Целями производственной практики по профилю специальности 210723 являются комплексное освоение всех видов профессиональной деятельности, формирование общих и профессиональных компетенций, также приобретение необходимых умений и опыта практической работы по специальности.
Введение
Целями производственной практики по профилю специальности 210723 являются комплексное освоение всех видов профессиональной деятельности, формирование общих и профессиональных компетенций, также приобретение необходимых умений и опыта практической работы по специальности.
Задачами производственной практики по профилю специальности 210723 являются приобретение студентами профессиональных умений, закрепление, расширение и систематизация знаний, полученных при изучении ПМ 02 «Обеспечение информационной безопасности телекоммуникационных систем и информационно-коммуникационных сетей связи».
В процессе выполнения практической работы осваиваются следующие общие компетенции:
ОК1. Понимать сущность и социальную значимость своей будущей профессии проявлять к ней устойчивый интерес.
ОК2. Решать проблемы, оценивать риски и принимать решения в нестандартных ситуациях.
ОК3. Осуществлять поиск, анализ и оценку информации, необходимой для постановки и решения профессиональных задач, профессионального и личностного развития.
«Ростелеком» — российская телекоммуникационная компания <#»802941.files/image001.gif»>
Рисунок 4.1 — Общий план аудита <#»802941.files/image002.gif»>
Рисунок 4.2 — Аудит защищённости web-приложений
Основная задача — выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости — она проверяется на предмет возможности её эксплуатации.
В случае размещения web-приложения в условиях аренды места на сервере хостинга — дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере:
) оценка рисков — на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы;
) выработка рекомендаций — на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;
) внедрение мер по обеспечению информационной безопасности — на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.
По окончании работ производится оценка остаточного риска.
Отчет, предоставляемый по результатам проведения аудита Web-приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.
Комплексный аудит
Комплексный аудит информационной безопасности — независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.
поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;
комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;
регулярное отслеживание изменений в информационной системе;
получение независимой оценки;
соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.
Основные задачи комплексного аудита информационной безопасности:
анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;
выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;
составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;
требования международных стандартов и нормативных документов в сфере информационной безопасности;
выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:
) внешний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внешние тесты на проникновение;
в) аудит защищенности Web-приложений.
) внутренний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внутренние тесты на проникновение;
в) аудит защищенности от утечки информации;
Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей.
Аудит на соответствие стандартам
Стандарт ГОСТ Р ИСО/МЭК 27001-2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001-2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.
Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» компании для инвесторов, партнеров и клиентов, благодаря управлению рисками, а также увеличить защищенность компании от угроз информационной безопасности.
Проведение аудита заключается в анализе и оценке:
системы управления рисками информационной безопасности;
политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;
принципов управления активами и персоналом;
технических средств обеспечения информационной безопасности;
существующей системы управления инцидентами;
процессов управления непрерывностью бизнеса и восстановления после сбоев.
Результатом проведенных работ является:
возможность прохождения сертификации;
повышение конкурентоспособности на рынке;
повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;
снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;
наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;
прозрачная система управления информационной безопасностью предприятия.
Заключение
В соответствии с учебным планом в период с 23.06.2014г. по 05.07.2014г. была пройдена производственная практика ПМ.02 «Техническая эксплуатация телекоммуникационных систем»
Практика началась с вводного инструктажа, изучения требований к организации определённого рабочего места, ознакомления с санитарно-гигиеническими нормами и безопасностью работы. Далее осуществлялось знакомство с направлением деятельности предприятия ОАО «Ростелеком», изучение её нормативно-правовой базы.
В отчете по практике отражены профессиональные компетенции:
использование программно-аппаратных средств защиты информации в телекоммуникационной системе и сетях связи (ПК 2.1):
а) антивирусы;
б) криптографическое программное обеспечение;
в) программное обеспечение для резервного копирования <http://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F:%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BB%D1%8F_%D1%80%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BA%D0%BE%D0%BF%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F>ý;
г) межсетевые экраны;
применение системы анализа защищенности для обнаружения уязвимости информации, выдавать рекомендации по их устранению (ПК 2.2):
а) физическая безопасность. Ограничьте физический доступ к оборудованию компьютера;
б) управление доступом к системе. Ограничьте доступ пользователей с помощью паролей и полномочий;
в) управление доступом к файлам. Ограничьте доступ к данным путем назначения полномочий на файлы;
г) аудит пользователей. Контролируйте деятельность пользователей для обнаружения опасности раньше, чем произойдет повреждение системы;
д) безопасность в сети. Установите защиту доступа через телефонные линии, последовательные линии связи или через сеть;
е) обеспечьте защиту доступа с привилегиями суперпользователя. Установите доступ с привилегиями суперпользователя только для решения задач системного администрирования;
ответственность за безопасность информации должна быть возложена на конкретного администратора. Администратор безопасности сети должен играть роль центра для всех направлений безопасности сети в рамках организации; тем не менее, администратор безопасности сети может делегировать другому сотруднику некоторые свои полномочия (ПК 2.3).
В результате прохождения производственной практики была освоена работа на предприятии связи и приобретение некоторых практических навыков в технической эксплуатации информационно-коммуникационных сетей связи.
Для составления отчета использовалась информация, предоставленная руководителем предприятия, а также сведения, полученные из технической документации, руководящих документов, инструкций из Интернета.
Список используемых источников
1. Алиев Т.И Сети ЭВМ и телекоммуникации Санкт-Петербург 2011год. 400с.
2. Брейман А.Д Сети ЭВМ и телекоммуникации. Глобальные сети Москва 2006год. 117с.
. Беспроводные технологии журнал №04 2011 138с.
. Вишневский В., Портной С., Шахнович И. Энциклопедия WiMAX путь к 4g Москва 2009год. 470с.
. Витаминюк А.И. Создание, обслуживание и администрирование сетей на 100% — 2010год. Санкт-Петербург 232с.
. Виснадул Б.Д., Лупин С.А., Сидоров С.В., Чумаченко П.Ю. — Основы компьютерных сетей. 2007год. 272с.
