Виды и качество выполнения работ с целью оценки сформированности общих и профессиональных компетенций
Результаты (освоенные общие компетенции) | Основные показатели оценки результата | Формы и методы контроля и оценки |
Понимать сущность и социальную значимость своей будущей профессии, обладать высокой мотивацией к выполнению профессиональной деятельности в области обеспечения информационной безопасности | - проявляет творческую инициативу, демонстрирует профессиональную подготовку; - выполняет профессиональные задачи | Интерпретация результатов наблюдений за деятельностью обучающегося в процессе освоения образовательной программы |
Организовывать собственную деятельность, выбирать типовые методы и способы выполнения профессиональных задач, оценивать их эффективность и качество | - планирует деятельность, применяя технологию с учетом изменения параметров объекта, к объекту того же класса, сложному объекту (комбинирует несколько алгоритмов последовательно или параллельно); - выбирает способ достижения цели в соответствии с заданными критериями качества и эффективности; | |
Принимать решения в стандартных и нестандартных ситуациях и нести за них ответственность | - проводит анализ причин существования проблемы; - предлагает способ коррекции деятельности на основе результатов оценки продукта; - определяет показатели результативности деятельности в соответствии с поставленной задачей деятельности; - задает критерии для определения способа разрешения проблемы; - прогнозирует последствия принятых решений; - называет риски на основе самостоятельно проведенного анализа ситуации; - предлагает способы предотвращения и способы нейтрализации рисков; | |
Осуществлять поиск и использование информации необходимой для эффективного выполнения профессиональных задач, профессионального и личностного развития | - предлагает источник информации определенного типа / конкретный источник для получения недостающей информации и обосновывает свое предложение; - характеризует произвольно заданный источник информации в соответствии с задачей деятельности; принимает решение о завершении \ продолжении информационного поиска на основе оценки достоверности \ непротиворечивости полученной информации; - извлекает информацию по самостоятельно сформулированным основаниям, исходя из понимания целей выполняемой работы, систематизирует информацию в рамках самостоятельно избранной структуры - делает вывод о причинах событий и явлений на основе причинно-следственного анализа информации о них делает обобщение на основе предоставленных эмпирических или статистических данных | |
Использовать информационно-коммуникационные технологии в профессиональной деятельности | применяет ИКТ при выполнении профессиональных задач | |
Работать в коллективе и в команде, эффективно общаться коллегами, руководством, потребителями | - фиксирует особые мнения; использует приемы выхода из ситуации, когда дискуссия зашла в тупик, или резюмирует причины, по которым группа не смогла добиться результатов обсуждения; - дает сравнительную оценку идей, высказанных участниками группы, относительно цели групповой работы самостоятельно готовит средства наглядности; - самостоятельно выбирает жанр монологического высказывания в зависимости от его цели и целевой аудитории; - работает с вопросами в развитие темы и \ или на дискредитацию позиции; - выделяет и соотносит точки зрения, представленные в диалоге или дискуссии самостоятельно определяет жанр продукта письменной коммуникации в зависимости от цели, содержания и адресата; | |
Брать на себя ответственность за работу членов команды (подчиненных), результат выполнения заданий | - контролирует и отвечает за работу членов команды; - отвечает за результат выполнения заданий; | |
Самостоятельно определять задачи профессионального и личностного развития, заниматься самообразованием, осознанно планировать повышение квалификации | - анализирует собственные мотивы и внешнюю ситуацию при принятии решений, касающихся своего продвижения; | |
Ориентируется в условиях частой смены технологий в профессиональной деятельности | - применяет современные технологии в профессиональной деятельности; | |
Исполняет воинскую обязанность, в том числе с применением полученных профессиональных знаний (для юношей) | - применяет полученные знания при исполнении обязанностей военной службы; | |
Формулировать задачи логического характера и применять средства математической логики для их решения | - применяет полученные знания средств математической логики для решения задач; | |
Понимать физическую сущность задач, возникающих в ходе профессиональной деятельности, и применять соответствующий физический аппарат для их решения | - применяет соответствующие методы для решения задач; | |
Использовать вычислительную технику и прикладные программные пакеты для решения профессиональных задач | - использует средства вычислительной техники для решения профессиональных задач; - использует пакеты прикладных программ для решения профессиональных задач; | |
