Материал: Korporativnaya_zaschita_ot_vnutrennikh_ugroz_informatsionnoy_bezopasnosti
•Выявить потоки передачи данных и возможные каналы утечки информации;
•Создать объекты защиты и политику ИБ, используя технологии анализа в системе корпоративной защиты;
•На основании собственного анализа, уметь связать требования нормативной базы, структуру организации, выявленные угрозы, объекты, роли безопасности для построения актуальных политик безопасности;
•Задокументировать и уметь представить результаты обследования (аудита), включая потоки данных, потенциальные каналы утечек, роли пользователей, объекты защиты и т.п.
4 |
Разработка политик безопасности в системе |
25% |
|
корпоративной защиты информации от внутренних угроз |
|
|
Специалист должен знать и понимать: |
|
•Технологии работы с политиками информационной безопасности;
•Создание новых политик, модификация существующих;
•Общие принципы при работе интерфейсом системы защиты корпоративной информации;
•Объекты защиты, персоны;
•Ключевые технологии анализа трафика;
•Типовые протоколы и потоки данных в корпоративной среде, такими как:
•корпоративная почта (протоколы SMTP, ESMTP, POP3, IMAP4)
•веб-почта;
•Интернет-ресурсы: сайты, блоги, форумы и т.д. (протоколы HTTP,
HTTPS);
•социальные сети;
•интернет-мессенджеры: OSCAR (ICQ), Telegram, Jabber, XMPP, Mail.ru Агент, Google Talk, Skype, QIP;
•принтеры: печать файлов на локальных и сетевых принтерах;
•любые съемные носители и устройства;
•Осознание важности полноты построения политик безопасности для выявления всех возможных инцидентов и выявления фактов утечек;
•Типы угроз информационной безопасности, типы инцидентов,
•
Специалист должен уметь:
•Создать в системе максимально полный набор политик безопасности, перекрывающий все возможные каналы передачи данных и возможные инциденты;
•Работа с разделом технологии системы корпоративной защиты: категории и термины, текстовые объекты;
|
|
|
Copyright © Союз «Ворлдскиллс Россия |
12 |
|
«Корпоративная защита от внутренних угроз ИБ» |
||
|
•Работа с событиями, запросы, объекты перехвата, идентификация контактов в событии;
•Работа со сводками, виджетами, сводками;
•Работа с персонами;
•Работа с объектами защиты;
•Провести имитацию процесса утечки конфиденциальной информации в системе;
•Создать непротиворечивые политики, соответствующие нормативной базе и законодательству;
•Задокументировать созданные политики используя в соответствии с требованиями современных стандартов в области защиты информации.
• |
|
5 Технологии анализа сетевого трафика в системе корпоративной |
27% |
защиты информации от внутренних угроз |
|
Специалист должен знать и понимать: |
|
• Технологий анализа трафика при работе политиками информационной безопасности в системе корпоративной защиты информации;
• Основные разделы и особенности работы интерфейса управления системы корпоративной защиты информации;
• Алгоритм действий при разработке и использовании политик безопасности, основываясь на различных технологиях анализа данных;
• Типовые сигнатуры, используемые для детектирования файлов, циркулирующих в системах хранения и передачи корпоративной информации;
• Роль фильтров при анализе перехваченного трафика; Технические ограничения механизма фильтрации, его преимущества и недостатки;
• Разделы системы корпоративной безопасности, которые используются офицером безопасности в повседневной работе;
• Особенности обработки HTTP-запросов и писем, отправляемых с помощью веб-сервисов;
• Технологии анализа корпоративного трафика, используемые в системе корпоративной защите информации;
•
Специалист должен уметь:
•Работа с категориями и терминами;
•Использование регулярных выражений;
•Использование морфологического поиска;
•Особенности технологии «Лингвистический анализ» ;
•Работа с графическими объектами;
|
|
|
Copyright © Союз «Ворлдскиллс Россия |
13 |
|
«Корпоративная защита от внутренних угроз ИБ» |
||
|
•Работа с выгрузками и баз данных;
•Работа с печатями;
•Работа с бланками;
•Работа с файловыми типами;
•Эффективно использовать механизмы создания фильтров для анализа перехваченного трафика и выявленных инцидентов;
•Проводить правильную классификацию уровня угрозы инцидента;
•Использовать базы контентной фильтрации;
•Использовать дополнительные модули анализа информационных потоков, если это продиктовано особенностями условий ведения бизнеса;
|
|
6 |
|
|
|
Технологии агентского мониторинга |
|
|
|
9% |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
Специалист должен знать и понимать: |
|
|
|
|
|
|||
|
|
|
|
|
|
• |
Функции агентского мониторинга; |
|
|
|
|
|
|
|
|
|
|
|
|
• Общие настройки системы агентского мониторинга; |
|
|
|
|
|
||
|
|
|
|
|
|
• Соединение с LDAP-сервером и синхронизация с Active Directory; |
|
|
|
|
|
||
|
|
|
|
|
|
• Политики агентского мониторинга, особенности их настройки; |
|
|
|
|
|
||
|
|
|
|
|
|
• Особенности настроек событий агентского мониторинга; |
|
|
|
|
|
||
|
|
|
|
|
|
• Механизмы диагностики агента, подходы к защите агента. |
|
|
|
|
|
||
|
|
|
|
|
|
• |
|
|
|
|
|
|
|
|
|
|
|
|
Специалист должен уметь: |
|
|
|
|
|
|||
|
|
|
|
|
|
• Установка и настройка агентского мониторинга; |
|
|
|
|
|
||
|
|
|
|
|
|
• Создание политик защиты на агентах; |
|
|
|
|
|
||
|
|
|
|
|
|
• Работа в консоли управления агентом; |
|
|
|
|
|
||
|
|
|
|
|
|
• |
Фильтрация событий; |
|
|
|
|
|
|
|
|
|
|
|
|
• Настройка совместных событий агентского и сетевого |
|
|
|
|
|
||
|
|
|
|
|
|
|
мониторинга; |
|
|
|
|
|
|
|
|
|
|
|
|
• Работа с носителями и устройствами; |
|
|
|
|
|
||
|
|
|
|
|
|
• |
Работа с файлами; |
|
|
|
|
|
|
|
|
|
|
|
|
• |
Контроль приложений; |
|
|
|
|
|
|
|
|
|
|
|
|
• Исключение из событий перехвата. |
|
|
|
|
|
||
|
|
|
|
|
|
• |
|
|
|
|
|
|
|
|
|
7 |
|
|
|
Анализ выявленных инцидентов. Подготовка отчетов, |
|
|
|
6% |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
классификация угроз и инцидентов |
|
|
|
|
|
|
|
|
|
|
|
Специалист должен знать и понимать: |
|
|
|
|
|
||
|
|
|
|
|
|
• Основные правовые понятия и нормативно-правовые документы, |
|
|
|
|
|
|
|
|
|
|
|
|
регламентирующие организацию корпоративной защиты от |
|
|
|
|
|
|
|
|
|
|
|
|
внутренних угроз в хозяйствующих субъектах; |
|
|
|
|
|
|
|
|
|
|
|
|
• Инструментарий, технологии, их область применения и |
|
|
|
|
|
|
|
|
|
|
|
|
ограничения при формировании корпоративной защиты от |
|
|
|
|
|
|
|
|
|
|
|
|
внутренних угроз; |
|
|
|
|
|
|
|
|
|
Copyright © Союз «Ворлдскиллс Россия |
14 |
|
«Корпоративная защита от внутренних угроз ИБ» |
||
|
• Типовой пакет нормативных документов, необходимого для |
|
развёртывания и эксплуатации системы корпоративной защиты в |
|
организации; |
|
• Виды типовых отчетных форм о выявленных угрозах и |
|
инцидентах; |
|
• Типы угроз информационной безопасности, понимать их |
|
актуальность и степень угрозы для конкретной организации; |
|
• Понимать подходы к проведению расследования инцидента |
|
информационной безопасности, методики оценки уровня угроз; |
|
• Системы DLP и требования по информационной безопасности. |
|
• Категорирование информации в РФ. |
|
• Юридические вопросы использования DLP-систем: личная и |
|
семейная тайны; тайна связи; Специальные технические средства |
|
• Меры по обеспечению юридической значимости DLP (Pre-DLP). |
|
• Практику право применения при расследовании инцидентов, |
|
связанных с нарушениями режима внутренней информационной |
|
безопасности (Post-DLP). |
|
• |
|
Специалист должен уметь: |
|
• Разрабатывать нормативно-правовые документы хозяйствующего |
|
субъекта по организации корпоративной защиты от внутренних |
|
угроз информационной безопасности; |
|
• Проводить расследования инцидентов внутренней |
|
информационной безопасности с составлением необходимой |
|
сопроводительной документации; |
|
• Создавать отчёты о выявленных инцидентах, угрозах и т.п. |
|
• Представлять отчёты руководству, обосновывать полученные |
|
результаты анализа. |
|
Всего |
100% |
2.2Теоретические знания
2.2.1Теоретические знания необходимы, но они не подвергаются явной
проверке.
2.2.2Знание правил и постановлений учитывается.
2.3Практическая работа
Основное конкурсное задание.
|
|
|
Copyright © Союз «Ворлдскиллс Россия |
15 |
|
«Корпоративная защита от внутренних угроз ИБ» |
||
|
Участники соревнований должны выполнить два задания в течение 2
дней соревнований. Практическое задание даётся в форме технического задания на защиту корпоративной среды организации от внутренних угроз.
Для этого необходимо провести обследование и анализ структуры организации (как главного объекта защиты) на основании представленных материалов и стенда, её вычислительно-сетевой инфраструктуры,
определить потоки данных, потенциальные угрозы и каналы утечек.
Техническая часть работы включает развёртывание, настройку и поэтапную эксплуатацию системы защиты от внутренних угроз для выявления каналов утечки информации и других инцидентов безопасности.
Найденные инциденты должны быть должным образом проанализированы, подвергнуты классификации в соответствии с актуальной нормативной базой. Должна быть проведена оценка уровня угрозы информационной безопасности. Результаты работы должны быть оформлены в виде отчетов. До эксплуатации технических систем защиты должен быть подготовлен пакет документов, регламентирующий его легальное использование в организации. Техническое задание состоит из легенды организации, спецификации её вычислительно-сетевой инфраструктуры и описания используемых технических средств.
Описание организации, которую защищают участники, содержит:
описание организационно-штатной структуры организации;
описание вычислительно-сетевой инфраструктуры;
пакет внутренней документации организации;
Оценка практической работы преимущественно направлена на оценку
результата работ, а не процесса. При этом критерии оценки конкурсного
|
|
|
Copyright © Союз «Ворлдскиллс Россия |
16 |
|
«Корпоративная защита от внутренних угроз ИБ» |
||
|