Pastein: Задание 1. Решение ситуационных задач Задача 1. «Новый сотрудник и права доступа» 1. Действия администратор

Загрузка данных
Задание 1. Решение ситуационных задач

Задача 1. «Новый сотрудник и права доступа»

1. Действия администратора ИС при подключении нового пользователя

Когда в компанию приходит новый менеджер по продажам, администратор информационной системы должен выполнить как минимум три обязательных шага. Во-первых, создать учётную запись в CRM-системе и базе клиентов, чтобы сотрудник вообще мог войти в рабочую среду. Во-вторых, провести обучение нового пользователя — объяснить, как правильно работать с системами, какие действия разрешены, а какие находятся под запретом. В-третьих, выдать ему необходимые носители информации: логин, временный пароль, а при необходимости — электронный ключ или смарт-карту для доступа к конфиденциальным данным.

2. Принцип защиты от НСД при назначении прав

При назначении прав доступа этому менеджеру должен быть применён принцип разграничения прав доступа на основе ролевой модели и минимальных привилегий. Это означает, что менеджер по продажам получает доступ ровно к тем объектам, которые ему реально нужны для работы: к CRM-системе и клиентской базе. При этом он не может видеть зарплату директора, потому что это данные другого уровня доступа, и не может удалить базу данных, поскольку право на удаление просто не входит в его роль. Таким образом, система защиты информации не даёт сотруднику случайно или намеренно навредить тому, с чем он не должен работать.

3. Кто ведёт учёт работников и контролирует пароли

Согласно лекции 24, ведение учёта работников, располагающих правами доступа, а также контроль за регулярным обновлением их паролей входит в обязанности администратора информационной безопасности автоматизированных систем. Именно этот специалист следит за тем, чтобы все сотрудники, имеющие доступ к информационной системе, были учтены, а их пароли своевременно менялись в соответствии с политикой безопасности.

---

Задача 2. «Инцидент безопасности»

1. Направление защиты от НСД, позволившее увидеть проблему

Действие системы мониторинга, которая зафиксировала аномально высокую нагрузку на сервер базы данных в ночное время и обнаружила попытку копирования данных неизвестным устройством, относится к направлению «Обнаружение». Как сказано в лекции 25, обнаружение включает в себя мероприятия, направленные на нахождение инцидентов: мониторинг пользовательской активности, анализ журналов конфиденциальных корпоративных систем и оповещения о подозрительных активностях. Без этого направления злоумышленник мог бы действовать скрытно длительное время.

2. Технические средства для ограничения ущерба

Если данные уже начали копироваться, то для ограничения ущерба следует применить методы из направления «Ограничение», описанные в лекции 25. В первую очередь это шифрование ценных данных, хранящихся на сервере и на компьютерах. Зашифрованная информация становится бесполезной для злоумышленника, даже если он успел её скопировать. Вторым важным методом является регулярное резервное копирование: если часть данных всё же утекла или была повреждена, компания сможет восстановить их из резервных копий и продолжить нормальную работу.

3. Обязанности администратора ИБ после устранения инцидента

После того как инцидент устранён, администратор информационной безопасности обязан выполнить ряд действий, перечисленных в лекции 24. Во-первых, он должен проинформировать руководство о случившемся — о факте инцидента и о попытке несанкционированного доступа к информации. Во-вторых, провести анализ недостатков в функционировании системы защиты информации и устранить их, чтобы подобное не повторилось. В-третьих, задокументировать все процедуры и результаты контроля — это необходимо для последующих аудитов и для совершенствования системы безопасности.

---

Задача 3. «Автоматизация рутины»

1. Какие задачи администрирования целесообразно автоматизировать

В компании с 500 компьютерами, где администраторы тратят 80% времени на ручную проверку обновлений антивирусов и настройку новых рабочих мест, автоматизировать в первую очередь следует задачи, которые повторяются изо дня в день. Это установка и настройка новых рабочих мест, чтобы не настраивать каждый компьютер вручную. Это обновление программного обеспечения, включая антивирусные базы, чтобы обновления доходили до всех машин автоматически и одновременно. А также сбор статистики, мониторинг и проверка соответствия конфигураций требованиям безопасности — тогда система сама будет сообщать, где что-то пошло не так, вместо того чтобы администраторы ходили и проверяли каждый компьютер.

2. Инструменты для управления конфигурациями и обновлениями

В лекции 23 названо несколько инструментов, которые могут помочь в этой ситуации. Например, rConfig — он обнаруживает все устройства в сети, упрощает управление конфигурацией, позволяет делать резервное копирование настроек и автоматизировать сценарии. Другой полезный инструмент — ManageEngine Network Configuration Manager, который предоставляет функции автоматизированной сквозной настройки сети, управления и обеспечения соответствия нормативным требованиям. Оба инструмента позволяют централизованно управлять большим количеством устройств.

3. Почему нет универсального решения для внедрения автоматизации

В лекции сказано, что «процесс внедрения автоматизации специфичен для каждого бизнеса, поэтому универсального решения не существует». Это действительно так, потому что у разных компаний разная сетевая инфраструктура: где-то используются одни модели оборудования, где-то — другие. Различаются и бизнес-процессы: одна компания работает с клиентами через веб-интерфейс, другая — через толстый клиент. Нормативные требования тоже разные: для государственных организаций одни стандарты, для коммерческих — другие. Наконец, бюджет на автоматизацию у всех разный. Поэтому то, что идеально подходит для одной организации, может быть совершенно неприменимо в другой.

---

Задание 2. Эссе на тему 2

Сравнение роли администратора информационных систем и администратора информационной безопасности

Если внимательно прочитать лекцию 24, становится очевидно, что администратор информационных систем и администратор информационной безопасности — это две разные, хотя и тесно связанные роли. Их часто путают, особенно в небольших компаниях, где один человек может совмещать обе функции, однако в крупных организациях они чётко разделены.

Администратор информационных систем — это специалист, который отвечает за то, чтобы системы вообще работали. Он подключает новых пользователей, создаёт им учётные записи, обучает сотрудников работе с программами. Он же проводит диагностику систем, собирает статистические данные, выявляет и устраняет ошибки в работе системных и аппаратных средств. По сути, он обеспечивает доступность и производительность — чтобы CRM не падала, чтобы база данных отвечала на запросы быстро, чтобы пользователи могли спокойно выполнять свою работу. Также он участвует в подготовке инструктажей и нормативных документов, но скорее с технической стороны.

Администратор информационной безопасности смотрит на системы совсем с другой колокольни. Его главная забота — не производительность, а безопасность. Он ведёт учёт работников, имеющих права доступа, и следит за тем, чтобы пароли регулярно обновлялись. Он создаёт и предоставляет электронные ключи доступа к особо важной информации. Он контролирует наличие и целостность защитных пломб на корпусах устройств — казалось бы, мелочь, но для него это важный элемент физической защиты. А ещё он контролирует работы по созданию, учёту и хранению резервных и архивных копий данных, потому что от сохранности этих копий зависит возможность восстановления после атаки или сбоя.

Однако есть и пересекающиеся обязанности, где их пути сходятся. Оба специалиста так или иначе обеспечивают бесперебойную работу автоматизированных систем, но с разных сторон: один — через настройку и обслуживание, другой — через контроль безопасности. Оба принимают меры по противодействию угрозам несанкционированного доступа, просто администратор ИС делает это на уровне конфигурации доступа, а администратор ИБ — на уровне политик и контроля. И оба участвуют в подготовке нормативной документации по эксплуатации систем, хотя и с разным акцентом: первый больше про технические регламенты, второй — про политики безопасности.

Таким образом, эти две роли дополняют друг друга. Администратор ИС строит дорогу, по которой едут данные, а администратор ИБ ставит на этой дороге шлагбаумы, камеры и посты охраны. Без первого не будет движения, без второго — хаос и утечки. Идеальная ситуация — когда они работают в связке, понимая и уважая задачи друг друга.

---

Задание 3. Чек-лист при увольнении сотрудника

Ниже представлен алгоритм действий для группы из пяти человек (руководство, администратор ИС, администратор ИБ, двое пользователей). Чек-лист составлен так, чтобы отразить пункты из всех трёх лекций.

Чек-лист действий при увольнении сотрудника, имевшего доступ к конфиденциальной информации

Шаг 1. Получение распоряжения от руководства

· Руководство издаёт приказ об увольнении и даёт устное или письменное распоряжение службам безопасности и ИТ о прекращении доступа сотрудника.
· Фиксируется дата и время, с которого доступ должен быть заблокирован.

Шаг 2. Блокировка учётной записи и отзыв прав доступа (Лекции 24 и 25)

· Администратор ИБ и администратор ИС совместно блокируют учётную запись увольняемого сотрудника во всех информационных системах.
· Отзываются все права доступа в соответствии с принципом минимальных привилегий — бывший сотрудник больше не должен иметь возможности войти в CRM, базу клиентов, файловые ресурсы и корпоративную почту.
· Администратор ИБ делает отметку в журнале учёта работников, располагавших правами доступа, — фиксирует факт исключения.

Шаг 3. Контроль паролей и их смена (Лекции 23 и 25)

· Администратор ИБ инициирует смену паролей на тех общих ресурсах, к которым уволенный имел доступ (если он знал, например, общий пароль от файлового сервера или VPN).
· При необходимости администратор ИС перенастраивает конфигурации сетевых устройств — например, меняет ключи Wi-Fi или отзывает сертификаты доступа.

Шаг 4. Изъятие и проверка устройств и носителей информации (Лекция 24)

· Администратор ИБ совместно с ответственным лицом из отдела кадров изымает у увольняемого всё выданное оборудование: ноутбук, флешки, внешние диски, смарт-карты, электронные ключи доступа.
· Проверяется содержимое рабочего компьютера: нет ли там скопированных конфиденциальных файлов, которые сотрудник мог прихватить с собой.
· Обеспечивается защита данных, оставшихся на устройствах: при необходимости данные шифруются или безопасно удаляются.

Шаг 5. Документирование процесса (Лекция 24)

· Администратор ИБ составляет акт приёма-передачи имущества и носителей информации, который подписывается увольняемым и представителем компании.
· В журнале учёта носителей информации делается запись о возврате или списании выданных носителей.
· Готовится краткий отчёт о выполненных действиях (кто, когда, какие учётные записи заблокировал, какие пароли сменил), который подшивается к личному делу сотрудника или хранится в службе безопасности.

Шаг 6. Информирование руководства о завершении процедуры

· Администратор ИБ докладывает руководству, что все меры приняты: доступ прекращён, оборудование изъято, документация оформлена.
· При наличии любых подозрительных фактов (например, обнаружение скопированных данных) руководству передаётся отдельное сообщение для принятия дальнейших решений.

Этот чек-лист применяется сразу после того, как сотрудник уведомлён об увольнении, а в идеале — в последний рабочий день или даже раньше, если есть риск недобросовестных действий со стороны увольняемого.
Больше возможностей при регистрации:
