«Классификация информационных активов, угроз и систем в соответствии с нормативными документами»
Цели занятия:
Сегодня вы выступите в роли консультантов по информационной безопасности молодой компании. Ваша задача – провести первичный
Каждая группа получает «Набор практиканта», который включает: Описание объекта (Кейс) Банк угроз (Упрощенный аналог ФСТЭК)
Каждая группа получает «Набор практиканта», который включает: Описание объекта (Кейс): Научно-исследовательский институт
Используя материалы кейса и нормативные справки, заполните «Акт классификации и оценки угроз» – итоговый проект вашей группы.
1 Распределить обрабатываемую информацию по видам информации:
2 Найти аналоги угроз информационной безопасности из банка угроз ФСТЭК, описать последствия реализации угрозы, определить
3 Классифицировать объекты защиты, определить где именно обрабатывается информация какой класс СВТ (для всех), а далее или АС
4 Распределить угрозы по объекту защиты, угрозы могут повторятся для разных видов информации:
4 Распределить правовые документы в соответствии с объектом защиты Класс/Тип/Вид и выписать базовые требования из них:
64.08K
Similar presentations:
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Формализованные требования к программно-аппаратной защите информации (лекция 4)
Формализованные требования к программно-аппаратной защите информации (лекция 4)
Объекты защиты и угрозы безопасности в автоматизированных системах
Объекты защиты и угрозы безопасности в автоматизированных системах
Нормативно-правовое обеспечение кибербезопасности
Нормативно-правовое обеспечение кибербезопасности
Место информационной безопасности в системе национальной безопасности России
Место информационной безопасности в системе национальной безопасности России
Нормативно-правовое обеспечение кибербезопасности. Лекция 5/1
Нормативно-правовое обеспечение кибербезопасности. Лекция 5/1
Автоматизация делопроизводства, электронный документооборот и защита документированной информации
Автоматизация делопроизводства, электронный документооборот и защита документированной информации
Тема 2. Правовое обеспечение ИБ. Занятие №1. Содержание основных нормативных правовых актов в сфере защиты ГТ
Тема 2. Правовое обеспечение ИБ. Занятие №1. Содержание основных нормативных правовых актов в сфере защиты ГТ
Информационная безопасность
Информационная безопасность
Управление информационной безопасностью
Управление информационной безопасностью

Практическое занятие 1 дополненная для защиты-2

1. «Классификация информационных активов, угроз и систем в соответствии с нормативными документами»

Ст. преподаватель каф. ИБ
Лукманова Оксана Равилевна
2025 г.

2. Цели занятия:

1.Закрепить теоретические знания по классификации информации, угроз и средств ее
обработки.
2.Выработать навыки применения нормативных документов (приказы ФСТЭК России)
для классификации объектов защиты.
3.Научиться идентифицировать и анализировать актуальные угрозы из банка угроз
ФСТЭК.
4.Развить навыки командной работы, анализа и презентации результатов.

3. Сегодня вы выступите в роли консультантов по информационной безопасности молодой компании. Ваша задача – провести первичный

анализ ее
информационной инфраструктуры
Распределение ролей внутри группы:
Руководитель, аналитик по угрозам, эксперт по СВТ, эксперт по
АС, докладчик.

4. Каждая группа получает «Набор практиканта», который включает: Описание объекта (Кейс) Банк угроз (Упрощенный аналог ФСТЭК)

Нормативные справки (Презентации, ФЗ, ППРФ, НПА, НМД, РД,
Приказы ФСТЭК)

5. Каждая группа получает «Набор практиканта», который включает: Описание объекта (Кейс): Научно-исследовательский институт

«Квант» (Аэрокосмическая отрасль)
Частная медицинская клиника «Гармония здоровья» (Здравоохранение)
Производственное объединение «МашСталь» (Машиностроение, КИИ
Финансово-аналитический портал «InvestFuture» (Финтех, СМИ)
Банк угроз (Упрощенный аналог ФСТЭК)
У01: Утечка данных из-за слабых паролей сотрудников
У02: Атака программ-вымогателей (Ransomware) на серверы учета
Нормативные справки (Презентации)

6. Используя материалы кейса и нормативные справки, заполните «Акт классификации и оценки угроз» – итоговый проект вашей группы.