Ориентироваться в элементной базе устройств телекоммуникационных систем и обеспечения их информационной безопасности | - обеспечивает информационную безопасность устройств телекоммуникационных систем. |
Коды и наименования проверяемых компетенций или их сочетаний | Виды и объем работ, выполненных обучающимся во время практики | Качество выполнения работ |
ПК 1 Руководствоваться законодательными и нормативными документами в области обеспечения информационной безопасности телекоммуникационных систем, защиты государственный тайны и конфиденциальной информации | - составление схемы информационных активов объекта безопасности; - составление схемы движения конфиденциальной информации на объекте; - составление политики информационной безопасности объекта; - составление инструкции пользователя при работе в интернет сети; - составление инструкции администратора сети; - оформление отчета; - участие в зачет-конферении по учебной практике. | |
ПК 2 Участвовать в подготовке и проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации | - проведение инструктажа по технике безопасности. Ознакомление с планом проведения учебной практики. Получение заданий по тематике; - разработка модели угроз объекта; - проведение оценки риска выявленных угроз; - проведение внутреннего аудита объекта; | |
ПК 3 Участвовать во внедрении разработанных технических решений и проектов во взаимодействии с другими специалистами, оказывать техническую помощь исполнителям при изготовлении, монтаже, настройке, испытаниях и эксплуатации технических средств | - выработка процедур для предупреждения нарушений безопасности; - разработка мер безопасности для нейтрализации выявленных угроз; . | |
Итоговая оценка (выводится на основе оценок за каждый вид работы по пятибальной шкале) |
Студентом пройден инструктаж по технике безопасности и охране труда. Студент ознакомлен с правилами распорядка, пожарной и информационной безопасности, безопасностью жизнедеятельности.
Характеристика профессиональной деятельности студента во время производственной практики (отношение к работе, личные качества и т.д.)
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Дата «___»_________2017г.
Подпись руководителя практики от учебного заведения_______________
Подпись руководителя базы практики_________________
Требования безопасности во время работы
1.1. Преподаватель (руководитель практики) должен контролировать обстановку во время занятий и обеспечить безопасное проведение процесса практики.
1.2.Во время практики в помещении (кабинете) должна выполняться только та работа, которая предусмотрена программой практики.
1.3. Все виды дополнительных занятий могут проводиться только с ведома руководителя или соответствующего должностного лица образовательного учреждения.
1.4. При проведении демонстрационных работ, лабораторных и практических занятий в помощь преподавателю (руководителю практики) должен быть назначен помощник (лаборант, ассистент, инженер). Функции помощника запрещается выполнять обучающемуся.
1.5. Преподавателю (руководителю практики) запрещается выполнять любые виды ремонтно-восстановительных работ на рабочем месте обучающегося или в помещении во время практики. Ремонт должен выполнять специально подготовленный персонал учреждения (электромонтер, слесарь, электромеханик и др.).
1.6. При проведении практики, во время которой возможно общее или местное загрязнение кожи обучающегося, преподаватель (руководитель практики) должен особенно тщательно соблюдать гигиену труда.
1.7. Если преподаватель (руководитель практики) или обучающийся во время занятий внезапно почувствовал себя нездоровым, преподавателем (руководителем практики) должны быть приняты экстренные меры:
* при нарушении здоровья обучающегося (головокружение, обморок, кровотечение из носа и др.) преподаватель (руководитель практики) должен оказать ему необходимую первую доврачебную помощь, вызвать медработника или проводить заболевшего в медпункт образовательного учреждения (лечебное учреждение);
* при внезапном ухудшении здоровья преподавателя (руководителя практики) поставить в известность через одного из обучающегося руководителя учреждения (или его представителя) о случившемся. Дальнейшие действия представителя администрации сводятся к оказанию помощи заболевшему преподавателю (руководителю практики) и руководству группой обучающихся в течение времени практики.
1.8. Преподаватель (руководитель практики) должен применять меры дисциплинарного воздействия на обучающихся, которые сознательно нарушают правила безопасного поведения во время проведения практики.
1.9. Преподаватель (руководитель практики) должен доводить до сведения руководителя учреждения о всех недостатках в обеспечении охраны труда преподавателей и обучающихся, снижающих жизнедеятельность и работоспособность организма человека (заниженность освещенности, несоответствие пускорегулирующей аппаратуры люминесцентных ламп, травмоопасность и др.)
Основные требования пожарной безопасности
Обучающийся должен выполнять правила по пожарной безопасности, а в случае возникновения пожара должен выполнять основные требования противопожарного режима:
- знать, где находятся первичные средства пожаротушения, а также какие подручные средства можно применять при тушении пожара;
- при работе с огнеопасными материалами соблюдать противопожарные требования и иметь вблизи необходимые средства для тушения пожара (огнетушители, песок, воду и др.);
- уходя последним из рабочего помещения, необходимо выключить электросеть, за исключением дежурного освещения.
Обо всех замеченных нарушениях пожарной безопасности сообщать руководителю практики, администрации организации, учреждения.
При возникновении пожара немедленно приступить к его тушению имеющимися средствами, сообщить по телефону 01 и администрации предприятия (порядок действий определить самому в зависимости от степени угрозы).
В расположении образовательного учреждения запрещается:
- загромождать и закрывать проезды и проходы к пожарному инвентарю оборудованию и пожарному крану;
- бросать на пол и оставлять неубранными в рабочих помещениях бумагу, промасленные тряпки и др.;
- обвешивать электролампы бумагой и тканью, вешать на электровыключатели и электропровода одежду, крюки, приспособления и др., забивать металлические гвозди между электропроводами, подключать к электросети непредусмотренные нагрузки, заменять перегоревшие предохранители кусками проволоки — «жучками»;
- использовать на складах, учебных и вспомогательных помещениях для приготовления пищи и обогрева электроплитки, электрочайники, керосинки;
- чистить рабочую одежду бензином, растворителем или другими ЛВЖ.
ПК 1. Руководствоваться законодательными и нормативными документами в области обеспечения информационной безопасности телекоммуникационных систем, защиты государственный тайны и конфиденциальной информации.
-Составление схемы информационных активов объекта безопасности
-Составление схемы движения конфиденциальной информации на объекте
-Составление политики информационной безопасности объекта
- Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации. Как известно, стратегическое планирование позволяет определить основные направления деятельности организации, связав воедино маркетинг, производство и финансы. Долгосрочный стратегический план позволяет компании выстроить все свои бизнес-процессы с учетом микро и макросреды для достижения наилучших финансовых показателей и темпов экономического роста. Важной составляющей в стратегическом планировании является учет требований политики информационной безопасности, которые должны быть краеугольным камнем при определении среднесрочных и долгосрочных целей и задач организации. С ростом компании и пересмотром планов политика также должна пересматриваться. Низкоуровневые документы информационной безопасности необходимо пересматривать в соответствии с реализацией краткосрочных планов. Политика информационной безопасности неразрывно связана с развитием компании, ее стратегическим планированием, она определяет общие принципы и порядок обеспечения информационной безопасности на предприятии. Политика информационной безопасности тесно интегрируется в работу предприятия на всем этапе его существования. Все решения, предпринимаемые на предприятии, должны учитывать её требования. Эффективное обеспечение требуемого уровня информационной безопасности организации возможно только при наличии формализованного и системного подхода к выполнению мер по защите информации. Целью разработки политики информационной безопасности организации является создание единой системы взглядов и понимания целей, задач и принципов обеспечения информационной безопасности. Основные этапы разработки политики информационной безопасности следующие:
- Исследование текущего состояния информационной среды и информационной безопасности организации;
- Анализ полученных сведений по результатам исследования;
- Формирование плана работ по разработке политики информационной безопасности;
- Разработка политика информационной безопасности организации.
- Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов:
- Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила, направленные на защиту информационных ресурсов организации;
- Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;
- Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;
- Прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.
