Анализ угроз, оценка рисков и разработка политики безопасности информационной системы общества с ограниченной ответственностью по разработке и реализации программных средств

Разработка структурной и инфологической модели. Идентификация аппаратных и информационных ресурсов. Перечень угроз и их описание на основе стандарта ISO/IEC PDTR 13335. Политика информационной безопасности по разработке и реализации программных средств.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.11.2009
Размер файла 43,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

27

Федеральное агенство безопасности

Российский Государственный Университет инновоционных технологий и предпринимательства

Пояснительная записка

о выполнении курсовой работы

по дисциплине: «Информационная безопасность»

Тема: Анализ угроз, оценка рисков и разработка политики безопасности информационной системы общества с ограниченной ответственностью по разработке и реализации программных средств

Введение

В нынешнее время стало очевидно, что защищать информацию становится все сложнее.

Деятельность любой организации в наше время связана с получением и передачей информации. Информация является сейчас стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству.

За последние 20 лет информационные технологии (ИТ) проникли во все сферы управления и ведения бизнеса. Сам же бизнес из реального мира, давно переходит в мир виртуальный, а поэтому весьма зависим от вирусных, хакерских и прочих атак. По данным Института Компьютерной Безопасности, общий ущерб, который нанесли компьютерные вирусы за последние 5 лет, составляет как минимум 54 млрд. долларов.

В наше время злоумышленники могут получить доступ не только к открытой информации, но и к информации, содержащей государственную (в 2003 году ФСБ пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России) и коммерческую тайну. В последнее время участились взломы компьютерных сетей. С 1999 года появилась ещё одна проблема информационной безопасности (ИБ) - Спам. Это анонимная массовая непрошеная рассылка. Наводнение спама приводит к ежегодным убыткам. Спам в пределах одной компании, приводит к убыткам от 600 до 1000 долларов ежегодно, из расчета на одного пользователя.

Таким образом можно сказать, что в сегодняшней ситуации предприятия должны иметь грамотную политику ИБ, которая должна основываться на комплексном подходе, осуществлять контроль всех параметров ИБ и иметь подготовку к будущему.

Целью данной курсовой работы является разработка политики ИБ предприятия, которая определяла бы эффективный и достаточный набор требований безопасности.

Задачи - разработать структурную и инфологическую модель информационной системы организации, проанализировать актуальные для организации угрозы, оценить риски, проанализировать соответствие целей безопасности и угроз.

1. Описание бизнес-функций организации

Основной целью предприятия «ООО по разработке и продаже программных средств» (как и любой коммерческой организации) является получение прибыли за счет производства программных продуктов и их реализации. Организация имеет множество бизнес-функций в зависимости от её жизненного цикла, сложившейся ситуации на рынке и т.д. Выделим 4 основных функции:

· организация работы с заказчиками;

· непосредственно создание программных средств;

· регистрация и контроль программных средств;

· послепродажное обслуживание и техническая поддержка.

Первая функция заключается в получении заказа от клиента, занесения информации о нем в базу данных, присвоении ему персонального идентификатора и т. д.

Вторая функция является основной в работе организации, и именно на этом этапе очень важно защитить информацию от ее раскрытия.

Третья функция заключается в том, что вся информация по разработке программного средства на всех ее этапах должна регистрироваться, иметь резервные копии, проверяться на наличие необъявленных функций и т.д.

Более подробно эти функции раскрываются через рабочие процессы, представленные в следующем пункте данной курсовой работы.

2. Описание рабочего процесса

Таблица 1

1 Организация работы с клиентами

Ввод информации

Обработка

Вывод

Осуществляется через электронную почту, электронные и твердые носители информации в виде заказов клиента, пожеланий заказчика и т.д.

1) Сбор информации о потребностях в ПС организации-заказчиков.

2) Сбор информации о конкурентах и конкурирующих ПС.

3) Обеспечение конфиденциальности путем занесения заказчика в БД с присвоением ему индивидуального идентификатора

Выводом является техническое задание для отдела математической логики. Информация передается посредством локальной сети организации.

2 Разработка ПС

2.1 Отдел математической логики

Техническое задание, полученное посредством локальной сети.

Составление математического алгоритма и разбиение его на модули

Алгоритмы модулей для отделов разработки ПС представленные в виде формул логических связей. Передаются посредством локальной сети.

2.2 Отделы разработки

Алгоритмы модулей

Создание на основе алгоритмов действующих модулей ПС.

Модули разрабатываемого ПС в виде программного кода, переданного посредством локальной сети.

2.3 Отдел тестирования

Программный код модулей

Обнаружение и исправление ошибок.

Протестированный и исправленный код отправляется в отдел финальной сборки, либо, в случае серьезной ошибки, код отправляется обратно в отдел разработки для исправления.

2.4 Отдел сборки

Ввод информации

Обработка

Вывод

Протестированные программные коды модулей.

Сборка и согласование модулей в конечное ПС.

Готовое ПС направляется в отдел тестирования, в случае несогласования модулей между собой, они отправляются в отделы разработки.

2.5 Отдел тестирования

Программный код готового ПС

Обнаружение и исправление ошибок.

Готовое ПС.

3 Регистрация и контроль ПС

Программные коды всех модулей на всех этапах разработки и программный код финальных сборок ПС, информация от отдела тестирования.

Занесение в БД всех этапов разработки, тестирования и сборки ПС, проверка программного кода на наличие необъявленных функций.

Предоставление информации заказчику об этапе разработки, предоставление информации авторизированным работникам.

4 Послепродажное обслуживание и техподдержка

информация от пользователя ПС о возникших затруднениях в работе ПС, пожелания об изменении работы ПС

определение типа ошибки и ответственных за нее посредством БД, регистрации и контроля

техническое описание ошибки, либо пожелание об изменении работы ПС

3. Структурная и инфологическая модели организации

Структурная модель состоит из следующих элементов: автоматизированных рабочих мест (АРМ); почтового сервера; сервера обработки; сервера резервного копирования; изолированной рабочей станции; локальных серверов.

Автоматизированные рабочие места (АРМ), с которых операторы вводят и обрабатывают информацию, поступающую по внутренней сети организации, телефонам и т.д., не имеют дисководов и CD-ROM. С них нельзя как копировать информацию на электронные носители, так нельзя и записывать информацию с электронных носителей.

Почтового сервер, на который информация поступает через Интернет, обеспечивает безопасность работы с информацией путем замены внутренних IP-адресов на один общий, закрывая тем самым внутренние адреса от внешних. Он также сканирует порты на наличие проникновения.

Сервера обработки данных, на котором установлена система управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации, использует учетные записи для разделения доступа к информации между локальными серверами.

Локальные серверы используются для хранения внутренней информации отделов. Топология сети внутри отделов - звезда. Работники отделов не имеют доступа к локальным серверам.

Изолированная рабочая станция с установленным на нее антивирусным программным обеспечением служит для проверки электронных носителей клиента на наличие вредоносных ПС. Маршрутизатор обеспечивает защиту сети путем сканирования МАС-адресов пакетов (не пропускает запрещенные).

3.1 Идентификация аппаратных ресурсов

Таблица 2

Аппаратный ресурс

Ответственный за аппаратный ресурс

Пользователь

Полномочия пользователя

Сервер обработки данных

системный администратор

системный администратор

установка ПО, настройка, обслуживание

Локальный сервер

начальник отдела

начальник отдела

чтение, передача информации

Почтовый сервер

системный администратор

1) системный администратор

2) работники отделов тех. обслуживания и работы с клиентами

1) установка ПО, настройка, обслуживание

2) получение информации, чтение, обработка, отправка, удаление

Сервер резервного копирования

системный администратор

нет

нет

Изолированная рабочая станция

системный администратор

оператор

получение информации от заказчика, проверка носителя на вирусы

АРМ 1-41

оператор

оператор

получение информации по локальной сети, чтение, обработка, удаление, отправка по локальной сети

3.2 Идентификация информационных ресурсов

Не вся информация в организации требует обеспечения максимального уровня безопасности. Необходимо определить, какой защиты, какая информация требует. Поэтому надо разделить информацию по различным критериям.

Информация в организации классифицируется на критичную и чувствительную.

Критичность информации подразумевает, что информация должна быть доступна там и тогда, когда она требуется для непрерывности и живучести бизнеса. Критичность информации прямо связана с критичностью процессов доступа к информации.

По степени критичности информация может быть, например, следующей:

существенная: информация или интенсивность обработки информации, потеря которой может нанести серьезный или непоправимый ущерб организации;

важная: информация или интенсивность обработки информации, потеря которой может нанести средний, но поправимый ущерб организации;

нормальная: информация или интенсивность обработки информации, потеря которой представляет минимальное разрушение.

По степени чувствительности могут быть выделены следующие виды информации:

высоко чувствительная: информация высшей чувствительности, неправильное обращение с которой вероятно приведет к значительному ущербу для организации. Примерами являются информация о приобретениях/продажах, стратегические бизнес-планы, криптографические ключи и материалы.

чувствительная: информация, неправильное обращение с которой может привести к существенному ущербу для организации. Примерами являются персональная данные, информация о клиентах, бюджеты департаментов.

внутренняя: информация, неправильное обращение с которой может нанести некоторый ущерб организации. Примерами являются телефонные книги, функции подразделений организации.

открытая: информация, одобренная для опубликования. Открытая информация не создается сразу как открытая, а получает такую классификацию после опубликования.

По степени критичности относительно доступности виды информации могут быть следующие:

критическая: информация, без которой работа субъекта останавливается;

очень важная: информация, без которой субъект может работать, но очень короткое время;

важная: информация, без которой субъект может работать некоторое время, но рано или поздно она понадобится;

полезная: информация, без которой субъект может работать, но ее использование экономит ресурсы;

несущественная: устаревшая или неиспользуемая информация, не влияющая на работу субъекта.

По степени критичности относительно целостности виды информации могут быть следующие:

критическая: информация, несанкционированное изменение которой приведет к неправильной работе субъекта; последствия модификации необратимы;

очень важная: информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы;

важная: информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы;

значимая: информация, несанкционированное изменение которой скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы;

незначимая: информация, несанкционированное изменение которой не скажется на работе системы.

По степени критичности относительно конфиденциальности виды информации могут быть следующие:

критическая: информация, разглашение которой приведет к невозможности реализации целей системы или к значительному ущербу;

очень важная: информация, разглашение которой приведет к значительному ущербу, если не будут предприняты некоторые действия;

важная: информация, разглашение которой приведет к незначительному ущербу, если не будут предприняты некоторые действия;

значимая: информация, разглашение которой приведет только к моральному ущербу;

незначимая: информация, разглашение которой не влияет на работу системы.

Я считаю, что одна и та же информация может одновременно делится по разным классификациям, поэтому в данной курсовой работе была рассмотрена вся классификации. Объектом защиты является существенная информация. Специфика деятельности организации ООО по разработке и продаже ПС такова, что раскрытие именно существенной информации (информация о заказчике, заказ, техническое задание, математический алгоритм, модули программ, готовый программный продукт) может нанести непоправимый серьезный вред организации. Классификация информации по различным критериям представлена в Таблице.

Таблица 4

Информационный ресурс

Ответственный за аппаратный ресурс

Пользователь

Полномочия пользователя

Информация о заказчике, заказ

начальник отдела

1) работники отдела работы с клиентами

2) работники отдела мат. логики

3) сист. админ.

1) внесение в БД, обработка, чтение, передача

2) чтение, обработка, передача

3) защита

Техническое задание

начальник отдела

1) начальник отдела

2) операторы ПК

3) сист. админ.

1) чтение, передача

2) чтение, обработка, изменение

3) защита

Математический алгоритм

начальник отдела

1) начальник отдела

2) операторы ПК

3) сист. администратор

1) чтение, передача

2) чтение, обработка, изменение

3) защита

Модули программ

начальник отдела

разработчики, тестеры, сборщики

сист. администратор

внесение изменений, удаление, просмотр

защита

Готовый программный продукт

начальник отдела

тестеры, сборщики

сист. администратор

внесение изменений, удаление, просмотр

защита

Электронная почта

сист. администратор

1) работники отдела работы с клиентами

2) работники отдела тех. поддержки

сист. администратор

получение, обработка, отправка

защита

Произведем идентификацию программного обеспечения. Как видно из структурной модели, организация является небольшой - 42 рабочих места, не считая руководителей и бухгалтерию. На всех автоматизированных рабочих местах установлена операционная система Windows XP Professional, которая позволяет вести локальную политику безопасности путем разграничения прав пользователей при помощи учетной записи пользователя - запись, содержащая все сведения, определяющие пользователя в операционной системе Windows. К этим сведениям относятся имя пользователя и пароль, требуемые для входа пользователя в систему, имена групп, членом которых пользователь является, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам. Также на всех АРМ установлены антивирусные программы («Лабораторий Касперского»), которые запускаются автоматически при включении компьютера. Естественно на каждом ПК установлен файловый менеджер (Windows Commander), который имеет удобный графический интерфейс. Средой разработки программного продукта является Microsoft Visual C, MSDN (в отделах разработки, тестирования и сборки). Информация от АРМ к локальному серверу передается в открытом виде, а от локального сервера к файл-серверу - в зашифрованном при помощи криптографических средств защиты информации. Следовательно, на локальных серверах помимо перечисленных программных продуктов установлена также RSA - система, в которой шифрование и расшифровка осуществляется с помощью разных ключей. Недостатком RSA является довольно низкая скорость шифрования, зато она обеспечивает персональную электронную подпись, основанную на уникальном для каждого пользователя секретном ключе. В отделах работы с клиентами и послепродажного обслуживания установлены средства Microsoft Office, необходимые для внесения информации от клиента в базы данных. В этих же отделах разрешен доступ в сеть Интернет. Для работы с электронной почтой используется программа «The Bat». Передача информации осуществляется в зашифрованном виде при использовании цифровой подписи (способ обозначения авторства в сообщениях, файлах и других цифровых объектах. Процесс подписания цифровых данных вызывает их преобразование, а также добавление в подпись некоторых скрытых сведений, контролируемых создателем. Цифровые подписи используются в средах с открытыми ключами и обеспечивают невозможность отрицания авторства и целостность данных.), что обеспечивает защиту информации от НСД. На сервере, предоставляющем доступ в Интернет, используется протокол TCP/IP - набор широко используемых в Интернете сетевых протоколов, поддерживающий связь между объединенными сетями, состоящими из компьютеров различной архитектуры и с разными операционными системами. Протокол TCP/IP включает в себя стандарты для связи между компьютерами и соглашения о соединении сетей и правилах маршрутизация сообщений. На всех компьютерах установлена файловая система NTFS - улучшенная файловая система, обеспечивающая уровень быстродействия и безопасности, а также дополнительные возможности, недоступные ни в одной версии файловой системы FAT. В операционных системах Windows XP файловая система NTFS также обеспечивает такие дополнительные возможности, как разрешения для файлов и папок, шифрование, дисковые квоты и сжатие.

4. Перечень угроз и их описание на основе стандарта ISO/IEC PDTR 13335

1. Подделка идентификатора пользователя

Объект нападения - существенная информация.

Тип потери: затруднения в деятельности, потери производительности, денежные потери, целостность информации.

Масштаб ущерба: высокий

Источник угрозы: хакеры.

Опыт: профессиональный опыт.

Знания: специализированные.

Доступные ресурсы, необходимые для реализации угрозы: соответствующее программное и аппаратное обеспечение, ПК.

Возможная мотивация действий: умышленно.

2. Доступ к сети неавторизованных пользователей

Объект нападения - существенная информация.

Тип потери: денежные потери, затруднения в деятельности, потеря производительности, целостность информации.

Масштаб ущерба: высокий

Источник угрозы: хакеры.

Опыт: профессиональный опыт.

Знания: специализированные.

Доступные ресурсы, необходимые для реализации угрозы: соответствующее программное и аппаратное обеспечение, ПК.

Возможная мотивация действий: умышленно.

3. Вредоносное программное обеспечение

Объект нападения - существенная информация.

Тип потери: денежные потери, затруднения в деятельности, потеря производительности, целостность информации.

Масштаб ущерба: предварительно высокий

Источник угрозы: вирусы.

Опыт: отсутствует.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствует.

Возможная мотивация действий: отсутствует.

4. Ошибки пользователей.

Объект нападения - существенная информация.

Тип потери: затруднения в деятельности, потеря производительности, целостность, доступность.

Масштаб ущерба: предварительно высокий.

Источник угрозы: персонал.

Опыт: начальный.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: соответствующее программное обеспечение, ПК.

Возможная мотивация действий: халатность, небрежность.

5. Анализ трафика

Объект нападения - существенная информация.

Тип потери: потеря конфиденциальности.

Масштаб ущерба: высокий

Источник угрозы: хакеры.

Опыт: профессиональный.

Знания: специализированные.

Доступные ресурсы, необходимые для реализации угрозы: ПК и специализированное оборудование.

Возможная мотивация действий: умышленно.

6. Перехват

Объект нападения - существенная информация.

Тип потери: потеря конфиденциальности.

Масштаб ущерба: высокий

Источник угрозы: хакеры.

Опыт: профессиональный.

Знания: специализированные.

Доступные ресурсы, необходимые для реализации угрозы: соответствующее ПК и ПО.

Возможная мотивация действий: умышленно.

7. Повреждения в линиях связи

Объект нападения - рабочий процесс, сеть.

Тип потери: снижение производительности, доступность.

Масштаб ущерба: средний

Источник угрозы: персонал.

Опыт: отсутствует.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствуют.

Возможная мотивация действий: халатность, небрежность.

8. Техническая неисправность компонентов сети

Объект нападения - рабочий процесс, сеть.

Тип потери: снижение производительности, доступность.

Масштаб ущерба: высокий

Источник угрозы: системный администратор.

Опыт: отсутствует.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствуют.

Возможная мотивация действий: отсутствует.

9. Ошибка технического обслуживания

Объект нападения - рабочий процесс.

Тип потери: снижение производительности, доступность.

Масштаб ущерба: высокий.

Источник угрозы: системный администратор.

Опыт: начальный.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствуют.

Возможная мотивация действий: халатность, неумышленно.

10. Авария программного обеспечения

Объект нападения - рабочий процесс.

Тип потери: снижение производительности.

Масштаб ущерба: средний.

Источник угрозы: отсутствует.

Опыт: отсутствует

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствуют.

Возможная мотивация действий: отсутствует.

11. Нелегальный импорт/экспорт программного обеспечения

Объект нападения - рабочий процесс.

Тип потери: снижение производительности, доступность.

Масштаб ущерба: высокий.

Источник угрозы: системный администратор.

Опыт: начальный.

Знания: отсутствуют.

Доступные ресурсы, необходимые для реализации угрозы: отсутствуют.

Возможная мотивация действий: халатность, неумышленно.

12. Ошибочная маршрутизация сообщений

Объект нападения - существенная информация.

Тип потери: потеря производительности, доступность, конфиденциальность.

Масштаб ущерба: высокий.

Источник угрозы: системный администратор.

Опыт: не обязателен.

Знания: не обязательны.

Доступные ресурсы, необходимые для реализации угрозы: сетевые средства, ПК.

Возможная мотивация действий: неумышленно.

13. Ошибки при передаче

Объект нападения - существенная информация.

Тип потери: потеря производительности, доступность, конфиденциальность.

Масштаб ущерба: высокий.

Источник угрозы: системный администратор.

Опыт: не обязателен.

Знания: не обязательны.

Доступные ресурсы, необходимые для реализации угрозы: сетевые средства, ПК.

Возможная мотивация действий: неумышленно.

14. Преднамеренное повреждение

Объект нападения - рабочий процесс.

Тип потери: снижение производительности, доступность.

Масштаб ущерба: средний.

Источник угрозы: персонал.

Опыт: не обязателен.

Знания: не обязательны.

Доступные ресурсы, необходимые для реализации угрозы: не обязательны.

Возможная мотивация действий: злой умысел.

Таблица 5

Если кто-либо захочет проследить угрозы

Через зоны уязвимостей

То они приведут в результате к какому-нибудь из следующих рисков

Подделка идентификатора пользователя

Персонал, оборудование и аппаратура.

Затруднения в деятельности, потери производительности, денежные потери, целостность информации.

Доступ к сети неавторизованных пользователей

Сетевые средства, оборудования и аппаратура.

Затруднения в деятельности, потери производительности, денежные потери, целостность информации.

Вредоносное программное обеспечение

Почтовый сервер, носитель информации, Интернет, ПО, ОС.

Денежные потери, затруднения в деятельности, потеря производительности, целостность информации.

Ошибки пользователей

Персонал

Затруднения в деятельности, потеря производительности, целостность, доступность.

Анализ трафика

Сетевые средства, оборудования и аппаратура.

Потеря конфиденциальности.

Перехват

Сетевые средства, оборудования и аппаратура.

Потеря конфиденциальности.

Повреждения в линиях связи

Персонал, сеть, линия связи.

Снижение производительности, доступность.

Техническая неисправность компонентов сети

Системный администратор, оборудование аппаратура, коммуникация.

Снижение производительности, доступность.

Ошибка технического обслуживания

Администратор, оборудование аппаратура, коммуникация.

Снижение производительности, доступность.

Авария программного обеспечения

Программное обеспечение, операционная система.

Снижение производительности.

Нелегальный импорт/экспорт программного обеспечения

Системный администратор, ПО, ОС.

Снижение производительности, доступность.

Ошибочная маршрутизация сообщений

Сетевое оборудование, ПО, ОС.

Потеря производительности, доступность, конфиденциальность.

Ошибки при передаче

Сетевое оборудование, ПО, ОС.

Потеря производительности, доступность, конфиденциальность

Преднамеренное повреждение

Персонал, оборудование, аппаратура

Снижение производительности, доступность

Таблица 6

Угрозы

Описание

Подделка идентификатора пользователя

Подделка пароля и идентификатора сотрудника с целью получения доступа к его информации.

Доступ к сети неавторизованных пользователей

Проникновение в электросеть организации с целью получения доступа к информации.

Вредоносное программное обеспечение

Вирусы, затрудняющие работу системы и программы- «Трояны» передающие секретную информацию.

Ошибки пользователей

Неумышленное удаление, изменение информации пользователями.

Анализ трафика

Действие, направленное на выявления контактов организации с другими физическими лицами и организациями.

Перехват

Действие, направленное на выявления контактов организации с другими физическими лицами и организациями, а также похищение важной информации (несанкционированное копирование).

Повреждения в линиях связи

Физическое повреждение в линиях связи, разрывы.

Техническая неисправность компонентов сети

Выход из строя компонентов сети (коммутатор, маршрутизатор, серверы).

Ошибка технического обслуживания

Действие представляющее собой снижение производительности и повреждение (неисправности) оборудования и аппаратуры.

Авария программного обеспечения

Эта угроза является незапланированной потерей доступности части рабочего процесса в связи с неполадками ПО.

Нелегальный импорт/экспорт программного обеспечения

Установка на оборудование организации (компьютеры) нелегального ПО, повлекшей за собой снижение производительности.

Ошибочная маршрутизация сообщений

Ошибочное перенаправление сообщений.

Ошибки при передаче

Ошибочное перенаправление сообщений и неверная передача, повреждение сообщения.

Преднамеренное повреждение

Преднамеренная порча ПО, оборудования, аппаратуры.

Таблица 7

Зона локализации уязвимостей

Описание

Персонал

Уязвимости этой зоны связаны со служащими, поставщиками и персоналом, работающим по контракту. Они касаются обученности служащего, а также его осведомленности и следования ведомственным операционным процедурам и защитным мерам.

Оборудование и аппаратура

Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним.

Коммуникации

Уязвимости этой зоны связаны с электронным движением информации между двумя конечными точками.

Программное обеспечение, относящееся к среде и операционные системы

Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются.

Почтовый сервер

Уязвимости этой зоны связаны с низкой защищенностью почтовых протоколов (РОР3).

Интернет

Уязвимости этой зоны связаны с возможностью проникновения вредоносного ПО и несанкционированного доступа.

Линии связи

Уязвимости этой зоны связаны с возможностью физического повреждения.

Таблица 8

Категории возможных потерь

Описание

Денежная потеря

Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса.

Потеря производительности

Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов

Затруднения для организаций

Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность

Таблица 9

Идентифицировать уровень риска, проистекающего из реализации угрозы:

Риск денежной потери

Риск потери производительности

Риск затруднения

Общий риск

Подделка идентификатора пользователя

В

С

В

В

Доступ к сети неавторизованных пользователей

В

В

В

В

Вредоносное программное обеспечение

С

В

В

В

Ошибки пользователей

В

С

С

С

Анализ трафика

В

Н

В

В

Перехват

В

С

В

В

Повреждения в линиях связи

Н

В

С

С

Техническая неисправность компонентов сети

Н

В

С

С

Ошибка технического обслуживания

Н

В

С

С

Авария программного обеспечения

Н

В

С

С

Нелегальный импорт/экспорт программного обеспечения

Н

С

С

С

Ошибочная маршрутизация сообщений

Н

С

С

С

Ошибки при передаче

Н

В

В

В

Преднамеренное повреждение

В

С

В

В

Землетрясение, наводнение, ураган, молния, бомбовая атака, использование оружия, пожар (огонь), авария источника мощности, экстремальные значения температуры и влажности являются форс- мажорными и поэтому не учитывались в данной курсовой работе, так как они наименее вероятны.

Промышленная деятельность, авария в подаче воды, авария воздушного кондиционирования, неисправности аппаратных средств, колебание мощности, пыль, электромагнитное излучение, электростатическая зарядка, использование программного обеспечения неавторизованными пользователями, операционная ошибка персонала, кража, неавторизованное использование среды хранения, износ среды хранения, использование программного обеспечения неавторизованным способом, нелегальное использование программного обеспечения, ошибка операционного персонала, использование сетевых средств неавторизованным способом, перегрузка трафика, проникновение в коммуникации, повторная маршрутизация сообщений, неисправность услуг связи, неправильное использование ресурсов, дефицит персонала не несут прямых угроз предприятию, либо последствия их не значительны, поэтому в данной работе не учитывались.

5. Политика информационной безопасности по разработке и реализации программных средств

I Общие положения

1. Настоящая политика устанавливает единый порядок обеспечения безопасности информации (ОБИ) при ее обработке на объектах вычислительной техники (ВТ) организации.

2. Политика уточняет требования руководящих документов по ОБИ, при вводе и эксплуатации средств ВТ в организации:

- обязанности и ответственность должностных лиц по вопросам ОБИ;

- порядок допуска в помещения объектов ВТ, к средствам вычислительной техники и информации обрабатываемой в них;

- защиту программного (ПО) и информационного обеспечения (ИО) от воздействия программ-вирусов;

- организацию системы парольной защиты;

- использование ресурсов ИНТЕРНЕТ;

- организации противодействия несанкционированному доступу.

II Ответственность должностных лиц за обеспечение безопасности информации

1) Правило 1: в организации должны проводиться проверки выполняемых действий персонала.

2) Правило 2: в организации следует оговаривать и периодически проверять обязанности по безопасности.

Требование.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности. Об инцидентах, связанных с безопасностью следует немедленно сообщать.

3) Правило3: в организации регулярно должны проводиться обновление антивирусной программы.

Требования:

- никогда не использовать нелегальное программное обеспечение;

- перед использованием нового программного обеспечения необходима его проверка с помощью имеющихся в организации антивирусных программ.

- все оригиналы программ должны быть защищены от записи и изъяты из обращения, а для работы использоваться только защищенные рабочие копии.

- перед окончанием работы необходимо сделать копии созданных или измененных программ или данных и по внутренней сети организации отправить их на файл-сервер;

- программы и данные, находящиеся на жестком диске и не требующие изменений, размещать на логических дисках защищенных от записи;

- все магнитные носители, полученные от заказчика должны проверяться на наличие вирусов на изолированной рабочей станции.

- в составе программного обеспечения ПЭВМ иметь антивирусные программы, которые должны запускаться автоматически перед началом работы ПЭВМ и периодически дополняться новыми антивирусными программами.

4) Правило 4: в организацию должно приобретаться только лицензированное ПО.

5) Правило 5: пользователям средств вычислительной техники необходимо разрабатывать, отлаживать и решать задачи на ПЭВМ с оформленного разрешения.

6) Правило 6: сотрудникам организации запрещается находиться в других подразделениях организации, кроме тех, в которых они числятся.

7) Правило 7: централизированная служба парольной защиты должна генерировать пароли и обеспечивать ими пользователей.

Требования:

- пароль не должен включать в себя легко вычисляемые сочетания символов;

- длина пароля не должна быть менее 8 символов;

- в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы;

- полная плановая смена паролей должна проводиться регулярно не реже одного раза в месяц централизованной службой парольной защиты;

- пароль входа в систему пользователи обязаны хранить в секрете. В случае утери или компрометации пароля пользователь обязан сообщить об этом ответственному за ОБИ.

- В случае отказа пользователя от смены пароля в установленные сроки, ему отказывается в праве доступа в систему и к внутренней сети организации.

-Ответственность за сохранность паролей от компрометации возлагается на пользователей.

8) Правило 8: использовать ресурсы Интернет могут только сотрудники, обладающие правом доступа;

9) Правило 9: ответственным за использование ресурсов Интернет в организации является системный администратор, который разграничивает права доступа к информационным активам между подразделениями организации. Правило

Ответственный за выполнение

Виды защитных мер

Угроза

в организации должны проводиться проверки выполняемых действий персонала.

Администратор ИБ

Административное наказание

в организации следует оговаривать и периодически проверять обязанности по безопасности.

Администратор ИБ

Организационные

в организации регулярно должны проводиться обновление антивирусной программы.

Администратор ИБ

Ограничение доступа к непроверенной информации на вирусы

Вредоносное программное обеспечение

в организацию должно приобретаться только лицензированное ПО

Администратор сети

Административное наказание

Авария программного обеспечения; нелегальный импорт/ экспорт ПО

пользователям средств вычислительной техники необходимо разрабатывать, отлаживать и решать задачи на ПЭВМ с оформленного разрешения

Администратор сети

Административное наказание

сотрудникам организации запрещается находиться в других подразделениях организации, кроме тех, в которых они числятся

Администратор ИБ

Административное наказание

централизированная служба парольной защиты должна генерировать пароли и обеспечивать ими пользователей

Администратор сети

Административное наказание

Подделка идентификатора пользователя

Заключение

Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы автоматизированной информационной системы организации, не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму.

Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.

Итогом данного курсового проекта является разработанная политика информационной безопасности автоматизированной информационной системы организации «ООО по разработке и продаже программных средств». Промежуточными этапами являлись разработка бизнес-цели и бизнес-функций организации, составление структурной и инфологической моделей организации, анализ актуальных угроз и оценка рисков, проведение соответствия угроз и целей безопасности. На мой взгляд, работа выполнена в полном объеме.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.