Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - возможность неавторизованного входа, методы нападения - использование программы для взлома сетей.

Объект нападения - БД

Тип потери - потеря информации, нарушение конфиденциальности информации, затруднения в деятельности

Масштаб ущерба - высокий

Источник угроз - пользователь АРМ

опыт - не обязателен

знания - не обязательны

доступные ресурсы - информационные ресурсы

возможная мотивация действий - самоутверждение

Использование программного обеспечения неавторизованными способом

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие проверки прав и возможностей пользователя, методы нападения - использование программы для взлома сетей.

Объект нападения - БД

Тип потери - конфиденциальность информации, материальные потери

Масштаб ущерба - высокий

Источник угроз - хакер

опыт - максимальный

знания - отличные

доступные ресурсы - информационные ресурсы

возможная мотивация действий - осуществление несанкционированного доступа.

Подделка идентификатора пользователя

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - несовершенство защиты ПО, методы нападения - применение чужого пароля.

Объект нападения - вся информация ИС

Тип потери - потеря конфиденциальности, разрушение, фальсификация информации

Масштаб ущерба - высокий

Источник угроз - хакер

опыт - высокий уровень

знания - необходимы

доступные ресурсы - информационные

возможная мотивация действий -умысел.

Нелегальное использование программного обеспечения

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - вредоносные подпрограммы встроенные в программы, методы нападения- закачивание вируса.

Объект нападения - СУБД, ОС, ПО

Тип потери - судебное преследование

Масштаб ущерба - высокий

Источник угроз - нелегальное ПО

Ошибки пользователя

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - некомпетентность, халатность, неопытность; методы - случайное удаление сведений.

Объект нападения - БД, ПО.

Тип потери - потери информации

Масштаб ущерба - средняя

Источник угроз - рабочий персонал

знания - не обязательны

доступные ресурсы - вычислительные, информационные

возможная мотивация действий - небрежность, недобросовестность

Неправильное использование ресурсов

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - неквалифицированный персонал, методы - использование не по назначению.

Объект нападения - программное обеспечение.

Тип потери - временные

Масштаб ущерба - низкий

Источник угроз - неквалифицированный персонал

опыт - начальный уровень

знания - минимальные

доступные ресурсы - информационные

возможная мотивация действий - отсутствие опыта работы, знаний в данной области.

Уровень бизнес-процессов

Операционная ошибка персонала

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность, методы нападения - случайное незапланированное выполнение операций, подсчетов, ввод неверных данных.

Объект нападения - информация.

Тип потери -целостность процесса продажи

Масштаб ущерба - средний

Источник угроз - персонал

опыт - отсутствие

знания - не обязательны

доступные ресурсы - информационные, вычислительные

возможная мотивация действий - неосторожность

Авария источника мощности

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

Объект нападения - информация, сетевые аппаратные средства

Тип потери - компьютерные данные, приостановка основного процесса - продажи строй материалов.

Масштаб ущерба - средний

Источник угроз - рабочий персонал, стихия

опыт - не обязателен

знания - присутствуют

доступные ресурсы - физические

возможная мотивация действий - преднамеренно и непреднамеренно.

Подделка идентификатора пользователя

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - несовершенство защиты ПО, методы нападения - применение чужого пароля.

Объект нападения - вся информация ИС

Тип потери - потеря конфиденциальности, разрушение, фальсификация информации

Масштаб ущерба - высокий

Источник угроз - хакер

опыт - высокий уровень

знания - необходимы

доступные ресурсы - информационные

возможная мотивация действий -умысел.

Проникновение в коммуникации

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность коммуникаций, методы нападения - с помощью программных и аппаратных средств (жучки, прослушка).

Объект нападения - информация, данные

Тип потери - конфиденциальность

Масштаб ущерба - средний

Источник угроз - посторонние лица (шпионы)

опыт - высокий

знания - необходимы

доступные ресурсы - информационные

возможная мотивация действий - умысел.

Дефицит персонала

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - накопление работы, методы - нехватка кадров.

Объект нападения - работники отделения.

Тип потери - потеря производительности, застой (работа будет выполняться не вовремя)

Масштаб ущерба - средний

Источник угроз - руководитель

опыт - необязателен

знания - присутствуют

доступные ресурсы - любые

возможная мотивация действий - некомпетентность, жесткие условия труда.

Главным объектом нападения будет чувствительная информация, а опасными угрозами - преднамеренное незаконное действие (постороннее лицо, злоумышленник), вредоносное программного обеспечения и ошибки работников организации. В результате основными потерями являются информационные ресурсы, их конфиденциальность, денежные потери и затруднения в деятельности.

