Оценка информационной безопасности рабочего места экономиста в институте гидродинамики им. М.А. Лаврентьева
Организационная и функциональная структура объекта автоматизации. Методы и средства защиты информации. Инвентаризация объектов, потенциально требующих защиты. Классификация объектов информационной системы. Анализ возможных каналов утечки информации.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | контрольная работа |
| Язык | русский |
| Дата добавления | 30.09.2012 |
| Размер файла | 312,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
- 1. Описание объекта автоматизации
- 1.1 Краткая характеристика ОА
- 1.2 Организационная и функциональная структура ОА:
- 2. Инвентаризация объектов, потенциально требующих защиты
- 2.1 Физическое размещение объекта:
- 2.2 Нормативное обеспечение процесса
- 2.3 Инвентаризация по данным:
- 2.4 Аппаратное обеспечение процесса:
- 2.5 Программное обеспечение процесса:
- 3. Классификация объектов информационной системы
- 4. Анализ возможных каналов утечки
- 5. Анализ существующих методов и средств защиты информации
- 6. Анализ защищенности данных в ИС
- 7. Выводы о состоянии защиты информации, рекомендации по ее улучшению
- 1. Описание объекта автоматизации
1.1 Краткая характеристика ОА
В данной расчетно-графической работе проводится оценка информационной безопасности в институте гидродинамики им. М.А. Лаврентьева (ИГиЛ). Задача решается на рабочем месте экономиста. Главная полезная функция - анализ бухгалтерской отчетности предприятий-клиентов и расчет финансовых коэффициентов, характеризующих финансовое состояние данного предприятия.
Целью данного анализа является оценка деятельности предприятия, как за прошлые периоды времени, так и на текущий момент времени. На основе данных, полученных в ходе проведения финансово-экономического анализа предприятия, можно судить о будущем потенциале предприятия. Анализ производится на основе бухгалтерских балансов и «Отчетов о прибылях и убытках», предоставляемые бухгалтерами предприятия.
Процесс проведения анализа финансового состояния предприятия можно представить в виде следующих этапов:
1. анализ абсолютных показателей;
2. горизонтальный анализ, т.е. рассмотрение показателей в динамике, как правило, на начало и конец отчетного периода;
3. вертикальный, т.е. структурный анализ (определение удельных весов основных групп актива или пассива);
4. трендовый анализ - сравнение каждой позиции отчетности с рядом предшествующих периодов и определение основной тенденции динамики показателя (позиции), формирование возможных значений показателей в будущем (перспективный анализ);
5. анализ финансовых коэффициентов, т.е. расчет относительных показателей по данным отчетности (например, коэффициенты рентабельности активов, ликвидности, платежеспособности и т.д.), которые в целом характеризуют финансовое состояние предприятия.
По результатам проведенного анализа финансово-экономического состояния предприятия оформляются рекомендации по дальнейшей деятельности предприятия.
1.2 Организационная и функциональная структура ОА
Рассмотрим организационную структуру Института.
Структура органов института является трехуровневой, она представлена ниже.
Размещено на http://www.allbest.ru/
2. Инвентаризация объектов, потенциально требующих защиты
2.1 Физическое размещение объекта
Здание (место расположение): г. Новосибирск, Академика Лаврентьева проспект, 15
Телефон: 333-12-16
Механизмы контроля:
· все здание охраняется ЧОП (Частное Охранное Предприятие), вахтер сидит на первом этаже на вахте;
· сигнализация - присутствует;
· решетка на окнах;
· система постоянного видео наблюдения (мониторы расположены на вахте у охранника, видеться видео наблюдение всех этажей здания)
Конструктивные особенности офиса: офис располагается на 1м этаже 4х этажного здания; 1 дверь, 2 окна.
2.2 Нормативное обеспечение процесса
Список имеющихся документов - устав, должностные инструкции, положение о трудовых отношениях (трудовом распорядке) внутри организации, положение о взысканиях и поощрениях.
Документация по безопасности - положение об информационной безопасности
План эвакуации при пожаре.
2.3 Инвентаризация по данным
Перечень информационных элементов (данных), подлежащих защите в «ИГиЛ»:
1. Данные первичных документов на бумажных носителях.
2. Данные в оперативной памяти компьютера.
3. Программы в оперативной памяти компьютера.
4. Данные и программы на внешних магнитных носителях.
5. Данные, отражаемые на экране монитора компьютера.
6. Данные, выводимые на печать при локальном и сетевом использовании принтеров.
7. Пакеты данных (информационные, служебные), передаваемые по каналам связи.
8. Данные, находящиеся на тиражировании с помощью копировально-множительной технике (и получаемые копии).
9. Журналы назначения идентификаторов, паролей зарегистрированных пользователей.
10. Служебные инструкции по работе с конфиденциальными данными.
11. Данные резервных копий данных и программ на внешних магнитных носителях.
12. Данные архивных копий данных на внешних магнитных носителях.
13. Данные первичных документов, хранящихся в картотеках и на стеллажах.
Таблица 1
Инвентаризация по данным
|
№ п/п |
Наименование данных(документ, файл, экран и т.п.) |
Источник |
Приемник информации |
Действия с данными (назначение) |
Форма представле-ния |
Вид данных |
|
|
1 |
Информация о заказчике |
Заказчик |
Экономист |
Определение основных данных о заказчике |
Бумажный носитель |
Первичный |
|
|
2 |
Информация заказчике |
Заказчик |
Экономист |
Определение основных данных о заказчике |
Данные на внешних магнитных носителях |
Первичный |
|
|
3 |
Договор об оказании услуг |
Заказчик |
Нач. планово-экономического отдела |
Определение условий предоставления услуг и их перечня |
Бумажный носитель |
Первичный |
|
|
4 |
Нормативные коэффициенты |
Руководство |
Экономист |
Нормативные значения коэффициентов определ ФЗ РФ |
Бумажный носитель |
Первичный |
|
|
5 |
Нормативные коэффициенты |
Руководство |
Экономист |
Нормативные значения коэффициентов определ ФЗ РФ |
Данные на внешних магнитных носителях |
Первичный |
|
|
6 |
Внутрифирмен-ные документы предприятия, опред работу экономиста |
Руководство |
Экономист |
Определение методики и порядка работы |
Бумажный носитель |
Первичный |
|
|
7 |
Пакет документов для фи-эк анализа |
Предприятие-клиент |
Экономист |
Анализ отчетности |
Бумажный носитель |
Первичный |
|
|
8 |
Пакет документов для фи-эк анализа |
Предприятие-клиент |
Экономист |
Анализ отчетности |
Внешний носитель данных |
Первичный |
|
|
9 |
Пакет документов для фи-эк анализа |
Заказчик |
Экономист |
Анализ отчетности |
Пакет данных, передаваемый по каналу связи |
Первичный |
|
|
10 |
Пакет документов для фи-эк анализа |
Экономист |
MS Excel |
Анализ отчетности |
Данные в ОП компьютера |
Первичный |
|
|
11 |
Пакет документов для фи-эк анализа |
Экономист |
MS Excel |
Анализ отчетности |
Данные, отображаемые на экране монитора компьютера |
Первичный |
|
|
12 |
Инструкции по работе с конфиденциаль-ными данными |
Руководство |
Экономист |
Определение порядка работы с документами |
Бумажный носитель |
Первичный |
|
|
13 |
Финансовое заключение |
MS Excel |
Экономист |
Результат решения задачи |
Данные в ОП компьютера |
Производ-ный |
|
|
14 |
Финансовое заключение |
MS Excel |
Экономист |
Результат решения задачи |
Данные, отображаемые на экране монитора компьютера |
Производ-ный |
|
|
15 |
Финансовое заключение |
Экономист |
Заказчик |
Результат решения задачи |
Данные, выводимые на печать |
Производ-ный |
|
|
16 |
Финансовое заключение |
Экономист |
Нач. планово-экономического отдела |
Результат решения задачи |
Данные, находящиеся на тиражировании |
Производ-ный |
|
|
17 |
Финансовое заключение |
Экономист |
Нач. планово-экономического отдела |
Результат решения задачи |
Данные, передаваемые по каналам связи |
Производ-ный |
|
|
18 |
Финансовое заключение |
Экономист |
Нач. планово-экономического отдела |
Результат решения задачи |
Данные на внешних магнитных носителях |
Производ-ный |
|
|
19 |
Финансовое заключение |
Экономист |
Нач. планово-экономического отдела |
Результат решения задачи |
Архивные данные на внешних магнитных носителях |
Производ-ный |
|
|
20 |
Финансовое заключение |
Экономист |
Нач. планово-экономического отдела |
Результат решения задачи |
Данные, хранящиеся в картотеках |
Производ-ный |
2.4 Аппаратное обеспечение процесса
Таблица 2
Инвентаризация по аппаратному обеспечению
|
№ п/п |
Физ. размещ |
Наименование оборудования |
Функция |
Ответств. за данную ед. оборуд-я |
Инвент-ый, серийный номер |
|
|
1 |
Под рабочим столом |
Корпус Midi-Tower ATX Inwin-S508 350W (БП ver.1, по 12В макс.18А) белыйMB ASUS P5PE-VM (i865G+ICH5, Socket LGA775, 533/800/1066MHz, uATX, 3PCI+1AGP 8x, max8USB 2.0, RJ45, 2SATA, 2 DDR DIMM Sockets, Dual Channel memory architecture, Gigabit LAN Controller, Audio 6-channel CODEC)Процессор: CPU Intel Celeron D 352 (3.2GHz/533MHz) Socket 775, BX80552352Память: DDR2 SDRAM, DIMM 512 MB, 240 pin, PC2-5300 (DDR2 667) PatriotЖесткий диск: HDD 200 Gb SATA 3Gb/s Seagate Barracuda 7200.9 SATA - ST3200827AS (SATA 3Gb/s/8Mb/7200 rpm)Видеоадаптер: Sapphire Radeon X1050, DDR 256 MB, PCI-Ex16, D-Sub, DVI-I , TV-out |
Системный блок |
Экономист |
10301 |
|
|
7 |
На рабочем столе |
17" Samsung SyncMaster 740N TFT/TN, 0.264, 600:1, TCO`03, отклик 8 ms, max 1280*1024 |
монитор |
Экономист |
10302 |
|
|
8 |
На рабочем столе |
Genius KB06X PS/2 |
Клавиатура |
Экономист |
10303 |
|
|
9 |
На рабочем столе |
Мышь Genius NetScroll 100 Optical, PS/2 |
мышь |
Экономист |
10304 |
|
|
10 |
На полу под рабочим столом |
Сетевой фильтр Protector (разветвитель, 5 евророзеток) 1.8 м |
сетевой фильтр |
Экономист |
10305 |
|
|
11 |
На полу под рабочим столом |
Back-UPS CS 500 Russian (BK 500-RS) (500VA/300W, 230V) (APC) |
ИБП |
Экономист |
10306 |
|
|
12 |
На рабочем столе с права |
Телефон Panasonic KX-TS2361RUW |
система связи |
Экономист |
10307 |
|
|
13 |
На тумбочке (слева от входной двери) |
LaserJet M1005 (А4, лазерный ч/б принтер-сканер-копир, ЖК дисплей, 8 Mb RAM, 600 dpi, FastRes 1200, до 14 стр/мин, USB 2.0, планшетный сканер 1200 dpi/24 bit, нагрузка до 5000 стр/мес) |
МФУ |
Экономист |
10308 |
2.5 Программное обеспечение процесса
Таблица 3
Инвентаризация по программному обеспечению
|
Полное наименование программы |
Категория применения |
Функциональ-ное применение |
Размещение компонентов |
Способы доступа |
Версия |
Произво-дитель |
Встроенный механизм защиты при установке |
Встроенный механизм защиты для пользования |
|
|
Windows HP |
общая |
служебная программа |
ЛКР |
локальный |
XP |
Microsoft Corporation |
Ключ при инсталляции |
Пароль на входе |
|
|
Microsoft Office 2003 |
общая |
служебная программа |
ЛКР |
локальный |
10.0.2627.15 |
Microsoft Corporation |
Ключ при инсталляции |
- |
|
|
Антивирус Касперского (ТМ) |
общая |
служебная программа |
ЛКР |
локальный |
7.0.1.325 |
Kaspersky Lab |
Ключ при инсталляции |
- |
|
|
Архиватор WinRAR |
общая |
служебная программа |
ЛКР |
локальный |
3.71.0.0 |
RarLab |
Ключ при инсталляции |
- |
|
|
Opera Internet Browser |
общая |
служебная программа |
ЛКР |
локальный |
9.20.8732.0 |
Opera Software |
Ключ при инсталляции |
- |
|
|
Total Commander |
общая |
служебная программа |
ЛКР |
локальный |
7.0.2.1 |
C.Ghisler.Co |
Ключ при инсталляции |
- |
|
|
Adobe Acrobat 5.0 |
общая |
служебная программа |
ЛКР |
локальный |
8.0 |
Adobe Sistems,Inc |
Ключ при инсталляции |
- |
|
|
Nero StartSmart |
общая |
служебная программа |
ЛКР |
локальный |
8.0 |
Nero AG |
Ключ при инсталляции |
- |
|
|
ДубльГИС |
общая |
служебная программа |
ЛКР |
локальный |
3.0.2.139 |
DoubleGIS |
Ключ при инсталляции |
- |
|
|
Распредиление срдств |
общая |
служебная программа |
ЛКР |
локальный |
- |
- |
- |
Пароль на входе |
Схематичный план офиса представлен на рис. 4:
Рис. 4 Схематичный план офиса планово-экономического отдела «ИГиЛ»
3. Классификация объектов информационной системы
Объект - информация обрабатываемая, создаваемая, хранимая, отправляемая, получаемая. автоматизация защита информация
Классификация объектов по аспектам:
- доступность (обеспечение процесса, организация наличия в нужный момент);
- целостность (защита от несанкционированной модификации);
- конфиденциальность (пресечение разглашения).
Доступность:
Д0 - критическая (полное отсутствие);
Д1 - очень важная (работа системы возможна в небольшой промежуток времени);
Д2 - важная (работа системы возможна на протяжении определенного промежутка времени, но наступит момент, когда работа системы будет остановлена);
Д3 - полезная (работа системы возможна без нее, использование повышает эффективность работы);
Д4 - несущественная;
Д5 - вредная (наличие приводит к снижению эффективности обработки).
Целостность:
Ц0 - критическая (необратимое разрушение информационного пространства);
Ц1 - необратимое изменение информационного пространства, если в течение небольшого промежутка времени дефект не устранен;
Ц2 - важная (последствия обратимы, но если через определенный промежуток времени восстановления не произойдет - процесс будет остановлен);
Ц3 - значимая (не приводит к остановке процесса, изменения заметны);
Ц4 - незначимая.
Конфиденциальность:
К0 - критическая (крах системы);
К1 - очень важная (значительные материальные потери при отсутствии оперативного реагирования на разглашение);
К2 - важная (некоторые материальные потери);
К3 - значимая (решение задачи не прекращается);
К4 - незначимая.
Таблица 4
Классификация объектов ИС
|
Идентификатор объекта |
Доступность |
Целостность |
Конфиденциальность |
|
|
1 |
2 |
3 |
4 |
|
|
Договор об оказании аудиторских услуг |
Д3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после доп. затрат (T,$,R) |
Ц3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности |
К3: Значимая (решение задачи не прекращается); |
|
|
Информация о заказчике |
Д2: Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R) |
Ц2: Важная (последствия обратимы, но если через определенный промежуток времени восстановления не произойдет - процесс будет остановлен) |
К2: Важная (некоторые материальные потери) |
|
|
Пакет документов для финансово-экономического анализа |
Д2: Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R) |
Ц2: Важная (последствия обратимы, но если через определенный промежуток времени восстановления не произойдет - процесс будет остановлен) |
К2: Важная (некоторые материальные потери) |
|
|
Нормативные коэффициенты |
Д2: Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R) |
Ц2: Важная (последствия обратимы, но если через определенный промежуток времени восстановления не произойдет - процесс будет остановлен) |
К4: Незначимая. |
|
|
Внутрифирменные документы предприятия, определяющие работу экономиста |
Д3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после доп. затрат (T,$,R) |
Ц3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности |
К3: значимая (решение задачи не прекращается) |
|
|
Инструкции по работе с конфиденциальными данными |
Д3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после доп. затрат (T,$,R) |
Ц3: Решение (работа) возможно в рабочем варианте, эффективность снижена, восстановление возможно после восстановления целостности |
К4: Незначимая. |
|
|
Финансовое заключение по анализируемому предприятию |
Д2: Решение (работа) возможно в промежутке времени (рабочий вариант), неминуемо остановка, восстановление возможно после доп. затрат (T,$,R) |
Ц2: Важная (последствия обратимы, но если через определенный промежуток времени восстановления не произойдет - процесс будет остановлен) |
К2: Важная (некоторые материальные потери) |
4. Анализ возможных каналов утечки
Рассмотрим основные потенциально возможные каналы утечки информации на рабочем месте экономиста.
Существуют следующие каналы утечки информации:
1. Уровень файлов:
§ несанкционированный просмотр (К1);
§ несанкционированный просмотр с частичным или полным копированием данных (К2);
§ физическое уничтожение (К3);
§ кража с носителем (К4).
2. Уровень процессора.
§ сбои программного обеспечения (К5);
§ сбои аппаратного обеспечения (К6);
§ воздействие сильных магнитных полей на магнитные носители информации или дефекты оборудования, приводящее к разрушению хранимой информации (К7);
§ отключение или вывод из строя подсистем обеспечения безопасности ИС (К8);
§ сбои и ошибки в работе аппаратуры, вызванные скачками напряжения в сети питания, неисправностями энергоснабжения, временными или постоянными ошибками в ее схемах (К9).
3. Уровень каналов передачи информации:
§ незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений (перемыкание) (К10);
§ перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации (К11);
§ внедрение аппаратных и программных “закладок” и “вирусов”, позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам ИС (К12);
§ неумышленное повреждение каналов связи (К13).
4. Уровень коммутационного пункта:
§ неправильная коммутация абонентов (перемыкание) (К14);
§ ответвление линий связи - организация дополнительных точек подключения (К15).
5. Уровень терминала (рабочее место):
§ небрежное хранение и учет носителей, а также их нечеткая идентификация - нарушение регламентных требований по организации ввода, хранения и использования данных (К16)
§ ошибки ввода данных (К17);
§ неумышленная порча носителей информации (К18);
Таблица 5
Матрица М0. Каналы утечки информации.
|
ИЭ |
Каналы утечки |
? |
||||||||||||||||||
|
К1 |
К2 |
К3 |
К4 |
К5 |
К6 |
К7 |
К8 |
К9 |
К10 |
К11 |
К12 |
К13 |
К14 |
К15 |
К16 |
К17 |
К18 |
|||
|
Договор об оказании аудиторских услуг |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
8 |
|
|
Информация о предприятии-клиент (буж) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
8 |
|
|
Информация о предприятии-клиенте (эл) |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
0 |
0 |
0 |
1 |
1 |
1 |
13 |
|
|
Пакет документов для финансово-экономического анализа (буж) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
1 |
7 |
|
|
Пакет документов для финансово-экономического анализа (эл) |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
0 |
1 |
1 |
1 |
15 |
|
|
Нормативные коэффициенты(буж) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
6 |
|
|
Нормативные коэффициенты(эл) |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
12 |
|
|
Внутрифирменные документы предприятия, определяющие работу экономиста-аналитика (бум) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
6 |
|
|
Инструкции по работе с конфиденциальными данными (бум) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
5 |
|
|
Финансовое заключение по анализируемому предприятию (бум) |
1 |
1 |
1 |
1 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
6 |
|
|
Финансовое заключение по анализируемому предприятию (эл) |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
0 |
1 |
1 |
1 |
15 |
0 - канал утечки не влияет на информационный элемент;
1 - влияет (вероятность значительная, интенсивность утечки не нулевая).
Проанализировав Матрицу МО (табл. 5) можно сделать вывод о том, что такие информационные элементы как: «Пакет документов для финансово-экономического анализа (эл)» - 15, «Финансовое заключение по анализируемому предприятию (эл)» - 15 и Информация о предприятии-клиенте (эл) - 13 в большей степени, по сравнению с другими информационными элементами, подвержены атаке.
Наиболее активными каналами утечки являются: К1, К2, К3, К4 и К18.
5. Анализ существующих методов и средств защиты информации
Для рассматриваемого рабочего места можно выделить следующие средства защиты:
§ С1 - видеонаблюдение;
§ С2 - пропускная система;
§ С3 - охрана внутренних помещений;
§ С4 - сигнализация (вне рабочего времени);
§ С5 - визуальное наблюдение;
§ С6 - решетки на окнах офиса;
§ С7 - контроль доступа и полномочий;
§ С8 - антивирусная защита;
§ С9 - ИБП;
§ С10 - резервное копирование.
§ С11 - инструкция по работе с конфиденциальной информацией
§ С12 - правила работы в системе СААФСО
Каналы утечки К14 и К15 в рассмотрение не берутся, т.к. они не были использованы в Матрице М0.
