Міністерство освіти і науки України

Вінницький національний технічний університет

Факультет менеджменту та інформаційної безпеки
Кафедра менеджменту та безпеки інформаційних систем

ПРАКТИЧНА РОБОТА № 2
з дисципліни «Політика, стратегія та менеджмент кібербезпеки»
за темою «Дослідження структури систем управління кібербезпекою»

Студента 4 курсу ___КІТС19б_____групи

Спеціальності___125«Кібербезпека»___
____________Фернега_Є.І.____________
(п.і.б.)
Викладач: Салієва О.В.
(посада, вчене звання, науковий ступінь, прізвище та ініціали)

м. Вінниця – 2022
 Мета роботи – дослідити та проаналізувати структуру систем
управління кібербезпекою шляхом побудови та відображення моделі системи
інформаційної безпеки довільно обраного підприємства.
Теоретичні відомості
Управління інформаційною безпекою – процес, який забезпечує
конфіденційність, цілісність і доступність активів, інформації, даних і послуг
організації. Щоб забезпечувати інформаційну безпеку і керувати нею,
необхідна «система управління інформаційною безпекою».
Система управління інформаційною безпекою (Information Security
Management System) є частиною загальної системи управління, що базується
на аналізі ризиків і призначена для проектування, реалізації, контролю,
супроводу та вдосконалення заходів в області інформаційної безпеки
(кібербезпеки). Систему складають організаційні структури, політика, дії з
планування, обов’язки, процедури, процеси і ресурси.
Основними цілями інформаційної безпеки є:
– конфіденційність інформації, тобто необхідність введення обмежень
доступу до даної інформації для певного кола осіб;
– неможливість несанкціонованого доступу до інформації, тобто
ознайомлення з конфіденційною інформацією сторонніх осіб;
– цілісність інформації та пов’язаних з нею процесів (створення,
введення, обробки і виведення), яка полягає в її існуванні в неспотвореному
вигляді (незміненому по відношенню до деякого фіксованого її стану);
– доступність інформації, тобто здатність забезпечувати своєчасний і
безперешкодний доступ осіб до інформації;
– мінімізація ризиків інформаційної безпеки шляхом виконання
компенсаційних заходів;
– облік усіх процесів, пов’язаних з ризиками.
Досягнення заданих цілей здійснюється в процесі вирішення наступних
завдань:
– введення в систему термінів інформаційної безпеки;
 – класифікації інформаційних ресурсів підприємства;
– визначення власників процесів, відповідальних за інформаційну
безпеку;
– розробки спектра ризиків інформаційної безпеки та проведення їх
експертних оцінок;
– визначення групи доступу до інформаційних ресурсів;
– розробки системи управління ризиками інформаційної безпеки
(методи та їх оцінка);
– складання переліків адміністративних і технічних заходів для
мінімізації та компенсації ризиків;
– здійснення заходів інформаційної безпеки та періодичного контролю
за станом ризиків;
– забезпечення фізичної безпеки та безпеки персоналу;
– розробки вимог до інформаційної системи з погляду інформаційної
безпеки;
– контролінгу інформаційної безпеки на підприємстві.
Виділяються чотири стадії реалізації системи управління
інформаційною безпекою:
1) формування політики в галузі ризиків;
2) аналіз бізнес-процесів;
3) аналіз ризиків;
4) формування цільової концепції.
Формування політики в галузі ризиків передбачає визначення принципів
управління ними для всього підприємства в цілому. Ці принципи базуються на
цілях підприємства, його стратегії, також на вимогах згідно законів і
стандартів в галузі інформаційної безпеки. Чинником ефективності системи
управління інформаційною безпекою є її побудова на базі міжнародних
стандартів ISO / IEC 17799: 2005 та ISO / IEC 27001: 2005.
 Хід роботи
Згідно поставленому завданню, необхідно в будь-якому графічному
редакторі зобразити модель системи інформаційної безпеки довільно обраного
підприємства.
Для даного завдання обрано звичайний магазин запчастин для с\х
техніки та графічний редактор draw.io, в якому відобразимо дану модель.
Дослідивши всі напрямки отримання, зберігання та маніпулювання
інформацією даного підприємства, визначаємо вірогідні загрози та відповідно
ризики, після чого описуємо модель захисту цієї інформації (рис.1).

Рисунок 1 – Модель системи інформаційної безпеки підприємства

Таким чином, можна спостерігати, як певна діяльність або ціль,
взаємодіють між собою, як діють загрози, та як від них захищається система.
Висновок
Отже, правильна побудова, впровадження, функціонування, контроль,
вчасне коригування, підтримка і поліпшення системи управління
інформаційною безпекою є важливою задачею керівника, який прагне
створити конкурентно-спроможну, прибуткову, що відповідає законодавству
та комерційній репутації, організацію або підприємство. Окрім побудови
моделі системи захисту, варто приймати до уваги наступні, вже реальні
випадки втрати або викрадення даних, завдяки чому можна покращити захист.
 Теоретичні питання
1. Яким чином визначаються терміни інформаційної безпеки?
Основним механізмом СМІБ є періодичний аналіз ризиків інформаційної
безпеки. Аналіз ризиків може здійснюватися на основі методів CORAS,
CRAMM, Magerit, Mehari, Octave та інших. Аналіз ризиків має доповнюватися
процедурами аудиту, який сприяє глибшому розумінню бізнес-процесів, які
опановані в організації. Аудит може проводитися, наприклад, на основі
стандарту CobiT (Control Objectives for Information and related Technology, цілі
управління для інформаційних та суміжних технологій).

2. Розкрийте поняття «заходи інформаційної безпеки».

Заходи інформаційної безпеки спрямовані на захист від пошкоджень,
спотворень, блокування або копіювання інформації. Принципово, щоб всі
завдання вирішувалися одночасно – тільки тоді забезпечується повноцінний,
надійний захист.

3. Яким чином відбувається аналіз ризиків?

Аналіз ризиків відбувається за наступними етапами:
1.Ідентифікація активів СУІБ (активом є щось, що має цінність для
організації і, отже, потребує захисту);
2. Ідентифікація загроз;
3. Ідентифікація існуючих засобів контролю;
4. Ідентифікація вразливостей;
5. Ідентифікація наслідків.

4. Розкрийте поняття «об’єкти захисту», що до них відноситься.

Об'єктом захисту в інформаційній системі є інформація з обмеженим
доступом, яка циркулює та зберігається у вигляді даних, команд, повідомлень,
що мають певну обмеженість і цінність як для її власника, так і для
потенційного порушника технічного захисту інформації.
 5.Що таке «загрози»? Їх види та джерела.
Під загрозою інформаційних відносин розуміють потенційно можливу
подію, процес або явище, яке з допомогою впливу на інформацію або інші
компоненти інформаційної системи, може прямо або опосередковано
призвести до заподіяння шкоди даним того чи іншого суб'єкта.
Зокрема існує багато ознак, за якими класифікують загрози. Головна
ознака, за аспектом інформаційної безпеки, на який спрямовані загрози:
 Загрози конфіденційності (неправомірний доступ до інформації).
 Загрози цілісності (неправомірна зміна даних).
 Загрози доступності (здійснення дій, які унеможливлюють чи
ускладнюють доступ до ресурсів інформаційної системи).
За розташуванням джерела загроз:
 Внутрішні (джерела загроз розташовуються всередині системи);
 Зовнішні (джерела загроз знаходяться поза системою).

6. Види заходів інформаційної безпеки.

До основних заходів забезпечення інформаційної безпеки відносяться:
• криптографічний захист даних;
• виявлення атак і захист від них;
• розмежування доступу до інформаційних систем;
• застосування для захисту інформаційних систем міжмережевих
екранів;
• антивірусний захист файлів;
• резервне копіювання даних і додатків;
• захист від витоків даних;
• протоколювання і аудит;
• захист даних, що передаються по провідним і бездротовим
інформаційних мереж.
 7. Яким чином та з якою метою відбувається оцінка ефективності
системи управління кібербезпекою?
Оцінка ефективності системи управління інформаційною безпекою – це
системний процес отримання та оцінки об’єктивних даних про поточний
стан системи, дії і події, що відбуваються в ній, встановлює рівень їх
відповідності певним критеріям. Цілями процесу є:
– оцінка поточного рівня ефективності системи;
– локалізація «вузьких» місць у системі;
– оцінка відповідності системи підприємства існуючим стандартам в
галузі інформаційної безпеки;
– вироблення рекомендацій і регламентів щодо забезпечення безпеки
об’єктів захисту.