Методические указания по прохождению учебной практики

# Методические указания по прохождению учебной практики ## Для направления подготовки 10.05.05 (третий год обучения), 10.03.01 (второй год обучения) очной формы обучения ## Общая информация Объектами прохождения учебной практики студентами по профилю «Организация и технология защиты информации» могут быть промышленные предприятия (фирмы) крупные, средние и малые и их структурные подразделения; коммерческие организации различных организационно-правовых форм; государственные и муниципальные унитарные предприятия; производственные кооперативы, хозяйственные товарищества и общества, некоммерческие организации и объединения, требующие профессиональных знаний в области экономики и информационных технологий, а также обладающие необходимым кадровыми научно-техническим потенциалом. Практика является составной частью учебного процесса и обеспечивает получение практических навыков в выполнении профессиональных функций студента, связанных с научно-исследовательской, научно-производственной деятельностью в соответствии с требованиями образовательных стандартов. По итогам учебной практики студентами оформляется отчет, в котором излагаются результаты проделанной работы и в систематизированной форме приводится обзор освоенного научного и практического материала. Форма отчетности – дифференцированный зачет с выставлением оценки. Индивидуальное задание на прохождение учебной практики представлено ниже. # [Документы, которые необходимо иметь студенту при прохождении и на защите учебной практики](https://moodle.kstu.ru/course/view.php?id=2401#section-1): ссылка кликабельна 1. Отчет 1. Индивидуальное задание 1. Дневник практики. Заполняется с 05.07.2021-16.07.2021, исключая выходные (суббота и воскресенье) с 9:00 до 15:00. 1. Отзыв по практике. Пустой бланк сделать. ### Заслушивание учебной практики состоится 16.07.2021 с 9:00 до 18:00 и 17.07.2021 с 9:00 до 13:00 в корпусе А-328. К защите необходимо иметь презентацию, дневник практики, отчет. После успешной защиты Вам необходимо отсканировать все документы с подписями и загрузить в личный кабинет https://e.kstu.ru/cabinet/hello/login.jsp в раздел "Мое обучение"->"Портфолио"->"Добавить"->"Учебная работа"-> "Выбрать 4 семестр учебная практика". Загружать архивом с названием ФИО_группа_2021.rar либо однним файлом pdf с таким же названием, где ФИО-Ваши фамилия, имя, отчество, а группа-номер Вашей группы. В ведомость и зачетную книжку проставляется только после загрузки в личный кабинет. ### Требование к отчету Отчет должен быть набран шрифтом Times New Roman 14, междустрочный интервал полуторный, красная строка 1,25, остальные отступы 0. Объем отчета должен быть не менее 15 страниц. На все рисунки и приложения должны быть ссылки по ходу текста #### Отчет (по вариантам) включает в себя следующие пункты: 1. Титульный лист отчета (Приложение 1) 1. Введение 1. Характеристика предприятия, включая описание его организационной структуры. 1. Технологические процессы обработки данных, используемые на предприятии. 1. Информационная система предприятия. 1. Средства ПО, используемые на предприятии. 1. Угрозы и уязвимости заданного предприятия. 1. Нормативно-правовые документы, регламентирующие деятельность отдела (службы) безопасности. 1. Рекомендации по обеспечению организационно-правовой защиты информации. 1. Заключение 1. Список используемой литературы ### Варианты индивидуальных заданий | № варианта | Предприятие | Вид обрабатываемой тайны | | ---------- | ----------- | ------------------------ | | 1 | Предприятие нефтяной отрасли | ГТ | | 2 | Банк | ПДн | | 3 | Университет | ПДн | | 4 | SMM-агентство | КТ | | 5 | Налоговая служба | Налоговая тайна | | 6 | Компания по разработке СЗИ | ГТ | | 7 | Администрация района | ПДн | | 8 | Поликлиника | ПДн | | 9 | Интернет-магазин | ПДн | | 10 | Городской архив | ГТ | | 11 | Научно-исследовательский институт | ГТ | | 12 | Адвокатская контора | Адвокатская тайна | | 13 | Издательство | КТ | | 14 | Страховая компания | ПДн | | 15 | Атомная электростанция |ГТ | | 16 | Гостиница | ПДн | | 17 | Машиностроительный завод |ГТ | | 18 | Предприятие химической промышленности | ГТ | | 19 | Пенсионный фонд | ПДн | | 20 | Туристическое агентство | ПДн | ГТ- государственная тайна КТ-коммерческая тайна ПДн- персональные данные # ЗАдание. Пояснение к отчету ### Характеристика предприятия, включая описание его организационной структуры. Необходимо указать, название вымышленного предприятия, чем оно занимается, его организационную структуру. В примере представлен пример организационной структуры. ### Организационная структура должна быть выполнена в виде SmartArt. Технологические процессы обработки данных, используемые на предприятии. Какая информация обрабатывается на предприятии, нарисовать информационные потоки и указать кто к какой информации допущен. По номеру варианта выбрать какой вид информации будет рассматриваться в дальнейшем. ### Информационная система предприятия. Средствами Visio либо любой другой программы нарисовать ЛВС предприятия и сегмент сети, в которой обрабатывается информация из предыдущего пункта. Средства ПО, используемые на предприятии. Перечислить какие средства ПО используются. . ### Угрозы и уязвимости заданного предприятия. Используя [МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ФСТЭК ](https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g) и [Банк данных угроз безопасности информации](https://bdu.fstec.ru/vul) Определить: 1. Вероятного нарушителя и его цель, а также уровни возможностей нарушителей по реализации угроз безопасности информации (приложение 6,7,8) 2. 3 уязвимости и 3 угрозы, наиболее актуальные по выбранным параметрам. (банк угроз ФСТЭК) 3. Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности.(комбинация первого и второго пункта в сводную таблицу. приложение 9 и 10). > Обратите внимение, что у всех разные виды защищаемой информации ### Нормативно-правовые документы, регламентирующие деятельность отдела (службы) безопасности. Указать на основании каких документов служба (отдел) безопасности осуществляет свою деятельность ### Рекомендации по обеспечению организационно-правовой защиты информации. Предложить свои рекомендации по защите. # Пример отчета > Если Ваш отчет будет полностью совпадать с тем, что в примере. Защитываться не будет. ## Характеристика предприятия, включая описание его организационной структуры. Вымышленное предприятие ПАО (ООО,ИП) «_________» находится в Республике Татарстан. Организация занимается ______________________. Количество сотрудников на предприятии- _______. Чистая прибыль предприятия ____________.Организационная структура ПАО (ООО,ИП) «_________» представлена на рисунке ниже. ![](https://i.imgur.com/FrHJLgV.png) ## Технологические процессы обработки данных, используемые на предприятии. На предприятии используются 3 основных вида классификации информации: Публичная информация (открытые сведения), Для служебного пользования (ДСП) и информация конфиденциального характера, содержащая сведения ограниченного распространения (коммерческая тайна, персональные данные). Защите должна подлежать вся конфиденциальная информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде ПАО (ООО,ИП) «_________», а именно: 1. Сведения, содержащие коммерческую тайну, доступ к которой ограничен собственником информации в соответствии с ФЗ № 98 «О коммерческой тайне». 