3. Квалификация угроз актуальных для информационной системы

В процессе анализа возможных и выявления актуальных для активов организации угроз можно составить точный прогноз актуальных угроз. Это позволяет снизить риск нарушения ИБ при минимизации затрат ресурсов организации. В процессе анализа следует оцениваться риск, возникающий вследствие потенциального воздействия определенной угрозы. После оценивания риска должно быть принято решение, является ли этот риск допустимым. Если риск является недопустимым, уровень риска подлежит снижению до допустимого путем принятия защитных мер.

Также необходимо оценивать все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 4 приведены основные компоненты процесса оценки рисков по данной методике.

Таблица №4. Типичные компоненты процесса оценки рисков

Если кто-либо захочет проследить угрозы	Через зоны уязвимостей	То они приведут в результате к какому-нибудь из следующих рисков
Неавторизованное использование ПО и среды хранения Вредоносное ПО, ошибка операционного персонала, электромагнитное излучение, колебание мощности Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднамеренное повреждение Пожар, авария источника мощности, авария ПО	Работники отделения Оборудование и аппаратура Приложения Коммуникации Программное обеспечение Операционные системы Среда хранения	Денежная потеря Потеря производительности Затруднения Потеря конфиденциальности, доступности и целостности информации

В Таблице №5 описывает действие каждой из четырех высокоуровневых угроз.

Таблица №5 - Описание угроз

Угрозы	Описание
Неавторизованное использование ПО и среды хранения	Эти угрозы являются случайным или преднамеренным использование информации, места локализации, что ведет к изменениям или разрушениям информации людьми, с осуществлением или без осуществления доступа к рабочему процессу во время выполнения их обычных обязанностей
Вредоносное ПО, ошибка пользователя, электромагнитное излучение, колебание мощности	Эти угрозы являются неосторожной, из-за небрежности, или случайной потерей, дополнением, изменением или уничтожением информации. Эта угроза может проистекать вследствие действий или бездействия людей; неправильного функционирования аппаратных средств, программного обеспечения или коммуникаций; и природных бедствий, возможна временная приостановка работы
Пожар, авария источника мощности, авария ПО	Эти угрозы являются случайными, незапланиро-ванными, ведущие к потери информации, обо-рудования, снижению производительности, затруднению в деятельности; могут быть вызваны стихией
Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднамеренное повреждение	Такие угрозы являются умышленными, способ получения информации несанкционированным доступом, что влечет потерю конфиденциальности, доступности и целостности сведений, их потерю.

Описание зон локализации уязвимостей приведено в таблице №6.

Таблица №6 - Описание зон локализации уязвимостей

Зона локализации уязвимостей	Описание
Персонал	Уязвимости этой зоны связаны с работниками организации. Они касаются обученности и осведомленности сотрудников
Оборудование и аппаратура (все уровни, особенно физический и сетевой),	Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним
Приложения (уровни сетевых и функциональных приложений)	Уязвимости этой зоны связаны с методом, с помощью которого информация обрабатывается для функционирования. Приложение включает обработку ввода для получения вывода
Коммуникации (физический и сетевой уровни)	Уязвимости этой зоны связаны с электронным движением информации
Программное обеспечение, относящееся к среде и операционные системы (в особенности уровни ОС и СУБД)	Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются

При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице №7 .

Таблица №7 - Категории возможных потерь

Категории возможных потерь	Описание
Денежная потеря	Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса.
Потеря производительности	Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступ-ности бизнес-функций или к некорректности результатов
Затруднения для организаций	Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точ-ность и согласованность

Составим матрицу оценки рисков. Уровни риска подразделяются на: высокий (В) - значительный, средний (С) - нормальный, низкий (Н) минимальная возможность потери.

Таблица №8 - Матрица оценки рисков

ЗОНА УЯЗВИМОСТИ: Физический уровень. Идентифицировать уровень риска, проистекающего из реализации угрозы:	Риск денежной потери	Риск потери поизводитель-ности	Риск затруднения
Пожар	В			В			В
Преднамеренное повреждение		С			С		В
Авария источника мощности			Н		С		В
Авария в подаче воды			Н			Н			Н
Авария воздушного кондиционирования			Н			Н			Н
Неисправности аппаратных средств		С			С			С
Колебание мощности			Н			Н			Н
Экстремальные значения температуры и влажности			Н			Н			Н
Пыль			Н			Н			Н
Электромагнитное излучение			Н			Н			Н
Кража		С				Н		С
Неавторизованное использование среды хранения			Н			Н			Н
Износ среды хранения		С			С				Н
Операционная ошибка персонала			Н			Н			Н
Ошибка технического обслуживания		С				Н			Н
Авария программного обеспечения			Н			Н			Н
Использование программного обеспечения неавторизованными пользователями			Н			Н			Н
Использование программного обеспечения неавторизованным способом			Н			Н			Н
Подделка идентификатора пользователя			Н			Н			Н
Нелегальное использование программного обеспечения			Н			Н			Н
Вредоносное программное обеспечение			Н			Н			Н
Нелегальный импорт/экспорт программного обеспечения			Н			Н			Н
Доступ к сети неавторизованных пользователей			Н			Н			Н
Ошибка операционного персонала			Н			Н			Н
Ошибка технического обслуживания		С			С			С
Техническая неисправность компонентов сети			Н			Н			Н
Ошибки при передаче			Н			Н			Н
Повреждения в линиях связи			Н			Н			Н
Перегрузка трафика			Н			Н			Н
Перехват			Н			Н			Н
Проникновение в коммуникации			Н			Н			Н
Ошибочная маршрутизация сообщений			Н			Н			Н
Повторная маршрутизация сообщений			Н			Н			Н
Отрицание			Н			Н			Н
Неисправность услуг связи (то есть, услуг сети)			Н			Н			Н
Ошибки пользователя			Н			Н			Н
Неправильное использование ресурсов			Н			Н			Н
Дефицит персонала			Н		С			С

Таблица №9 - Таблица оценки риска

	Категория потерь
Зона уязвимости	Денежная потеря	Потеря производи-тельности	Затрудне-ния	Общий риск
Физический уровень	В	С	Н	С
Сетевой уровень	Н	С	С	С
Уровень сетевых приложений	Н	С	Н	Н
Уровень операционных систем	Н	С	С	С
Уровень СУБД	В	В	С	В
Уровень функ-циональных приложений	Н	С	С	С
Уровень бизнес-процессов	Н	Н	С	Н

Из Таблицы №9 следует, что самой уязвимой зоной, в которой риск потери будет высокий, - это уровень системы управления базами данных. Важной значение для отделения Пенсионного Фонда имеет потеря информации. С пессимистической точки зрения, актуальной будет умышленная угроза (кража). Потеря БД может нести как материальный, так и моральный вред. Сохранение БД одна из основных центра строительных материалов.

4. Разработка политики безопасности

Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для собственника. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных и уязвимых областей деятельности и зон ответственности персонала. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности.

Центр строительных материалов, должен обеспечивать защиту информационных, вычислительных, коммуникационных и аппаратных ресурсов, следить за функционированием систем, создавать защитные меры для эффективной работоспособности и качественной производительности.

Исходя из полученной таблицы оценки риска, можно сделать вывод, что наиболее уязвимы информационные ресурсы на уровне СУБД, так как уровень риска является самым высоким, следовательно, их надо защищать в первую очередь. Защищать зоны уязвимости, где уровень риска низкий, просто не имеет смысла.

Вся информация, находящаяся в БД организации, должна быть конфиденциальной, целостной, надежной, качественной, защищенной. Для достижения этого должно в первую очередь обеспечиваться:

- функционирование системы парольной защиты электронных вычислительных машин и локальных вычислительных сетей. Должна быть организована служба централизованной парольной защиты, которая будет генерировать пароль для каждого пользователя в отдельности. Также она будет следить за своевременным обновлением пароля, разрабатывать необходимые инструкции, осуществлять контроль за действиями персонала;

- формирование уникальных идентификаторов сообщений и идентификаторов пользователей;

- невозможность связи с БД и между двумя АРМ местами, минуя средства защиты;

- осуществление проверки запросов данных по паролям, идентификаторам;

- функционирования системы ограниченного доступа к серверу и использованию ресурсов Интернет;

- хранение БД и копий БД в определенных защищаемых местах;

- отслеживание всех сетевых сообщений и ведение «Журнала запросов и ответов» для дальнейшего анализа;

- применение шифрования информации криптографическими и стеганографическими методами и средствами;

- обеспечение эффективной защиты каналам и средствам связи (провода, телефоны и др.)

- создание благоприятных условий и место труда сотрудникам отделения;

- отсутствие возможного появления вредоносного ПО или применение борьбы с ним.

Чтобы снизить уровень ущерба от угроз следует своевременно (например, 1 раз в день) делать резервное копирование последних обновлений данных которые должны хранится на отдельном компьютере.

Для того, чтобы избежать потери информации необходимо обеспечивать защиту и выполнять общие требования безопасности, приведенные в таблице 10.

