Поделиться
Практичкеская работа_Анализ угроз информационной безопасности.pdf
Практическая работа
Тема: «Анализ угроз информационной безопасности.
Работа с Банком данных угроз ФСТЭК России»
Цель работы: формирование практических навыков работы с нормативными ресурсами ФСТЭК России для анализа и классификации угроз информационной безопасности в соответствии с действующей методикой оценки угроз
Задачи:
– Изучить структуру и функционал Банка данных угроз (БДУ) ФСТЭК России
– Освоить методику классификации угроз по типам и уровням опасности
– Научиться идентифицировать актуальные угрозы для заданной информационной системы
– Сформировать умения документировать результаты анализа угроз в соответствии с требованиями регулятора
Теоретическая справка
Банк данных угроз безопасности информации (БДУ) — официальный ресурс ФСТЭК, содержащий:
– Базу данных уязвимостей программного обеспечения
– Перечень и описание угроз безопасности информации с уникальными идентификаторами
– Методические рекомендации по нейтрализации угроз
3. Методика оценки угроз (ФСТЭК) Документ регламентирует порядок:
– Определения источников угроз и их мотивации
– Оценки возможности реализации угроз
– Определения актуальности угроз для конкретной системы
– Формирования модели угроз как основы для выбора мер защиты
В настоящее время проводится опытная эксплуатация модернизированного раздела угроз на сайте ФСТЭК по схеме:
Ход выполнения работы
Задание 1.1. Перейдите на официальный сайт ФСТЭК России: fstec.ru
Задание 1.2. Найдите и откройте раздел «Техническая защита информации» → «Банк данных угроз» или перейдите напрямую: bdu.fstec.ru
Задание 1.3. Скачайте «Методику оценки угроз безопасности информации» от
05.02.2021 и кратко законспектируйте:
– Область применения документа
– Основные этапы оценки угроз
– Критерии определения актуальности угрозы
1. В разделе «Угрозы» БДУ изучите классификатор угроз
2. Выберите 3 угрозы из разных категорий (например: УБИ.001, УБИ.015, УБИ.042)
Для каждой угрозы зафиксируйте в таблице:
|
Идентификатор |
Наименование угрозы |
Категория |
Уровень опасности |
Способ реализации |
|
УБИ.ХХХ |
|
|
|
|
Задание 2.2. Анализ угроз для заданного объекта Варианты объектов :
А) Информационная система персональных данных (ИСПДн) организации
Б) Веб-сайт коммерческой организации
В) Автоматизированная система управления технологическим процессом
(АСУ ТП)
Алгоритм работы:
1. Опишите кратко объект защиты (назначение, тип обрабатываемой информации, пользователи)
2. Используя БДУ, подберите 5-7 наиболее актуальных угроз для данного объекта
3. Обоснуйте выбор каждой угрозы, указав:
4. Почему данная угроза актуальна для объекта
5. Какой способ реализации наиболее вероятен
6. Какой уровень опасности присвоен угрозе в БДУ
• Для 2-3 выбранных угроз найдите в БДУ рекомендуемые меры нейтрализации
• Укажите, каким приказам ФСТЭК соответствуют данные меры (Приказ №** и др.)
Оформите в виде таблицы:
|
Угроза (идентификатор) |
Рекомендуемая мера |
Нормативный документ ФСТЭК |
|
|
|
|
Задание 3.1. Составьте фрагмент «Модели угроз» для вашего объекта в соответствии с требованиями Методики 2021 г.
МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Объект: _______________________________
1. Перечень актуальных угроз:
1.1. [Идентификатор] — [Наименование]
• Источник угрозы: _______
• Способ реализации: _______
• Уровень опасности: _______ • Обоснование актуальности: _______
2. Рекомендуемые меры защиты:
• [Мера 1] — [Нормативное основание]
• [Мера 2] — [Нормативное основание]
3. Выводы: _________________________
Задание 3.2. Подготовьте краткий отчет (1-2 страницы) с результатами работы, включая:
• Скриншоты страниц БДУ с выбранными угрозами
• Заполненные таблицы
• Фрагмент модели угроз
• Ответы на контрольные вопросы
Контрольные вопросы:
1. Каково назначение Банка данных угроз ФСТЭК России и кто является его целевой аудиторией?
2. В чем различие между «угрозой», «уязвимостью» и «риском» в терминологии ФСТЭК?
3. Какие критерии используются для определения актуальности угрозы согласно Методике 2021 г.?
4. Каким образом угрозы из БДУ соотносятся с мерами защиты, установленными приказами ФСТЭК?
5. Почему модель угроз является обязательным документом при проектировании систем защиты информации?
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