Таблица 6
Матрица М1 Анализ перекрытия КУ
|
Каналы утечки |
С р е д с т в а з а щ и т ы |
? |
|||||||||||||
|
C1 |
C2 |
C3 |
C4 |
C5 |
C6 |
С7 |
С8 |
С9 |
С10 |
С11 |
С12 |
||||
|
Ур-нь файлов |
К1 |
1 |
1 |
2 |
|||||||||||
|
К2 |
1 |
2 |
|||||||||||||
|
К3 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
8 |
|||||||
|
К4 |
1 |
1 |
1 |
1 |
1 |
1 |
1 |
7 |
|||||||
|
Ур-нь процесс-а |
К5 |
1 |
1 |
2 |
|||||||||||
|
К6 |
1 |
1 |
|||||||||||||
|
К7 |
0 |
||||||||||||||
|
К8 |
1 |
1 |
1 |
1 |
4 |
||||||||||
|
К9 |
1 |
1 |
|||||||||||||
|
Ур. каналов передачи инф-ии |
К10 |
1 |
1 |
1 |
3 |
||||||||||
|
К11 |
0 |
||||||||||||||
|
К12 |
1 |
1 |
1 |
1 |
1 |
5 |
|||||||||
|
К13 |
1 |
1 |
2 |
||||||||||||
|
Уровень раб. места |
К16 |
1 |
1 |
1 |
3 |
||||||||||
|
К17 |
1 |
1 |
1 |
3 |
|||||||||||
|
К18 |
1 |
1 |
1 |
3 |
|||||||||||
|
? |
4 |
9 |
5 |
3 |
7 |
3 |
3 |
1 |
1 |
2 |
4 |
3 |
0 - средства защиты не перекрывают;
1 - средства защиты перекрывают
Из Матрицы М1 (табл. 6) видно, что из совсем не защищенными КУ являются К7 (воздействие сильных магнитных полей на магнитные носители информации или дефекты оборудования, приводящее к разрушению хранимой информации). Наиболее защищенными КУ является К3 (физическое уничтожение) и КУ4 (кража с носителем).
6. Анализ защищенности данных в ИС
На основании результатов обследования, содержащихся в материалах инвентаризации (табл. 1 - 3), результатов классификации (табл. 4) следует обработать данные матриц М0 и М1 (табл. 5 и 6) построим матрицу М2 (табл. 7), которая будет являться итоговой матрицей, отражающей степень защищенности каждого информационного элемента.
Выявим незащищенные (слабо защищенные) элементы, неприменяемые (лишние) средства (методы) защиты. Для оценки степени защиты информационных элементов средствами защиты используем 16-балльную шкалу оценки (т.к. каналов утечки 16).
0 - средство защиты не защищает ни от одного канала утечки;
16 - средство полностью защищает информационный элемент от всех каналов утечки.
Таблица 7
Матрица М2
|
ИЭ |
С р е д с т в а з а щ и т ы |
? |
||||||||||||
|
C1 |
C2 |
C3 |
C4 |
C5 |
C6 |
С7 |
С8 |
С9 |
С10 |
С11 |
С12 |
|||
|
Договор об оказании аудиторских услуг |
2 |
6 |
3 |
3 |
5 |
3 |
2 |
0 |
0 |
1 |
3 |
2 |
30 |
|
|
Информация о заказчике (буж) |
2 |
6 |
3 |
3 |
5 |
3 |
2 |
0 |
0 |
1 |
3 |
2 |
30 |
|
|
Информация о заказчике (эл) |
4 |
8 |
5 |
3 |
6 |
3 |
3 |
1 |
1 |
2 |
3 |
3 |
42 |
|
|
Пакет документов для финансово-экономического анализа (буж) |
2 |
6 |
3 |
3 |
4 |
3 |
1 |
0 |
0 |
0 |
3 |
1 |
26 |
|
|
Пакет документов для финансово-экономического анализа (эл) |
4 |
9 |
5 |
3 |
7 |
3 |
3 |
1 |
1 |
2 |
3 |
3 |
44 |
|
|
Нормативные коэффициенты(буж) |
2 |
6 |
3 |
3 |
4 |
3 |
0 |
0 |
0 |
1 |
2 |
0 |
24 |
|
|
Нормативные коэффициенты(эл) |
3 |
8 |
5 |
3 |
6 |
3 |
2 |
1 |
1 |
2 |
2 |
2 |
42 |
|
|
Внутрифирменные документы предприятия, определяющие работу экономиста (бум) |
2 |
6 |
3 |
3 |
4 |
3 |
0 |
0 |
0 |
1 |
2 |
0 |
24 |
|
|
Инструкции по работе с конфиденциальными данными (бум) |
2 |
6 |
3 |
3 |
4 |
3 |
0 |
0 |
0 |
1 |
2 |
0 |
24 |
|
|
Финансовое заключение по анализируемому предприятию (бум) |
2 |
6 |
3 |
3 |
4 |
3 |
0 |
0 |
0 |
1 |
2 |
0 |
24 |
|
|
Финансовое заключение по анализируемому предприятию (эл) |
4 |
9 |
5 |
3 |
7 |
3 |
3 |
1 |
1 |
2 |
3 |
3 |
44 |
Из Матрицы М2 (табл. 7) можно сделать вывод о том, что наиболее защищенными информационными элементами являются: Информация о предприятии-клиенте (эл.), Пакет документов для финансово-экономического анализа (эл.), Нормативные коэффициенты (эл.) и Финансовое заключение по анализируемому предприятию (эл.). Менее защищенными информационными элементами являются: Пакет документов для финансово-экономического анализа (буж), Внутрифирменные документы предприятия, определяющие работу экономиста-аналитика (бум), Инструкции по работе с конфиденциальными данными (бум) и Финансовое заключение по анализируемому предприятию (бум).
7. Выводы о состоянии защиты информации, рекомендации по ее улучшению
В ходе проведения анализа на информационную безопасность РМ экономиста «ИГиЛ» было выявлено, что:
· На данном рабочем месте существует 16 каналов утечек;
· Информационные элементы, которые более других подвержены атаке являются:
Ш Пакет документов для финансово-экономического анализа (эл);
Ш Финансовое заключение по анализируемому предприятию (эл);
Ш Информация о предприятии-клиенте (эл).
· Совсем не защищенными КУ являются:
Ш К7 (воздействие сильных магнитных полей на магнитные носители информации или дефекты оборудования, приводящее к разрушению хранимой информации);
Ш К10 (незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений (перемыкание)).
· Менее защищенными информационными элементами являются:
Ш Пакет документов для финансово-экономического анализа (буж);
Ш Внутрифирменные документы предприятия, определяющие работу экономиста-аналитика (бум);
Ш Инструкции по работе с конфиденциальными данными (бум);
Ш Финансовое заключение по анализируемому предприятию (бум).
Стоит отметить, что те информационные объекты, которые более других подвержены атаке, не попали в список менее защищенных информационных элементов. Этот факт говорит о хорошей информационной безопасности данного рабочего места.
С целью устранения риска нанесения ущерба от раскрытия и уничтожения данных все же необходимо использовать дополнительные средства защиты: средства защиты каналов связи (например, чтобы избежать прослушивания телефонов), зашумляющие генераторы излучений и пр.
Размещено на Allbest.ru
Подобные документы
Классификация каналов утечки информации, виды угроз. Основные принципы и средства обеспечения информационной безопасности. Методы предотвращения утечки, утраты, хищения, искажения, подделки информации и других несанкционированных негативных воздействий.
реферат [515,2 K], добавлен 03.04.2017Принципы информационной безопасности. Демаскирующие признаки сигналов, их классификация и разновидности: аналоговые и дискретные. Классификационные признаки технических каналов утечки информации. Способы защиты и обнаружения демаскирующих признаков.
курсовая работа [483,9 K], добавлен 16.04.2014Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".
курсовая работа [198,0 K], добавлен 15.03.2016Особенности функционирования предприятия и его информационной системы как объектов информационной безопасности. Функциональная оценка эффективности интегральной системы защиты информации, структурно-функциональная схема проекта по ее совершенствованию.
курсовая работа [1,1 M], добавлен 28.05.2015Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Характеристики объектов защиты и требования к ним. Выявление каналов утечки и требования по защите. Средства защиты и их размещение. Альтернативная система защиты информации комплексным экранированием. Экранированные сооружения, помещения, камеры.
курсовая работа [2,1 M], добавлен 16.04.2012Структура и особенности ОС Linux, история ее развития. Информационная безопасность: понятие и регламентирующие документы, направления утечки информации и ее защиты. Расчет создания системы информационной безопасности и исследование ее эффективности.
курсовая работа [77,3 K], добавлен 24.01.2014
