Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации
Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 15.11.2009 |
Размер файла | 64,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Н
Н
Н
Ошибочная маршрутизация сообщений
Н
Н
С
Повторная маршрутизация сообщений
Н
Н
С
Отрицание
Н
Н
Н
Неисправность услуг связи (то есть, услуг сети)
Н
Н
Н
Ошибки пользователя
Н
С
С
Неправильное использование ресурсов
Н
В
В
Дефицит персонала
Н
Н
Н
Пожар
В
В
В
Преднамеренное повреждение
В
В
В
Авария источника мощности
С
С
С
Авария в подаче воды
Н
Н
Н
Авария воздушного кондиционирования
Н
Н
Н
Неисправности аппаратных средств
В
В
В
Колебание мощности
С
С
С
Экстремальные значения температуры и влажности
Н
Н
Н
Пыль
Н
Н
Н
Электромагнитное излучение
С
С
С
Кража
В
С
С
Неавторизованное использование среды хранения
В
С
С
Износ среды хранения
В
В
В
Операционная ошибка персонала
В
С
С
Ошибка технического обслуживания
Н
Н
Н
Авария программного обеспечения
В
В
В
Использование программного обеспечения неавторизованными пользователями
В
С
С
Использование программного обеспечения неавторизованным способом
С
В
С
Подделка идентификатора пользователя
С
В
В
Нелегальное использование программного обеспечения
В
С
С
Вредоносное программное обеспечение
В
В
В
Нелегальный импорт/экспорт программного обеспечения
В
В
В
Доступ к сети неавторизованных пользователей
В
В
С
Ошибка операционного персонала
В
В
С
Ошибка технического обслуживания
С
С
В
Техническая неисправность компонентов сети
В
В
В
Ошибки при передаче
С
В
В
Повреждения в линиях связи
В
С
В
Перегрузка трафика
Н
В
С
Перехват
В
В
Н
Проникновение в коммуникации
Н
Н
Н
Ошибочная маршрутизация сообщений
С
В
В
Повторная маршрутизация сообщений
С
В
В
Отрицание
Н
Н
С
Неисправность услуг связи (то есть, услуг сети)
Н
С
С
Ошибки пользователя
С
С
С
Неправильное использование ресурсов
Н
В
В
Дефицит персонала
С
С
С
Пожар
В
В
В
Преднамеренное повреждение
С
С
С
Авария источника мощности
С
С
С
Авария в подаче воды
Н
Н
Н
Авария воздушного кондиционирования
Н
Н
Н
Неисправности аппаратных средств
С
С
С
Колебание мощности
С
С
С
Экстремальные значения температуры и влажности
Н
Н
Н
Пыль
Н
Н
Н
Электромагнитное излучение
Н
Н
Н
Кража
Н
Н
С
Неавторизованное использование среды хранения
Н
Н
С
Износ среды хранения
Н
Н
С
Операционная ошибка персонала
Н
С
С
Ошибка технического обслуживания
Н
Н
Н
Авария программного обеспечения
С
С
С
Использование программного обеспечения неавторизованными пользователями
Н
Н
Н
Использование программного обеспечения неавторизованным способом
Н
Н
Н
Подделка идентификатора пользователя
Н
С
С
Нелегальное использование программного обеспечения
Н
Н
Н
Вредоносное программное обеспечение
С
С
С
Нелегальный импорт/экспорт программного обеспечения
С
С
В
Доступ к сети неавторизованных пользователей
Н
Н
Н
Ошибка операционного персонала
Н
С
С
Ошибка технического обслуживания
Н
Н
Н
Техническая неисправность компонентов сети
Н
С
Н
Ошибки при передаче
Н
С
С
Повреждения в линиях связи
Н
Н
С
Перегрузка трафика
Н
Н
Н
Перехват
Н
Н
Н
Проникновение в коммуникации
Н
С
С
Ошибочная маршрутизация сообщений
Н
С
С
Повторная маршрутизация сообщений
Н
С
С
Отрицание
Н
Н
Н
Неисправность услуг связи (то есть, услуг сети)
Н
С
Н
Ошибки пользователя
Н
С
С
Неправильное использование ресурсов
Н
С
В
Дефицит персонала
Н
Н
Н
Пожар
Н
В
В
Преднамеренное повреждение
С
В
В
Авария источника мощности
С
В
В
Авария в подаче воды
Н
Н
Н
Авария воздушного кондиционирования
Н
Н
Н
Неисправности аппаратных средств
Н
В
В
Колебание мощности
С
В
С
Экстремальные значения температуры и влажности
Н
Н
С
Пыль
Н
Н
Н
Электромагнитное излучение
Н
Н
С
Кража
В
В
В
Неавторизованное использование среды хранения
Н
С
С
Износ среды хранения
С
Н
С
Операционная ошибка персонала
Н
Н
С
Ошибка технического обслуживания
Н
С
С
Авария программного обеспечения
Н
С
В
Использование программного обеспечения неавторизованными пользователями
Н
С
С
