (бухгалтерский баланс)

Средство защиты	Вес средства защиты
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

2.1. Средства защиты информации второй рабочей станции (база данных производства)

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

3.1. Средства защиты информации третьей рабочей станции

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

4.2. Средства защиты места бухгалтера:

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

4.3. Средства защиты места сотрудника отдела кадров

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

Задание:

1. Определить права доступа: при локальном доступе – чтение, запись, удаление

При удаленном доступе – чтение или чтение, запись

2. Определить наличие выхода в Интернет, VPN - соединения

3. Оценить риск информации по угрозе целостности

(Риск информации оценивается по каждой взаимосвязи «субъект – объект»)

4.Ущерб от реализации угроз по каждой угрозе оценить в 100 у.е.

Вариант 6.

Исходные данные:

Информационная система состоит из трех ресурсов: сервер и две рабочие станции, которые находятся в одной сетевой группе. На сервере хранится бухгалтерский баланс, на первой рабочей станции – база данных о товарах, на второй рабочей станции – база данных договоров.

К серверу локальный доступ имеет группа пользователей (к бухгалтерскому балансу): президент

К первой рабочей станции локальный доступ имеет группа пользователей (к информации о товарах): первый заместитель

К первой рабочей станции удаленный доступ имеет группа пользователей (к информации о товарах): президент (через сеть Интернет), второй заместитель (через вторую рабочую станцию)

Ко второй рабочей станции локальный доступ имеет группа пользователей (к информации о договорах): второй заместитель

Ко второй рабочей станции удаленный доступ имеет группа пользователей (к информации о договорах): президент (через сеть Интернет), первый заместитель (через первую рабочую станцию)

1. Средства защиты сервера:

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Средства локальной защиты
Средства криптографической защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие дисководов и USB портов	10
Отсутствие антивирусной защиты	10
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

1.1. Средства защиты информации первой рабочей станции (бухгалтерский баланс)

Средство защиты	Вес средства защиты
Средства локальной защиты
Средства криптографической защиты	20
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

2.1. Средства защиты информации второй рабочей станции (база данных производства)

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

3.1. Средства защиты информации третьей рабочей станции

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

4.2. Средства защиты места бухгалтера:

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

4.3. Средства защиты места сотрудника отдела кадров

Средство защиты	Вес средства защиты
Средства физической защиты
Контроль доступа в помещение	10
Средства локальной защиты
Отсутствие антивирусной защиты	10

Задание:

1. Определить права доступа: при локальном доступе – чтение, запись, удаление

При удаленном доступе – чтение или чтение, запись

2. Определить наличие выхода в Интернет, VPN - соединения

3. Оценить риск информации по угрозе целостности

(Риск информации оценивается по каждой взаимосвязи «субъект – объект»)

4.Ущерб от реализации угроз по каждой угрозе оценить в 100 у.е.

Вариант 13.

Исходные данные:

К серверу локальный доступ имеет группа пользователей (к бухгалтерскому балансу): президент

1. Средства защиты сервера:

Средство защиты

Вес средства защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Отсутствие антивирусной защиты

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие дисководов и USB портов

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства локальной защиты

Средства криптографической защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

Средства физической защиты

Контроль доступа в помещение

Средства локальной защиты

Отсутствие антивирусной защиты

ПРИЛОЖЕНИЕ 2

Варианты для практического занятия 2

Вариант 1.

1. Исходные данные:

Ценность информационных ресурсов составляет: 250 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	20	60
Угроза2/Уязвимость 2.1.	80	40
Угроза3/Уявимость3.1.	75	50
Угроза3/Уязвимость3.2.	30	10
Угроза3/Уязвимость3.3.	20	55
Угроза4/Уязвимость4.1.	40	65
Угроза4/Уязвимость4.2.	50	30
Уроза5/Уязвимость5.1.	10	20
Угроза5/Уязвимость5.2.	15	35
Угроза6/Уязвимость6.1.	20	65
Угроза6/Уязвимость6.2.	60	20

Вариант 2.

1. Исходные данные:

Ценность информационных ресурсов составляет: 2 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	30	50
Угроза2/Уязвимость 2.1.	70	50
Угроза3/Уявимость3.1.	80	40
Угроза3/Уязвимость3.2.	20	50
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	30	70
Угроза4/Уязвимость4.2.	20	30
Уроза5/Уязвимость5.1.	20	20
Угроза5/Уязвимость5.2.	50	60
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	50	40

Вариант 3.

1. Исходные данные:

Ценность информационных ресурсов составляет: 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	10	70
Угроза2/Уязвимость 2.1.	60	30
Угроза3/Уявимость3.1.	50	40
Угроза3/Уязвимость3.2.	40	20
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	60	70
Угроза4/Уязвимость4.2.	30	40
Уроза5/Уязвимость5.1.	20	30
Угроза5/Уязвимость5.2.	20	40
Угроза6/Уязвимость6.1.	30	70
Угроза6/Уязвимость6.2.	50	30

Вариант 4.

1. Исходные данные:

Ценность информационных ресурсов составляет: 4 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	40	50
Угроза2/Уязвимость 2.1.	60	40
Угроза3/Уявимость3.1.	20	50
Угроза3/Уязвимость3.2.	40	20
Угроза3/Уязвимость3.3.	30	60
Угроза4/Уязвимость4.1.	50	70
Угроза4/Уязвимость4.2.	30	20
Уроза5/Уязвимость5.1.	20	60
Угроза5/Уязвимость5.2.	30	40
Угроза6/Уязвимость6.1.	10	80
Угроза6/Уязвимость6.2.	90	30

Вариант 5.

1. Исходные данные:

Ценность информационных ресурсов составляет: 3 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	50	60
Угроза2/Уязвимость 2.1.	30	50
Угроза3/Уявимость3.1.	80	20
Угроза3/Уязвимость3.2.	50	20
Угроза3/Уязвимость3.3.	60	70
Угроза4/Уязвимость4.1.	30	90
Угроза4/Уязвимость4.2.	20	60
Уроза5/Уязвимость5.1.	50	30
Угроза5/Уязвимость5.2.	40	65
Угроза6/Уязвимость6.1.	20	85
Угроза6/Уязвимость6.2.	60	10

Вариант 6.

1. Исходные данные:

Ценность информационных ресурсов составляет: 1 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	40	20
Угроза2/Уязвимость 2.1.	30	50
Угроза3/Уявимость3.1.	80	40
Угроза3/Уязвимость3.2.	20	60
Угроза3/Уязвимость3.3.	40	90
Угроза4/Уязвимость4.1.	80	30
Угроза4/Уязвимость4.2.	40	60
Уроза5/Уязвимость5.1.	20	10
Угроза5/Уязвимость5.2.	50	30
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	40	80

Вариант 7.

1. Исходные данные:

Ценность информационных ресурсов составляет: 2 300 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	20	40
Угроза2/Уязвимость 2.1.	60	50
Угроза3/Уявимость3.1.	60	40
Угроза3/Уязвимость3.2.	20	50
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	90	20
Угроза4/Уязвимость4.2.	40	70
Уроза5/Уязвимость5.1.	60	30
Угроза5/Уязвимость5.2.	20	70
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	90	40

Вариант 8.

1. Исходные данные:

Ценность информационных ресурсов составляет: 5 000 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	50	40
Угроза2/Уязвимость 2.1.	10	60
Угроза3/Уявимость3.1.	30	70
Угроза3/Уязвимость3.2.	50	90
Угроза3/Уязвимость3.3.	20	10
Угроза4/Уязвимость4.1.	60	80
Угроза4/Уязвимость4.2.	30	30
Уроза5/Уязвимость5.1.	60	80
Угроза5/Уязвимость5.2.	30	40
Угроза6/Уязвимость6.1.	60	80
Угроза6/Уязвимость6.2.	70	20

Вариант 9.

1. Исходные данные:

Ценность информационных ресурсов составляет: 2 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	30	50
Угроза2/Уязвимость 2.1.	70	50
Угроза3/Уявимость3.1.	80	40
Угроза3/Уязвимость3.2.	20	50
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	30	70
Угроза4/Уязвимость4.2.	20	30
Уроза5/Уязвимость5.1.	20	20
Угроза5/Уязвимость5.2.	50	60
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	50	40

Вариант 10.

1. Исходные данные:

Ценность информационных ресурсов составляет: 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	10	70
Угроза2/Уязвимость 2.1.	60	30
Угроза3/Уявимость3.1.	50	40
Угроза3/Уязвимость3.2.	40	20
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	60	70
Угроза4/Уязвимость4.2.	30	40
Уроза5/Уязвимость5.1.	20	30
Угроза5/Уязвимость5.2.	20	40
Угроза6/Уязвимость6.1.	30	70
Угроза6/Уязвимость6.2.	50	30

Вариант 11.