Таблица 10 - Разработка защитных мер на уровне СУБД

Зона уязвимости: уровень СУБД	Виды защитных мер
Пожар	Оборудовать все помещения пожарной сигнализацией; установить необходимое количество огнетушителей; назначить ответственного за пожарную безопасность; провести инструктаж по пожарной безопасности с работниками отделения; выполнять плановые и внеплановые проверки исправности проводки.
Преднамеренное повреждение	Создать затруднительный доступ к проводам др. каналам связи, обеспечить отделение камерами наблюдения и дополнительной сигнализацией, напоминать об ответственности в случае умышленного повреждение.
Неисправности аппаратных средств	Своевременная замена и ремонт оборудования; изолировать от посторонних лиц важные аппаратные средства, чтобы исключить умышленное и случайное повреждение; проводить периодические проверки исправности аппаратных средств.
Износ среды хранения	Осуществление обновления БД и аппаратной части; делать резервное копирование БД и сохранять копии на отдельном компьютере.
Авария ПО	Создавать резервные копии; постоянно обновлять ПО; ограничить пользование нелицензионными копиями ПО.
Подделка идентификатора пользователя	Обеспечить каждый ПК уникальным паролем. Пароли должны соответствовать следующим требованиям: 1. длина пароля должна быть не менее 8 символов; 2. в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы; 3. пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.); 4. при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; 5. смена паролей должна проводиться регулярно не реже одного раза в месяц; 6. одинаковых паролей не должно быть на протяжении не менее 4 лет. Исключать одновременное появление в сети двух одинаковых пользователей
Вредоносное программное обеспечение	Защита ПО с помощью антивирусных программ; никогда не копировать на свой винчестер/дискету программы, не проверенные на наличие вируса; не копировать программы с ненадежных источников; Любой обмен данных между компьютерами должен производится только через серверы защиты; вести внимательное наблюдение за новой программой (желательно эксплуатировать ее на специальном компьютере); иметь копии всех ценных программ и хранить их на защищенных дисках; установить по возможности системным файлам атриибут «только для чтения»; иметь системный диск с антивирусными программами; Необходимо помимо антивирусных программ ставить фаервл
Нелегальный импорт/экспорт программного обеспечения	Запретить копирование ПО с сервера и др. ПК; отслеживать трафик.
Доступ к сети неавторизованных пользователей	Контролировать действия неавторизованного пользователя; возложить ответственность за какие - либо неисправности; сообщать администратору о известных входах в сеть неавторизованным способом.
Ошибка операционного персонала	Ограничить уровень допуска в соответствии с необходимостью; набор только квалифицированного персонала; проведение семинаров по обучению работы с новым ПО.
Техническая неисправность компонентов сети	Постоянно следить за компонентами сети; своевременный ремонт и замена оборудования; запретить доступ к компонентам сети, кроме технического обслуживания.
Повреждения в линиях связи	Обеспечить затруднительный доступ к линиям связи; расположить провода ближе к потолку и убрать их в коробки.
Перехват	Сделать невозможным прямой доступ к сети; кодировать всю информацию при передаче; анализировать трафик.
Неправильное использование ресурсов	Установить приоритет на запросы; ограничить доступ к ним для всех на определенной время; использовать многоканальный доступ.

В организации обязательно необходимо следить и обеспечивать безопасность информации по составленным правилам и требованиям. В этом случае повысится вероятность избежания нежелательных последствий и уменьшатся риски потерь.

Заключение

К сожалению способов совершения компьютерных преступлений становится все больше и больше, поэтому безопасность информационных технологий - очень актуальная проблема сегодня. Наиболее полную безопасность можно обеспечить только при комплексном подходе к этому вопросу. Необходимо постоянно следить за новыми решениями в этой области.

В данной курсовой работе были рассмотрены и проанализированы возможные угрозы нападения на информационные ресурсы центра строительных материалов, согласно перечню угроз ISO/IEC PDTR 13335, также была разработана политика безопасности, построена информационная система и показаны ее структурная и инфологическая модели. В процессе работы было выявлено, какая информация является чувствительной, опасные для нее угрозы, проведены оценки рисков нападения, описаны категории возможных потерь, разработаны правила и защитные меры при самых критических ситуациях.

К сожалению, не существует единого плана способного обеспечить 100% гарантии сохранности данных и надёжной работы сети. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму.

Таким образом задание на курсовое проектирование выполнено в полном объеме.

Список использованных источников

1. Безруков Н.Н. Вирусы и методы защиты от них. Москва : Информэйшн Компьютер Энтерпрайз. 1991.

2. «Хакер-спец» №11 ноябрь 2004

3. «Хакер-спец» №1 январь 2003