2. Сведения служебного характера, доступ к которой ограничен органами государственной власти в соответствии с Гражданским кодексом РФ. 3. Персональные данные сотрудников, заказчиков, потребителей услуг, доступ к которой ограничен в соответствии с ФЗ №152 «О персональных данных». - информация о персональных данных работника; - документы, содержащие персональные данные работника; - персональные данные, содержащиеся на электронных носителях. Публичная информация не содержит данных конфиденциального или служебного характера и служит только для обмена информацией. Для служебного пользования может содержать сведения служебного и рабочего характера, разглашения которых, нежелательно, хотя и не может повлечь за собой серьезных последствий для работы Предприятия. Конфиденциальная информация четко определена перечнем сведений, составляющих коммерческую тайну и перечнем персональных данных и регулируется Положением о коммерческой тайне и Инструкцией по обращению с конфиденциальной информацией. Перечень сведений, составляющих коммерческую тайну, пересматривается не реже раза в год специально созданной комиссией. Далее указывается какие отделы к какой информации допущены (в таблице приведен пример). > Отделов должно быть столько, сколько у вас в организационной структуре. | | Общедоступная | ДСП | Ограниченного доступа | | ------- | ------------- | --- | --------------------- | | Отдел 1 | + | + | - | | Отдел 2 |+ | + | - | | Отдел 3 |+ |+ | + | | Отдел n | + | - | - | ## Информационная система предприятия. Информационные потоки – это физическое перемещение информации от одного сотрудника предприятия к другому или от одного подразделения к другому. Цель работы с информационными потоками – оптимизация работы предприятия. В случае ПАО (ООО,ИП) «_________» важной информацией являются _______________________________ . Для передачи информации этого типа, а также обычных файлов используется система информационных потоков, которая представлена в виде электронного и бумажного документооборота. На предприятии используется комплексная система обработки информации, включающая в себя современную систему обработки информации и обработку информации на бумажных носителях. Используется смешанный документооборот, т.е. в равной мере пользуются и бумажным, и электронным. Для внутреннего электронного документооборота используется программа 1С и программы для мгновенных сообщений. Отдел готовит документ в бумажном виде и отдает должностным лицам для визирования. Далее ответственный за документооборот в отделе заносит документ в электронном виде в систему на базе 1C. Локально вычислительная сеть предприятия представлена 28 рабочими машинами, 6 коммутаторами, 1 маршрутизатором, серверами приложений, web, active directory, базой данных, сервером хранения данных, сервером «бэкапа» и почтовым сервером, сервер 1С. Примерная схема ЛВС представлена на рисунке….. ![](https://i.imgur.com/Mcatouu.png) ### Сегмент сети, в которой обрабатывается информация, представлен на рисунке ниже: ![](https://i.imgur.com/QYeSVT8.png) ## Средства ПО, используемые на предприятии. ### Для пользовательских АРМ: 1. Операционная система Microsoft Windows 7. 2. Программный комплекс Microsoft Office Professional 2010. 3. Антивирус Касперского 6.0 для Windows Work Stations 4. Приложение для резервного копирования Acronis® Backup & Recovery™ 11 Advanced Workstation ### Для сервера 1С: 1. Операционная система Microsoft Windows Server 2003 SP2 / 2003 R2 / 2008 / 2008 R2 Standard/Enterprise Edition; 2. Система управления базами данных Microsoft SQL Server 2005 Standard/Enterprise Edition, SQL Server 2008 R2; 3. Антивирус Касперского 6.0 BusinessSpaceSecurity; 4. Приложение для резервного копирования Acronis® Backup & Recovery™ 11 Advanced Server или Acronis® Backup & Recovery™ 11 Server for Windows. 5. 1С. Предприятие 8.2. ### Для сервера для использования в стандартных ролях сервера контроллера домена, файлового и почтового серверов: 1. Операционная система Microsoft Windows Server 2008 R2 Standard Edition; 2. Программное обеспечение Microsoft Exchange Server 2010; 3. Антивирус Касперского 6.0 BusinessSpaceSecurity; 4. Приложение для резервного копирования Acronis® Backup & Recovery™ 11 Advanced Server или Acronis® Backup & Recovery™ 11 Server for Windows. 5. Active Directory. ## Угрозы и уязвимости заданного предприятия. [Приложения методики](https://fstec.ru/component/attachments/download/2919) ## Рекомендации по обеспечению организационно-правовой защиты информации. Я предлагаю: 1. Ввести в штат должность специалиста по защите информации. 2. ... 3. ....