1. Исходные данные:

Ценность информационных ресурсов составляет: 4 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	40	50
Угроза2/Уязвимость 2.1.	60	40
Угроза3/Уявимость3.1.	20	50
Угроза3/Уязвимость3.2.	40	20
Угроза3/Уязвимость3.3.	30	60
Угроза4/Уязвимость4.1.	50	70
Угроза4/Уязвимость4.2.	30	20
Уроза5/Уязвимость5.1.	20	60
Угроза5/Уязвимость5.2.	30	40
Угроза6/Уязвимость6.1.	10	80
Угроза6/Уязвимость6.2.	90	30

Вариант 12.

1. Исходные данные:

Ценность информационных ресурсов составляет: 3 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	50	60
Угроза2/Уязвимость 2.1.	30	50
Угроза3/Уявимость3.1.	80	20
Угроза3/Уязвимость3.2.	50	20
Угроза3/Уязвимость3.3.	60	70
Угроза4/Уязвимость4.1.	30	90
Угроза4/Уязвимость4.2.	20	60
Уроза5/Уязвимость5.1.	50	30
Угроза5/Уязвимость5.2.	40	65
Угроза6/Уязвимость6.1.	20	85
Угроза6/Уязвимость6.2.	60	10

Вариант 13.

1. Исходные данные:

Ценность информационных ресурсов составляет: 1 500 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	40	20
Угроза2/Уязвимость 2.1.	30	50
Угроза3/Уявимость3.1.	80	40
Угроза3/Уязвимость3.2.	20	60
Угроза3/Уязвимость3.3.	40	90
Угроза4/Уязвимость4.1.	80	30
Угроза4/Уязвимость4.2.	40	60
Уроза5/Уязвимость5.1.	20	10
Угроза5/Уязвимость5.2.	50	30
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	40	80

Вариант 14.

1. Исходные данные:

Ценность информационных ресурсов составляет: 2 300 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	20	40
Угроза2/Уязвимость 2.1.	60	50
Угроза3/Уявимость3.1.	60	40
Угроза3/Уязвимость3.2.	20	50
Угроза3/Уязвимость3.3.	30	40
Угроза4/Уязвимость4.1.	90	20
Угроза4/Уязвимость4.2.	40	70
Уроза5/Уязвимость5.1.	60	30
Угроза5/Уязвимость5.2.	20	70
Угроза6/Уязвимость6.1.	30	50
Угроза6/Уязвимость6.2.	90	40

Вариант 15.

1. Исходные данные:

Ценность информационных ресурсов составляет: 5 000 000 руб.

1. Базовые угрозы	2. Локальные угрозы	3. Уязвимости
Угроза конфиденциальности	Кража носителей информации ограниченного доступа	Хранение информации на носителях в незашифрованном виде
Угроза целостности	Ошибки пользователей при работе в БД	Отсутствие механизма резервирования важных данных
	Сбои программных и аппаратных элементов ИС, приводящие к потере важной информации	Отсутствие механизма резервирования важных данных
		Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
	Искажение информации вследствие воздействия вредоносных программ	Отсутствие механизма резервирования важных данных
		Отсутствие механизма защиты ИС от занесения и активации вредоносного ПО
	Сбои работы ИС в результате аппаратных нарушений	Отсутствие средств аппаратного дублирования ИС
		Некорректное проектирование ЛВС, без учета возможности возникновения пиковых нагрузок, превышающих возможности аппаратуры
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректное проектирование программно-вычислительных средств
Угроза доступности	Сбои работы ИС в результате программных нарушений	Некорректная настройка программных средств

Оценка критичности и вероятности угроз, через уязвимости

Угроза/Уязвимость	Вероятность реализации угрозы через уязвимость, P(V),%	Критичность реализации угроз, ER,%
Угроза1/Уязвимость1.1.	50	40
Угроза2/Уязвимость 2.1.	10	60
Угроза3/Уявимость3.1.	30	70
Угроза3/Уязвимость3.2.	50	90
Угроза3/Уязвимость3.3.	20	10
Угроза4/Уязвимость4.1.	60	80
Угроза4/Уязвимость4.2.	30	30
Уроза5/Уязвимость5.1.	60	80
Угроза5/Уязвимость5.2.	30	40
Угроза6/Уязвимость6.1.	60	80

ПРИЛОЖЕНИЕ 3

1.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень сведений имеющихся на объектах ИС, которые подлежат защите и порядок определения таких сведений.

