Главная Коллекция "Otherreferats" Программирование, компьютеры и кибернетика Анализ угроз и разработка политик безопасности информационной системы: филиал коммерческого банка

Анализ угроз и разработка политик безопасности информационной системы: филиал коммерческого банка

Разработка структурной и инфологической модели информационной системы на примере филиала коммерческого банка. Реурсы предприятия, подлежащие защите. Разработка перечня угроз и возможных потерь. Мероприятия по обеспечению безопасности организации.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.11.2009
Размер файла 51,2 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Федеральное агентство по образованию

Российский государственный университет

инновационных технологий и предпринимательства

Пензенский филиал

ОТЧЕТ

о выполнении курсовой работы

по дисциплине: «Информационная безопасность»

на тему: «АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПОЛИТИК БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ:

ФИЛИАЛ КОММЕРЧЕСКОГО БАНКА»

Исполнитель ПЗ ст. гр. 04с1

Никишина С.В.

2008

Реферат

Пояснительная записка 40 листов, 2 рисунка, 6 таблиц, 3 источника литературы.

Ключевые слова: ФИЛИАЛ КОММЕРЧЕСКОГО БАНКА, ИНФОРМАЦИИОННАЯ СИСТЕМА, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, РИСКИ, УГРОЗЫ, ПОЛИТИКА БЕЗОПАСНОСТИ.

Цель курсовой работы: провести анализ угроз и оценку рисков учреждения - Филиал коммерческого банка, и на основе этого разработать политику безопасности данного учреждения.

В процессе были изучены всевозможные риски и уязвимости, угрожающие учреждению.

Оценка рисков безопасности для всего перечня угроз была осуществлена по методике документа ISO TR 13335.

В результате были разработана политика информационной безопасности информационной системы учреждения «Филиал коммерческого банка».

Содержание

Реферат

Задание

Нормативные ссылки

Определения

Введение

1. Разработка структурной и инфологической модели информационной системы: Филиал коммерческого банка

1.1 Цели и функции филиала коммерческого банка

1.2 Анализ рабочих процессов в каждой бизнес - функции

1.3 Структурная модель информационной системы учреждения

2. Разработка перечня угроз и их описания на основе стандартной модели угроз

2.1 Описание угроз

2.2 Формулирование перечня актуальных угроз

3. Политика безопасности организации

Заключение

Список использованной литературы

Нормативные ссылки

В настоящем отчете использованы ссылки на следующие стандарты:

Перечень угроз безопасности информационной системы и их описания по модели угроз и источников угроз, соответствующей требованиям ГОСТ Р ИСО/МЭК 15408-2002.

ГОСТ 7-32-2001 «Система стандартов по информации, библиотечному и издательскому делу. Отчет о НИР. Структура и правила оформления».

ГОСТ 7.9-95 (ИСО 214-76) «Система стандартов по информации, библиотечному и издательскому делу. Реферат и аннотация. Общие требования»;

ГОСТ 7.1-84 «Система стандартов по информации, библиотечному и издательскому делу. Библиографическое описание документа. Общие требования и правила составления»;

ГОСТ ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий».

Определения

В настоящем отчете применяют следующие термины с соответствующими определениями:

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (о ГОСТ Р51898 -2002).

Информационной безопасность, согласно Закону РФ “Об участии в международном информационном обмене”, понимают состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах (независимо о формах их представлениях) отражённые на материальных носителях, используемые в целях получений и практических решений.

Политика информационной безопасности - это набор правил и рекомендаций, на основе которых строится управление, защита и распространение информации в информационной системе.

Риск - это сочетание вероятности нанесения ущерба и тяжести этого ущерба (по ГОСТ Р 51898-2002 ).

Ущерб - это нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде (по ГОСТ Р 51898-2002 ).

Угроза - потенциальная возможность нанесения ущерба некоторого характера и размера собственникам или пользователям информационной системы и защищаемой информации (по ГОСТ Р 51898 -2002).

Введение

Рубеж тысячелетий совпал с переходом человечества к третьей - после аграрной и индустриальной - стадии развития, которую обозначают обычно как "информационное общество". Его сущность определяют несколько взаимосвязанных процессов:

- информация и знания становятся важным ресурсом и подлинной движущей силой социально - экономического, технологического и культурного развития;

- формируется рынок информации и знания как фактора производства наравне с рынками природных ресурсов, труда и капитала;

- стремительно растет удельный вес отраслей, обеспечивающих создание, передачу и использование информации;

- развитая информационная инфраструктура превращается в условие, определяющее национальную и региональную конкурентоспособность не в меньшей степени, чем, например, транспортные коммуникации;

- развитие и активное внедрение во все сферы деятельности новых информационно - коммуникационных технологий (ИКТ) существенно меняет модели образования, труда, общественной жизни и отдыха.

В условиях глобальной информатизации общества наша жизнь и благополучие всё больше зависит от надёжности информационной системе. Поэтому вопрос информационной безопасности имеет такое острое значение.

