Анализ угроз и разработка политики безопасности информационной системы районной налоговой инспекции
Описание деятельности районной налоговой инспекции. Разработка структурной и инфологической моделей информационной системы государственного учреждения. Квалификация угроз, актуальных для данной информационной системы. Разработка политОписание деятельности
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 15.11.2009 |
| Размер файла | 185,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Опыт: средний, высокий уровень;
Знания: работа с СУБД;
Доступные ресурсы: информационные;
Возможная мотивация действий: небрежность, халатность, умышленное нанесение вреда работе ИС.
- Отказ в обслуживании.
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).
Возможность - вероятна;
Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД, недобросовестное исполнение должностных обязанностей;
Методы нападения - несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД, перегрузка системы, сбой;
Объект нападения - чувствительная информация;
Тип потери - затруднение деятельности, целостность;
Масштаб ущерба - высокий;
Источник угроз - персонал, оборудование, программное обеспечение;
Опыт: начальный уровень;
Знания: необходимые для выполнения своих должностных обязанностей;
Доступные ресурсы: информационные;
Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.
- Ухудшение обслуживания.
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность).
Возможность - вероятна;
Уязвимость - использование некачественного программного обеспечения, неполная автоматизация сервера БД, недобросовестное исполнение должностных обязанностей;
Методы нападения - несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД, перегрузка системы, сбой;
Объект нападения - чувствительная информация;
Тип потери - затруднение деятельности, целостность;
Масштаб ущерба - высокий;
Источник угроз - персонал, оборудование, программное обеспечение;
Опыт: начальный уровень;
Знания: необходимые для выполнения своих должностных обязанностей;
Доступные ресурсы: информационные;
Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.
4. Квалификация угроз актуальных для информационной системы
Точный прогноз актуальных угроз позволяет снизить риск нарушения ИБ при минимизации затрат ресурсов организации. В процессе анализа возможных и выявления актуальных для активов организации угроз должен оцениваться риск, возникающий вследствие потенциального воздействия определенной угрозы. После оценивания риска должно быть принято решение, является ли он допустимым. Если риск является недопустимым, уровень риска подлежит снижению до допустимого путем принятия защитных мер.
Также необходимо оценивать все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 4 приведены основные компоненты процесса оценки рисков по данной методике.
Таблица 4 - Типичные компоненты процесса оценки рисков
|
Если кто-либо захочет проследить угрозы |
Через зоны уязвимостей |
То они приведут в результате к какому-нибудь из следующих рисков |
|
|
Неавторизованное раскрытие, модификация или уничтожение информации Ненамеренная модификация или уничтожение информации Недоставка или ошибочная поставка информации Отказ в обслуживании или ухудшение обслуживания |
Персонал Оборудование и аппаратура Приложения Коммуникации Программное обеспечение, относящееся к среде, и операционные системы |
Денежная потеря Потеря производительности Затруднения Потеря конфиденциальности, доступности и целостности информации |
Таблица 5 - Описание угроз
|
Угрозы |
Описание |
|
|
Неавторизованное раскрытие, модификация или уничтожение информации |
Эти угрозы являются случайным или преднамеренным выпуском информации и преднамеренных дополнений, изменений или разрушения информации людьми, с осуществлением или без осуществления доступа к рабочему процессу во время выполнения их обычных обязанностей |
|
|
Неумышленная модификация или уничтожение информации |
Эти угрозы являются неосторожной, из-за небрежности, или случайной потерей, дополнением, изменением или уничтожением информации. Эта угроза может проистекать вследствие действий или бездействия людей; неправильного функционирования аппаратных средств, программного обеспечения или коммуникаций; и природных бедствий |
|
|
Недоставка или ошибочная поставка информации |
Эти угрозы являются случайным удалением или недоставкой информации в бумажном, либо электронном форматах. Она включает неправильное функционирование аппаратных средств, программного обеспечения или коммуникаций, и природные бедствия |
|
|
Отказ в обслуживании или ухудшение обслуживания |
Эти угрозы являются незапланированной потерей доступности или сниженной производительностью всего рабочего процесса или его части на короткие или продолжительные периоды времени |
Таблица 6 - Описание зон локализации уязвимостей
|
Зона локализации уязвимостей |
Описание |
|
|
Персонал |
Уязвимости этой зоны связаны с работниками РНИ. Они касаются облученности и осведомленности сотрудников и их отношении к мерам защита принятым в организации |
|
|
Оборудование и аппаратура (все уровни, особенно физический и сетевой), |
Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним |
|
|
Зона локализации уязвимостей |
Описание |
|
|
Коммуникации (физический и сетевой уровни) |
Уязвимости этой зоны связаны перемещением информации между объектами |
|
|
Программное обеспечение, относящееся к среде и операционные системы (в особенности уровни ОС и СУБД) |
Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются |
Таблица 7 - Категории возможных потерь
|
Категории возможных потерь |
Описание |
|
|
Денежная потеря |
Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса. |
|
|
Потеря производительности |
Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов |
|
|
Затруднения для организаций |
Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Составим матрицу оценки рисков (приведенную в Таблице 8). Уровни риска подразделяются на: высокий (В) - значительный, средний (С) - нормальный, низкий (Н) -минимальная возможность потери.
Высокий: значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
Средний: номинальная денежная потеря, потеря производительности или случающиеся затруднения.
Низкий: минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.
Таблица 8 - Матрица оценки рисков
|
ЗОНА УЯЗВИМОСТИ: Физический уровень. Идентифицировать уровень риска, проистекающего из реализации угрозы: |
Риск денежной потери |
Риск потери поизводитель-ности |
Риск затруднения |
|||||||
|
Неумышленное раскрытие информации. |
В |
Н |
В |
|||||||
|
Неумышленное модификация информации. |
В |
В |
Н |
|||||||
|
Неумышленное уничтожение информации. |
В |
В |
В |
|||||||
|
Неумышленная модификация информации. |
Н |
Н |
Н |
|||||||
|
Неумышленное уничтожение информации |
С |
С |
Н |
|||||||
|
Недоставка информации. |
С |
С |
Н |
|||||||
|
Ошибочная поставка информации. |
Н |
С |
С |
|||||||
|
Отказ в обслуживании. |
В |
В |
В |
|||||||
|
Ухудшение обслуживания. |
Н |
Н |
Н |
Таблица 8.1
|
ЗОНА УЯЗВИМОСТИ: Сетевой уровень. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери поизводитель-ности |
Риск затруднения |
|||||||
|
Неумышленное раскрытие информации. |
С |
Н |
С |
|||||||
|
Неумышленное модификация информации. |
С |
Н |
С |
|||||||
|
Неумышленное уничтожение информации. |
С |
С |
Н |
|||||||
|
Неумышленная модификация информации. |
Н |
Н |
Н |
|||||||
|
Неумышленное уничтожение информации |
Н |
С |
Н |
|||||||
|
Недоставка информации. |
С |
Н |
Н |
|||||||
|
Ошибочная поставка информации. |
Н |
С |
С |
|||||||
|
Отказ в обслуживании. |
Н |
С |
Н |
|||||||
|
Ухудшение обслуживания. |
Н |
Н |
Н |
|||||||
|
Неумышленное раскрытие информации. |
С |
Н |
Н |
|||||||
|
Неумышленное модификация информации. |
Н |
Н |
Н |
|||||||
|
Неумышленное уничтожение информации. |
С |
С |
Н |
|||||||
|
Неумышленная модификация информации. |
С |
Н |
Н |
|||||||
|
Неумышленное уничтожение информации |
С |
С |
Н |
|||||||
|
Недоставка информации. |
Н |
С |
Н |
|||||||
|
Ошибочная поставка информации. |
Н |
С |
С |
|||||||
|
Отказ в обслуживании. |
С |
С |
С |
|||||||
|
Ухудшение обслуживания. |
Н |
Н |
Н |
Таблица 8.2
|
ЗОНА УЯЗВИМОСТИ: Уровень СУБД. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери поизводитель-ности |
Риск затруднения |
|||||||
|
Неумышленное раскрытие информации. |
С |
С |
С |
|||||||
|
Неумышленное модификация информации. |
В |
С |
Н |
|||||||
|
Неумышленное уничтожение информации. |
В |
В |
В |
|||||||
|
Неумышленная модификация информации. |
С |
С |
Н |
|||||||
|
Неумышленное уничтожение информации |
С |
С |
Н |
|||||||
|
Недоставка информации. |
С |
С |
Н |
|||||||
|
Ошибочная поставка информации. |
Н |
Н |
Н |
|||||||
|
Отказ в обслуживании. |
В |
В |
С |
|||||||
|
Ухудшение обслуживания. |
Н |
Н |
С |
|||||||
|
ЗОНА УЯЗВИМОСТИ: Уровень бизнес - процессов. Идентифицировать уровень риска, проистекающего из угрозы следующего: |
Риск денежной потери |
Риск потери поизводитель-ности |
Риск затруднения |
|||||||
|
Неумышленное раскрытие информации. |
В |
В |
В |
|||||||
|
Неумышленное модификация информации. |
В |
В |
В |
|||||||
|
Неумышленное уничтожение информации. |
В |
В |
В |
|||||||
|
Неумышленная модификация информации. |
В |
С |
С |
|||||||
|
Неумышленное уничтожение информации |
С |
С |
С |
|||||||
|
Недоставка информации. |
С |
С |
С |
|||||||
|
Ошибочная поставка информации. |
В |
В |
В |
|||||||
|
Отказ в обслуживании. |
В |
В |
В |
|||||||
|
Ухудшение обслуживания. |
В |
В |
В |
Таблица 9 - Оценка риска
|
Категория потерь |
|||||
|
Зона уязвимости |
Денежная потеря |
Потеря производи-тельности |
Затрудне-ния |
Общий риск |
|
|
Физический уровень |
С |
С |
С |
С |
|
|
Сетевой уровень |
С |
Н |
Н |
Н |
|
|
Уровень операционных систем |
С |
С |
Н |
С |
|
|
Уровень СУБД |
С |
С |
Н |
С |
|
|
Уровень бизнес-процессов |
В |
В |
В |
В |
Исходя из оценки рисков следует, что самой уязвимой зоной, в которой риск потери будет высокий, - это уровень бизнес-процессов. Угрозы несанкционированного раскрытия информации, а также угроза отказа в обслуживании являются наиболее актуальными, а персональные сведения граждан хранящиеся и обрабатывающиеся в БД Районной налоговой инспекции являются наиболее ценной информацией, а следовательно именно на сохранность этой информации и должна быть направлена политика безопасности.
5. Разработка политики безопасности
Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для собственника. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных и уязвимых областей деятельности и зон ответственности персонала. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности.
Исходя из полученной таблицы оценки риска, можно сделать вывод, что наиболее уязвимы информационные ресурсы на уровне бизнес-процессов, так как уровень риска является самым высоким, следовательно, их надо защищать в первую очередь. Защищать зоны уязвимости, где уровень риска низкий, просто не имеет смысла.
Вся информация, заносящаяся и хранящаяся в РНИ, должна быть конфиденциальной, целостной, надежной, качественной, защищенной. Для достижения этого должно в первую очередь обеспечиваться:
- функционирование системы парольной защиты электронных вычислительных машин и локальных вычислительных сетей. Должна быть организована служба централизованной парольной защиты, которая будет генерировать пароль для каждого пользователя в отдельности. Также она будет следить за своевременным обновлением пароля, разрабатывать необходимые инструкции, осуществлять контроль за действиями персонала;
- формирование уникальных идентификаторов сообщений и идентификаторов пользователей;
- осуществление проверки запросов данных по паролям, идентификаторам;
- функционирования системы ограниченного доступа к;
- хранение БД и копий БД в определенных защищаемых местах;
- отслеживание всех сетевых сообщений и ведение «Журнал запросов и ответов» для дальнейшего анализа;
- снизить до минимума возможность обмена информацией между операторами АРМ.
- обеспечение эффективной защиты каналам и средствам связи (провода, телефоны и др.)
- применение шифрования информации криптографическими и стеганографическими методами и средствами;
- регулярно производить резервное копирование БД.
Для того, чтобы избежать потерю информации необходимо обеспечивать защиту и выполнять общие требования.
Таблица 10 - Разработка защитных мер на уровне бизнес-процессов
|
Угрозы |
Виды защитных мер |
|
|
Несанкционированное раскрытие информации, модифицирование или удаление информации |
Исключить возможность физического подключения к сети, скрыв линии связи, оборудовать отделение камерами наблюдения и дополнительной сигнализацией, напоминать об ответственности в случае умышленного повреждение Исключить возможность копирования информации обеспечив устройства вывода информации средствами защиты (ключ на дисководе и .т.д.). Как можно чаще осуществлять обновление паролей. Регулярно проводить копирование сведений на резервные носители |
|
|
Неумышленное раскрытие модифицирование или удаление информации |
Создать многоступенчатую систему сохранения изменений и удаления информации |
|
|
Недоставка или ошибочная доставка информации |
Также создать многоступенчатую систему запросов на подтверждение пути, адреса. |
|
|
Отказ в обслуживании или ухудшение обслуживания |
Создать дополнительные АРМ, с дублирующими функциями, для поддержания выполнения бизнес-функций в случае выхода из строя какой либо АРМ. |
Соблюдение данных мер приводит к значительному снижению рисков, что обеспечивает более надежную и стабильную работу Районной налоговой инспекции
Заключение
В связи с переходом практически всех организаций на работу с информацией представленной в цифровом формате, проблема защиты информации на сегодня очень актуальна. Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
В данной курсовой работе были рассмотрены и проанализированы возможные угрозы нападения на информационную систему Районной налоговой инспекции, согласно перечню угроз ISO TR 13569, также была разработана политика безопасности, построена информационная система и показаны ее структурная и инфологическая модели, все требования ТЗ были выполнены.
Список использованных источников:
1. Безруков Н.Н. Вирусы и методы защиты от них. Москва : Информэйшн Компьютер Энтерпрайз. 1991.
2. Гайкович В., Першин А., Безопасность электронных банковских систем. - Москва, "Единая Европа", 1994.
Подобные документы
Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
курсовая работа [64,2 K], добавлен 15.11.2009Разработка концептуальной модели данных. Диаграмма потоков данных. Моделирование правил и поведения системы. Разработка структуры базы данных для автоматизации некоторых рутинных процессов налоговой инспекции, в частности заполнение налоговых деклараций.
контрольная работа [453,2 K], добавлен 24.04.2014Анализ и разработка информационной системы, структура сети предприятия. Описание процесса разработки конфигураций и выявление потребностей в автоматизации функций. Средства разработки проектирования и архитектура базы данных. Разработка модели угроз.
дипломная работа [1,4 M], добавлен 13.07.2011Организационная и функциональная структура налоговой инспекции. Разработка ИС автоматизации процесса инвентаризации технических средств. Анализ инструментальных средств разработки информационных систем. Организация внутримашинной информационной базы.
курсовая работа [116,8 K], добавлен 29.09.2012Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
курсовая работа [771,3 K], добавлен 14.01.2014Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010
