Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
🚀 Вийди на новий рівень крипто-торгівлі!
Easy Trade Bot — автоматизуй свій прибуток уже зараз!
Ми пропонуємо перелік перевірених прибуткових стратегій на такі пари як BTC, DOT, TRX, AAVE, ETH, LINK та інші. Ви можете підключити автоматичну торгівлю на своєму акаунті Binance або отримувати торгові рекомендації на email у режимі реального часу. Також можемо створити бота для обраної вами монети.
Всі результати торгів ботів доступні для перегляду у зручних таблицях на головній сторінці. Швидко, динамічно та прозоро!
Аналіз ризиків та основні принципи забезпечення безпеки
Інформація про навчальний заклад
ВУЗ:
Національний технічний університет України Київський політехнічний інститут
Інститут:
Не вказано
Факультет:
ЗІ
Кафедра:
Не вказано
Інформація про роботу
Рік:
2024
Тип роботи:
Звіт до лабораторної роботи
Частина тексту файла (без зображень, графіків і формул):
НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ
“КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ
імені ІГОРЯ СІКОРСЬКОГО”
ЗВІТ
з лабораторної роботи №3
з навчальної дисципліни “Безпека інформаційних систем”
Тема: Аналіз ризиків та основні принципи забезпечення безпеки
Варіант 10
Мета лабораторної роботи – ознайомлення та дослідження алгоритму оцінки ризиків
інформаційної безпеки організації; набуття практичних навичок щодо застосування
методики матричного аналізу ризиків інформаційної безпеки та надання основних
рекомендацій з забезпечення безпеки.
Варіант
/
Виконання роботи:
Матриці
Матриця уразливостей
Матриця уразливостей
Активи:
Пацієнтські записи
Система управління даними поліклініки
Обладнання діагностики
Інтернет-комунікації
Персональні дані співробітників
Всього:
Ранжування
Уразливості:
РП
5
4
3
3
4
∑
Незахищений доступ до електронної медичної системи
5
8
9
5
3
6
155
4
Недостатній захист перед фізичними загрозами
4
2
4
9
2
2
76
1
Ненадійна система резервного копіювання даних
5
9
8
4
5
7
165
5
Низький рівень кібербезпеки для комунікаційних каналів
4
5
7
2
9
4
108
2
Недостатній контроль доступу до персональних даних
5
9
5
3
3
8
140
3
Матриця загроз
Матриця загрози
Активи:
Пацієнтські записи
Система управління даними поліклініки
Обладнання діагностики
Інтернет-комунікації
Персональні дані співробітників
Всього:
Ранжування
Загрози:
РП
5
4
3
3
4
∑
Несанкціонований доступ
5
9
9
3
3
8
160
4
Вірусні атаки та шкідливе програмне забезпечення
5
8
9
4
7
6
170
5
Помилки співробітників
3
6
5
3
2
4
60
2
Збої у роботі серверів
4
7
8
6
4
5
120
3
Фізичні пошкодження
3
3
4
9
2
2
60
1
Матриця контролю
Матриця контролю
Загрози:
Несанкціонований доступ
Вірусні атаки та шкідливе програмне забезпечення
Помилки співробітників
Збої у роботі серверів
Фізичні пошкодження
Всього:
Ранжування
засоби контролю
РП
5
5
3
4
3
∑
IDS
5
9
3
1
1
1
75
4
Антивірусне ПЗ
4
3
9
2
1
1
64
3
Навчання співробітників
3
3
2
9
1
1
48
2
Резервне копіювання
5
1
2
1
9
3
80
5
Фізичний захист
3
1
1
1
3
9
45
1
На основі отриманих результатів, надати основні рекомендації щодо
забезпечення безпеки в даній організації.
Підвищити рівень захисту від несанкціонованого доступу (НСД)
Встановити систему виявлення вторгнень (IDS), що допоможе відслідковувати підозрілі дії. Забезпечити багаторівневу аутентифікацію та обмежити доступ до даних відповідно до посадових обов'язків співробітників.
Захист від шкідливого програмного забезпечення та вірусних атак
Встановити та регулярно оновлювати антивірусне програмне забезпечення на всіх робочих станціях та серверах. Здійснювати контроль за підключенням зовнішніх носіїв і підвищити рівень захисту інтернет-комунікацій.
Навчання персоналу для мінімізації людських помилок
Регулярно проводити тренінги для співробітників щодо захисту даних та кібербезпеки. Навчити персонал розпізнавати фішингові атаки та безпечно працювати з конфіденційною інформацією.