7. 1 Распределить обрабатываемую информацию по видам информации:

Вид информации
Обрабатываемая информация
Ключевое свойство информации
Персональные данные
ФИО, телефон
Доступность

8. 2 Найти аналоги угроз информационной безопасности из банка угроз ФСТЭК, описать последствия реализации угрозы, определить

источник угрозы, объект воздействия и вид
информации
Угроза из карточки
УОД.01 – Отказ в
обслуживании
информационной
системы
Угроза и банка
ФСТЭК
Тип нарушителя
Объект воздействия
Информационная
система, сетевой узел,
системное
Внешний нарушитель с
УБИ. 140 – Угроза
программное
низким потенциалом;
приведения системы в
обеспечение, сетевое
Внутренний
состояние «отказ в
программное
нарушитель с низким
обслуживании»
обеспечение, сетевой
потенциалом
трафик,
телекоммуникационно
е устройство
Пишется из кейс
задания, главное
чтобы по смыслу из
банка пересекалось
Последствия
реализации угрозы
Нарушение
доступности

9. 3 Классифицировать объекты защиты, определить где именно обрабатывается информация какой класс СВТ (для всех), а далее или АС

или ИС с выбором конкретного вида
Объект защиты
Класс/Тип/Вид (по нормам ФСТЭК) Класс/Тип/Вид (по нормам ФСТЭК)
Информация
Персональные данные
Коммерческая тайна
Средства ВТ
СВТ ____ класса

-

Автоматизированная система (АС)
Автоматизированная система (АС)
Информационная система (ИС)
ИСПДн ( ______-й уровень)

10.

Корпоративна
я тайна
(коммерческа
я и т.д.)
Сведения,
Механизм,
Конфиденциальная
Открытая
составляющие
гарантирующи
информация
информация
государственну
й перехват
(служебная)
ю тайну
доступа
Вид
диспетчером средства
C
Без
C
Без
C
Без
С
обращений
Без
доступ доступо доступ доступо доступ доступо
доступа доступо
С СС ОВ субъектов к
м
в
а
в
м
в
а
в
м
в
а
в
м
в
в Internet Internet ИТКС ИТКС ИТКС
объектам
ИТКС
ИТКС
ИТКС
7
6
5
4
3
2
1
СВТ

11. 4 Распределить угрозы по объекту защиты, угрозы могут повторятся для разных видов информации:

Объект защиты
Информация
Класс/Тип/Вид (по нормам ФСТЭК)
Актуальные угрозы
Персональные данные
УБИ. 140 – Угроза приведения
системы в состояние «отказ в
обслуживании»
Средства ВТ
Автоматизированная система (АС)
Информационная система (ИС)
Информация
Средства ВТ
Автоматизированная система (АС)
Информационная система (ИС)
Коммерческая тайна

12. 4 Распределить правовые документы в соответствии с объектом защиты Класс/Тип/Вид и выписать базовые требования из них:

Объект защиты
Информация
Базовые требования по
Класс/Тип/Вид (по нормам ФЗ, ППРФ, НПА, НМД, РД,
защите (без адаптивных
ФСТЭК)
Приказы ФСТЭК
мер)
1. Обработка персональных
данных должна
осуществляться на
законной и справедливой
основе.
2. Обработка персональных
152-ФЗ О персональных
данных должна
ограничиваться
данных 149-ФЗ Об
Персональные данные
информации
достижением конкретных,
информационных
заранее определенных и
законных целей. Не
допускается обработка
персональных данных,
несовместимая с целями
сбора персональных
данных.
Дискреционный принцип
English     Русский Rules