Особенности обеспечения информационной безопасности Российской Федерации в экономической сфере, общественной жизни
Анализ объектов защиты информационной безопасности Российской Федерации в экономической сфере. Установление степени их уязвимости, оценка источников угроз и их опасностей, анализ степени риска при различных нападениях. Предложения по обеспечению ИБ.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 15.11.2009 |
| Размер файла | 56,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
32
Федеральное агентство по образованию РФ
Государственное образовательное учреждение высшего профессионального образования
ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Кафедра «Информационная безопасность систем и технологий»
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к курсовой работе по теме
“ Особенности обеспечения информационной безопасности Российской Федерации в экономической сфере, общественной жизни ”
Разработал студент
Павлов Д.Ю.
ПЕНЗА, 2008
Реферат
Пояснительная записка содержит 41 с., 1 прил., 19 табл., 4 источник.
УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ЭКОНОМИКА РОССИЙСКОЙ ФЕДЕРАЦИИ, ИСТОЧНИК УГРОЗ, РИСК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НАПАДЕНИЕ, УЯЗВИМОСТИ ОБЪЕТОВ ЗАЩИТЫ, ОСНОВНЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Объектом исследования (разработки) является модель обеспечения информационной безопасности в сфере экономики, а также структуры по созданию и защите систем сбора, обработки и передачи информации в данной сфере общественной жизни
Цель работы - провести анализ состояния автоматизированной системы в экономической сфере, составить модель поведения источников угроз, выявить уязвимости объектов защиты, установить степень риска при различных нападениях, предложить меры обеспечения информационной безопасности.
В результате проделанной работы выявить угрозы, источники угроз, уязвимости защищаемых объектов и предложить модель по обеспечению информационной безопасности.
СОДЕРЖАНИЕ
Реферат
Введение
1. Идентификация угроз, источников угроз объектов обеспечения и мер обеспечения информационной безопасности Российской Федерации
2. Определение отношений элементов модели информационной безопасности Российской Федерации
3. Оценка рисков реализации угроз информационной безопасности Российской Федерации
4. Разработка полного описания угроз на основе модели ГОСТ Р ИСО/МЭК 15408
Заключение
Список использованных источников
ВВЕДЕНИЕ
В настоящее время человек не может представить себя без участия в информационных процессах, не говоря уже о крупных компаниях, у которых уже возникает необходимость не только сбора, хранения и передачи информации, но и ее защиты.
Понятие информационной безопасности является относительно новым, поэтому в настоящее время нет хорошо продуманных методов и средств защиты. Данная работа осуществляется для разработки методов обеспечения информационной безопасности в экономической сфере. Для обеспечения безопасности информационной сферы нужна постоянная разработка средств защиты, создание правовой и нормативной базы направленной на регулирование отношений как между обществом и государством, так и между отдельными физическими лицами, выделение средств на обеспечение информационной безопасности Российской Федерации.
Информационная безопасность Российской Федерации является одной из задач по обеспечению безопасности Российской Федерации и проявляется в различных сферах жизнедеятельности общества и государства. Но в каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
Выполнение курсовой работы, вызвано необходимостью пересмотра, корректировки и дополнения существующих данных, приведённых в «Доктрине информационной безопасности Российской Федерации».
1. ИДЕНТИФИКАЦИЯ УГРОЗ, ИСТОЧНИКОВ УГРОЗ, ОБЪЕКТОВ ОБЕСПЕЧЕНИЯ И МЕР ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности Российской Федерации. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности Российской Федерации.
На основе анализа приведённых в «Доктрине ИБ» угроз информационной безопасности Российской Федерации, по заданию, в экономической сфере был составлен их перечень, данный в таблице 1. Также были выявлены источники угроз, которые приведены в таблице 2.
Таблица 1 - Перечень угроз
|
№ элемента |
Угрозы |
|
|
1 |
Нарушение нормального функционирования экономики |
|
|
2 |
Технологическая зависимость от иностранных государств |
|
|
3 |
Компьютерные преступления |
|
|
4 |
НСД к информации |
|
|
5 |
Нарушение нормального функционирования федеральных органов исполнительной власти |
|
|
6 |
Дезинформация |
|
|
7 |
Нарушение нормального функционирования систем обработки и передачи информации |
Таблица 2 - Перечень источников угроз
|
№ элемента |
Источники угроз |
|
|
1 |
Иностранные государства |
|
|
2 |
Криминальные структуры |
|
|
3 |
Средства массовой информации |
Исходя из полученных перечней угроз и источников угроз, а также их соотношений, были составлены перечни возможных нападений и уязвимостей. Перечни приведены в таблицах 3 и 4 соответственно.
Таблица 3 - Перечень нападений
|
№ элемента |
Нападения |
|
|
1 |
НСД к конфиденциальной экономической информации |
|
|
2 |
Контроль над процессами передачи и обработки экономической информации со стороны иностранных спецслужб |
|
|
3 |
Широкое использование импортных средств информатизации, телекоммуникации, связи и защиты информации |
|
|
4 |
Внедрение дезинформации |
|
|
5 |
Заражение компьютерным вирусом |
|
|
6 |
Перехват данных |
|
|
7 |
Внесение несанкционированных изменений в программно- аппаратные средства АС |
|
|
8 |
Преднамеренное нарушение технологии работы с информацией |
Таблица 4 - Перечень уязвимостей
|
№ элемента |
Уязвимости |
|
|
1 |
Бесконтрольная деятельность коммерческих структур по созданию и защите систем сбора, обработки и передачи экономической информации |
|
|
2 |
Критическое состояние предприятий, производящих средства телекоммуникации, связи и защиты информации |
|
|
3 |
Несовершенство нормативных правовых актов РФ |
|
|
4 |
Неквалифицированные действия рабочего персонала |
|
|
5 |
Недостаточное обеспечение защиты информационных ресурсов АС от НСД к ним |
Соответственно, исходя из данных «Доктриной» объектов обеспечения ИБ РФ, были составлены перечни объектов защиты и мер обеспечения ИБ. Данные приведены в таблицах 5 и 6.
Таблица 5 - Перечень объектов защиты
|
№ элемента |
Объекты защиты |
|
|
1 |
Система государственной статистики |
|
|
2 |
Кредитно-финансовая система |
|
|
3 |
Информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики |
|
|
4 |
Системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности |
|
|
5 |
Системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности |
Таблица 6 - Перечень мер обеспечения ИБ
|
№ элемента |
Меры обеспечения ИБ |
|
|
1 |
Организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой , биржевой, налоговой, таможенной информации |
|
|
2 |
Коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации |
|
|
3 |
Разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации |
|
|
4 |
Разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование |
|
|
5 |
Совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики |
|
|
6 |
Совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации |
2 ОПРЕДЕЛЕНИЕ ОТНОШЕНИЯ ЭЛЕМЕНТОВ МОДЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
В "Доктрине" не определяются отношения между различными элементами, хотя именно взаимодействие различных факторов, влияющих на безопасность, имеет существенное значение для оценки их конечной значимости и, соответственно, для определения наиболее целесообразных и эффективных мер и средств повышения уровня безопасности в экономической сфере.
Поэтому на данном этапе работы были установлены отношения между следующими видами элементов:
«источники угроз» - «угрозы», т.е. установить какой источник какие угрозы порождает;
«угрозы» - «нападения», т.е. установить какая угроза через какие нападения реализуется;
«нападения» - «уязвимости», т.е. установить какое нападение какие уязвимости использует;
«уязвимости» - «объекты защиты», т.е. установить какая уязвимость какому объекту защиты принадлежит;
«меры обеспечения ИБ» - «угрозы», т.е. установить какая защитная мера какой угрозе противостоит.
Здесь «1» соответствует наличию отношения между рассматриваемыми элементами, «0» - отсутствию отношения. Номера угроз и источников угроз берутся из соответствующих перечней в таблицах 1 и 2.
Таблица 7 - Матрица "источники угроз" - "угрозы"
|
Угрозы |
|||||||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|||
|
Источники |
1 |
0 |
1 |
0 |
1 |
0 |
0 |
1 |
|
|
2 |
1 |
0 |
1 |
1 |
1 |
0 |
1 |
||
|
3 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
Источник 2 имеет отношение с угрозой 1, т.к. нормальное функционирование экономики может быть подвержено нападению со стороны криминальных структур, под воздействием которого все уровни экономической сферы могут перестать нормально функционировать. Источник 1 имеет отношение с угрозой 2, т.к. деятельность иностранных государств по проникновению в экономическую сферу жизни общества России с последующим широким внедрением импортных средств может привести к технологической зависимости России от иностранных государств. Источник угрозы 2 имеет отношение с угрозой 3, т.к. криминальные элементы, проникая в компьютерные системы и сети банков и иных кредитных организаций, могут нарушить нормальное функционирование экономики в целом. Источники 1, 2 имеют отношение с угрозой 4, т.к. НСД к информации могут совершить либо иностранные государства, либо криминальные структуры посредством использования последних технологий перехвата информации или шпионажа и диверсий. Источник 1 имеет отношение с угрозой 5, т.к. криминальные структуры, осуществляя нарушения технологий работы с информацией, могут нарушить нормальное функционирование федеральных органов исполнительной власти, занятой формированием и распределением информации о внешнеполитической деятельности РФ. Источник 3 имеет отношение с угрозой 6, т.к. СМИ разглашая конфиденциальную информацию экономического содержания может привести к дезинформации широких слоев населения, включая структуры организации и управления экономикой. Источники 1, 2 имеют отношение с угрозой 7, т.к. системы обработки и передачи информации подвержены опасности со стороны криминальных структур и иностранных государств, которые с помощью атак на информационные и другие ресурсы структур по созданию и защите систем обработки и передачи информации, ухудшают производительность и функционирование таких систем.
Номера нападений и угроз берутся из таблиц 3 и 1 соответственно.
Таблица 8 - Матрица "угрозы" - "нападения"
|
Нападения |
||||||||||
|
Угрозы |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
||
|
1 |
0 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
||
|
2 |
1 |
1 |
1 |
0 |
0 |
0 |
0 |
0 |
||
|
3 |
1 |
0 |
0 |
0 |
1 |
1 |
1 |
0 |
||
|
4 |
1 |
0 |
0 |
0 |
0 |
1 |
1 |
0 |
||
|
5 |
0 |
0 |
0 |
1 |
1 |
1 |
1 |
0 |
||
|
6 |
0 |
0 |
0 |
1 |
0 |
0 |
0 |
0 |
||
|
7 |
0 |
0 |
0 |
0 |
1 |
1 |
1 |
1 |
Технологическая зависимость от иностранных государств, компьютерные преступления, связанные с проникновением в сети и системы коммерческих структур, могут произойти вследствие НСД к информации, имеющей экономические интересы России, поэтому очевидны отношения нападения 1 с угрозами 2, 3, 4. Контроль над процессами передачи и обработки экономической информации со стороны иностранных спецслужб может существенно снизить работоспособность экономики РФ, похищая конфиденциальную информацию или разглашая уже похищенную, этот контроль может привести либо к технологической зависимости от иностранных государств, либо к нарушению нормального функционирования экономики в целом, вследствие этого можно выделить отношения нападения 2 и угроз 1, 2. Широкое использование импортных средств информатизации, телекоммуникации, связи и защиты информации может привести к технологической зависимости РФ от иностранных государств и нарушению нормального функционирования экономики в целом, поэтому легко заметить отношения нападения 3 и угроз 1, 2. Внедрение дезинформации в широкие слои общества может привести к нарушению нормального функционирования систем обработки и передачи информации, нормального функционирования экономики, вследствие неправильной информированности структур по защите от экономических преступлений, здесь нападению 4 соответствуют угрозы 1, 6, 7. Заражение компьютерным вирусом позволяет получить злоумышленнику данные о применяемых системах защиты, после чего открывается доступ к конфиденциальной информации, к управлению функционированием систем обработки и передачи информации, федеральных органов исполнительной власти и экономики в целом, поэтому можно выделить соответствие нападения 5 и угроз 1, 3, 5, 7. Перехватывая данные, злоумышленник может получить информацию конфиденциального содержания, что позволит ему действовать в зависимости от ситуации: либо, разгласив ее, нарушить функционирование различных экономических структур, либо использовать их для дальнейшего исследования интересующей его области с целью получения более ценной информации - поэтому нападение 6 имеет отношение с угрозами 3, 4, 5, 7. Внося несанкционированные изменения в программно-аппаратные средства АС, заинтересованные лица могут получить нужный объем конфиденциальной информации, также сбить с толку обслуживающий эти средства персонал, что в свою очередь понизит производительность АС, это позволяет выделить соответствие нападения 7 и угроз 1, 3, 4, 5, 7. Вследствие преднамеренных или случайных нарушений технологии работы с информацией производится противоправное копирование информации и ее искажение, приводящее к нарушению функционирования различных экономических структур, в том числе в хорошо защищаемых, поэтому нападению 8 ставится в соответствие угрозы 1, 7.
Значения «0» приведенные в матрице говорят о том, что между соответствующими угрозами и нападениями отсутствуют отношения и связи.
Номера уязвимости и нападений берутся из таблиц 4 и 3 соответственно.
Таблица 9 - Матрица "нападения" - "уязвимости"
|
Уязвимости |
|||||||
|
Нападения |
1 |
2 |
3 |
4 |
5 |
||
|
1 |
1 |
0 |
0 |
1 |
1 |
||
|
2 |
1 |
1 |
0 |
1 |
0 |
||
|
3 |
0 |
1 |
0 |
0 |
0 |
||
|
4 |
0 |
0 |
1 |
0 |
0 |
||
|
5 |
0 |
1 |
0 |
0 |
1 |
||
|
6 |
1 |
0 |
0 |
0 |
1 |
||
|
7 |
1 |
0 |
0 |
1 |
1 |
||
|
8 |
0 |
0 |
1 |
1 |
0 |
Бесконтрольная деятельность коммерческих структур по созданию и защите систем сбора, хранения, обработки и передачи статистической, финансовой, биржевой, налоговой, таможенной информации создает реальную угрозу реализации внедрения иностранных спецслужб, осуществляющих НСД к этой информации и ее перехват, а также внесения несанкционированных изменений в программно-аппаратные средства АС, вследствие этого можно заметить соответствие между уязвимостью 1 и нападениями 1, 2, 6, 7. Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих средства информатизации, телекоммуникации, связи и защиты информации приводит к широкому использования соответствующих импортных средств, что в свою очередь способствует проникновение в экономическую сферу иностранных спецслужб, которые своей деятельностью нарушают структурную целостность экономических систем РФ, поэтому уязвимости 2 соответствует нападения 2, 3, 5. Несовершенство нормативно-правовых актов РФ может создать хорошие условия для злоумышленника, пытающегося дезинформировать экономические структуры, отвечающие за защиту информации, а также дает возможность доступа к технологиям работы с информацией, эти положения дают право поставить соответствие между уязвимостью 3 и нападениями 4, 8. В результате неквалифицированных действий рабочего персонала злоумышленник может получить данные о применяемых системах защиты, произвести хищение, копирование машинных носителей, НСД к данным и несанкционированные изменения в программно-аппаратные средства АС, из этого видна связь между уязвимостью 4 и нападениями 1, 2, 7, 8. Устаревшие средства защиты и устаревшая информационная инфраструктура могут привести к заражению компьютерными вирусами, перехвату данных, передаваемых по каналам связи, внесению несанкционированных изменений в программно-аппаратные средства АС, из приведенных фактов можно сделать вывод, что существует соответствие между уязвимостью 5 и нападениями 1, 5, 6, 7.
Значения «0» приведенные в матрице говорят о том, что между соответствующими нападениями и уязвимостями отсутствуют отношения и связи
Номера объектов защиты и уязвимостей берутся из таблиц 5 и 4 соответственно.
Таблица 10 - Матрица "уязвимости" - "объекты защиты"
|
Объекты защиты |
|||||||
|
Уязвимости |
1 |
2 |
3 |
4 |
5 |
||
|
1 |
0 |
0 |
0 |
1 |
1 |
||
|
2 |
0 |
0 |
1 |
0 |
1 |
||
|
3 |
1 |
1 |
1 |
0 |
0 |
||
|
4 |
1 |
1 |
0 |
1 |
1 |
||
|
5 |
0 |
1 |
1 |
0 |
1 |
Система государственной статистики подвержена нападению вследствие несовершенной системы нормативно-правовых актов РФ, что может привести к нарушению ее функционирования, также уязвима к неквалифицированным действиям рабочего персонала, создающим прекрасные условия для НСД конфиденциальной информации экономического характера и ее разглашения, поэтому объекту защиты 1 ставятся в соответствие уязвимости 3, 4. Кредитно-финансовая система испытывает недостаточное обеспечение защиты информационных ресурсов АС от НСД к ним, что может послужить причиной практически для любого нападения злоумышленника, также для нее характерны несовершенство законодательства и безответственность рабочего персонала, вследствие этого объекту защиты 2 соответствует уязвимости 3, 4, 5. Объект защиты 3 и уязвимости 2, 3, 5 связывает то, что информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества в сфере экономики, испытывают критическое состояние из-за несовершенства законодательной базы и недостаточной системы защиты, исполнительная власть в таких условиях может резко снизить свою эффективность. Системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности подвержены бесконтрольной деятельности структур защиты экономической информации, вследствие чего ухудшается работоспособность персонала и он становится подвержен к частым ошибкам, поэтому объекту защиты 4 соответствуют уязвимости 1, 4. Системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеполитической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности испытывает критическое состояние предприятий, производящих средства телекоммуникации, связи и защиты информации, и структур обеспечивающих защиту таких предприятий, что в свою очередь создает еще ряд проблем связанных с недобросовестным отношением персонала к своей работе, это как правило приводит либо к разглашению конфиденциальной информации, либо к нарушению законодательства, вследствие чего объекту защиты 5 ставятся в соответствие уязвимости 1, 2, 4, 5.
Значения «0» приведенные в матрице говорят о том, что между соответствующими уязвимостями и объектами защиты отсутствуют отношения и связи.
Номера мер обеспечений ИБ и угроз берутся из таблиц 6 и 1 соответственно.
Таблица 11 - Матрица "меры обеспечения ИБ" - "угрозы"
|
Угрозы |
|||||||||
|
Меры обеспечения ИБ |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
||
|
1 |
1 |
0 |
1 |
0 |
0 |
0 |
1 |
||
|
2 |
1 |
1 |
1 |
1 |
1 |
1 |
0 |
||
|
3 |
1 |
1 |
0 |
1 |
1 |
0 |
1 |
||
|
4 |
0 |
0 |
1 |
1 |
0 |
0 |
1 |
||
|
5 |
0 |
1 |
0 |
1 |
1 |
1 |
0 |
||
|
6 |
1 |
1 |
1 |
1 |
0 |
1 |
1 |
Организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации при использовании способна предотвратить угрозы, направленные на такие отрасли экономики, которые производят сбор, хранение и передачу конфиденциальной информации, а также информации необходимой для нормального функционирования всего экономического сектора, поэтому в соответствие мере обеспечения ИБ 1 поставлены угрозы 1, 3, 7, 8. Коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации, способны предотвратить ряд угроз, связанных с уклонением от юридической ответственности, например дезинформация и нарушение нормального функционирования федеральных органов исполнительной власти, по этой причине к мере обеспечения ИБ 1 относятся угрозы 1, 2, 3, 5, 6. Разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации позволит существенно снизить риск появления угрозы в сферы экономики, которые подвержены влиянию криминальных структур или иностранных государств, такая мера способствует увеличению экономической защищенности РФ, потому в соответствие угрозам 1, 2, 3, 4, 5, 7 соответствует мера обеспечения ИБ 3. Разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование, позволить снизить финансовые преступления, связанные с кражами денег, также это позволит вести более удобный учет финансовых средств персонала и экономическую деятельность населения вообще, в связи с этим мере обеспечения ИБ 4 ставится в соответствие угрозы 4, 7. Совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики, позволит снизить риск дезинформации и технологической зависимости от иностранных государств со всеми вытекающими отсюда последствиями, поэтому мере обеспечения ИБ 5 соответствуют угрозы 2, 4, 5, 6, 8. Совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации будет способствовать увеличению числа добросовестных работников и улучшению бдительности и внимательности персонала, что в свою очередь снизит вероятность очень большого числа угроз, поэтому угрозам 1, 2, 3, 4, 6, 7 ставится в соответствие мера обеспечения ИБ 6.
Значения «0» приведенные в матрице говорят о том, что между соответствующими мерами обеспечения ИБ и угрозами отсутствуют отношения и связи.
3 ОЦЕНКА РИСКОВ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
После заполнения матриц отношений была выполнена оценка опасностей угроз или рисков, возникающих при их реализации. Это позволяет минимизировать затраты ресурсов на защиту. В процессе анализа возможных и выявления актуальных для активов организации угроз оценивался риск, возникающий вследствие потенциального воздействия определенной угрозы.
Известно множество различных методик анализа и оценки рисков (преимущественно иностранных). Все они позволяют получить лишь качественную их оценку на основе экспертных методов. В данной курсовой работе использовалась методика, разработанная на основе изложенной в техническом отчете ISO TR 13569.
Она состоит в следующем. Оценка риска проводится с помощью оценки возможности реализации угроз безопасности, связанных с уязвимостями, присущими тем или иным объектам защиты. На основе анализа воздействия угроз, им приписывается высокий, средний или низкий уровень риска по каждой зоне локализации уязвимостей.
Оценивались все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 12 приведены основные компоненты процесса оценки рисков по данной методике.
Таблица 12 - Компоненты процесса оценки рисков
|
Если кто-либо захочет проследить угрозы |
Через зоны уязвимостей |
То они приведут в результате к какому-нибудь из следующих рисков |
|
|
Нарушение нормального функционирования экономики; Технологическая зависимость от иностранных государств; Компьютерные преступления; НСД к информации; Нарушение нормального функционирования федеральных органов исполнительной власти; Дезинформация; Нарушение нормального функционирования систем обработки и передачи информации; |
Бесконтрольная деятельность коммерческих структур по созданию и защите систем сбора, обработки и передачи экономической информации; Критическое состояние предприятий, производящих средства телекоммуникации, связи и защиты информации; Несовершенство нормативно-правовых актов РФ; Неквалифицированные действия рабочего персонала; Недостаточное обеспечение защиты информационных ресурсов АС от НСД к ним; |
Денежная потеря Потеря производительности Затруднения в деятельности |
При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 13.
Таблица 13 - Категории возможных потерь
|
Категории возможных потерь |
Описание |
|
|
Денежная потеря |
Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования деятельности. |
|
|
Потеря производительности |
Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности рабочих функций или к некорректности результатов |
|
|
Затруднения деятельности |
Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Матрица оценки рисков разделена на зоны локализации уязвимостей. В рамках каждой уязвимости перечисляются потенциальные угрозы. Справа от каждой угрозы приводятся уровни в рамках категорий потерь.
Матрица заполняется приданием уровня риска - высокого (В), среднего (С) или низкого (Н) - чтобы показывать зависимость каждой угрозы от каждой из зон локализации уязвимости с учетом заполнения ранее матрицы «угрозы» - «объект обеспечения ИБ».
Высокий: значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
Средний: номинальная денежная потеря, потеря производительности или случающиеся затруднения.
Низкий: либо минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.
Матрица оценки рисков приведена в таблице 14.
Таблица 14 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: система государственной статистики. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери производительности |
Риск затруднения деятельности |
|||||||
|
Нарушение нормального функционирования экономики |
С |
В |
С |
|||||||
|
Технологическая зависимость от иностранных государств |
В |
В |
Н |
|||||||
|
НСД к информации |
С |
С |
В |
|||||||
|
Нарушение нормального функционирования систем обработки и передачи информации |
Н |
В |
С |
В зоне уязвимости «Система государственной статистики» выделяется 4 угрозы. Первая из них нарушение нормального функционирования экономики, которая может привести к высокому риску потери производительности, вследствие нестабильной работы статистического сектора экономики. Остальные риски имеют среднее значение для данной зоны. Технологическая зависимость от иностранных государств создает очень большой риск денежных потерь со стороны российской экономики, так как своими действиями иностранные государства могут начать диктовать нам путь развития, который конечно будет неэффективным, также существует высокий риск потери производительности, но он вытекает из первого. НСД к информации и нарушение систем обработки и передачи информации могут создать высокий риск как потери производительности, вследствие кражи конфиденциальной информации с последующим ее разглашением, так и затруднения деятельности, потому что нарушение систем обработки информации создает неблагоприятные условия для развития данного сектора экономики.
Таблица 15 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: кредитно-финансовая система. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери производительности |
Риск затруднения деятельности |
|||||||
|
Компьютерные преступления |
В |
С |
Н |
|||||||
|
Технологическая зависимость от иностранных государств |
В |
В |
С |
|||||||
|
Дезинформация |
Н |
В |
С |
|||||||
|
Нарушение нормального функционирования экономики |
В |
С |
С |
В зоне уязвимости «Кредитно-финансовая система» также выделяют 4 угрозы. Компьютерные преступления могут привести к резкому снижению доходной части экономики, т.е. имеется высокий риск денежных потерь, вследствие неправильной и нестабильной работы банковской сферы и др. Технологическая зависимость от иностранных государств может нарушить кредитно-финансовые отношения, вследствие потери самостоятельности российской экономики, а это может вылиться в высокие потери как денежных средств, так и производительности. Дезинформация в данном секторе очень опасна и за счет неправильной информированности людей может реально понизить производительность. Конечно, нарушение нормального функционирования экономики в целом сразу имеет высокий риск больших денежных потерь.
Таблица 16 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: информационные и учетные АС подразделенний федеральных органовисполнительной власти. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери производительности |
Риск затруднения деятельности |
|||||||
|
Компьютерные преступления |
Н |
В |
В |
|||||||
|
Нарушение нормального функционирования федеральных органов исполнительной власти |
С |
В |
В |
В зоне уязвимости «Информационные и учетные АС подразделений федеральных органов исполнительной власти» выделяют 2 угрозы. Это компьютерные преступления и нарушение нормального функционирования федеральных органов исполнительной власти, по ряду этих причин резко ухудшается работоспособность и управленческая функция исполнительной власти в экономике, поэтому эти угрозы имеют высокий риск, как потери производительности, так и затруднения деятельности.
Таблица 17 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: системы бухгалтерского учета предприятий.Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери производительности |
Риск затруднения деятельности |
|||||||
|
Дезинформации |
Н |
С |
В |
|||||||
|
НСД к информации |
В |
С |
С |
В зоне уязвимости «Системы бухгалтерского учета предприятий» выделяют 2 угрозы. Дезинформация, которая, проникнув внутрь персонала этого сектора экономики, способна сбить работников с толку, тем самым затруднить их деятельность, т.е. дезинформация в этом секторе имеет высокий риск затруднения деятельности. НСД к информации в системах бухгалтерского учета приводит к высоким денежным потерям, вследствие неправильного перерасчета средств, поэтому данная угроза имеет высокий риск для этого сектора экономики.
Таблица 18 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: системы сбора, хранения и передачи информации.Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери производительности |
Риск затруднения деятельности |
|||||||
|
Компьютерные преступления |
С |
В |
Н |
|||||||
|
Нарушение систем обработки и передачи информации |
С |
С |
С |
Последняя зона уязвимости «Системы сбора, хранения и передачи информации» также имеет 2 угрозы. Во-первых, компьютерные преступления ухудшают производительность таких систем, вследствие перехвата конфиденциальной информации, заражением основных информационных ресурсов различными компьютерными вирусами. Во-вторых, нарушение нормального функционирования систем обработки и передачи информации имеет среднюю степень риска по всем показаниям, т.к. в случае реализации данной угрозы пострадает весь данный сектор экономики без исключения.
Для объединения риска по каждой категории потерь были рассмотрены уровни рисков, окружающие каждую зону уязвимостей в матрице оценки рисков. Каждая категория потерь бралась отдельно, и определялся, каким был бы объединенный уровень рисков для всех угроз. Итоговый уровень рисков записан в таблице оценки рисков.
Таблица 19 - Таблица оценки риска
|
Категория потерь |
|||||
|
Зона уязвимости |
Денежная потеря |
Потеря производительности |
Затруднение деятельности |
Общий риск |
|
|
Система государственной статистики. |
Средний |
Высокий |
Средний |
Средний |
|
|
Кредитно-финансовая система. |
Высокий |
Средний |
Средний |
Средний |
|
|
Информационные и учетные АС подразделений федеральных органов исполнительной власти. |
Средний |
Высокий |
Высокий |
Высокий |
|
|
Система бухгалтерского учета предприятий. |
Средний |
Средний |
Средний |
Средний |
|
|
Система сбора, хранения и передачи информации. |
Средний |
Средний |
Низкий |
Средний |
Обеспечение ИБ РФ в сфере экономики должно проводится в направлении усиления защиты информационных и учетных автоматизированных систем подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики. Уровень риска здесь наибольший, так как нарушение работы систем исполнительной власти, обеспечивающих управление деятельностью общества и государства в сфере экономики, может привести к высоким денежным потерям, потере производительности и затруднению деятельности, а также нарушению экономической деятельности РФ в целом. Нельзя забывать и про другие объекты защиты, т.к. их разрушение или даже небольшой сбой сразу же существенно отразится во всех сферах жизни РФ. Вследствие чего предлагается ряд мер по защиты данных объектов, как от атак злоумышленников, так и от непреднамеренных атак со стороны персонала или других лиц.
Во-первых, организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации.
Во-вторых, коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации.
В-третьих, разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации.
В-четвертых, разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование.
В-пятых, совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики.
В-шестых, совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
Соблюдение всех этих мер по обеспечению ИБ РФ способно снизить все категории рисков до минимума, хотя, конечно же, риск всегда будет присутствовать, тем более в сфере экономики, где осуществляются практически все финансовые мероприятия, и, честно говоря, сейчас государство не способно обеспечить даже выполнение перечисленных выше мер.
4 РАЗРАБОТКА ПОЛНОГО ОПИСАНИЯ УГРОЗ НА ОСНОВЕ МОДЕЛИ ГОСТ Р ИСО/МЭК 15408
На третьем этапе выполнения курсовой работы были составлены полные описания каждой идентифицированной угрозы по модели ГОСТ Р ИСО/МЭК 15408, согласно которой, описание каждой угрозы должно включать:
нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
объекты нападений (объекты защиты);
тип потери;
масштаб ущерба;
источники угрозы. Для источников угроз - людей модель нарушителя должна включать:
указание их опыта,
указание знаний,
указание доступных ресурсов, необходимых для реализации угрозы,
возможную мотивацию их действий.
Угроза 1. Нарушение нормального функционирования экономики:
Уязвимость: бесконтрольная деятельность структур по созданию и защите систем сбора и передачи экономической информации, несовершенство нормативных правовых актов РФ.
Источник угрозы: криминальные структуры.
Метод нападения: НСД к информации, т.е. хищение, копирование машинных носителей, уничтожение средств ВТ и носителей информации.
Объект нападения: кредитно-финансовая система и система государственной статистики.
Потери: материальные потери, производительность.
Масштаб ущерба: средний.
Знания: знания в области экономики, а также в средствах вычислительной техники.
Опыт: высокий.
Доступные ресурсы: спец. Аппаратура, возможен агентурный метод.
Мотивация: непреднамеренные действия, корыстные интересы.
Угроза 2. Технологическая зависимость от иностранных государств:
Уязвимость: критическое состояние предприятий, производящих средства телекоммуникации, связи и защиты информации.
Источник угрозы: иностранные государства.
Метод нападения: широкое использование импортных средств. Получение злоумышленником данных о применяемых системах защиты с помощью специальных служб иностранных государств.
Объект нападения: кредитно-финансовая система и система государственной статистики.
Потери: материальные потери, производительность.
Масштаб ущерба: высокий.
Знания: знания в области экономики, а также программирования.
Опыт: высокий.
Доступные ресурсы: спец. аппаратура и спец. программы, высококвалифицированные кадры.
Мотивация: корыстные интересы.
Угроза 3. Компьютерные преступления:
Уязвимость: недостаточное обеспечение защиты информационных ресурсов АС от НСД к ним.
Источник угрозы: криминальные структуры.
Метод нападения: заражение компьютерным вирусом, уничтожение средств ВТ и носителей информации, перехват данных, внесение несанкционированных изменений в программно-аппаратные средства АС и разглашение информации, содержащей конфиденциальные сведения.
Объект нападения: кредитно-финансовая система, информационные и учетные АС подразделений федеральных органов исполнительной власти, системы сбора, обработки и передачи экономической информации.
Потери: материальные потери.
Масштаб ущерба: высокий.
Знания: высокие знания в области электроники и программирования.
Опыт: высокий.
Доступные ресурсы: спец. аппаратура и ПО.
Мотивация: корыстные интересы.
Угроза 4. НСД к информации:
Уязвимость: ненадёжные системы защиты информационных ресурсов, несовершенство нормативных правовых актов РФ, неквалифицированные действия персонала, бесконтрольная деятельность структур по защите информации.
Источник угрозы: криминальные структуры.
Метод нападения: НСД к информации, т.е. хищение, копирование машинных носителей, уничтожение средств ВТ и носителей информации, всевозможные программные и аппаратные средства перехвата и съема критически важной информации.
Объект нападения: система бухгалтерского учета предприятий и система государственной статистики.
Потери: производительность и конфиденциальность.
Масштаб ущерба: любой.
Знания: широкий спектр знаний.
Опыт: любой.
Доступные ресурсы: спец. аппаратура.
Мотивация: корыстные интересы.
Угроза 5. Нарушение нормального функционирования федеральных органов исполнительной власти:
Уязвимость: несовершенство нормативно-правовых актов, а также недостаточное обеспечение защиты информационных ресурсов АС от НСД к ним, неквалифицированные действия персонала, ненадёжные или и устаревшие средства передачи информации.
Источник угрозы: иностранные государства и криминальные элементы.
Метод нападения: Получение злоумышленником конфиденциальных данных.
Объект нападения: информационные и учетные АС подразделений федеральных органов исполнительной власти.
Потери: производительность.
Масштаб ущерба: средний.
Знания: знания, позволяющие без проблем ориентироваться в политике.
Опыт: любой.
Доступные ресурсы: спец. аппаратура и квалифицированные кадры.
Мотивация: непреднамеренные действия, корыстные интересы.
Угроза 6. Дезинформация:
Уязвимость: несовершенство нормативно-правовых актов.
Источник угрозы: СМИ.
Метод нападения: Преднамеренное нарушение технологии работы с информацией. Внесение несанкционированных изменений в программно- аппаратные средства АС.
Объект нападения: системы бухгалтерского учета предприятий, кредитно-финансовая система.
Потери: производительность, затруднение деятельности.
Масштаб ущерба: любой.
Знания: нет.
Опыт: нет.
Доступные ресурсы: СМИ.
Мотивация: корыстные интересы.
Угроза 7. Нарушение нормального функционирования систем обработки и передачи информации:
Уязвимость: ненадёжные системы защиты информационных ресурсов АС от НСД, неквалифицированные действия персонала.
Источник угрозы: криминальные структуры.
Метод нападения: перехват данных со стороны злоумышленника, заражение компьютерным вирусом, уничтожение средств ВТ и носителей информации, получение злоумышленником данных о применяемых системах защиты. Установка и использование нештатных аппаратных средств и ПО. Внесение несанкционированных изменений в программно- аппаратные средства АС.
Объект нападения: системы сбора, хранения и передачи информации и системы государственной статискики.
Потери: конфиденциальность, целостность материальные потери.
Масштаб ущерба: высокий.
Знания: знания в области электроники.
Опыт: большой.
Доступные ресурсы: спец. аппаратура.
Мотивация: непреднамеренные действия, корыстные интересы.
Все элементы модели ИБ РФ в экономической сфере были взаимосвязаны в единый комплекс в виде направленного графа из следующих элементов:
источники угроз;
угрозы;
нападения;
объекты защиты со своими уязвимостями;
меры обеспечения ИБ.
Граф приведён в приложении А, где:
Иу - источник угроз
У - угроза
Н - нападение
Уз - уязвимость
Оз - объект защиты
Мо - мера обеспечения ИБ
ЗАКЛЮЧЕНИЕ
В ходе выполнения данной курсовой работы был проведен анализ угроз, оценка рисков и разработка предложений по обеспечению безопасности Российской Федерации в сфере экономики.
В результате исследования было проанализировано состояние информационной системы в сфере экономики: выявлены уязвимости и список угроз, построены матрица отношений, заполнены матрица сочетаний вероятностей реализации угроз и возможного ущерба и таблица оценки рисков, разработаны полные описания угроз по модели ГОСТ Р ИСО/МЭК 15408, разработан граф модели ИБ РФ в экономической сфере.
Задание на курсовое проектирование было выполнено в полном объеме.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Доктрина информационной безопасности Российской Федерации. _ http://www.scrf.gov.ru/Documents/Decree/09-09.html
2 ISO TR 13569 Banking and related financial services - Information security guidelines
3 Закон РФ РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 г.
4 В.М. Алексеев. «Анализ особенностей обеспечения информационной безопасности РФ в различный сферах общественной жизни». Методические указания к курсовой работе по дисциплине «Основы информационной безопасности» для студентов специальности 090105.- Пенза. Издательство ПГУ, 2008г. - 23 стр.
Подобные документы
Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению. Национальные интересы РФ в информационной сфере и их обеспечение. Права граждан на доступ к информации, охрану персональных данных, личную и семейную тайны.
лекция [523,7 K], добавлен 25.07.2013Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Анализ степени уязвимости объекта информационной деятельности. Характеристика опасных каналов утечки информации на предприятии ООО "FitMax", методы и средства ее защиты. Модель нарушителей. Расчет степени защищенности объекта и материального ущерба.
дипломная работа [4,1 M], добавлен 14.02.2014Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
курсовая работа [64,2 K], добавлен 15.11.2009Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016