Забезпечити надійне резервне копіювання даних
Організувати регулярне резервне копіювання всіх критичних даних та зберігати копії в захищеному середовищі. Використовувати стратегії резервного копіювання, такі як правило «3-2-1»
Забезпечення фізичного захисту обладнання
Забезпечити контроль доступу до приміщень, де зберігається обладнання, встановити камери відеоспостереження та забезпечити стійкість приміщень до фізичних загроз (наприклад, протипожежний захист)
Підвищити рівень безпеки комунікацій
Використовувати шифрування для передачі даних по інтернету, встановити захищені VPN-з’єднання для віддалених підключень та забезпечити надійний захист мережевих пристроїв
Короткі відомості про організацію в якій буде проводитися аналіз та оцінка ризиків безпеки
Приватна поліклініка "Медікс" — медичний заклад, що спеціалізується на діагностиці, лікуванні та профілактиці захворювань. Поліклініка надає послуги амбулаторного лікування, лабораторної діагностики, а також консультації фахівців різного профілю
Поліклініка використовує електронну систему управління пацієнтськими даними, що містить конфіденційну інформацію, включаючи медичні записи пацієнтів, особисті дані співробітників та результати діагностичних обстежень
Сформовані списки та обґрунтування інформаційних активів організації, ймовірних уразливостей, загроз та засобів контролю
Активи:
Пацієнтські записи
Система управління даними поліклініки
Діагностичне обладнання
Інтернет-комунікації
Персональні дані співробітників
Ймовірні уразливості
Незахищений доступ
Фізична безпека
Ненадійна система резервного копіювання
Низький рівень кібербезпеки для комунікаційних каналів
Недостатній контроль доступу до персональних даних
Ймовірні загрози
Несанкціонований доступ (НСД)
Вірусні атаки та шкідливе програмне забезпечення
Помилки співробітників
Збої у роботі серверів
Фізичні пошкодження
Засоби контролю
Система виявлення вторгнень (IDS)
Антивірусне програмне забезпечення
Регулярне навчання співробітників
Резервне копіювання даних
Фізичний захист обладнання
Відповідь на питання
1. Як класифікуються загрози за результатами їх впливу на інформацію?
Конфіденційність: загрози, які можуть призвести до розкриття або витоку конфіденційних даних.
Цілісність: загрози, що порушують точність або повноту інформації, вносячи несанкціоновані зміни в дані.
Доступність: загрози, які роблять інформацію або системи недоступними для користувачів (наприклад, атаки на відмову в обслуговуванні — DoS).
2. Що таке НСД і які існують способи його реалізації?
НСД (Несанкціонований доступ) — це доступ до інформаційної системи або даних без дозволу. Способи реалізації НСД можуть включати атаки на паролі, фішинг та атаки з використанням властивостей
3. Які повинна вирішувати завдання система забезпечення безпеки комп’ютерної системи?
Система забезпечення безпеки комп'ютерної системи має вирішувати такі основні завдання:
Захист конфіденційності, цілісності та доступності даних.
Контроль доступу — регулювання та обмеження доступу до ресурсів системи.
Моніторинг і реєстрація подій — виявлення підозрілих активностей та відстеження дій користувачів.
Запобігання і реагування на загрози — забезпечення заходів для швидкого реагування на інциденти.
4. Які існують поширені прийоми НСД?
До поширених прийомів НСД належать:
Перебір паролів (brute force).
Підбір паролів — спроби вгадати пароль користувача.
Перехоплення сеансів — захоплення активного сеансу користувача для доступу до системи.
Соціальна інженерія — маніпулювання користувачами для отримання доступу до їхніх облікових даних.
5. Які існують основні категорії мережевих атак?
Основні категорії мережевих атак включають:
Перехоплення даних — атаки типу "людина посередині" (MITM).
Атаки на доступність — атаки відмови в обслуговуванні (DoS/DDoS).
Маскарад та спуфінг — підробка IP-адрес, MAC-адрес, або особистих даних для обходу системи захисту.
Мережеве сканування — визначення вразливих точок мережі для підготовки до подальших атак.
6. У чому полягають принципи управління доступом?
Принципи управління доступом полягають у:
Мінімізації прав доступу — користувачам надається тільки той обсяг доступу, який потрібен для виконання їхніх завдань.
Контролі доступу — встановлення ролей і прав, які обмежують доступ до ресурсів відповідно до потреб.
Аутентифікації та авторизації — перевірка особи користувача та підтвердження його прав доступу до ресурсів.
7. У чому сенс концепції матриці доступу?
Концепція матриці доступу — це спосіб управління доступом, де відображено права доступу користувачів до певних ресурсів системи. У матриці доступу рядки зазвичай представляють користувачів або ролі, стовпці — ресурси, а значення на перетині — рівень доступу (наприклад, читання, запис, виконання). Це допомагає швидко оцінювати, хто має доступ до яких ресурсів.
8. Що є функціями і механізмами захисту?
Функції та механізми захисту — це засоби, які забезпечують інформаційну безпеку. До них належать:
Аутентифікація — підтвердження особи користувача.
Авторизація — надання прав доступу користувачу до певних ресурсів.
Шифрування — захист інформації від несанкціонованого перегляду.
Антивірусний захист — виявлення та видалення шкідливих програм.
Система виявлення вторгнень (IDS) — моніторинг системи на предмет підозрілих дій та загроз.
Висновок: При виконанні даної лабораторної роботи було проведено аналіз та оцінку ризиків для приватної клініки, було побудовано матриці та завдяки ним визначено які загрози складають більший рівень небезпеки у порівнянні з іншими і в результаті було визначено які міри прийняти щоб попередити різну інформаційну небезпеку.
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора