Указания по выполнению пунктов задания

Тема: разработка системы информационной защиты объекта.

Исходные данные

План помещений объекта, описание объекта, описание внешних условий, модели злоумышленников. Недостаточные данные при их необходимости для выполнения проекта вписать самостоятельно.

Задание

1. Моделирование

1.1. Составить перечень защищаемых сведений на объекте.

1.2. Составить перечень источников защищаемой информации.

1.3. Составить перечень носителей защищаемой информации.

1.4. Описать заданные модели злоумышленников применительно к объекту.

1.5. Построить дерево угроз для объекта.

2. Анализ безопасности системы

2.1. Выявить возможные каналы утечки информации.

2.2. Проанализировать вероятности реализации угроз безопасности информации. С помощью дерева угроз оценить финансовые риски организации при отсутствии системы защиты информации.

3. Составить план мероприятий по внедрению средств инженерной (физической) безопасности и охраны.

4. Составить список технических средств безопасности, которые необходимо внедрить.

5. Составить список рекомендаций по организационным мерам защиты информации.

6. Составить смету на приобретение оборудования и выполнение работ по внедрению системы защиты. Привести экономическое обоснование эффективности системы.

Требования к оформлению

Состав пояснительной записки:

– титульный лист;

– содержание;

– задание, включая индивидуальные данные;

– реализация проекта в соответствии с пунктами задания;

– выводы (каких результатов удалось достичь, реализовав проект).

Указания по выполнению пунктов задания

Основные данные приводятся в виде таблиц, однако обязательны связные текстовые комментарии. Помните, что работа должна восприниматься последовательно, излагаться логично и связно.

1.1 Оформить в виде таблицы из 8-12 пунктов с указанием названия и описания сведений, их цены, грифа секретности (если есть).

1.2 Оформить в виде таблицы, содержащей данные обо всех источниках защищаемых сведений из п. 1.1.

1.3 Оформить в виде таблицы, содержащей данные обо всех носителях защищаемых сведений из п. 1.1.

1.4 Описать злоумыленников по следующему плану: цели, ресурсы, допустимый риск, имеющийся уровень доступа.

1.5 Дерево строится с учётом данных, изложенных в пп. 1.1-1.3. Необходимая детализация — 5-6 уровней. Если размер итогового дерева чрезвычайно велик, можно построить несколько деревьев (например, отдельные деревья для разных аспектов безопасности или для разных классов сведений). При необходимости общую схему можно предоставить на листах большего формата.

2.1 Рассмотреть все виды каналов утечки. Для каждого вида каналов привести 2-3 примера.

2.2 Оценить вероятность реализации каждой угрозы экспертными методами. Присвоить весовые коэффициенты всем ветвям дерева. Вычислить финансовый риск (произведение вероятности реализации угрозы на стоимость информации).

Пункты 3, 4, 5, 6 оформляются в виде таблиц с указанием очерёдности реализации, описанием, перечислением требуемых ресурсов.

При выполнении пп. 1.5 и 2.2 рекомендуется использовать специализированные программы, такие как Digital Security Office.