Инструкционно-технологическая карта к практическому занятию на тему "Построение модели потенциального нарушителя ИС"
электронный образовательный ресурс
Инструкционно-технологическая карта к практическому занятию по МДК 01.01 Эксплуатация информационной системы для специальности 09.02.04 Информационные системы (по отраслям)
Скачать:
Вложение | Размер |
---|---|
![]() | 71.96 КБ |
Предварительный просмотр:
Инструкционно-технологическая карта
Практическая работа
Тема: «ПОСТРОЕНИЕ МОДЕЛИ ПОТЕНЦИАЛЬНОГО НАРУШИТЕЛЯ ИС» | |
Цель работы: | Формирование умений и навыков определения угроз ИС |
Оборудование: | инструкционно-технологическая карта практической работы, ПК, набор необходимого программного обеспечения, предусмотренного программой междисциплинарного курса. |
Отводимое время: | 2 часа |
Ход работы
- Прочитать теоретический материал.
- Выполнить задание.
- Составить отчет по выполненной работе.
- Сдать преподавателю и защитить отчет.
ТЕОРЕТИЧЕСКИЙ МАТЕРИАЛ
Модель вероятного нарушителя ИС нужна для систематизации данных о возможностях и типах субъектов, целях несанкционированных воздействиях и выработки адекватных организационных и технических методов противодействия. При разработке модели нарушителя ИС нужно учитывать:
- Категории лиц, к которым можно отнести нарушителя.
- Цели, градации по степени опасности и важности.
- Анализ его технической мощности.
- Предположения и ограничения о характере действий.
По наличию права разового или постоянного доступа нарушители делятся на два типа: нарушители которые используют внешние угрозы и нарушители которые имеют доступ к ИС и используют внутренние угрозы. В таблице 1 наведены категории лиц которые могут использовать внутренние или внешние угрозы.
Тип нарушителя | Категории лиц |
Внешний | криминальные структуры; посетители; Разведывательные службы государств; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой территории. |
Внутренний | персонал, обслуживающий технические средства (инженеры, техники); сотрудники отделов; администраторы ИС; сотрудники службы безопасности; руководители различных уровней должностной иерархии. |
На предприятиях с целью уменьшения вероятности несанкционированного доступа в разные части предприятия, реализован метод создания рубежей защиты. Территория предприятия делится на несколько зон, которые ранжированные по степени секретности и уровня доступа. В итоге имеет возможность для разграничения доступа к важным информационным ресурсам. Примером может быть рис. 1.
Рисунок — 1
В таблице наведены группы внутренних нарушителей относительно рубежей защиты предприятия и возможности доступа.
# | Обозначение | Рубеж | Характеристика нарушителя | Возможности |
1 | ЗОНА 1 | Территория объекта, телекоммуникации | Лица которые имеют санкционированный доступ на территорию, но не имеют доступ в здания и помещения | Разрешает несанкционированный доступ к каналам связи, которые уходят за пределы здания. Перехват данных по техническим каналам |
2 | ЗОНА 2 | Здания объекта, телекоммуникации | Лица имеют санкционированный доступ на территорию, здания но не имеют доступ в служебные помещения | -//-, иметь информацию о размещении поста охраны, системе видеонаблюдения и помещении для приема посетителей |
3 | ЗОНА 3 | Представительские помещения, ПЭВМ, коммуникации | Лица имеют доступ в специальные помещения, но не имеют доступ в служебные помещения | -//- |
4 | ЗОНА 4 | Кабинеты пользователей ИС, администраторов ИС | 1. Зарегистрированные пользователи ИС, имеющие ограниченный доступ к ресурсам. 2. Зарегистрированные пользователи ИС которые имеют удаленный доступ к информационной системе. 3. Зарегистрированные пользователи ИС с правами админа безопасности сегмента. 4. Зарег. пользователи с правами сис. админа ИС. 5. Зарег. пользователи с правами админа безопасности ИС. 6. Программисты-разработчики ПО. 7. Лица реализующие обслуживание ИС | 1. Иметь доступ к кускам конфиденциальным данным. Иметь куски данных о топологии ИС. Вносить программно-аппаратные закладки. 2. Имеет данные о топологии сегмента, имеет физический доступ к сегментам и элементам сети. 3. Имеет полную информации о ИС. 4. Имеет всю информацию о ИС, имеет полный доступ. 5. Имеет доступ к методам защиты ИС 6. Имеет данные о алгоритмах и ПО для обработки данных в ИС 7. Имеет доступ к внесению закладок в технические средства ИС |
5 | ЗОНА 5 | Серверные, комнаты конфиденциальных переговоров, ПЭВМ | 1. Зарег. польз. с правами администратора безопасности. 2. Зарег. польз. с правами сис. админа. 3. Работники которые имеют право доступа в помещения конфиденциальных переговоров | 1. Имеет доступ к настройке сегмента сети. 2. Имеет санкционированный доступ в помещение, имеет свое ипя пользователи и доступ к конфигурации ИС. 3. Имеет доступ в помещение |
6 | ЗОНА 6 | Методы защиты информации | Зарег. польз. сервера с правами админа безопасности ИС | Имеет доступ во все помещения, имеет доступ ко всей информации о ИС |
После систематизации знаний о потенциальных нарушителей для ИС, реализуется модель безопасности информации. После построения модели угроз, определяется частота возникновения угроз. Определяя частоту реализации угроз, нужно учитывать возможности нарушителя.