1.1.2

Описание функций органов, ответственных за определение сведений, подлежащих защите на объектах ИС.

1.1.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение перечня сведений, подлежащих защите на объектах ИС.

1.1.4

Описание набора средств для обеспечения оперативности и качества определения информации, подлежащей защите на объектах ИС.

1.2.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень сведений использующихся в процессах и программах ИС, которые подлежат защите и порядок определения таких сведений.

1.2.2

Описание функций органов, ответственных за определение сведений, подлежащих защите при использовании их в процессах и программах ИС.

1.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение перечня сведений, подлежащих защите при использовании их в процессах и программах ИС.

1.2.4

Описание набора средств для обеспечения оперативности и качества определения информации, подлежащей защите при использовании их в процессах и программах ИС.

1.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень сведений, передаваемых по каналам связи ИС, которые подлежат защите и порядок определения таких сведений.

1.3.2

Описание функций органов, ответственных за определение сведений, , передаваемых по каналам связи ИС, которые подлежат защите.

1.3.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение перечня сведений, подлежащих защите при передаче их по каналам связи.

1.3.4

Описание набора средств для обеспечения оперативности и качества определения информации, подлежащей защите при передаче их по каналам связи.

1.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень сведений, подверженных утечке за счет ПЭМИН, которые подлежат защите и порядок определения таких сведений.

1.4.2

Описание функций органов, ответственных за определение сведений, подверженных утечке за счет ПЭМИН, которые подлежат защите.

1.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение перечня сведений, подлежащих защите в условиях возможной утечки за счет ПЭМИН.

1.4.4.

Описание набора средств для обеспечения оперативности и качества определения информации, подлежащей защите в условиях возможной утечки их за счет ПЭМИН.

1.5.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень сведений, которые подлежат защите в процессе управления системой защиты и порядок определения таких сведений.

1.5.2

Описание функций органов, ответственных за определение сведений, подлежащих защите в процессе управления системой защиты.

1.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение перечня сведений, подлежащих защите в процессе управления системой защиты.

1.5.4

Описание набора средств для обеспечения оперативности и качества определения информации, подлежащей защите в процессе управления системой защиты.

2.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок выявление потенциальных каналов утечки информации на объектах ИС.

2.1.2

Описание функций органов, ответственных за выявление потенциальных каналов утечки информации на объектах ИС.

2.1.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное выявление потенциальных каналов утечки информации на объектах ИС.

2.1.4

Описание набора средств для обеспечения оперативности и качества выявление потенциальных каналов утечки информации на объектах ИС.

2.2.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок выявления потенциальных каналов утечки информации в процессах и программах ИС.

2.2.2

Описание функций органов, ответственных за выявление потенциальных каналов утечки информации в процессах и программах ИС.

2.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное выявление потенциальных каналов утечки информации в процессах и программах ИС.

2.2.4

Описание набора средств для обеспечения оперативности и качества выявление потенциальных каналов утечки информации в процессах и программах ИС.

2.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих выявление потенциальных каналов утечки сведений, передаваемых по каналам связи ИС.

2.3.2

Описание функций органов, ответственных за выявление потенциальных каналов утечки сведений, передаваемых по каналам связи ИС.

2.3.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное выявление потенциальных каналов утечки сведений, при передаче их по каналам связи.

2.3.4

Описание набора средств для обеспечения оперативности и качества выявление потенциальных каналов утечки информации, подлежащей защите при передаче их по каналам связи.

2.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок выявления потенциальных каналов утечки сведений за счет ПЭМИН.

2.4.2

Описание функций органов, ответственных за выявление потенциальных каналов утечки информации за счет ПЭМИН.

2.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное выявление потенциальных каналов утечки информации за счет ПЭМИН.

2.4.4

Описание набора средств для обеспечения оперативности и качества выявление потенциальных каналов утечки информации за счет ПЭМИН.

2.5.1

Изложение в законодательных, нормативных и методических документах вопросов, выявление потенциальных каналов утечки информации в процессе управления системой защиты и порядок действий при этом.

2.5.2

Описание функций органов, ответственных за выявление потенциальных каналов утечки информации в процессе управления системой защиты.

2.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное выявление потенциальных каналов утечки информации в процессе управления системой защиты.

2.5.4

Описание набора средств для обеспечения оперативности выявления потенциальных каналов утечки информации в процессе управления системой защиты.

3.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих проведение оценки уязвимости и рисков для информации на объектах ИС, которые подлежат защите и порядок определения таких сведений.

3.1.2

Описание функций органов, ответственных за проведение оценки уязвимости и рисков для информации на объектах ИС.

3.1.3

Описание мер (политики безопасности), определяющих проведение оценки уязвимости и рисков для информации на объектах ИС.

3.1.4

Описание набора средств определяющих проведение оценки уязвимости и рисков для информации на объектах ИС.

3.2.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих проведение оценки уязвимости и рисков для информации в процессах и программах ИС.

3.2.2

Описание функций органов, ответственных за проведение оценки уязвимости и рисков для информации в процессах и программах ИС.

3.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное проведение оценки уязвимости и рисков для информации в процессах и программах ИС.

3.2.4

Описание набора средств для обеспечения оперативности и качества проведение оценки уязвимости и рисков для информации в процессах и программах ИС.

3.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок проведение оценки уязвимости и рисков для сведений, передаваемых по каналам связи ИС.

3.3.2

Описание функций органов, ответственных за проведение оценки уязвимости и рисков для сведений, передаваемых по каналам связи ИС.

3.3.3

Описание мер (политики безопасности), обеспечивающих проведение оценки уязвимости и рисков для информации при передаче ее по каналам связи.

3.3.4

Описание набора средств для обеспечения оперативности и качества проведения оценки уязвимости и рисков для информации, подлежащей защите при передаче ее по каналам связи.

3.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок проведение оценки уязвимости и рисков для информации, подверженной утечке за счет ПЭМИН.

3.4.2

Описание функций органов, ответственных за проведение оценки уязвимости и рисков для информации, подверженной утечке за счет ПЭМИН.

3.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное проведение оценки уязвимости и рисков для информации, подверженной утечке за счет ПЭМИН.

3.4.4

Описание набора средств для обеспечения оперативности и качества проведение оценки уязвимости и рисков для информации, подверженной утечке за счет ПЭМИН.

3.5.1

Изложение в законодательных, нормативных и методических документах вопросов, проведения оценки уязвимости и рисков для информации в процессе управления системой защиты и порядок действий при этом.

3.5.2

Описание функций органов, ответственных за проведение оценки уязвимости и рисков для информации в процессе управления системой защиты.

3.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное проведение оценки уязвимости и рисков для информации в процессе управления системой защиты.

3.5.4

Описание набора средств для обеспечения качества и оперативности проведения оценки уязвимости и рисков для информации в процессе управления системой защиты.

4.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих перечень требований к СЗИ на объектах ИС.

4.1.2

Описание функций органов, ответственных за определение перечня требований к СЗИ на объектах ИС.

4.1.3

Описание мер (политики безопасности), обеспечивающих определение перечня требований к СЗИ на объектах ИС.

4.1.4

Описание набора средств для определения перечня требований к СЗИ на объектах ИС.

4.2.1

Изложение в законодательных, нормативных и методических документах вопросов определения требований к СЗИ в процессах и программах ИС.

4.2.2

Описание функций органов, ответственных за определение требований к СЗИ в процессах и программах ИС.

4.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение требований к СЗИ в процессах и программах ИС.

4.2.4

Описание набора средств для обеспечения оперативности и качества определения требований к СЗИ в процессах и программах ИС.

4.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок определения требований к СЗИ для сведений, передаваемых по каналам связи ИС.

4.3.2

Описание функций органов, ответственных за определение требований к СЗИ для сведений, передаваемых по каналам связи ИС.

4.3.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение требований к СЗИ при передаче ее по каналам связи.

4.3.4

Описание набора средств для обеспечения оперативности и качества проведения определения требований к СЗИ, при передаче данных по каналам связи.

4.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок формирования требований к СЗИ для информации, подверженной утечке за счет ПЭМИН.

4.4.2

Описание функций органов, ответственных формирования требований к СЗИ для информации, подверженной утечке за счет ПЭМИН.

4.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение требований к СЗИ для информации, подверженной утечке за счет ПЭМИН.

4.4.4

Описание набора средств для обеспечения оперативности и качества определение требований к СЗИ для информации, подверженной утечке за счет ПЭМИН.

4.5.1

Изложение в законодательных, нормативных и методических документах вопросов формирования требований к процессам контроля состояния и управления системой защиты информации.

4.5.2

Описание функций органов, ответственных формирования требований к процессам контроля состояния и управления системой защиты информации.

4.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное определение требований к процессам контроля состояния и управления системой защиты информации.

4.5.4

Описание набора средств для обеспечения качества и оперативности формирования требований к процессам контроля состояния и управления системой защиты информации.

5.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих осуществление выбора средств защиты на объектах ИС.

5.1.2

Описание функций органов, определяющих осуществление выбора средств защиты объектах ИС.

5.1.3

Описание мер (политики безопасности), определяющих осуществление выбора средств защиты, на объектах ИС.

5.1.4

Описание набора средств для осуществления выбора средств защиты на объектах ИС.

5.2.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих осуществление выбора средств защиты для информации в процессах и программах ИС.

5.2.2

Описание функций органов, ответственных за осуществление выбора средств защиты для информации в процессах и программах ИС.

5.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное осуществление выбора средств защиты для информации в процессах и программах ИС.

5.2.4

Описание набора средств для обеспечения оперативности и качества осуществление выбора средств защиты для информации в процессах и программах ИС.

5.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок осуществление выбора средств защиты для сведений, передаваемых по каналам связи ИС.

5.3.2

Описание функций органов, ответственных за осуществление выбора средств защиты для сведений, передаваемых по каналам связи ИС.

5.3.3

Описание мер (политики безопасности), обеспечивающих осуществление выбора средств защиты для информации при передаче ее по каналам связи.

5.3.4

Описание набора средств для обеспечения оперативности и качества осуществления выбора средств защиты для информации при передаче ее по каналам связи.

5.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок осуществления выбора средств защиты для информации, подверженной утечке за счет ПЭМИН.

5.4.2

Описание функций органов, ответственных осуществление выбора средств защиты для информации, подверженной утечке за счет ПЭМИН.

5.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное осуществление выбора средств защиты для информации, подверженной утечке за счет ПЭМИН.

5.4.4

Описание набора средств для обеспечения оперативности и качества осуществления выбора средств защиты для информации, подверженной утечке за счет ПЭМИН.

5.5.1

Изложение в законодательных, нормативных и методических документах вопросов, осуществления выбора средств защиты для процессов управления системой защиты и порядок действий при этом.

5.5.2

Описание функций органов, ответственных за осуществление выбора средств защиты для процессов управления системой защиты.

5.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное осуществление выбора средств защиты для процессов управления системой защиты.

5.5.4

Описание набора средств для обеспечения качества и оперативности осуществления выбора средств защиты для процессов управления системой защиты.

6.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок внедрения и использования выбранных мер и средств защиты на объектах ИС.

6.1.2

Описание функций органов, определяющих порядок внедрения и использования выбранных мер и средств защиты на объектах ИС.

6.1.3

Описание мер (политики безопасности), определяющих порядок внедрения и использования выбранных мер и средств защиты на объектах ИС.

6.1.4

Описание набора средств определяющих порядок внедрения и использования выбранных мер и средств защиты на объектах ИС.

6.2.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок внедрения и использование выбранных мер и средств защиты для информации в процессах и программах ИС.

6.2.2

Описание функций органов, ответственных за внедрение и использование выбранных мер и средств защиты для информации в процессах и программах ИС.

6.2.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное внедрение и использование выбранных способов и средств защиты для информации в процессах и программах ИС.

6.2.4

Описание набора средств для обеспечения оперативности и качества внедрения и использования выбранных мер и средств защиты для информации в процессах и программах ИС.

6.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок внедрения и использования выбранных мер и средств защиты для сведений, передаваемых по каналам связи ИС.

6.3.2

Описание функций органов, ответственных за внедрение и использование выбранных мер и средств защиты для сведений, передаваемых по каналам связи ИС.

6.3.3

Описание мер (политики безопасности), обеспечивающих внедрение и использование выбранных способов и средств защиты для информации при передаче ее по каналам связи.

6.3.4

Описание набора средств для обеспечения оперативности и качества внедрения и использования выбранных мер и средств защиты для информации при передаче ее по каналам связи.

6.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок внедрения и использования выбранных мер и средств защиты для информации, подверженной утечке за счет ПЭМИН.

6.4.2

Описание функций органов, ответственных внедрение и использование выбранных мер и средств защиты для информации, подверженной утечке за счет ПЭМИН.

6.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное внедрение и использование выбранных мер и средств защиты для информации, подверженной утечке за счет ПЭМИН.

6.4.4

Описание набора средств для обеспечения оперативности и качественное внедрение и использование выбранных мер и средств защиты для информации, подверженной утечке за счет ПЭМИН.

6.5 1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок внедрения и использование выбранных мер и средств защиты для процессов управления системой защиты.

6.5.2

Описание функций органов, ответственных за внедрение и использование выбранных мер и средств защиты для процессов управления системой защиты.

6.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное внедрение и использование выбранных способов и средств защиты для процессов управления системой защиты.

6.5.4

Описание набора средств для обеспечения качества и оперативности внедрения и использования выбранных мер и средств защиты для процессов управления системой защиты.

7.1.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок контроля целостности и управления защитой на объектах ИС.

7.1.2

Описание функций органов, определяющих порядок контроля целостности и управления защитой на объектах ИС.

7.1.3

Описание мер (политики безопасности), определяющих порядок контроля целостности и управления защитой на объектах ИС.

7.1.4

Описание набора средств определяющих порядок контроля целостности и управления защитой на объектах ИС.

7.2 1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок контроля целостности и управления защитой для информации в процессах и программах ИС.

7.2.2

Описание функций органов, ответственных за осуществление контроля целостности и управление защитой для информации в процессах и программах ИС.

7.2.3

Описание мер (политики безопасности), обеспечивающих своевременный и качественный контроль целостности и управление защитой для информации в процессах и программах ИС.

7.2.4

Описание набора средств для обеспечения оперативности и качества контроля целостности и управления защитой для информации в процессах и программах ИС.

7.3.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок осуществление контроля целостности и управления защитой для сведений, передаваемых по каналам связи ИС.

7.3.2

Описание функций органов, ответственных за осуществление контроля целостности и управление защитой для сведений, передаваемых по каналам связи ИС.

7.3.3

Описание мер (политики безопасности), обеспечивающих осуществление контроля целостности и управление защитой для информации при передаче ее по каналам связи.

7.3.4

Описание набора средств для обеспечения оперативности и качества контроля целостности и управления защитой для информации при передаче ее по каналам связи.

7.4.1

Изложение в законодательных, нормативных и методических документах вопросов, определяющих порядок осуществление контроля целостности и управления защитой для информации, подверженной утечке за счет ПЭМИН.

7.4.2

Описание функций органов, ответственных за осуществление контроля целостности и управления защитой для информации, подверженной утечке за счет ПЭМИН.

7.4.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное осуществление контроля целостности и управления защитой для информации, подверженной утечке за счет ПЭМИН.

7.4.4

Описание набора средств для обеспечения оперативности и качества контроля целостности и управления защитой для информации, подверженной утечке за счет ПЭМИН.

7.5.1

Изложение в законодательных, нормативных и методических документах вопросов, организации контроля целостности и управления комплексной системой защиты информации.

7.5.2

Описание функций органов, ответственных за осуществление контроля целостности и управления комплексной системой защиты информации.

7.5.3

Описание мер (политики безопасности), обеспечивающих своевременное и качественное осуществление контроля целостности и управления комплексной системой защиты информации.

7.5.4

Описание набора средств для обеспечения качества контроля целостности и управления комплексной системой защиты информации.

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

К ПРАКТИЧЕСКИМ ЗАНЯТИЯМ

по дисциплине

«КОМПЬЮТЕРНОЕ МОДЕЛИРОВАНИЕ

СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ»

Направление подготовки (cспециальность):

10.03.01 «Информационная безопасность»

Профиль подготовки:

«Организация и технология защиты информации»

Квалификация выпускника:

бакалавр

Форма обучения:

Очная, очно-заочная

Тула 2017 г.

протокол № от « » 20 г.

Зав. кафедрой А.А. Сычугов

протокол № от « » 20 г.

Зав. кафедрой А.А. Сычугов

Оглавление

Практическое занятие № 1.. 4

Практическое занятие №2.. 22

Практическое занятие №3.. 32

Практическое занятие №4.. 40

Практическое занятие №5.. 48

БИБЛИОГРАФИЧЕСКИЙ СПИСОК.. 57

ПРИЛОЖЕНИЕ 1.. 58

ПРИЛОЖЕНИЕ 2.. 93

ПРИЛОЖЕНИЕ 3.. 104

Практическое занятие № 1

12 Следующая ⇒

Последнее изменение этой страницы: 2019-04-01; Просмотров: 368; Нарушение авторского права страницы