Помощь студентам в учебе
Разработка комплекта лабораторных работ по дисциплине «Управление информационной безопасностью телекоммуникационных систем»
|
ВВЕДЕНИЕ 5
1. Анализ вопросов, рассматриваемых в курсе дисциплины
«Управление информационной безопасностью ТКС» 9
1.1 Проблемы обучения ИБ 9
1.1.1 Специальность «Информационная безопасность ТКС» 9
1.1.2 Подходы к обучению 10
1.2 Анализ вопросов обучения 11
1.2.1 Терминология в области управления ИБ 11
1.2.2 Актуальные вопросы управления ИБ 14
2. Анализ существующих международных и российских
стандартов и методов в области системы менеджмента ИБ 18
2.1.1 BS 7799 18
2.1.2 Серия международных стандартов серии ISO/IEC 27000 19
2.1.3 ГОСТ Р ИСО/МЭК 27000 20
2.1.4 СТО БР ИББС 22
2.2 Средства оценки и обработки рисков предприятия 23
2.2.1 ГРИФ 24
2.2.2 РискДетектор 25
2.2.3 Матричный подход 26
2.2.4 КОНДОР 26
2.2.5 CRAMM 27
3. Разработка комплекта лабораторных работ 29
3.1 Матричный подход к анализу рисков ИБ 29
3.2 Разработка Политики ИБ организации 32
3.3 Анализ рисков на основе ПО «РискДетектор 37
3.3 Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета DigitalSecurityOffice 46
3.5 Анализ рисков на основе моделей угроз и уязвимостей с
помощью «ГРИФ» пакета DigitalSecurityOffice 61
3.6 Анализ рисков на основе DigitalSecurity.КОНДОР 71
3.7 Анализ рисков по методике CRAMM 82
4. Разработка вариантов к лабораторным работам 89
ЗАКЛЮЧЕНИЕ 99
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 100
ПРИЛОЖЕНИЕ
1. Анализ вопросов, рассматриваемых в курсе дисциплины
«Управление информационной безопасностью ТКС» 9
1.1 Проблемы обучения ИБ 9
1.1.1 Специальность «Информационная безопасность ТКС» 9
1.1.2 Подходы к обучению 10
1.2 Анализ вопросов обучения 11
1.2.1 Терминология в области управления ИБ 11
1.2.2 Актуальные вопросы управления ИБ 14
2. Анализ существующих международных и российских
стандартов и методов в области системы менеджмента ИБ 18
2.1.1 BS 7799 18
2.1.2 Серия международных стандартов серии ISO/IEC 27000 19
2.1.3 ГОСТ Р ИСО/МЭК 27000 20
2.1.4 СТО БР ИББС 22
2.2 Средства оценки и обработки рисков предприятия 23
2.2.1 ГРИФ 24
2.2.2 РискДетектор 25
2.2.3 Матричный подход 26
2.2.4 КОНДОР 26
2.2.5 CRAMM 27
3. Разработка комплекта лабораторных работ 29
3.1 Матричный подход к анализу рисков ИБ 29
3.2 Разработка Политики ИБ организации 32
3.3 Анализ рисков на основе ПО «РискДетектор 37
3.3 Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета DigitalSecurityOffice 46
3.5 Анализ рисков на основе моделей угроз и уязвимостей с
помощью «ГРИФ» пакета DigitalSecurityOffice 61
3.6 Анализ рисков на основе DigitalSecurity.КОНДОР 71
3.7 Анализ рисков по методике CRAMM 82
4. Разработка вариантов к лабораторным работам 89
ЗАКЛЮЧЕНИЕ 99
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 100
ПРИЛОЖЕНИЕ
Информация в том или ином виде окружала человечество всюду на протяжении всего его существования. Сам термин «информация» закрепился в научном сообществе с середины XX века и в соответствии Федеральным законом от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации" означает сведения (сообщения, данные) независимо от формы их представления.
В современном мире информация и такие основные информационные процессы как обработка, хранение и передача информации играют главную роль. Данная область является приоритетной в сферах внутренней и внешней безопасности страны, разведки, малого и крупного бизнеса и многих других. Во всех этих сферах остро стоит вопрос защищенности информации и каналов ее передачи[1].
Информационные технологии одни из самых динамично развивающихся отраслей современной науки. С развитием самих технологий растет и угроза информационной безопасности. А современная рыночная экономика диктует потребность поддержания ИБ на предприятии для его нормального функционирования. Для этого необходимо предотвращать возможные потери, которые могут привести к серьёзным последствиям на предприятии, связанные с уязвимостью в ИБ. Поэтому недостаточно лишь обеспечивать ИБ, также необходимо ею управлять для достижения приемлемого уровня безопасности информационных активов предприятия.
Согласно ФГОС ВО по специальности Информационная безопасность телекоммуникационных систем один из видов профессиональной деятельности выпускника, освоившего программу, это организационно-управленческая деятельность.
Данная совокупность факторов определяет актуальность настоящей ВКР, целью является «актуализация лабораторных работ, для лучшего усвоения материала и освоения профессиональных компетенций».
Для достижение сформулированной цели в ВКР поставлена и решена задача разработки методики изучения дисциплины УИБТКС в соответствии с требованиями к будущим специалистам.
Решение поставленной задачи требует её декомпозиции на пять подзадач:
1. Анализ существующих лабораторных работ по дисциплине УИБТКС;
2. Анализ существующих международных и российских стандартов и методов в области системы менеджмента ИБ;
3. Разработка актуальных лабораторных работ;
4. Разработка вариантов лабораторных работ;
5. Выполнение пробного варианта (Приложение 1).
Объектом исследования ВКР является учебно¬образовательный процесс специальности ИБ ТКС. Предметом для исследования была выбрана учебная дисциплина УИБТКС.
Изначально для реализации поставленных задач нам дана учебная программа дисциплины УИБТКС и требуется актуализировать имеющиеся лабораторные работы.
В ходе выполнения ВКР возникли трудности такие как:
- Поиск необходимого современного ПО и его установка;
- Ответ на вопрос: «Каков уровень подготовки студентов?».
Затруднения связанные с поиском ПО преодолены путем обращения к разработчикам комплектов лабораторных работ и научному руководителю. В ходе исследования проблемы установки выяснилось, что для организации работы по установке ПО невозможно поставить нужные программы на виртуальные машины, а необходимо обладать правами администратора сети.
Затруднения, связанные с компетентностью студентов в вопросах УИБ решились обращению к учебному плану направления в целом.
Существующий комплект лабораторных работ устарел и не в полной мере отражает действительные навыки специалиста по ИБ.
Для решения поставленной задачи в рамках предлагаемого подхода ВКР имеет следующее содержание:
- Введение;
- 1 раздел - Анализ вопросов, рассматриваемых в курсе;
- 2 раздел - Анализ стандартов в области УИБ;
- 3 раздел - Разработка комплекта лабораторных работ;
- 4 раздел - Разработка вариантов к лабораторным работам;
- Заключение.
Введение имеет следующее содержание:
- 1 раздел посвящён рассмотрению основных тенденции социально-экономического и технико-технологического развития общества и их влияние на УИБ.
- 2 раздел посвящён постановке задачи на исследование в целом.
- 3 раздел посвящён состоянию вопроса.
- 4 раздел посвящён описанию содержания ВКР.
- 5 раздел посвящен основным положениям, выносимым на защиту.
В Заключении изложен отчет о решении поставленных задач и достижении поставленной цели.
Российские предприятия обладают проблемами в обеспечении ИБ. Некоторые из них:
- Непонимание руководством смысла в обеспечении ИБ;
- Недоработанная политика ИБ;
- Отсутствие процедуры анализа рисков;
- Недостаточность и нерегулярность аудитов и др.
В связи с этим основными положениями, выносимыми на защиту, являются:
- Решение данных проблем посредством управления ИБ ТКС;
- Для обучения будущих специалистов предлагается следующий список лабораторных работ:
1. Матричный подход к анализу рисков ИБ;
2. Разработка Политики ИБ организации;
3. Анализ рисков на основе ПО «РискДетектор»;
4. Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета Digital Security Office;
5. Анализ рисков на основе моделей угроз и уязвимостей с помощью «ГРИФ» пакета Digital Security Office;
6. Анализ рисков на основе Digital Security.КОНДОР;
7. Анализ рисков по методике CRAMM.
В современном мире информация и такие основные информационные процессы как обработка, хранение и передача информации играют главную роль. Данная область является приоритетной в сферах внутренней и внешней безопасности страны, разведки, малого и крупного бизнеса и многих других. Во всех этих сферах остро стоит вопрос защищенности информации и каналов ее передачи[1].
Информационные технологии одни из самых динамично развивающихся отраслей современной науки. С развитием самих технологий растет и угроза информационной безопасности. А современная рыночная экономика диктует потребность поддержания ИБ на предприятии для его нормального функционирования. Для этого необходимо предотвращать возможные потери, которые могут привести к серьёзным последствиям на предприятии, связанные с уязвимостью в ИБ. Поэтому недостаточно лишь обеспечивать ИБ, также необходимо ею управлять для достижения приемлемого уровня безопасности информационных активов предприятия.
Согласно ФГОС ВО по специальности Информационная безопасность телекоммуникационных систем один из видов профессиональной деятельности выпускника, освоившего программу, это организационно-управленческая деятельность.
Данная совокупность факторов определяет актуальность настоящей ВКР, целью является «актуализация лабораторных работ, для лучшего усвоения материала и освоения профессиональных компетенций».
Для достижение сформулированной цели в ВКР поставлена и решена задача разработки методики изучения дисциплины УИБТКС в соответствии с требованиями к будущим специалистам.
Решение поставленной задачи требует её декомпозиции на пять подзадач:
1. Анализ существующих лабораторных работ по дисциплине УИБТКС;
2. Анализ существующих международных и российских стандартов и методов в области системы менеджмента ИБ;
3. Разработка актуальных лабораторных работ;
4. Разработка вариантов лабораторных работ;
5. Выполнение пробного варианта (Приложение 1).
Объектом исследования ВКР является учебно¬образовательный процесс специальности ИБ ТКС. Предметом для исследования была выбрана учебная дисциплина УИБТКС.
Изначально для реализации поставленных задач нам дана учебная программа дисциплины УИБТКС и требуется актуализировать имеющиеся лабораторные работы.
В ходе выполнения ВКР возникли трудности такие как:
- Поиск необходимого современного ПО и его установка;
- Ответ на вопрос: «Каков уровень подготовки студентов?».
Затруднения связанные с поиском ПО преодолены путем обращения к разработчикам комплектов лабораторных работ и научному руководителю. В ходе исследования проблемы установки выяснилось, что для организации работы по установке ПО невозможно поставить нужные программы на виртуальные машины, а необходимо обладать правами администратора сети.
Затруднения, связанные с компетентностью студентов в вопросах УИБ решились обращению к учебному плану направления в целом.
Существующий комплект лабораторных работ устарел и не в полной мере отражает действительные навыки специалиста по ИБ.
Для решения поставленной задачи в рамках предлагаемого подхода ВКР имеет следующее содержание:
- Введение;
- 1 раздел - Анализ вопросов, рассматриваемых в курсе;
- 2 раздел - Анализ стандартов в области УИБ;
- 3 раздел - Разработка комплекта лабораторных работ;
- 4 раздел - Разработка вариантов к лабораторным работам;
- Заключение.
Введение имеет следующее содержание:
- 1 раздел посвящён рассмотрению основных тенденции социально-экономического и технико-технологического развития общества и их влияние на УИБ.
- 2 раздел посвящён постановке задачи на исследование в целом.
- 3 раздел посвящён состоянию вопроса.
- 4 раздел посвящён описанию содержания ВКР.
- 5 раздел посвящен основным положениям, выносимым на защиту.
В Заключении изложен отчет о решении поставленных задач и достижении поставленной цели.
Российские предприятия обладают проблемами в обеспечении ИБ. Некоторые из них:
- Непонимание руководством смысла в обеспечении ИБ;
- Недоработанная политика ИБ;
- Отсутствие процедуры анализа рисков;
- Недостаточность и нерегулярность аудитов и др.
В связи с этим основными положениями, выносимыми на защиту, являются:
- Решение данных проблем посредством управления ИБ ТКС;
- Для обучения будущих специалистов предлагается следующий список лабораторных работ:
1. Матричный подход к анализу рисков ИБ;
2. Разработка Политики ИБ организации;
3. Анализ рисков на основе ПО «РискДетектор»;
4. Анализ и управление рисками ИС на основе ПО «ГРИФ» пакета Digital Security Office;
5. Анализ рисков на основе моделей угроз и уязвимостей с помощью «ГРИФ» пакета Digital Security Office;
6. Анализ рисков на основе Digital Security.КОНДОР;
7. Анализ рисков по методике CRAMM.
Готовность будущего выпускника к профессиональной деятельности формируется в ходе получения не столько теоретических, сколько практических навыков работы. С этой целью в рабочую программу включены лабораторные занятия.
Было выявлено, что данная область динамично развивается, но проанализировав мировой опыт в управлении ИБ на предприятиях различного типа, а также изучив стандарты в данной области были разработаны семь лабораторных работ.
Разработанный комплект работ необходимо внедрить в учебный процесс дисциплины УИБТКС для качественной оценки и дальнейшего усовершенствования.
В качестве предложения по улучшению работ можно представить использование зарубежных разработок, но для этого студент должен обладать достаточными навыками в английском языке.
В ходе работы над ВКР были решены поставленные задачи тем самым была достигнута поставленная цель.
Было выявлено, что данная область динамично развивается, но проанализировав мировой опыт в управлении ИБ на предприятиях различного типа, а также изучив стандарты в данной области были разработаны семь лабораторных работ.
Разработанный комплект работ необходимо внедрить в учебный процесс дисциплины УИБТКС для качественной оценки и дальнейшего усовершенствования.
В качестве предложения по улучшению работ можно представить использование зарубежных разработок, но для этого студент должен обладать достаточными навыками в английском языке.
В ходе работы над ВКР были решены поставленные задачи тем самым была достигнута поставленная цель.