ПРАКТИЧЕСКАЯ ЧАСТЬ
Задания:
- Определите возможных нарушителей объекта защиты информации (см. вариант задания). Классифицируйте их в соответствии с двумя группами:
- внешние нарушители
- внутренние нарушители
- Приведите список персонала АСОИ и соответствующую степень риска от каждого из них.
Вариант – номер по списку в журнале.
Номер варианта | Организация |
Агентство недвижимости | |
Аудиторская компания | |
Брачное агентство | |
Бюро перевода (документов) | |
Городской архив | |
Гостиница | |
Дизайнерская фирма | |
Диспетчерская служба такси | |
Железнодорожная касса | |
Издательство | |
Интернет-магазин | |
Колледж | |
Компания по разработке ПО для сторонних организаций | |
Консалтинговая фирма | |
Научно проектное предприятие | |
Отделение коммерческого банка | |
Отделение налоговой службы | |
Отделение полиции | |
Офис адвоката | |
Офис благотворительного фонда | |
Офис интернет-провайдера | |
Офис нотариуса | |
Офис страховой компании | |
Поликлиника | |
Праздничное агентство | |
Редакция газеты | |
Рекламное агентство | |
Рекрутинговое агентство | |
Туристическое агентство | |
Центр оказания государственных услуг |
По теме: методические разработки, презентации и конспекты
![](/sites/default/files/pictures/2015/12/11/picture-293328-1449850794.jpg)
Инструкционные карты для практических занятий .Часть 1
Инструкционные карты для практических занятий по мдк "Организация коммерческой деятельности" предназаначены для студентов спец...
![](/sites/default/files/pictures/2015/12/11/picture-293328-1449850794.jpg)
Инструкционные карты для практических занятий .Часть2
Инструкционные карты предназначены для практических занятий по мдк "Организация коммерческой деятельности " в рамках изу...
![](/sites/default/files/pictures/2018/10/26/picture-490726-1540542053.jpg)
Методическая разработка технологической карты для практического занятия по теме "Открытие вклада физическому лицу"
Практическое занятие по теме "Открытие вклада физическому лицу" проводится в рамках изучения профессионального модуля ПМ.02 Ведение операций по банковским вкладам (депозитов) ". По итогам пр...
Комплект инструкционных карт по практическим занятиям для профессии 23.01.03 Автомеханик по Информатике и ИКТ
Комплект инструкционных карт по практическим занятиям для профессии 23.01.03 Автомеханик по Информатике и ИКТИсточник - http://ikt.hol.es/tehnikum/p3aa1.htmlСписок работ:Информационные ресурсы обществ...
![](/sites/default/files/pictures/2021/09/21/picture-1027386-1632222975.jpg)
Инструкционная карта к практическому занятию по предмету "Грузовые перевозки"
Инструкционная карта к практическому занятию по предмету "Грузовые перевозки"...
![](/sites/default/files/pictures/2018/03/14/picture-1020964-1521020957.jpg)
технологическая карта к практическому занятию
технологическая карта к практическому занятию "Разборка и сборка кривошипно-шатунного механизма"....
![](/sites/default/files/pictures/2022/09/24/picture-1139997-1664000394.jpg)
Инструкционно-технологическая карта к практическому занятию на тему "Обеспечение безопасности информационного объекта"
Инструкционно-технологическая карта к практическому занятию по МДК 01.01 Эксплуатация информационной системы для специальности 09.02.04 Информационные системы (по отраслям)...