Использование программного обеспечения неавторизованным способом
Н
Н
С
Подделка идентификатора пользователя
С
Н
С
Нелегальное использование программного обеспечения
Н
Н
Н
Вредоносное программное обеспечение
В
С
В
Нелегальный импорт/экспорт программного обеспечения
С
С
Н
Доступ к сети неавторизованных пользователей
С
Н
Н
Ошибка операционного персонала
С
С
С
Ошибка технического обслуживания
С
С
С
Техническая неисправность компонентов сети
Н
С
С
Ошибки при передаче
С
С
С
Повреждения в линиях связи
С
В
В
Перегрузка трафика
Н
С
С
Перехват
С
С
Н
Проникновение в коммуникации
С
С
С
Ошибочная маршрутизация сообщений
С
В
В
Повторная маршрутизация сообщений
Н
В
В
Отрицание
С
В
Н
Неисправность услуг связи (то есть, услуг сети)
С
С
В
Ошибки пользователя
С
В
С
Неправильное использование ресурсов
Н
Н
В
Дефицит персонала
Н
В
В
Таблица 9 - Таблица оценки риска
Категория потерь |
|||||
Зона уязвимости |
Денежная потеря |
Потеря производительности |
Затруднения |
Общий риск |
|
Физический уровень |
Н |
Н |
Н |
Н |
|
Сетевой уровень |
Н |
С |
С |
С |
|
Уровень сетевых приложений |
Н |
С |
Н |
Н |
|
Уровень операционных систем |
Н |
Н |
С |
Н |
|
Уровень СУБД |
В |
В |
С |
В |
|
Уровень функциональных приложений |
Н |
С |
С |
С |
|
Уровень бизнес-процессов |
Н |
С |
С |
С |
Самой уязвимой зоной, в которой риск потери будет высокий, - это уровень системы управления базами данных. Важной значение для отделения Пенсионного Фонда имеет потеря информации. Актуальными будут те угрозы, которые на уровне СУБД носят высокую степень риска. Отделение Пенсионного Фонда РФ не составляет особого интереса окружающим (возможно, потому что не занимается денежными операциями, а только назначением на пенсию), поэтому общий риск потерь не является особо высоким на рассматриваемых уровнях, и самой актуальными угрозами будут неисправность программного обеспечения и аппаратных средств, ошибки пользователей.
4. Разработка политики безопасности
Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для собственника. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности.
Отделение Пенсионного Фонда РФ, помимо основных бизнес - функций, должно обеспечивать защиту информационных, вычислительных, коммуникационных и аппаратных ресурсов, следить за функционированием систем, создавать защитные меры для эффективной работоспособности и качественной производительности.
Исходя из полученной таблицы оценки риска, можно сделать вывод, что защищать необходимо информационный ресурс на уровне СУБД, так как уровень риска является самым высоким. Защищать зоны уязвимости, где уровень риска низкий, просто не имеет смысла.
Вся информация, находящаяся в госучреждении, должна быть конфиденциальной, целостной, надежной, качественной, защищенной. Ей управляет администратор, защищает - администратор ИБ. В отделении должны обеспечиваться:
- функционирование системы парольной защиты электронных вычислительных машин и локальных вычислительных сетей. Должна быть организована служба централизованной парольной защиты для генерации, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;
- формирование уникальных идентификаторов сообщений и идентификаторов пользователей;
- осуществление проверки запросов данных по паролям, идентификаторам;
- функционирования системы ограниченного доступа к серверу и использованию ресурсов Интернет;
- хранение БД и копий БД в определенных защищаемых местах;
- применение шифрования информации криптографическими и стеганографическими методами и средствами;
- обеспечение эффективной защиты каналам и средствам связи (провода, телефоны и др.)
- взаимодействия нескольких АРМ друг с другом, выполняющие одинаковые полномочия;
- создание благоприятных условий и место труда сотрудникам отделения;
- отсутствие возможного появления вредоносного ПО или применение борьбы с ним.
Для того, чтобы избежать потерю информации необходимо обеспечивать защиту и выполнять общие требования.
Таблица 10 - Разработка защитных мер на уровне СУБД
Зона уязвимости: уровень СУБД |
Виды защитных мер |
|
Пожар |
Оборудовать пожарную сигнализацию; установить необходимое количество огнетушителей; назначить ответственного за пожарную безопасность; провести инструктаж по пожарной безопасности с работниками отделения; выполнять плановые и внеплановые проверки исправности проводки. |
|
Преднамеренное повреждение |
Создать затруднительный доступ к проводами др. каналам связи, обеспечить отделение камерами наблюдения и дополнительной сигнализацией, предупредить о наказаниях в случае умышленной поломки. |
|
Неисправности аппаратных средств |
Своевременная замена и ремонт оборудования; изолировать от посторонних лиц важные аппаратные средства, чтобы исключить умышленное и случайное повреждение; проводить периодические проверки исправности аппаратных средств. |
|
Износ среды хранения |
Осуществление обновления БД и аппаратной части; хранение копий БД на отдельном компьютере. |
|
Авария ПО |
Создавать резервные копии; постоянно обновлять ПО; ограничить пользование нелицензионными копиями ПО. |
|
Подделка идентификатора пользователя |
Обеспечить каждый ПК уникальным паролем. Пароли должны соответствовать следующим требованиям: 1. длина пароля должна быть не менее 8 символов; 2.в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы; 3. пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.); 4. при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; 5. смена паролей должна проводиться регулярно не реже одного раза в месяц; 6. одинаковых паролей не должно быть. |
|
Вредоносное программное обеспечение |
Защита ПО с помощью антивирусных программ; никогда не котировать на свой винчестер /дискету программы, не проверенные на наличие вируса; не копировать программы с ненадежных источников; вести внимательное наблюдение за новой программой (желательно эксплуатировать ее на специальном компьютере); иметь копии всех ценных программ и хранить их на защищенных дисках; установить по возможности системным файлам атрибут «только для чтения»; иметь системный диск с антивирусными программами. |
|
Нелегальный импорт/экспорт программного обеспечения |
Запретить копирование ПО с сервера и др. ПК; отслеживать трафик. |
|
Доступ к сети неавторизованных пользователей |
Контролировать действия неавторизованного пользователя; возложить ответственность за какие - либо неисправности; сообщать администратору о известных входах в сеть неавторизованным способом. |
|
Ошибка операционного персонала |
Ограничить уровень допуска в соответствии с необходимостью; набор только квалифицированного персонала; проведение семинаров по обучению работы с новым ПО. |
|
Техническая неисправность компонентов сети |
Постоянно следить за компонентами сети; своевременный ремонт и замена оборудования; запретить доступ к компонентам сети, кроме технического обслуживания. |
|
Ошибки при передаче |
Использование различных алгоритмов разделения файлов при передачи; проверка контрольных сумм. |
|
Повреждения в линиях связи |
Обеспечить затруднительный доступ к линиям связи; расположить провода ближе к потолку и убрать их в коробки. |
|
Перехват |
Сделать невозможным прямой доступ к сети; кодировать всю информацию при передачи; анализировать трафик. |
|
Ошибочная маршрутизация сообщений |
Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
|
Повторная маршрутизация сообщений |
Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
|
Неправильное использование ресурсов |
Установить приоритет на запросы; ограничить доступ к ним для всех на определенной время; использовать многоканальный доступ. |
В госоргане обязательно необходимо следить и обеспечивать безопасность информации по составленным правилам и требованиям. В этом случае повысится вероятность избежание нежелательных последствий и уменьшатся риски потерь.
Заключение
Информатизация является неизбежным этапом цивилизации, поскольку производственные процессы становятся все более информационно емкими. Проблема создания, накопления, обработки, хранения, обмена (распространения) и защиты информации занимает важное место в информационной жизнедеятельности. В курсовой работе были рассмотрены и проанализированы возможные угрозы нападения на информационные ресурсы отделения Пенсионного Фонда РФ, разработана политика безопасности, построена информационная система и показаны ее структурная и инфологическая модели. В процессе работы были выявлены какая информация является чувствительной, опасные для нее угрозы, проведены оценки рисков нападения, описаны категории возможных потерь, разработаны правила и защитные меры при самых критических ситуациях. Можно подвести итог, что политика ИБ должна существовать во всех организациях и госучреждениях где имеются компьютеры для необходимой защиты, применение которой должно быть целесообразно.
Литература
1.Савицкий Н.И. Экономическая информатика: Учебное пособие. - М.: Экономистъ, 2004. - 429с.
Приложение А
Информационно - логическая модель ИС
Внешняя среда
Получение сведений
Обмен
ИР1
Получение Обмен ИР2
сведений Передача копий ИР1,
ИР2
Шлюз
Подобные документы
Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
курсовая работа [771,3 K], добавлен 14.01.2014Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Понятие и основные задачи информационной безопасности. Разработка и реализация политики ИБ в компании Microsoft. Виды угроз безопасности. Современные средства физической, аппаратной, программной защиты информации в локальном домашнем и офисном компьютере.
курсовая работа [107,6 K], добавлен 09.04.2014Анализ и разработка информационной системы, структура сети предприятия. Описание процесса разработки конфигураций и выявление потребностей в автоматизации функций. Средства разработки проектирования и архитектура базы данных. Разработка модели угроз.
дипломная работа [1,4 M], добавлен 13.07.2011Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009