-
Основные принципы обеспечения информационной безопасности:
- Осведомленность о риске информационной безопасности
- Персональная ответственность
- Ограничение полномочий
- Комплексность защиты
- Адекватность защиты
- Непрерывность процессов контроля и совершенствования системы обеспечения информационной безопасности
- Контроль со стороны руководства
Антивирусная защита
Каждый сотрудник обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение. Антивирусные средства должны быть установлены на все рабочие места работников и сервера в режиме постоянной защиты. Запрещается отключать антивирусное ПО, без согласования со службами автоматизации (Департамента ИТ). Пользователи на рабочих местах не должны иметь административных прав. Наличие административных прав на рабочих местах разрешается только пользователям, выполняющим специальные функции по управлению автоматизированной системой по согласованию ИТ Департаментом. Все ПО устанавливается на рабочие станции сотрудниками службы автоматизации. Устанавливаемое ПО должно быть лицензионным. Запрещается самостоятельная установка ПО пользователями. Техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование USB, CD-DVD-дисководов максимально ограничивается. Запрещается подключать любое оборудование без согласования с сотрудниками ИТ Департамента. Антивирусная защита обеспечивается использованием специализированного лицензионного антивирусного программного обеспечения. Для снижения влияния человеческого фактора, исключения возможности отключения или не обновления антивирусных средств, контроль и управление антивирусным программным обеспечением, а также устранение выявленных уязвимостей в системном программном обеспечении производится в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления. Технологические процессы должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты. Для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности, обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса. Помещения категорируются в зависимости от критичности размещаемых в них информационных активов. Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и в иных местах (например, гостинице, конференц-зале, автомобиле или аэропорту). Портативные компьютеры, должны храниться в физически защищенном месте. Организация системы обеспечения информационной безопасности. Все руководители структурных подразделений, отделов и служб отвечают за реализацию политики информационной безопасности и управление процессами ее обеспечения в рамках своей компетенции:
- разрабатывают требования по защите информационных активов в аспектах целостности и конфиденциальности и доступности на основе анализа рисков информационной безопасности;
- осуществляют контроль соответствия требованиям по защите информационных активов на всех стадиях жизненного цикла автоматизированных систем, от проектирования до снятия с эксплуатации;
- проводят расследования инцидентов и фактов нарушений информационной безопасности и информируют директора о результатах проведенного расследования;
- организуют инструктажи работников по вопросам информационной безопасности;
- осуществляют инструментальный контроль и мониторинг текущего состояния информационной безопасности;
- регулярно (не реже одного раза в полгода) информируют директора о состоянии информационной безопасности.
Пользователь информационных ресурсов ЛВС обязан:
- Использовать ресурсы ЛВС для служебных целей.
- Знать и помнить имя компьютера, персональный логин и пароль (выдается памятка).
- По требованию системного администратора производить выход из баз данных вплоть до полного отключения от сети.
- При смене должности, рабочего места или уровня доступа к информации немедленно сообщать администратору ЛВС.
- Иметь уникальный пароль, соответствующий требованиям информационной безопасности.
Пароль должен иметь длину не менее 5-ми символов и удовлетворять любым 3-м из 4-х условий:
- в пароле должны присутствовать цифры;
- в пароле должны присутствовать специальные символы («?@ и.т.д.);
- в пароле должны присутствовать заглавные буквы;
- в пароле должны присутствовать строчные буквы.
Пароль не должен повторять пароли других пользователей и предыдущие пароли пользователя (в случае плановой смены пароля).
-Составление инструкции пользователя при работе в интернет сети
Данный раздел отражает полномочия, обязанности и ограничения прав пользователей глобальной компьютерной сети Интернет. Пользователю запрещается:
- загружать, самостоятельно устанавливать прикладное, операционное, сетевое и другие виды программного обеспечения, а также осуществлять обновления, если эта работа не входит в его должностные обязанности;
- использовать ресурсы Интернет в не служебных целях;
- допускать к работе посторонних лиц;
- строго запрещается подключаться к ресурсам Интернет, используя ПК Компании через не служебный канал доступа –сотовый телефон, модем, и др. устройства.
Пользователь обязан знать и уметь пользоваться антивирусным программным обеспечением. При обнаружении вируса он должен сообщить об этом администратору. Пользователю запрещается производить какие-либо действия с информацией, зараженной вирусом. Пользователь обязан информировать администратора о любых нарушениях, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети.
Пользователь имеет право оспаривать решение администратора через своего непосредственного руководителя, который в свою очередь обращается в ИТ службу. Если обе стороны не могут прийти к консенсусу, тогда вопрос рассматривает заместитель генерального директора.
-Составление инструкции администратора сети
Данный раздел отражает функциональные полномочия и обязанности администратора, обеспечивающего доступ к глобальной компьютерной сети Интернет. Администратор обязан:
- производить подключение к сети Интернет только через специализированное устройство (Firewall) для обеспечения защиты информационной сети;
- знать и правильно использовать аппаратно-программные средства защиты информации и обеспечивать сохранность информационных ресурсов с помощью этих средств;
- оказывать методическую и консультационную помощь пользователям по вопросам, входящим в его компетенцию;
- ежемесячно вести учет и анализ использования ресурсов сети Интернет по каждому пользователю, предоставлять этот отчет руководству;
- информировать руководителей структурных подразделений о любых нарушениях требований настоящего положения и других негативных ситуациях, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети.
Администратор имеет право:
- при обнаружении доступа к развлекательным сайтам, запретить доступ к сайту.
- при обнаружении использования пользователем программных продуктов, которые могут привести к несанкционированному доступу, модификации, разрушению, удалению информационных ресурсов или сбоям в работе сети, запретить доступ к сети Интернет.
ПК 2. Участвовать в подготовке и проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации.
-Проведение инструктажа по технике безопасности. Ознакомление с планом проведения учебной практики. Получение заданий по тематике.
Общие положения:
К работе в помещении, оборудованном вычислительной техникой, допускаются лица, прошедшие данную инструкцию по технике безопасности и правилам поведения, медицинский осмотр и не имеющие противопоказаний по состоянию здоровья. Помните, что каждый рабочий в ответе за состояние своего рабочего места и сохранность размещенного на нем оборудования. Перед началом работы необходимо:
- Убедиться в отсутствии видимых повреждений на рабочем месте
- Принять правильною рабочую позу
- Посмотреть на индикатор монитора и системного блока и определить, включён или выключен компьютер
Переместите мышь, если компьютер находится в энергосберегающем состоянии или включить монитор, если он был выключен.
При работе в компьютерном помещении категорически запрещается:
- Находиться в классе в верхней или во влажной одежде
- Класть одежду и сумки на столы
- Находиться в помещении с напитками и едой
- Пытаться самостоятельно устранять неисправности в работе аппаратуры
- Перекрывать вентиляционные отверстия на системном блоке и мониторе
- Ударять по клавиатуре, бесцельно нажимать на клавишиКласть книги и другие вещи на клавиатуру, монитор и системный блок
- Удалять и перемещать чужие файлы
- Использовать дискеты, СD-,DVD-диски, USB флэш-диски без разрешения системного администратора. Если такое разрешение получено, то перед работой необходимо проверить их на ВИРУС с помощью антивирусных программ
- Приносить и запускать компьютерные игры
- Работать при плохом самочувствии
- Находясь в компьютерном помещении, работники обязаны
- Соблюдать тишину и порядок
- Находясь в сети работать только под своим именем и паролем
- Соблюдать режим работы (согласно п. 9.4.2. Санитарных правил и норм)
- При появлении рези в глазах, резком ухудшении видимости, невозможности сфокусировать взгляд или навести его на резкость, появления боли в пальцах и кистях рук, усиления сердцебиения немедленно покинуть рабочее место, сообщить о происшедшем начальству и обратиться к врачу
- После окончания работы завершить все активные программы и корректно выключить компьютер
- Оставить рабочее место чистым, в определенном порядке.
Работая за компьютером, необходимо соблюдать правила:
- Расстояние от экрана до глаз – 70 – 80 см (расстояние вытянутой руки)
- Вертикально прямая спина
- Плечи опущены и расслаблены
- Ноги на полу и не скрещены
- Локти, запястья и кисти рук на одном уровне
- Локтевые, тазобедренные, коленные, голеностопные суставы под прямым углом
Требования безопасности в аварийных ситуациях:
- При появлении программных ошибок или сбоях оборудования учащийся должен немедленно обратиться к преподавателю
- При появлении запаха гари, необычного звука немедленно прекратить работу, и сообщить преподавателю.
-Модель угроз информационной безопасности
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АВС – антивирусные средства
АРМ – автоматизированное рабочее место
ВТСС – вспомогательные технические средства и системы
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПМВ – программно-математическое воздействие
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
САЗ – система анализа защищенности
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
СОВ – система обнаружения вторжений
ТКУ И – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных
ФСТЭК России – Федеральная служба по техническому и экспортному контролю
Разработка модели угроз должна базироваться на следующих принципах:
1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).
2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.
3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий
полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).
Для разработки модели угроз необходимо последовательно осуществить следующие шаги:
1) описать ИСПДн (см. раздел 3 на стр. 19);
2) определить пользователей ИСПДн (см. раздел 4 на стр. 25);
3) определить тип ИСПДн (см. раздел 5 на стр. 28);
4) определить исходный уровень защищенности ИСПДн (см. раздел 6 на стр. 32);
5) определить вероятность реализации угроз в ИСПДн (см. раздел 7 на стр. 36);
6) определить возможность реализации угроз в ИСПДн (см. раздел 8 на стр. 71);
7) оценить опасность угроз (см. раздел 9 на стр. 90);
8) определить актуальность угроз в ИСПДн (см. раздел 10 на стр. 104);
После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.
-Проведение оценки риска выявленных угроз.
Производится оценка опасности, которая определяется на основе опроса специалистов по вербальным показателям опасности с тремя значениями:
1) низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных
2) средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных
3) высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных
Актуальными угрозами безопасности ПДн в ИСПДн являются:
- угроза НСД с применением стандартных функций операционной системы
- угроза НСД при передаче информации по внешним каналам
- угроза утечки информации при удаленном доступе к информационным ресурсам
- угроза утечки информации с использованием копирования её на съемные носители
- угроза утечки информации посредством её печати на множительной технике
- угроза внедрения вредоносных программ с использованием съемных носителей
- угроза «Анализ сетевого трафика»
- угроза внедрения троянских программ
- угроза внедрения вредоносных программ через почтовые сообщения
-Проведение внутреннего аудита объекта
Созданная и функционирующая в настоящий момент система информационной безопасности ООО «Предприятие», помимо комплекса организационных мер использует следующие средства защиты информации:
- средства антивирусной защиты Kaspersky Total Space Security
- программный комплекс «Межсетевой экран Ideco ICS»
- средства управления доступом в систему (Active Directory)
- методы и средства аутентификации пользователей на основе usb-ключей
- средства криптографической защиты информации.
Использование в составе системы информационной безопасности данных средств позволяет с уверенностью говорить о том, что их заявленный функционал сможет достаточно эффективно обеспечить защиту ПДн и существенно снизить вероятность реализации следующих актуальных угроз:
- угроза НСД при передаче информации по внешним каналам
- угроза утечки информации при удаленном доступе к информационным ресурсам
- угроза внедрения вредоносных программ с использованием съемных носителей
- угроза «Анализ сетевого трафика»
- угроза внедрения троянских программ.
ПК 3. Участвовать во внедрении разработанных технических решений и проектов во взаимодействии с другими специалистами, оказывать техническую помощь исполнителям при изготовлении, монтаже, настройке, испытаниях и эксплуатации технических средств.
-Выработка процедур для предупреждения нарушений безопасности
Предоставление прав доступа пользователей к сетевым ресурсам осуществляется в соответствии с политикой управления доступом к ресурсам корпоративной сети Компании. При предоставлении доступа к ресурсам ИС реализуется дискреционный принцип контроля доступа. Для ИС Компании разрабатывается матрица доступа, в которой для каждого субъекта доступа (пользователя) и каждого объекта (ресурса) в явном виде указываются типы доступа. Данная матрица служит основой дискреционной политики управления доступом. Внесение изменений в системное ПО проводится в случаях установки программных коррекций используемого ПО, установки новых версий ОС и СУБД. Допускается эксплуатация только лицензионного ПО, приобретенного непосредственно у разработчика, либо его официального представителя. Перед установкой ПО на действующую ИС необходимо провести тестовые испытания ПО на стенде. Факт внесения изменений документируется для каждого СВТ, эксплуатируемого в ИС, с указанием конфигурационных параметров установленного ПО. Ведение журналов по внесению изменений в системное и прикладное ПО ИС Компании возлагается на сотрудников ОИТ. Необходимо спланировать процесс обучения администраторов и пользователей ИС действиям по предотвращению и реагированию на нарушения безопасности, а также обсудить с ответственными сотрудниками отдельные аспекты политики безопасности. Для этого необходимо: Разработать планы и графики проведения занятий с администраторами и пользователями ИС с целью разъяснения степени ответственности и области компетенции каждого сотрудника при обеспечении информационной безопасности, а также действий персонала по реагированию на нарушения безопасности. Предусмотреть проведение собраний администраторов и пользователей ИС для обсуждения требований политики безопасности. Важно, чтобы эти требования не создавали пользователям препятствий при выполнении их должностных обязанностей, иначе будет существовать устойчивая тенденция обойти ограничения, накладываемые политикой безопасности. Квалификация персонала должна быть подтверждена соответствующими сертификатами и периодически проверяться при проведении плановых аттестаций сотрудников ОИБ. Мероприятия по восстановлению работоспособности ИС в случае аварии предусматривают возможность замены пришедших в негодность технических