Анализ угроз и разработка политик безопасности информационной системы центра строительных материалов

Описание деятельности центра строительных материалов. Разработка структурной модели безопасности информационной системы организации. Описание аппаратных ресурсов с указанием пользователя, его прав и обязанностей. Перечень и анализ возможных угроз.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.11.2009
Размер файла 58,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

3

Министерство образования и науки РФ

Федеральное Агентство по образованию

Российский Государственный Университет инновационных технологий и предпринимательства

Дисциплина: «Информационная безопасность»

Тема: «Анализ угроз и разработка политик безопасности информационной системы центра строительных материалов»

Выполнил: ст. гр. 02и1

Холуев М.А.

Принял: к.т.н., доцент

Зефиров С.Л.

Пенза 2005
Обозначения и сокращения, применяемые в данном отчете
АРМ - автоматизирование рабочее место
БД - база данных
ИБ - информационная безопасность
ИС - информационная система - любая компьютерная система, включающая технические, программные, методические средства и совокупность массивов данных, которая может осуществлять обработку, хранение и преобразование данных
ИР - информационный ресурс
ОС - операционная система - комплекс программ в машинных кодах, предназначенных для управления всеми главными действиями процесса обработки информации и работой аппаратных средств компьютера
ПО - программное обеспечение
ПК - Персональный компьютер
СУБД - система управления базами данных
Содержание
  • Введение 4
  • 1. Описание деятельности организации 5
    • 1.1 Разработка структурной и инфологической моделей информационной системы организации 6
  • 2. Перечень и анализ угроз 17
  • 3. Квалификация угроз актуальных для информационной системы 46
  • 4. Разработка политики безопасности 51
  • Заключение 55
  • Список использованных источников 56

Введение

В наше время, когда наступает эпоха интернета и компьютерных технологий, информация становится продуктом общественных отношений, начинает приобретать товарные черты и становится предметом купли-продажи. Но, к сожалению, новые информационные технологии дали толчок не только в плане прогресса общества, но и стимулировали возникновение и развитие новых форм преступности, компьютерная преступность стала реальностью общественной жизни.

Проблема обеспечения защиты информации является одной из важнейших при построении надежной информационной структуры учреждения на базе ЭВМ. Эта проблема охватывает как физическую защиту данных и системных программ, так и защиту от несанкционированного доступа к данным, передаваемым по линиям связи и находящимся на накопителях, являющегося результатом деятельности, как посторонних лиц, так и специальных программ-вирусов.

Организации, предприятия либо государственные органы, работающие в информационной сфере, должны, надлежащим образом, следить за получением, формированием, хранением, распределением и использованием сведений, поступающих к ним. Потеря конфиденциальной информации может привести к неблагоприятным последствиям в деятельности учреждения. В избежание подобных случаев, необходимо осуществлять контроль за информационной системой.

В рамках данной курсовой работы проведем анализ угроз и разработаем политику безопасности для информационной системы центра строительных материалов.

1. Описание деятельности организации

Центр строительных материалов - частая организация, занимающаяся продажей строительных материалов, а также предоставлением услуг доставки приобретенных материалов до места назначения (в пределах области/края/автономного округа).

Целью (бизнес - цель) деятельности организации является:

· продажа (перепродажа) строительных материалов.

Функциями данной организации являются:

· приобретение строительных материалов у производителей;

· доставка приобретенных материалов на склад;

· хранение строительных материалов:

· учет хранимых и проданных материалов;

· обеспечение конфиденциальности информации о клиентах;

· доставка проданных строительных материалов до места назначения (в пределах области/края/автономного округа).

Информационная система организации должна иметь базы данных, хранящие конфиденциальную информацию о клиенте: название фирмы, контактные телефоны, физический и юридический адреса, номер банковского счета, фамилию, имя, отчество, руководителя, список поставленных стройматериалов, с указанием даты поставки. Должно существовать несколько баз данных, таких как: «Клиенты», «Стройматериалы», «Работники организации», «Заказы клиентов», «Организации-поставщики строийматериалов». Возможна дифференциация некоторых баз данных, например БД «Клиенты» может разделяться на: «Крупные клиенты», «Средние клиенты», «Мелкооптовые клиенты». Информация поступает в организацию следующими способами:

Индивидуально от каждого мелкооптового клиента в устной форме (с предъявлением свидетельства частного предпринимателя, или другого подобного документа).

По телефону или электронной почте от крупных или следних клиентов.

По телефону или электронной почте от сотрудников, занимающихся закупкой товаров, или поиском производителей.

Индивидуально от работников фирмы, занимающихся контролем за доставкой товара клиенту, в виде подписанного клиентом подтверждения о доставке.

Информация о товарах, находящихся на складе выставляется на всеобщее обозрение. Информация о клиентах, в том числе о перечне, количестве и дате приобретенных этим клиентом стройматериалов может быть доступна только клиенту по спец запросу (в виде заверенного письма с курьером). Информация о поставщиках - не должна быть доступна вне фирмы, и является корпоративной тайной. Информация о работниках организации также не должна распространяться вне организации.

1.1 Разработка структурной и инфологической моделей информационной системы организации

Схема функционирования организации представлена на рисунке 1 и представляет собой следующий цикл:

получение заказа от клиента или сообщение о малом количестве товара на складе;

закупка товара (возможно поиск товара, если у поставщиков нужного товара не нашлось);

доставка на склад с помощью собственного транспорта, или транспорта поставщика;

хранение на складе, с обязательным учетом;

продажа;

доставка клиенту с помощью собственного транспорта, или транспорта клиента (с подтверждением доставки, если доставка осуществляется транспортом организации).

Информационная структура организации представлена на рисунке, и состоит из следующих частей:

1) Склад:

a) АРМ оператора продаж - сюда вносятся данные о мелкооптовых клиентах и их покупках;

b) АРМ для учета поступившего товара - сюда вносятся данные о завезенном на склад товаре;

c) Сервер БД/брандмауэр - сочетает в себе функции Сервера БД, брандмауэра (объединены, т. к. показалось слишком дорого их разделять, при столь малых нагрузках). Здесь информация о покупках и наличии товара хранится, синхронизируется с БД в главном офисе, а также периодически проверяется.

2) Главный офис:

a) Брандмауэр следит за безопасностью, то есть:

- собирает информацию и ведет журнал “запросов и ответов“;

- производит мониторинг и обнаружение вторжения;

- проводит аутентификацию и авторизацию.

b) Сервер БД и резервное хранилище данных. Сервер БД - ведет БД, периодически (раз в день), архивирует свои данные в резервном хранилище данных. Также сервер БД ведет журнал доступа к БД сотрудников организации (разграничение доступа к данным производится также сервером БД).

c) Отдел продаж - в составе 2 АРМ отслеживает весь товар на складах, в случае недостатка - заказывает новый у поставщиков.

d) Отдел по работе с заказами - работает с крупными и средними клиентами. Принимает заказы от клиентов и пересылает их поставщикам. Этот же отдел отвечает за связь (Интернет, телефонная связь, курьеры) с поставщиками.

e) Отдел кадров и бухгалтерия - занимаются своей бумажной работой.

f) АРМ руководителя - сюда приходят все отчеты.

3) Клиенты и поставщики - держат связь с отделом по работе с заказами. Покупают или продают товар.

На складах происходят следующие информационные процессы: При завозе нового товара - этот товар размещается на складе, и информация о нем заносится в БД на сервер БД на складе, в том числе информация о то, в какой зоне склада товар расположен. В процессе продажи - товара операторы продаж заносят сведения о продаже товара в ту же БД. По окончании рабочего дня происходит синхронизация БД на складе и в главном офисе. Кроме того, синхронизация возможна и при поступлении требования из центрального офиса. Также из центрального офиса может быть зарезервирована часть товара для отправки крупному клиенту, в этом случае товар просто помечается как проданный. БД складов постоянно очищаются от старых записей - удаляются записи двухнедельной давности.

В главном офисе происходят следующие информационные процессы:

при поступлении нового заказа отдел по работе с заказами запрашивает информацию о наличии товара на складах с сервера БД. При этом сервер БД главного офиса отсылает требование на синхронизацию с серверами складов. После синхронизации отправляется отчет о наличии, и количестве товара на складах. На основе этого отчета отдел по работе с заказами формирует запрос на резервирование отделу продаж, а в случае, если нужного товара на складах нет, то отправляет заказ поставщикам. Отдел продаж по запросу на резервирование товара помечает нужный товар как проданный соответствующим требованием на сервер БД на складе.

В процессе работы отдел продаж производит мониторинг наличия и количества на складах товаров. При обнаружении недостаточности, или избыточности товара - отсылает руководителю отчет с рекомендациями по изменению графика поставок. Если руководитель принимает решение об изменении графика поставок, то отсылается приказ в отдел по работе с заказами о начале переговоров с поставщиком. Отдел заказов связывается с поставщиком, и проводит с ним переговоры.

Остальные процессы - это принятие на работу/увольнение сотрудников, выплаты заработной платы, и отчисления выполняются на основе приказов руководителя.

Каждый пользователь ИС организации имеет свой уникальный идентификатор имя/пароль который позволяет однозначно его идентифицировать, также каждый компьютер имеет уникальный IP адрес.

Функции ИС:

1. Способствует быстрому и своевременному внесению новых сведений, изменению уже имеющихся, а также удалению устаревших данных;

2. Структурирует и облегчает поиск информации в БД;

3. Регулирует доступ к информационным ресурсам;

4. Обеспечивает надежное хранение данных (их безопасность);

В таблице 1 описаны аппаратные ресурсы ИС с указанием пользователя, его прав и обязанностей.

Таблица №1. «Аппаратный компонент - пользователь»

Аппаратный ресурс

Пользователь

Права пользователя

Ответственный персонал

Обязанности ответственного персонала

АРМ отдела продаж

Работники отдела продаж

Доступ к БД товаров на складе, резервирование товаров

Работники отделения

(сотрудник несет ответственность за свои действия)

Обязанности распределяются в соответствии с работой, которую они выполняют (анализ состояния товаров нв складах, резервирование товаров, и т.д.)

АРМ отдела заказов

Работники отдела заказов

Просмотр БД товаров, доступ к БД поставщиков, клиентов, заказов

Работники отделения

(сотрудник несет ответственность за свои действия)

Обязанности распределяются в соответствии с работой, которую они выполняют (внесение сведений о заказах, клиентах, поставщиках, и т.д.)

