2. Информационные объекты

Информационный объект - информационные массивы, наборы данных, технические средства, участвующие в обработке и хранении информации, персонал, информационные продукты. Информационным продуктом может быть объектом интеллектуальной собственности, если он содержит новую, ценную, уникальную для общечеловеческого тезауруса информацию.

Основные информационные объекты в системе:

3. Определение степени конфиденциальности, достоверности, целостности информационных объектов

Для эффективной деятельности предприятия информационные объекты должны обладать следующими свойствами:

- своевременность доступа;

- конфиденциальность;

- доступность;

- достоверность;

- разграничение ответственности;

- защищенность от нежелательного искажения, утраты.

Данный этап является начальным при проектировании системы защиты информации, т.к. от правильности определения информационных объектов зависит адекватность функционирования выбираемых в последующем средств защиты.

Безопасность любого информационного объекта может быть заключена в обеспечении трех основных характеристик: конфиденциальность, доступность и достоверность.

Конфиденциальность информации - субъективно определяемая характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Целостность информации - защита от несанкционированного изменения или разрушения информации и программно-технической информационно среды.

Доступность информации - защита от несанкционированного сокрытия информации.

3.1 Категории целостности защищаемой информации:

1 - «Жизненно важная» информация:

2 - «Очень важная» информация:

3 - «Важная» информация

4 - «Неважная» информация

Обобщенная категория информации с учетом доступности

1 - «первая» категория:

2 - «вторая» категория:

3 - «третья» категория:

4 - «четвертая» категория:

В соответствии с порядком категорирования, нам необходимо прокатегорировать перечень сведений, составляющих конфиденциальную тайну организации.

Оценка ценного информационного ресурса

Имеем три категории конфиденциальности информации: высокая, средняя, нет требований. Определение возможного ущерба для категорий конфиденциальности, целостности и доступности были получены в результате экспертного опроса должностных лиц предприятия:

Имеем три категории целостности информации: высокая, средняя, нет требований.

Имеем три категории доступности информации: высокая, средняя, низкая.

Величины возможных ущербов для обобщенной категории конфиденциальности и целостности (выбирается максимум из ущербов для каждой из обобщенных категорий: максимум для предельно важной категории (1), максимум для очень важной категории (2) и т.д.):

Величины возможных ущербов для обобщенной категории конфиденциальности и целостности и категорий доступности - итоговых категорий рассчитываются как:

Величины возможных ущербов для итоговой категории c учетом доступности (выбирается максимум из ущербов для каждой из обобщенных категорий: максимум для первой категории (1), максимум для второй категории (2) и т.д.):

Теперь рассчитаем общий вероятный ущерб предприятию от нарушения требований всем составляющим ценного информационного ресурса по формуле

,

где №- количество выделенных информационных объектов в j-ой итоговой категории

S=(345000+263000+190000+102 000)*6=900000*6=5400000 (руб.)

4. Технорабочее проектирование

4.1 Определение угроз и источников их возникновения

Выделим угрозы, классифицируем их и определим источники этих угроз, а также для источников - субъекты построим модель нарушителя.

Классификацию информационных угроз можно представить в виде схемы.

Естественные угрозы (стихийные бедствия): вызваны воздействием на информационную систему стихийными, природными явлениями, физическими процессами, различного рода катастрофами, не зависящими от человека:

ь Пожар

ь Ураган

ь Смерч

ь Наводнение

Искусственные угрозы вызваны непосредственно деятельностью человека, среди которых выделяют преднамеренные и случайные угрозы.

Преднамеренные угрозы:

ь Целенаправленная кража или уничтожение данных на рабочей станции или сервере

ь Внедрение агентов в число персонала системы, либо вербовка путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающими этой информацией.

ь Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)

ь Несанкционированное копирование носителей информации

ь Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя.

ь Преднамеренное заражение программного обеспечения вредоносными программами

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

ь Хищение документации (распечаток, записей, документов и т.д.)

ь Несанкционированное проникновение в компьютерные сети

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.

ь DOS-атаки

Атака типа DOS (сокр. от De№ial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.

Случайные угрозы:

ь Повреждение данных пользователем в результате неосторожных действий

ь Ввод в систему ошибочных данных в силу некомпетентности

ь Отправка конфиденциальной информации по ошибочным адресам

ь Запись файлов в папки и на носители общего доступа

ь Заражение вирусами

ь СПАМ

Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать); вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям.

ь Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.)

ь Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);

ь Неумышленная порча или потеря носителей информации

ь Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

Техногенные угрозы, источниками которых являются различные технические неполадки.

ь Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных

ь Старение носителей информации и средств обработки

ь Замыкание электрической сети

ь Отказ функционирования вычислительной техники и программного обеспечения

4.2 Определение рисков информационной безопасности

В данной работе необходимо определить вероятности реализации возможных угроз Pi и степени уязвимости ценного информационного ресурса Pij в условиях действующей системы средств защиты информационной безопасности, где i - порядковый номер угрозы, j - порядковый номер категории ценного информационного ресурса.

Перечень угроз ценному информационному ресурсу

Далее необходимо определить вероятности уязвимости категорий ценного информационного ресурса предприятия для реализации той или иной угрозы информационной безопасности.

