Политика информационной безопасности для ИС "Учет и графическое представление основных объектов и устройств МГ и ГРС"

Под информационной безопасностью систем понимается поддержание физической сохранности, конфиденциальности, достоверности, своевременности информации, гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 29.11.2008
Размер файла 1,3 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Угроза, возникающая от использования нелицензионного ПО, так как имеется необходимость выхода в Интернет.

Учет и использование только лицензионное ПО

Проведение инвентаризации ПО и АО

Угроза прослушивания трафика (не смотря на то, что используются коммутаторы)

Настройка листов доступа на коммутаторе - строгая привязка связи между MAC-адресами

Мониторинг сетевого трафика

Наличие отдельной от общей системы электропитания, при этом осуществить связь каждого порта коммутатора с определенным MAC-адресом, свободные порты или при нарушениях осуществлять блокировку

Нарушение целостности

Угроза модификации: воздействие вируса/злоумышленника

Аудит работ с конфиденциальной информацией

ОРМ по использованию паролей

ОРМ на использование Антивирусного комплекса

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД

Использование открытых ключей для связи внутри сети

Использование VPN-соединений вида «точка-точка» по средствам специальной конфигурации модема

Использование доверительных соединений - приобретение корневого сертификата

Угроза фальсификации: воздействие вируса/злоумышленника

Отдельный VLAN для работы с конфиденциальной информацией

Использование открытых ключей для связи внутри сети

Настройка TRUNK -соединений для коммуникаций

Синхронизация времени

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД (ОРМ)

Нарушение доступности

Нагрузка в сети - недоступность сервера

Деление сети на подсети

Мониторинг сети

Использование кластерного распределения на сервере по средствам Windows Advanced Server (при наличии второго сервера)

Использование RAID-массивов, источников бесперебойного питания

Угроза выхода из строя активного оборудования

Наличие резерва

Для линий коммуникаций - наличие альтернативных путей

2. ПО ПРИНЦИПУ ВОЗДЕЙСТВИЯ

2.1 С использованием доступа

Угроза несанкционированного доступа (НСД) - злоумышленник имеет доступ системе

2.2 С использованием скрытых каналов

Вирус

ОРМ на использование Антивирусного комплекса

Осуществление очистки памяти

Наличие списка закрытых портов, по которым может распространяться «червь»

3. ПО ХАРАКТЕРУ ВОЗДЕЙСТВИЯ

3.1 Пассивное

НСД: воздействие вируса/злоумышленника

для пользователей:

ОРМ на использование Антивирусного комплекса

для ЛВС:

Строгая настройка листов доступа на коммутаторах

Настройка TRUNK -соединений на линиях передачи данных

Использование доверительных соединений

3.2 Активное

Угроза фальшивого потока: воздействие злоумышленника

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД (ОРМ)

Использование СОА на хосте (на сервере) и в сети

Использование сканера уязвимостей

Угроза имитации («маскарадинга»): воздействие злоумышленника

Угроза воспроизведения: воздействие злоумышленника

ОРМ по работе с конфиденциальной информацией

Угроза модификации: воздействие злоумышленника

Помехи в обслуживании (нагрузка в сети)

на клиенте:

ОРМ на использование Антивирусного комплекса

в ЛВС:

ОРМ на использование Антивирусного комплекса при сетевой вирусной атаке

Мониторинг и аудит с целью проверки всех устройств и настроек для выявления неисправностей

на сервере:

Резервное копирование и архивирование данных

4. ПО ПРИЧИНЕ ПОЯВЛЕНИЕ ИСПОЛЬЗУЕМОЙ ОШИБКИ ЗАЩИТЫ

4.1 Неадекватность ПБ реальной автоматизированной системы обработки информации (АСОИ)

Возможные ошибки

Возможность уточнения/внесения поправок, к примеру, в листы доступа на коммутаторах

4.2 Ошибки управления системой защиты

Возможные ошибки

Ошибки настройки удаленного управления по средствам протокола SNMP

Возможность уточнения/внесения поправок в настройки удаленного управления

Угроза несанкционированного доступа (НСД) на сервере

Настройка ОС сервера должна проводиться мануально с включением только необходимых сервисов.

Настройка общесистемных паролей на сервере

Угроза несанкционированного доступа (НСД) на принтере

Использование нескольких принтеров по цели применения

4.3 Ошибки проектирования системы защиты

Наличие/возникновение «дыры» на периметре безопасности

Обновление функционирующего ПО, отслеживание появления новых «дыр», атак и т.п.

Тестирование систем (дружественный взлом, использование сканеров уязвимостей, СОА, инструментов злоумышленника)

4.4 Ошибки кодирования

Угроза, возникающая от использования нелицензионного ПО (наличие «закладок», «люков» и т.п.)

Использовать только лицензионное ПО

Ошибки в реализации

Тестирование, отладка, документирование

5. ПО СПОСОБУ ВОЗДЕЙСТВИЯ НА ОБЪЕКТ АТАКИ

5.1 Непосредственное воздействие на объект атаки

Вирус

5.2 Воздействие на систему разрешений

Угроза несанкционированного доступа (НСД)

Политика разграничения прав доступа, а именно при вводе нового субъекта, перемещении или увольнении, а также при временном замещении одного субъекта другим

ОРМ по защите пароля

Для администрирования необходимо иметь дополнительный пароль

5.3 Опосредованное воздействие

Угроза модификации

Угроза фальсификации: воздействие вируса/злоумышленника

Вирус

6. ПО СПОСОБУ ВОЗДЕЙСТВИЯ

6.1 В интенсивном режиме

Помехи в обслуживании (нагрузка в сети)

Угроза фальшивого потока: воздействие злоумышленника

Использование МСЭ

Использование СОА в сети и на сервере

6.2 В пакетном режиме

Вирус

Наличие эталонных копий на неизменяемые части, к примеру, для создаваемой системы - эталон на схему БД

7. ПО ОБЪЕКТУ АТАКИ

7.1 На АСОИ в целом через механизм доступа

Угроза несанкционированного доступа (НСД) - внешняя атака злоумышленника

Наличие одной точки информационного входа в периметр безопасности и её защита при помощи МСЭ

Мониторинг и аудит

Использование сканера уязвимостей

Использование СОА в сети

Наличие эталонных копий на неизменяемые части.

7.2 На объекты АСОИ

Аппаратные сбои

на клиенте:

Наличие резерва (временный переход на другую рабочую станцию)

Ремонт/замена

на сервере:

Использование RAID-массива уровень 10

Наличие резервных HDD

в ЛВС:

Наличие резерва (дублирование линий коммуникаций)

Вирус

Угроза, возникающая от использования нелицензионного ПО.

7.3 На субъекты АСОИ

Угроза несанкционированного доступа (НСД)

при воздействии на пользователя:

Повышение требований на использование паролей (ОРМ)

при воздействии на процессы пользователя:

Вирус

Угроза «маскарадинга»

7.4 На каналы передачи данных

Вирус

Аппаратные сбои - выход из строя линии коммуникаций

Угроза «маскарадинга»

8. ПО ИСПОЛЬЗУЕМЫМ СРЕДСТВАМ АТАКИ

8.1 С использованием штатного ПО АСОИ

Угроза, возникающая от использования нелицензионного ПО

Использовать только лицензионное ПО

Наличие/возникновение «дыры» на периметре безопасности

Обновление функционирующего ПО, отслеживание появления новых «дыр», атак и т.п.

Ошибки в реализации

Тестирование, отладка, документирование

8.2 С использованием разработанного ПО

Угроза несанкционированного доступа (НСД) - ПО, разработанное злоумышленником

Вирус

9. ПО СОСТОЯНИЮ ОБЪЕКТА АТАКИ

9.1 При хранении объекта

Потеря данных

Наличие резервных копий

Регламент по восстановлению системы после аварии/сбоя

Наличие инсталляционных пакетов с сопроводительной документацией

9.2 При передаче объекта

Угроза модификации: воздействие вируса/злоумышленника

Угроза фальсификации: воздействие вируса/злоумышленника

Помехи в обслуживании (нагрузка в сети)

Аппаратные сбои - выход из строя линии коммуникаций

9.3 При обработке объекта

Угроза, возникающая от использования нелицензионного ПО

Вирус

Наличие/возникновение «дыры» на периметре безопасности - ошибки ПО

6. Аварийный план

Аварийный план служит ответом на ряд важных вопросов: Какие причины возникновения аварий/сбоев существуют? Что делать, чтобы снизить возможные последствия аварии? Какие действия выполнять, когда аварийная ситуация находится в стадии развития? Как вернуться к обычной деятельности?

Самое неприятное - это сбои, которые сложно правильно диагностировать и, следовательно, найти способы их устранения. Поражения или разрушения создают более однозначную и поэтому более предсказуемую и планируемую ситуацию. Возможные причинами этих бед являются выход из строя или сбой оборудования, авария электропитания, вирусы, неквалифицированные или небрежные действия обслуживающего персонала, скрытые или явные дефекты информационной системы, стихийные бедствия, злой умысел.

Поэтому для начала необходимо классифицировать возможные события с целью дальнейшего определения последовательности действий восстановления:

1. По типу воздействия:

природные события;

события, зависящие от человеческого фактора;

2. По доступности:

временная недоступность;

постоянная недоступность;

3. По причине возникновения:

нарушение или отказ оборудования/ повреждение линий связи;

нарушение или отказ программ;

нарушение или отказ данных.

Необходимо также оценить объекты по приоритетам восстановления. Для упрощения процесса рассмотрим бизнес-логику организации с верхнего уровня:

Основная цель организации - доставка газа до потребителя и получение оплаты за него;

Обслуживанием потребителей занимаются сотрудники организации;

Учет поставки газа конечному потребителю и учет оплаты осуществляется с помощью автоматизированных систем;

Автоматизированные системы требует приложений и данных;

Приложения и СУБД требуют операционной системы и коммуникаций;

Операционная система требует аппаратного обеспечения;

Коммуникации требуют сетевого обеспечения;

Оборудование требует электропитания и охлаждения;

Электропитание требует источника и средств доставки;

Сотрудники требуют определенных условий труда (помещение, освещение).

Соответственно, при рассмотрении нештатных ситуаций, необходимо для приведенного списка, начиная с последнего пункта, рассмотреть последовательность действий восстановления деятельности организации. При этом после катастрофы для восстановления бизнеса не все информационные/автоматизированные системы потребуются незамедлительно. Необходимо классифицировать системы с точки зрения аварийного плана по их значимости. Ниже приведен список информационных систем, используемых в организации с критерием значимости:

1. Критически важные:

ПК «Реализация газа»;

АИС «Абонент ГРО»;

2. Для вторичных и вспомогательных бизнес-задач:

Создаваемая для ОДС система учета основных объектов и устройств МГ и ГРС;

3. Некритические (но значимые):

1:С Предприятие;

4. Полезные:

Антивирусный комплекс.

В рамках курсового проекта будем рассматривать этапы восстановления относительно создаваемой информационной системы.

Для успешного восстановления информационной системы в максимально возможные короткие сроки в распоряжении организации следует иметь:

Резерв сетевого оборудования (линий передачи данных/конекторы/сетевые интерфейсы и т.п.);

Резерв аппаратного оборудования, либо иметь соглашение с поставщиками об оперативной поставке оборудования;

Инсталляционные копии операционной системы, СУБД, приложения и других программ;

Резервные копии данных (для разрабатываемой системы следует применять резервирование методом наращивания).

План действий при полном разрушении инфраструктуры организации относительно создаваемой системы:

1. Замена и настройка оборудования и линий передачи данных в сети;

2. Настройка ОС и СУБД на сервере;

3. Восстановление БД по средствам резервных копий;

4. Настройка ОС на клиенте;

5. Инсталляция приложения;

6. Восстановление системы безопасности.

При этом необходимо описать каждый из этапов восстановления, а именно руководства по замене, установке, настройке или инсталляции АО, ОС и ПО с указанием специфических деталей, требующих особого внимания. К примеру, указание сервисов, которые должны быть отключены, или которые должны быть дополнительно включены с описание настроек и порядка взаимодействия между ними.

Разумеется, возможны случаи остановки работы системы из-за отказа оборудования, поэтому для предотвращения или выявления такого рода неисправностей используется мониторинг и аудит. Выявление атак и нарушений в базе данных отслеживают системы обнаружения атак на сервере и сканеры безопасности. Нарушение работы ОС или информационной системы на рабочих станциях может быть выявлено сотрудниками организации.

Важным является назначение уполномоченных лиц, которые будут осуществлять управление действиями сотрудников при восстановлении:

Восстановление сети - администратор сети;

Восстановление систем/данных - администратор информационных систем;

Восстановление информационной безопасности - администратор безопасности.

Для проверки правильности подготовленного аварийного плана следует проводить его тестирование по следующим направлениям:

Структурированный обзор - совместное обсуждение пунктов плана;

Симуляция - тренировочные мероприятия по предопределенному сценарию.

После тестирований или с течением времени возможно внесение поправок или полное/частичное обновления плана.

Все документы по аварийному плану и тестированиям должны быть включены в регламент восстановления работоспособности при авариях/сбоях (№ 118).

ПРИЛОЖЕНИЕ 1

[1]. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон РФ от 20 февраля 1995 года N 24-ФЗ. Принят Государственной думой 25 января 1995 года.

[2]. ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА. Утвержден Указом Президента РФ 6 марта 1997 г. № 188.

[3]. УГОЛОВНЫЙ КОДЕКС РФ.

[4]. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон РФ от 23 сентября 1992 года N 3524-1.

[5]. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ/Государственная техническая комиссия при Президенте РФ.

[6]. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ/ Государственная техническая комиссия при Президенте РФ.

[7]. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ/Государственная техническая комиссия при Президенте РФ.

[8]. КОНСТИТУЦИЯ РФ. Утверждена Указом Президента РФ 12 декабря 1997 г.

[9]. ТРУДОВОЙ КОДЕКС РФ. Утвержден Указом Президента РФ 30 декабря 2001 г.

ПРИЛОЖЕНИЕ 2

Субъекты v

Объекты >

Права/

группы

Данные по объектам/

устройствам/

потребителям

Схемы

Регистрационный журнал

Генеральный директор

Нет доступа

Чтение

Чтение

Нет доступа

Администратор системы

Создание ролей прав доступа

Нет доступа

Нет доступа

Чтение

Удаление

Администратор безопасности

Раздача ролей прав доступа

Чтение

Чтение

Чтение

Начальник ОДС

Нет доступа

Создание

Создание

Нет доступа

Группа диспетчеров

Нет доступа

Создание

Создание

Нет доступа

ПРИЛОЖЕНИЕ 3

СПИСОК ЛИТЕРАТУРЫ

1. Курс секций по предмету «защита информации» Некучаевой Н.А.

2. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб: БВХ-Петербург, 2003. - 752 с.:ил.

3. Интернет.


Подобные документы

  • Структурная схема ЛВС. Информационные ресурсы (классификация объектов). Пользователи ИС (классификация субъектов). Класс безопасности. Управление рисками. Экономический аспект. Процедуры информационной безопасности. Поддержка работоспособности системы.

    курсовая работа [1,3 M], добавлен 28.11.2008

  • Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.

    презентация [63,6 K], добавлен 21.05.2015

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.

    курсовая работа [158,7 K], добавлен 15.06.2013

  • Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.

    курсовая работа [38,8 K], добавлен 17.06.2013

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Понятие и классификация информационных систем, их типы и функциональные особенности: связи, хранения и обработки информации, поисковые. Процесс устаревания данных систем, их значение и задачи в мире, сферы использования и возможности, управление.

    презентация [555,0 K], добавлен 10.03.2015

  • Мероприятия по обеспечению информационной безопасности. Понятие угроз конфиденциальности, целостности и доступности информации и ее законным пользователям. Защита прав и свобод гражданина. Государственная политика Республики Беларусь в данной области.

    контрольная работа [24,9 K], добавлен 17.05.2015

  • Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.

    реферат [336,8 K], добавлен 03.11.2010

  • Информационная система как взаимосвязанная совокупность средств, методов и персонала, используемых для хранения и обработки информации в интересах достижения поставленной цели. Особенности проектирования информационной системы по учету кадров аптеки.

    курсовая работа [4,2 M], добавлен 17.07.2016

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.