АРМ бухгалтерии и отдела кадров

Работники бухгалтерии и отдела кадров

Доступ к БД работников организации, просмотр БД проданных товаров

Работники отделения

(сотрудник несет ответственность за свои действия)

Обязанности распределяются в соответствии с работой, которую они выполняют

АРМ руководителя

Руководитель организации

Может просматривать отчеты, а также рассылать запросы и приказы

Руководитель организации

Выработка решений и приказов

Аппа-ратный ресурс

Пользователь

Права пользователя

Ответственный персонал

Обязанности ответственного персонала

Сервер БД

Весь рабочий персонал организации

Доступ и пользование БД

Администратор

Поддерживать функционирование автоматизированной ИС, осуществлять работу по настройке соединения с Интернетом

АРМ оператора продаж

Продавец (оператор продаж)

Занесение информации о клиентах и покупке

Продавец (оператор продаж)

Занесение информации о клиентах и покупке

АРМ для учета поступившего товара

Кладовщик

Доступ к информации о складском товаре

Кладовщик

Занесение информации о складском товаре, а также контроль о вывозе товара со склада

Брандмауэр

Весь рабочий персонал организации, требующий связи с

Передача через него информации (такой как электроне письма, отчеты, и т.п.)

Администратор

Осуществлять работу по настройке соединения с Интернетом

  • Информация в центре строительных материалов может классифицироваться как критическая и чувствительная.
  • Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации.
  • На основе этого информация по степени критичности может быть следующей:
  • § Существенная: Данные о заказах и о наличии товаров на складе, хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее искажении или потере организация понесет значительный ущерб в деятельности. Очень вероятно временное прекращение деятельности организации, пока БД не будут восстановлены. А так же теряется доверие крупных клиентов к организации, что восполнить значительно сложнее.
  • § Важная: Информация, поступившая на почтовый сервер или на АРМ связанные с внешней средой, а также информация о работниках организации. Потеря такой информации нанесет средний, но поправимый ущерб деятельности организации.
  • § Нормальная: Устаревшие сведения, информация о мелкооптовых клиентах.
  • Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.
  • По степени чувствительности могут быть выделены следующие виды информации:
  • § Высоко чувствительная: информация о заказах;
  • § Чувствительная: пароли АРМ, данные о товарах на складах, информация о крупных клиентах;
  • § Внутренняя: внутренние документы, должностные инструкции, сведения о работниках, сведения о мелкооптовых клиентах.
  • § Открытая: прейскурант цен на стройматериалы, наличие материалов на складе.
  • По степени критичности относительно доступности информация может быть разделена на :
  • § Критическая: информация о заказах, информация о товарах на складах (При отсутствии такой информации работа остановится).
  • § Очень важная: системные пароли, приказы, запросы, отчеты.
  • § Важная: Сведения о сотрудниках организации.
  • § Полезная: Применение электронных таблиц, использование Интернет, факса, телефонных книг - это значительно экономит временные ресурсы.
  • § Несущественная: сведения о мелкооптовых покупателях.
  • По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.
  • По степени критичности относительно конфиденциальности виды информации могут быть следующие:
  • § Критическая
  • § Очень важная: пароли АРМ
  • § Важная: Информация, требующаяся для идентификации крупного клиента по телефону или электронной почте.
  • § Незначимая
  • Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о заказах и о наличии товаров на складах, хранящиеся на сервере БД (информация о наличии товаров также хранится на серверах БД на складах), а также дублирующаяся в резервном хранилище данных. Администратор должен контролировать сервер БД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями организации. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.
  • В таблице 2 описаны ИР, а также их описание.
  • Таблица 2: «Информационный ресурс - пользователь»
    • Информа-ционный

    ресурс

    Ответст-венный

    Пользова-тель

    • Обязанности

    пользователя

    • Степень
    • Критич-ности

    (чувствии-тельности)

    • Фаза
    • жизненного

    цикла

    • Место

    хране-ния

    Персональ-ные данные крупных клиентов

    Работники отдела по работе с заказами

    Работники отдела по работе с заказами

    Сбор данных, обработка

    Очень важная

    • получение

    хранение

    Сервер БД

    Персональ-ные данные мелкооптовых клиентов

    Продавцы (операторы продаж)

    Продавцы (операторы продаж)

    Сбор данных, обработка

    Внутренняя

    • получение

    хранение

    Сервер БД

    Сведения о заказах

    Работники отдела по работе с заказами

    Работники отдела по работе с заказами

    Сбор данных, обработка

    Критическая , Чувствии тельная

    • получение

    хранение передача, обработка

    Сервер БД

    Сведения о наличии товаров (в главном офисе)

    Оборудование(сервер БД и канал связи)

    Работники отдела продаж

    Сбор данных, обработка , передача, выявление несоответствий

    Очень важная

    • получение

    хранение обработка

    Сервер БД

    Сведения о наличии товаров (на складах)

    Кладовщик

    Работники отдела продаж, операторы продаж

    Сбор данных, обработка

    Очень важная

    хранение

    Сервер БД

    Сведения о сотрудниках организации

    Работники отдела кадров

    Отдел кадров, бухгалтерия

    Использова-ние по необходи-мости, занесение, обработка

    Внутренняя

    Обработка

    Сервер БД

    • Программное обеспечение
    • Программное обеспечение (ПО) - это совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ. Основные функции ПО:
    • · снижения трудоемкости подготовки данных к обработке
    • · автоматическое управление вычислительным процессом работы компьютера при минимальном вмешательстве оператора;
    • · повышение эффективности функционирования оборудования;
    • · обеспечение взаимодействия пользователь и компьютера;
    • · обеспечение контроля и надежности функционирования оборудования.
    • ПО дополняет компьютеры теми возможностями, которые трудно или экономически нецелесообразно реализовать аппаратными средствами. Информационные системы на основе компьютерных сетей выполняют функции хранение и обработки данных, организации доступа к данным, передачу данных и результатов обработки пользователем. Функциональное назначение любой компьютерной сети состоит в том, чтобы предоставлять информационные и вычислительные ресурсы пользователям, которые имеют подключение к сети. Локальная сеть включает: сервер, рабочие станции (АРМ), среду передачи (линии связи или пространство, в котором распространяются электрические сигналы и аппаратуру передачи данных), сетевое программное обеспечение, почтовый сервер. Помимо локальной сети в организации существует и «глобальная сеть» - связь центрального офиса со складами По определенным протоколам в сети происходит обмен информации. Протокол - это стандарт (набор правил), определяющий способ преобразования информации для ее передачи по сетям. Для подключения к Интернет и получения набора услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) - Transmission Control Protocol / Internet Protocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.

    В TCP/IP для проверки правильности пакета использует контрольную сумму. Контрольная сумма - это число, помещаемое в дейтаграмму и вычисляемое по специальному алгоритму.

    Протокол POP3 (Post Office Protocol) предназначен для организации динамического доступа рабочих станций к почтовому серверу. Протокол POP3 на транспортном уровне использует TCP-соединение. Уязвимостью протокола POP3 считается - невозможность выборочного приема клиентом сообщения с почтового сервера.

    Чтобы обеспечить безопасность передачи данных необходимо защищать каналы связи следующими способами: защита сообщений от несанкционированного доступа и подтверждение целостности полученных по каналам связи.

    Описание информационно-технологической инфраструктуры организации и ее возможных уязвимостей приведена в таблице 3.

    Таблица №3. «Информационно-технологическая инфраструктура»

    Объект защиты

    Уровень

    Уязвимости

    1.

    Линии связи локальной сети

    физический

    Незащищенность от помех, сбоев, обрывов

    Аппаратные средства

    Линии связи глобальной сети

    2.

    брандмауэры

    Сетевой

    Медленная передача

    Комутаторы (Хабы)

    Зависят от используемого протокола

    Не идеальная защита

    3.

    Почтовые программные средства

    Сетевых

    Приложений

    Прием и передача сообщений с вирусами.

    4.

    ОС

    Операционных система

    Система ввода вывода, Возможная нестабильность, пароли

    5.

    БД

    Систем

    управления

    базами данных (СУБД)

    Пароли, данные, нарушение конфиденциальности

    6.

    Процесс учета заказов и товаров на складах

    Бизнес-процессов

    организации

    Чувствительная информация, ошибки персонала

    2. Перечень и анализ угроз

    Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности организации. Описание каждой угрозы анализируем с помощью модели угроз, включающую:

    нападения пригодные для реализации угрозы (возможность, методы, уязвимости);

    объекты нападений;

    тип потери (конфиденциальность, целостность, доступность и т.д.);

    масштаб ущерба;

    источники угрозы. Для источников угроз - людей модель нарушителя должна включать:

    указание их опыта,

    указание знаний,

    указание доступных ресурсов, необходимых для реализации угрозы,

    возможную мотивацию их действий.

    Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом:

    землетрясение;

    наводнение;

    ураган;

    молния;

    промышленная деятельность;

    бомбовая атака;

    использование оружия;

    пожар (огонь);

    преднамеренное повреждение;

    авария источника мощности;

    авария в подаче воды;

    авария воздушного кондиционирования;

    неисправности аппаратных средств;

    колебание мощности;

    экстремальные значения температуры и влажности;

    пыль;

    электромагнитное излучение;

    кража;

    неавторизованное использование среды хранения;

    износ среды хранения;

    операционная ошибка персонала;

    ошибка технического обслуживания;

    авария программного обеспечения;

    использование программного обеспечения неавторизованными пользователями;

    использование программного обеспечения неавторизованным способом;

    подделка идентификатора пользователя;

    нелегальное использование программного обеспечения;

    вредоносное программное обеспечение;

    нелегальный импорт/экспорт программного обеспечения;

    доступ к сети неавторизованных пользователей;

    ошибка операционного персонала;

    ошибка технического обслуживания;

    техническая неисправность компонентов сети;

    ошибки при передаче;

    повреждения в линиях связи;

    перегрузка трафика;

    перехват;

    проникновение в коммуникации;

    ошибочная маршрутизация сообщений;

    повторная маршрутизация сообщений;

    отрицание;

    неисправность услуг связи (то есть, услуг сети);

    ошибки пользователя;

    неправильное использование ресурсов;

    дефицит персонала.

    Анализ каждой угрозы

    Такие угрозы как: Землетрясение, наводнение, ураган и молнию не имеет смысла рассматривать более подробно по модели, т.к. возможность их появления маловероятная, а последствия зависят от силы стихии. Однако стоит выработать рекомендации по минимизации ущерба после этих явлений. Офис и склады должны располагаться в зоне(географической) отсутствия ураганов и землетрясений. Для защиты от наводнений рекомендуется выбирать здания на возвышенностях. А без громоотвода здания сейчас вообще не строят. И еще можно застраховать организацию.

    Бомбовая атака и использование оружия(вооруженное вторжение) являются маловероятными угрозами для России, поэтому их подробно анализировать не будем. В случае бомбовой атаки очень велика вероятность полного разрушения складов. Это связано с огромными денежными потерями, вплоть до прекращения деятельности организации. От этого защитится практически невозможно. При использовании оружия возникнет вероятность нарушения конфиденциальности информационного ресурса, а также выхода из строя всей ИС главного офиса. Обе эти угрозы так же связаны с риском для жизни персонала. В качестве защиты можно порекомендовать застраховать организацию, либо следить за геополитической обстановкой, и не наживать себе врагов среди преступного мира.

    Физический уровень

    Пожар(на складе)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - незащищенность электропроводки, несоответствие помещений требованиям пожарной безопасности, методы нападения - случайное замыкание, случайный поджег (например от непотушенной сигареты).

    Объект нападения - вся складская часть ИС

    Тип потери - затруднение деятельности, денежные потери, вплоть до полного уничтожения части ИС.

    Масштаб ущерба - высокий

    Источник угроз - случайность, халатность

    Пожар(в главном офисе)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - незначительная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

    Объект нападения - провода, сетевое оборудование

    Тип потери - затруднение деятельности, денежные потери, вплоть до полного разрушения ИС.

    Масштаб ущерба - высокий

    Источник угроз - случайность

    Преднамеренное повреждение (оборудования)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - невысокая, уязвимость - отсутствие контроля за действиями работников организации и мелкооптовыми клиентами, методы нападения - умышленное повреждение оборудования, проводов, стройматериалов.

    Объект нападения - оборудование, сеть, товары на складе

    Тип потери - денежные потери, затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - работники отделения, мелкооптовыми клиентами

    опыт - не обязателен

    знания - не обязательны для склада, присутствуют для офиса

    доступные ресурсы - вычислительные, аппаратные, информационные.

    возможная мотивация действий - в личных корыстных целях (в случае повышения должности).

    Авария источника мощности

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

    Объект нападения - информация, аппаратные средства

    Тип потери - компьютерные данные, приостановка в работе

    Масштаб ущерба - низкий

    Источник угроз - обслуживающий персонал, стихия

    опыт - не обязателен

    знания - присутствуют

    доступные ресурсы - физические

    возможная мотивация действий - преднамеренно и непреднамеренно.

    Авария в подаче воды

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - незащищенные провода на полу, методы нападения - промокание сетевого кабеля.

    Объект нападения - провода

    Тип потери - время, затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - вода

    Авария воздушного кондиционирования

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - неисправность работы кондиционера, методы нападения - неисправная проводка.

    Объект нападения - кондиционер

    Тип потери - временное неудобство сотрудников

    Масштаб ущерба - незначительный

    Источник угроз - неисправность, износ оборудования (кондиционера).

    Неисправности аппаратных средств

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - перепады напряжения, износ; методы нападения - длительное использование, неисправность электропроводки.

    Объект нападения - аппаратные средства

    Тип потери - денежные потери

    Масштаб ущерба - средний

    Источник угроз - отсутствие периодический проверки работоспособности и замены аппаратных средств, электропроводки.

    Колебания мощности

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность компьютеров от колебания мощности (отсутствие сетевых фильтров), методы нападения - неисправная работа персонала.

    Объект нападения - информация, сетевые и аппаратные средства.

    Тип потери - компьютерные данные, аппаратные средства

    Масштаб ущерба - высокий

    Источник угроз - рабочий персонал

    опыт - не обязателен

    знания - не обязательны

    доступные ресурсы - физические, аппаратные

    возможная мотивация действий - преднамеренно и непреднамеренно.

    Экстремальные значения температуры и влажности

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие воздушного кондиционирования, методы нападения - перемена погоды.

    Объект нападения - рабочий персонал

    Тип потери - отсутствует

    Масштаб ущерба - низкий

    Источник угроз - природные условия

    Пыль

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - накопление пыли, методы нападения - отсутствие уборки.

    Объект нападения - компьютеры

    Тип потери - нет

    Масштаб ущерба - плохое настроение сотрудников

    Источник угроз - обслуживающий персонал

    опыт - не требуется

    знания - не требуются

    доступные ресурсы - технические

    возможная мотивация действий - невыполнение полномочий

    Электромагнитное излучение

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - оборудование, методы нападения - умышленное воздействие электромагнитного излучателя.

    Объект нападения - носитель информации и персонал

    Тип потери - потеря времени, здоровья сотрудников организации, информации и оборудования

    Масштаб ущерба - низкий

    Источник угроз - электромагнитный излучатель.

    Кража

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - средняя, уязвимость отсутствие ответственных за оборудование, методы нападения - несанкционированное умышленное действие.

    Объект нападения - оборудование.

    Тип потери - целостность, конфиденциальность, затруднения в деятельности

    Масштаб ущерба - средний

    Источник угроз - злоумышленники

    опыт - низкий уровень

    знания - обязательны

    доступные ресурсы - информационные, телекоммуникационные, аппаратные

    возможная мотивация действий - в личных интересах

    Износ среды хранения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие обновления среды хранения (гибких и жестких дисков, бумаги), методы нападения- длительное использование, нагромождение сведениями БД .

    Объект нападения - Сервер БД.

    Тип потери - повреждение оборудования

    Масштаб ущерба - средний

    Источник угроз - администраторы

    опыт - высокий

    знания - обязательны

    доступные ресурсы - информационные

    возможная мотивация действий - недобросовестное выполнение обязанностей.

    Ошибка технического обслуживания

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность техника, методы нападения - неэффективная установка компьютерных компонентов, устройств сети.

    Объект нападения - аппаратные средства.

    Тип потери - затруднение в деятельности

    Масштаб ущерба - средний

    Источник угроз - техническое обслуживание

    опыт - высокий

    знания - обязательны

    доступные ресурсы - аппаратные

    возможная мотивация действий - небрежность

    Ошибка технического обслуживания

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - электрическая и локальная сеть, информация, коммуникации; методы нападения - использование технического оборудования и ПО.

    Объект нападения - электрическая и локальная сеть, оборудование, коммуникации

    Тип потери - целостность, доступность, затруднение в деятельности, денежные затраты на оборудование и сеть

    Масштаб ущерба - средний

    Источник угроз - техническое обслуживание

    опыт - присутствует

    знания - необходимы

    доступные ресурсы - технические и программные средства

    возможная мотивация действий - небрежность, халатность

    Техническая неисправность компонентов системы

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - устарелость, методы нападения - некачественное использование компонентов сети.

    Объект нападения - компоненты сети

    Тип потери - целостность, доступность, затруднение в деятельности, оборудование

    Масштаб ущерба - низкий

    Источник угроз - периферийные устройства.

    Сетевой уровень

    Авария источника мощности

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

    Объект нападения - информация, сетевые аппаратные средства

    Тип потери - компьютерные данные, пересылка информации

    Масштаб ущерба - низкий

    Источник угроз - рабочий персонал, стихия

    опыт - не обязателен

    знания - присутствуют

    доступные ресурсы - физические

    возможная мотивация действий - преднамеренно и непреднамеренно.

    Неисправности аппаратных средств

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - перепады напряжения, износ; методы нападения - длительное использование, неисправность электропроводки.

    Объект нападения - аппаратные средства сети

    Тип потери - денежные потери, приостановка в работе.

    Масштаб ущерба - средний

    Источник угроз - отсутствие периодический проверки работоспособности и замены аппаратных средств.

    Колебания мощности

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность сетевого оборудования от колебания мощности (отсутствие сетевых фильтров), методы нападения - неисправная работа персонала.

    Объект нападения - сетевые аппаратные средства.

    Тип потери - компьютерные данные, аппаратные средства, приостановка в работе

    Масштаб ущерба - высокий

    Источник угроз - рабочий персонал

    опыт - не обязателен

    знания - не обязательны

    доступные ресурсы - физические, аппаратные

    возможная мотивация действий - преднамеренно и непреднамеренно.

    Ошибка технического обслуживания

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность техника, методы нападения - неэффективная установка компьютерных компонентов, устройств сети.

    Объект нападения - аппаратные сетевые средства.

    Тип потери - затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - техническое обслуживание

    опыт - высокий

    знания - обязательны

    доступные ресурсы - аппаратные

    возможная мотивация действий - небрежность

    Ошибка технического обслуживания

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - электрическая и локальная сеть, информация, коммуникации; методы нападения - использование технического оборудования и ПО.

    Объект нападения - электрическая и локальная сеть, оборудование, коммуникации

    Тип потери - целостность, доступность, затруднение в деятельности, денежные затраты на оборудование и сеть

    Масштаб ущерба - средний

    Источник угроз - техническое обслуживание

    опыт - присутствует

    знания - необходимы

    доступные ресурсы - технические и программные средства

    возможная мотивация действий - небрежность, халатность

    Техническая неисправность компонентов системы

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - устарелость, методы нападения - некачественное использование компонентов сети.

    Объект нападения - компоненты сети

    Тип потери - целостность, доступность, затруднение в деятельности, оборудование

    Масштаб ущерба - низкий

    Источник угроз - периферийные устройства.

    Ошибка при передаче

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - коллизии, потеря «бита четности»; методы нападения - неправильное вычисление контрольной суммы.

    Объект нападения - информация.

    Тип потери - Время на повторную пересылку данных

    Масштаб ущерба - несущественный

    Источник угроз - сеть, внешние воздействия

    Повреждение в линиях связи

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - незащищенность линий связи, методы нападения - случайный обрыв линий связи.

    Объект нападения - линии связи.

    Тип потери - затруднение в деятельности

    Масштаб ущерба - средний

    Источник угроз - рабочий персонал

    опыт - отсутствует

    знания - не обязательны

    доступные ресурсы - информационные

    возможная мотивация действий - неосторожность

    Перегрузка трафика

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - перегрузка сети, сетевые устройства, методы нападения- одновременная посылка (запрос) сообщений с разных станций.

    Объект нападения - сеть

    Тип потери - доступность, затруднение в деятельности

    Масштаб ущерба - средний

    Источник угроз - пользователь

    опыт - отсутствие

    знания - не обязательны

    доступные ресурсы - сетевые

    возможная мотивация действий - отсутствует.

    Перехват

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - незащищенность канала связи при передачи, методы нападения- перехват информации.

    Объект нападения - информация, пересылаемая по сети

    Тип потери - нарушение конфиденциальности

    Масштаб ущерба - низкий

    Источник угроз - постороннее лицо

    опыт - высокий уровень

    знания - нужны

    доступные ресурсы - информационные и программные

    возможная мотивация действий - умысел

    Ошибочная маршрутизация сообщений

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - неисправность работы маршрутизатора ; методы нападения - ошибочная адресация.

    Объект нападения - информация, данные

    Тип потери - доступность, конфиденциальность, целостность, затруднения в деятельности

    Масштаб ущерба - средний

    Источник угроз - периферийное устройство (маршрутизатор)

    Повторная маршрутизация сообщений

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - неисправность работы маршрутизатора, методы нападения- повторная адресация.

    Объект нападения - информация, данные

    Тип потери - затруднение в деятельности

    Масштаб ущерба - средний

    Источник угроз - маршрутизатор

    Отрицание

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие средств добиться отказуемости, методы нападения - отказ в признании пересылаемого.

    Объект нападения - информация

    Тип потери - затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - внешнее / внутреннее лицо

    опыт - отсутствие

    знания - не обязательны

    доступные ресурсы - информационные

    возможная мотивация действий - злоумышленность.

    Неисправность услуг связи (т.е. услуг сети)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - отсутствие должного контроля за работоспособностью сети и сетевого ПО, методы нападения - неисправная работа сети и сетевого ПО.

    Объект нападения - работоспособность сети

    Тип потери - затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - внешнее воздействие, ПО.

    Уровень сетевых приложений

    Использование программного обеспечения неавторизованным пользователями

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - возможность неавторизованного входа, методы нападения - использование программы для взлома сетей.

    Объект нападения - БД

    Тип потери - потеря информации, нарушение конфиденциальности информации, затруднения в деятельности, фальсификация информации

    Масштаб ущерба - высокий

    Источник угроз - пользователь АРМ

    опыт - не обязателен

    знания - не обязательны

    доступные ресурсы - информационные ресурсы

    возможная мотивация действий - самоутверждение

    Использование программного обеспечения неавторизованными способом

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность -вероятная, уязвимость - отсутствие проверки прав и возможностей пользователя, методы нападения - отправление писем от чужого имени.

    Объект нападения - почтовые сообщения

    Тип потери - конфиденциальность информации, материальные потери

    Масштаб ущерба - низкий

    Источник угроз - хакер

    опыт - небольшой

    знания - небольшие

    доступные ресурсы - информационные ресурсы

    возможная мотивация действий хулиганство.

    Нелегальное использование программного обеспечения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - вредоносные подпрограммы встроенные в программы, методы нападения- закачивание вируса.

    Объект нападения - системы, ОС, ПО

    Тип потери - судебное преследование

    Масштаб ущерба - высокий

    Источник угроз - нелегальное ПО

    Доступ к сети неавторизованных пользователей

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - сетевые данные, методы нападения - проникновение в сеть неавторизованных пользователей.

    Объект нападения - данные

    Тип потери - целостность, доступность

    Масштаб ущерба - средний

    Источник угроз - для глобальной сети - внешние источники, для локальной - внутренние (рабочие отделения)

    опыт - присутствует

    знания - обязательны

    доступные ресурсы - информационные, сетевые данные

    возможная мотивация действий -умышленно.

    Ошибки пользователя

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - некомпетентность, халатность, неопытность; методы - случайное удаление сведений.

    Объект нападения - БД, ПО.

    Тип потери - информационный

    Масштаб ущерба - низкий

    Источник угроз - рабочий персонал

    знания - не обязательны

    доступные ресурсы - вычислительные, информационные

    возможная мотивация действий - небрежность, недобросовестность

    Неправильное использование ресурсов

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - неквалифицированный персонал, методы - использование не по назначению.

    Объект нападения - программное обеспечение.

    Тип потери - временные

    Масштаб ущерба - низкий

    Источник угроз - неквалифицированный персонал

    опыт - начальный уровень

    знания - минимальные

    доступные ресурсы - информационные

    возможная мотивация действий - отсутствие опыта работы, знаний в данной области.

    Уровень ОС

    Преднамеренное повреждение (ПО)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высокая, уязвимость - отсутствие контроля за действиями работников организации, методы нападения - умышленное повреждение (искажение, удаление) системных файлов.

    Объект нападения - программное обеспечение

    Тип потери - денежные потери, затруднение в деятельности, замедление работы.

    Масштаб ущерба - низкий

    Источник угроз - работники организации

    опыт - не обязателен

    знания - присутствуют

    доступные ресурсы - вычислительные, программные.

    возможная мотивация действий - в личных корыстных целях (в случае повышения должности).

    Авария программного обеспечения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - внутренний дефект ПО, методы нападения - удаление файла, сбой ПО.

    Объект нападения - программное обеспечение.

    Тип потери - целостности информации, затруднения в деятельности

    Масштаб ущерба - средний

    Источник угроз - работники отделения

    опыт - минимальный

    знания - необходимы

    доступные ресурсы - программное обеспечение

    возможная мотивация действий - неосторожность

    Нелегальное использование программного обеспечения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - вредоносные подпрограммы встроенные в программы, методы нападения- закачивание вируса.

    Объект нападения - системы, ОС, ПО

    Тип потери - судебное преследование

    Масштаб ущерба - высокий

    Источник угроз - нелегальное ПО

    Вредоносное программное обеспечение

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - нарушение работы ОС, методы нападения - внедрение вредоносной программы.

    Объект нападения - программы и информация

    Тип потери - целостность, доступность, затруднение в деятельности, денежные затраты

    Масштаб ущерба - высокий

    Источник угроз - вредоносное ПО, постороннее лицо

    опыт - наличие опыта

    знания - обязательны

    доступные ресурсы - сетевые

    возможная мотивация действий - умысел.

    Нелегальный импорт / экспорт программного обеспечения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - ненадежные сотрудники, методы нападения - кража.

    Объект нападения - ПО

    Тип потери - конфиденциальность ПО

    Масштаб ущерба - низний

    Источник угроз - внешнее и внутреннее лица

    опыт - присутствует для внешнего лица, но может отсутствовать для внутреннего

    знания - присутствует для внешнего лица, но может отсутствовать для внутреннего

    доступные ресурсы - для внутренних - внешние носители, для хакеров - сеть

    возможная мотивация действий - для внутреннего - умысел, халатность, для внешнего - только умысел.

    Ошибки пользователя

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - некомпетентность, халатность, неопытность; методы - случайное удаление сведений.

    Объект нападения - БД, ПО.

    Тип потери - задержка в работе

    Масштаб ущерба - низкий

    Источник угроз - рабочий персонал

    знания - не обязательны

    доступные ресурсы - вычислительные, информационные

    возможная мотивация действий - небрежность, недобросовестность

    Неправильное использование ресурсов

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - неквалифицированный персонал, методы - использование не по назначению.

    Объект нападения - программное обеспечение.

    Тип потери - временные

    Масштаб ущерба - низкий

    Источник угроз - неквалифицированный персонал

    опыт - начальный уровень

    знания - минимальные

    доступные ресурсы - информационные

    возможная мотивация действий - отсутствие опыта работы, знаний в данной области.

    Уровень СУБД

    Неавторизованное использование среды хранения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность среды хранения, методы нападения - вход под чужим именем - паролем, халатность администратора при присвоении прав пользователям.

    Объект нападения Место для хранения данных

    Тип потери - затруднение в деятельности

    Масштаб ущерба - низкий

    Источник угроз - неавторизованное лицо, авторизованное лицо под чужим именем, администратор

    опыт - начальный уровень

    знания - присутствуют

    доступные ресурсы - информационные

    возможная мотивация действий - умысел

    Кража

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - слабая защищенность информации, методы нападения - несанкционированное умышленное действие.

    Объект нападения - критическая информация.

    Тип потери - целостность, конфиденциальность, затруднения в деятельности

    Масштаб ущерба - высокий

    Источник угроз - злоумышленники

    опыт - высокий уровень, низкий уровень

    знания - обязательны

    доступные ресурсы - информационные, телекоммуникационные, аппаратные

    возможная мотивация действий - в личных интересах

    Преднамеренное повреждение (информации)

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высокая, уязвимость - отсутствие контроля за действиями работников организации, методы нападения - умышленное повреждение (искажение, удаление) информации из БД, системных файлов.

    Объект нападения - БД

    Тип потери - денежные потери, затруднение в деятельности, замедление работы.

    Масштаб ущерба - высокий

    Источник угроз - работники организации

    опыт - не обязателен

    знания - присутствуют

    доступные ресурсы - вычислительные, информационные.

    возможная мотивация действий - в личных корыстных целях (в случае повышения должности).

    Износ среды хранения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие обновления среды хранения (гибких и жестких дисков, бумаги), методы нападения- длительное использование, нагромождение сведениями БД .

    Объект нападения - БД.

    Тип потери - целостность

    Масштаб ущерба - высокий

    Источник угроз - администраторы

    опыт - высокий

    знания - обязательны

    доступные ресурсы - информационные

    возможная мотивация действий - недобросовестное выполнение обязанностей.

    Операционная ошибка персонала

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность, методы нападения - случайное незапланированное выполнение операций, подсчетов, ввод неверных данных.

    Объект нападения - информация.

    Тип потери - целостность

    Масштаб ущерба - средний

    Источник угроз - персонал

    опыт - как наличие, так и отсутствие

    знания - не обязательны

    доступные ресурсы - информационные, вычислительные

    возможная мотивация действий - неосторожность

    Авария программного обеспечения

    Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - внутренний дефект ПО, методы нападения - удаление файла, сбой ПО.

    Объект нападения - программное обеспечение, БД.

    Тип потери - целостности информации, затруднения в деятельности

    Масштаб ущерба - средний

    Источник угроз - работники отделения

    опыт - минимальный

    знания - необходимы

    доступные ресурсы - программное обеспечение

    возможная мотивация действий - неосторожность

    Использование программного обеспечения неавторизованным пользователями


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.