Уязвимость ценного информационного ресурса

Далее необходимо определить риски угроз категориям ценного информационного ресурса по формуле:

где - вероятность реализации угрозы информационной безопасности;

- вероятность уязвимости объекта;

- ущерб от реализации угроз информационной безопасности.

В результате получаем таблицу рисков информационной безопасности и величину суммарного риска до проектирования системы защиты информационной безопасности.

Оценка рисков

Определим величину суммарного риска по формуле = 6694,79

Исходя из таблицы оценки рисков видно, что наиболее опасными угрозами являются:

· Внедрение агентов в число персонала системы, либо вербовки путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией

· Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)

· Несанкционированное копирование носителей информации

· Хищение документации (распечаток, записей, документов и т.д.)

· Ввод в систему ошибочных данных в силу некомпетентности

· Отказ функционирования вычислительной техники и программного обеспечения

Для борьбы с выделенными информационными угрозами необходимо разработать соответствующие мероприятия, направленные на защиту ценного информационного ресурса.

информация конфиденциальность безопасность защита

5. Выбор средств защиты информационной безопасности

Безопасность связана с защитой активов от угроз, где угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все разновидности угроз, но в сфере безопасности наибольшее внимание уделяется тем из них, которые связаны с действиями человека, злонамеренными или иными. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации ФЗ «Об информации, информационных технологиях и защите информации» 27 июля 2006 года №149-ФЗ.

Средства защиты информационной безопасности могут быть направлены на отражение угроз, уменьшение степени уязвимости ЦИР и на снижение ущерба.

В практике обеспечения информационной безопасности существует несколько эшелонов защиты информационных объектов:

· организационные (административные) методы (включают правовые методы защиты);

· инженерно-технические методы защиты;

· технические методы защиты;

· программно-аппаратные методы защиты.

1. Правовое обеспечение: Нормативные документы, положения, инструкции, являющиеся носителями тех требований, которые обязательны в рамках действий системы защиты

2. Организационные методы защиты

Организационные методы защиты в основном ориентированы на работу с персоналом, выбор местоположения и размещения объектов корпоративной сети, организацию систем физической и противопожарной защиты, организацию контроля выполнения принятых мер, возложение персональной ответственности за выполнение мер защиты. Применение организационных мер весьма эффективно и сокращает общее число угроз.

3. Технические (физические) методы защиты

Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и дают значительный эффект при устранении угроз безопасности информации, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами. Кроме того, ряд методов, например резервирование средств и каналов связи, эффективен при некоторых техногенных факторах.

Реализация защиты информации определенными структурными подразделениями, такими как служба защиты документов, служба режимного доступа сотрудников, служба охраны, службы информационно-аналитической деятельности и т.д.

4. Программно-аппаратные методы защиты

Программно-аппаратные методы в основном нацелены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построение целостной комплексной системы информационной безопасности.

Методы защиты

Подобные документы

• Разработка проекта комплексной защиты информации

  Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
  
  курсовая работа [2,6 M], добавлен 16.04.2008
  

• Разработка комплексной системы защиты информации

  Виды угроз информации. Разработка комплексной системы защиты документооборота управления пенсионного фонда России Советского района г. Брянска. Расчёт затрат на комплексную защиту объекта и обоснование экономической целесообразности разработки КСЗИ.
  
  дипломная работа [8,2 M], добавлен 18.03.2012
  

• Разработка системы технической защиты средств обработки, хранения и передачи информации в ООО "Технология защиты"

  Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
  
  дипломная работа [771,4 K], добавлен 13.06.2012
  

• Принципы организации и этапы разработки комплексной системы защиты информации

  Понятие и состав научно-методологических основ обеспечения информационной безопасности. Основные положения теории систем. Содержание принципов организации комплексной системы защиты информации, предъявляемые к ней требования и порядок работ при создании.
  
  реферат [158,8 K], добавлен 05.11.2011
  

• Теория и методология защиты информации в адвокатской конторе

  Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.
  
  курсовая работа [92,4 K], добавлен 21.10.2008
  

• Проект защиты информации с разработкой системы видеонаблюдения

  Системная концепция комплексного обеспечения системы защиты информации. Описание автоматизированной системы охраны "Орион" и ее внедрение на объекте защиты. Технические каналы утечки информации. Разработка системы видеонаблюдения объекта защиты.
  
  дипломная работа [1,2 M], добавлен 30.08.2010
  

• Разработка программного модуля выбора рационального варианта мер и средств защиты информации от несанкционированного доступа на типовых объектах информатизации

  Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.
  
  контрольная работа [401,8 K], добавлен 03.12.2012
  

• Безопасность информационных технологий

  Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
  
  курсовая работа [1,1 M], добавлен 21.04.2015
  

• Анализ задач и функций системы защиты информации предприятия

  Угрозы в сфере информационного обеспечения. Цели и задач и создания комплексной системы защиты информации на предприятии. Применение скрытия и уничтожения информации, дезинформации противника, легендирования. Анализ функций системы защиты предприятия.
  
  курсовая работа [60,7 K], добавлен 23.06.2012
  

• Построение комплексной системы защиты информации на предприятии ООО "База хранения нефтяного оборудования"

  Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
  
  презентация [226,0 K], добавлен 30.01.2012
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам