Вопросы 7

Министерство образования и науки Челябинской области

Государственное бюджетное профессиональное образовательное

учреждение

«Челябинский радиотехнический техникум»

ОТЧЕТ

по контрольным вопросам к лекции №7

МДК 03.02 Безопасность компьютерных сетей

Выполнили:

студенты группы Са-348

Бухалов Никита и Рязанов Дмитрий

____________ «___»__________20__ г.

^{подпись дата сдачи}

Проверил:

преподаватель А.В. Фролов

_________________________________

^{оценка /рецензия}

____________ «___»__________20__ г.

^{подпись дата проверки}

Челябинск 2023 г.

Контрольные вопросы

1. Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя пять ключевых этапов: оценку; политику; реализацию; квалифицированную подготовку; аудит.

2. Оценка стоимости. Процесс обеспечения информационной безо­пасности начинается с оценки имущества: определения информацион­ных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации. Это важно просто потому, что без понимания текущего состояния риска невоз­можно эффективно выполнить программу защиты этих активов. Дан­ный процесс выполняется при соблюдении метода управления риском. Сразу после выявления риска и его количественной оценки можно вы­брать рентабельную контрмеру для уменьшения этого риска. Цели оценки информационной безопасности, следующие: определить ценность информационных активов; определить угрозы для конфиденциальности, целостности, дос­тупности и/или идентифицируемый этих активов; определить существующие уязвимые места в практической дея­тельности организации;

установить риски организации в отношении информационных ак­тивов;

предложить изменения в существующей практике работы, кото­рые позволят сократить величину рисков до допустимого уровня;

обеспечить базу для создания соответствующего проекта обеспе­чения безопасности.

3. Разработка политики. Следующим шагом после оценки, как пра­вило, является разработка политик и процедур. Они определяют пред­полагаемое состояние безопасности и перечень необходимых работ. Без политики нет плана, на основании которого организация разработает и выполнит эффективную программу информационной безопасности. Необходимо разработать следующие политики и процедуры:

Информационная политика. Выявляет секретную информацию и способы ее обработки, хранения, передачи и уничтожения.

Политика безопасности. Определяет технические средства управления для различных компьютерных систем.

Политика использования. Обеспечивает политику компании по использованию компьютерных систем.

Политика резервного копирования. Определяет требования к ре­зервным копиям компьютерных систем.

Процедуры управления учетными записями. Определяют дейст­вия, выполняемые при добавлении или удалении пользователей.

Процедура управления инцидентом. Определяет цели и действия при обработке происшествия, связанного с информационной безо­пасностью.

План на случай чрезвычайных обстоятельств. Обеспечивает дей­ствия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека.

Реализация политики безопасности. Реализация политики за­ключается в реализации технических средств и средств непосредст­венного контроля, а также в подборе штата безопасности. Могут по­требоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности. В таких случаях в проведении программы безопасности должны участвовать системные и сетевые администраторы.

4. Да. Меры предосторожности обычно используются для восстановления работоспособного состояния после каких-либо инцидентов. Основными составляющими являются системы резервного копирования и план восстановления на случай чрезвычайных происшествий.

5. Развертывание политики — это методология, применяемая для планирования, установления и доведения до исполнителей целей организации и оперативного анализа ее работы, который обеспечивает координацию всех действий, направленных на достижение правильно сформулированных стратегических целей.

6. Обучение сотрудников лучше всего проводить короткими занятиями - по часу или менее. Видеоматериалы способствуют более качественному уровню занятий, чем обычная лекция. Все новые сотрудники должны проходить обучение как часть инструктажа, а все работающие - раз в два года.

7. Презентация для руководителей организации — это отчасти и обучение, и маркетинг. Без поддержки руководства программа безопасности просто не сможет существовать. Следовательно, руководство должно быть проинформировано о состоянии безопасности и о дальнейшем развитии программы.

Периодические презентации руководству должны включать результаты недавних оценок и состояние различных проектов по безопасности. По возможности система показателей, выражающая риски для организации, должна быть общепризнанной. Например, нужно отследить и отразить в отчете число уязвимых мест организации и нарушений системной политики.

8. Эффективно действующая система взаимодействия нацелена на точное определение содержания, количества, времени обработки, периодичности, способов предоставления информации, доводимой до сотрудников, а также на сбор и анализ обратной связи. На что должна быть направлена «политика гласности». ... Вовлеченность в общий результат хорошо способствует сплочению команды. Кадровая информация (назначения, увольнения, открытые вакансии, обучение и аттестация). ... увеличение объема информации и недостаток времени на ее изучение

9. Если проверка нарушения защиты терпит неудачу, то вывод такой - проверяющий не смог обнаружить и использовать уязвимость. Это вовсе не значит, что уязвимости не существует.

Почему же тогда необходимо выполнять проверку возможности нарушения защиты? Если организация провела оценку и применила подходящие средства управления риском, она может выборочно проверить некоторых из них. Проверка защиты подходит для следующих случаев.

· Способность системы обнаружения вторжений выявить попытку нарушения защиты.

· Уместность процедуры реагирования на инцидент, связанный с безопасностью.

· Информация о сети, которую можно узнать через средства управления сетевым доступом.

· Уместность физической безопасности помещения.

· Адекватность информации, предоставляемой сотрудникам программой повышения осведомленности в плане безопасности.

10. Потому что каждый день проявляются новые варианты угроз и соответственно нужно от них защищаться также постоянно.

11. проблема текучести кадров, в сущности, сводится к двум центральным вопросам: что заставляет людей менять место работы и как избежать излишней текучести кадров.

12. Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности: Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах зашиты.

13. Разработка политики безопасности позволяет решить несколько задач. Согласование политики с руководством предприятия, пожалуй, самый правильный способ донести до руководителей цели и задачи безопасности компании. Утвержденная политика безопасности, по сути, является формализованным мнением руководства компании по вопросам обеспечения защиты информации, на которое можно ссылаться при обсуждении текущих вопросов, связанных с безопасностью.

Еще одно назначение политики информационной безопасности предприятия – доведение до рядовых работников основных принципов и правил защиты информации, принятых в компании. Едва ли простые пользователи будут вдумчиво читать насыщенные техническими терминами документы, например инструкции по работе с электронной почтой или регламент антивирусной защиты. Политика безопасности, будучи верхне-уровневым документом, должна в простой и понятной форме доносить до каждого работника позицию компании в отношении вопросов, связанных с информационной безопасностью.

14. Многие из вас, я думаю, сталкивались с ситуацией, что смартфон отказывается принимать легальный идентификатор: вы прикладываете палец, а вас не пускает. Сейчас это не проблема, лишний раз введешь ПИН-код. Но если биометрическая аутентификация будет единственным способом аутентификации, такая ситуация может доставить серьезные неприятности или, как минимум, заставит понервничать.

Реализуемую с помощью БА степень защиты трудно оценить. С учетом того, что биометрическая аутентификация выполняет на данный момент в мобильных устройствах роль упрощенного (удобного) доступа и на большинстве девайсов при перезагрузке требуется ввести ПИН-код, степень реализуемой защиты не очень высокая.

15. Некоторые решения, сложные и важные, связаны с низким риском, поскольку их довольно легко изменить или дать обратный ход. Генеральный директор должен принимать эти решения быстро, чтобы не тормозить процессы. Некоторые CEO зависают на таких решениях, долго раскачиваются, в результате чего компания упускает важный момент.

Никто не хочет, чтобы спешка привела к принятию неверного решения, но в большинстве случаев скорость и решительность позволяют организации функционировать на пределе своей эффективности.