Однако, информационная безопасность не может в полной мере обеспечиваться, ни внедрением какого - либо средства защиты, ни реализацией какой-либо совокупности организационных мероприятий. Для достижения эффективного результата необходима реализация совокупности мер таких, как внедрение добавочных средств защиты, обеспечение необходимых организационные мероприятий, включающих подготовку и обучение администраторов безопасности, определение организационной структуры, разработку нормативной базы обеспечения информационной безопасности на предприятии, разработку плана внедрения и обслуживания систем информатизации и защиты информации и т.д.. Особенностью обеспечения информационной безопасности является также и то, что типовой политики безопасности не может существовать в принципе, т. к. ее основу составляют функциональные возможности используемых на предприятии технических средств защиты информации, с учетом которых и формируется политика информационной безопасности.

Политика безопасности служит основой для формирования и реализации единой политики в области обеспечения информационной безопасности, а также для принятия решений по внедрению систем защиты информации. Кроме того, она послужит созданию и применению мер нормативно-правового и организационного характера, направленных на выявление и ликвидацию последствий проявлений различных видов угроз информационной безопасности.

1. Анализ угроз для информационной системы организации

1.1 Цели и функции филиала коммерческого банка

Объектом изучения данного курсового проекта является филиал коммерческого банка.

Учреждение оснащено информационной системой необходимой для автоматизации процессов, сбора информации, анализа данных и принятия решений.

Организационную структуру филиала коммерческого банка составляют руководство филиала коммерческого банка, отдела по оформлению кредитов, отдел оформления вклада, кассы (отдел по работе с денежными средствами по вкладам, кредитам), бухгалтерия и отдел автоматизированной обработки информации.

Цель: осуществление финансовых операций с физическими и юридическими лицами и получение прибыли.

Бизнес-функции организации:

§ оформление вклада;

§ выдача кредитов;

§ работа с денежными средствами по вкладам, кредитам;

§ ведение итогов работы.

1.2 Анализ рабочих процессов в каждой бизнес - функции

Описание процесса «Оформление вклада»:

- разъяснение клиентам сущности различных видов вкладов,

- подбор наиболее подходящего вида вклада,

- оформление надлежащих документов,

- заведение счёта на имя клиента.

После выбора клиентом вида вклада его личные сведения (паспортные данные) принесённые им на бумажном носителе, информация о выбранном вкладе, первичном взносе, вводятся оператором автоматизированного рабочего места (АРМ)(агентом) и передается в электронном виде по линиям связи на сервер обработки информации в Отдел автоматизированной обработки информации. Сервер обработки информации обрабатывает полученную информацию, заносит ее в БД о клиентах, а также в сервер резервного копирования, где она хранится в электронном виде и при необходимости считывается, модифицируется или уничтожается. Получателем информации является администратор БД. К тому же на руки клиента выдаётся сберегательная книга на бумажном носителе, на основе которой ведётся выдача денежных средств, и на которой в дальнейшем будут отражаться все операции по вкладам.

Описание процесса «Выдача кредита»:

- разъяснение клиентам сущности различных видов вкладов,

- подбор наиболее подходящего вида вклада,

-проверка платёжеспособности клиента,

- оформление соответствующих документов,

-выдача кредита.

Главное при оформлении кредита является проверка платёжеспособности, которая осуществляется на основе сведений с работы, принесенных клиентом на бумажном носителе, также проверяются паспортные данные (на бумажном носителе). Все эти данные в электронном виде отправляются оператором с АРМ(агентом) на сервер обработки, откуда в обработанном виде (в случае положительного решения о выдаче кредита) заносятся в БД и в сервер резервного копирования. После этого происходит оформление договора и выдача кредита.

Описание процесса «Рработа с денежными средствами по вкладам, кредитам»

- приём платежей по вкладам,

- выплаты по вкладам, кредитам,

- приём платежей по кредитам.

Приём, выплаты по вкладам осуществляется на основе документа, подтверждающего личность и сберегательной книги. При этом происходит обращение к счёту клиента в БД, где происходит модификация сведений о состоянии денежного счёта (снятие/начисление денежных средств). Все операции отражаются в сберегательной книге.

Приём по кредитам осуществляются на основе номера договора, который вводит оператор с АРМ (кассир), по которому в БД отыскивается соответствующей клиент, и в его записи меняется информация о денежных платежах (добавляется новая запись, считывается и выводится измененный остаток кредита).

Описание процесса «Ведение итогов работы»

- ведение бухгалтерии,

- разработка успешной организации деятельности,

-отправка отчётов результата деятельности.

На основе сведений о проделанной работе, оформленных кредитов, счетов, выплат по кредитам и вкладам, поступающей в электронном виде с БД, оформляется отчёт, передающейся руководству банка.

1.3 Структурная модель

Структурная модель позволяет выполнять функции, возлагаемые на систему. ИС состоит из следующих элементов:

автоматизированных рабочих мест (АРМ), с которых операторы вводят/запрашивают информацию, поступающую в устной или письменной форме;

выход в Интернет;

сервера обработки, на котором установлена система управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации;

сервера резервного копирования;

автоматизированного рабочего места администратора информационной безопасности;

автоматизированного рабочего места администратора БД.

автоматизированного рабочего места бухгалтера.

автоматизированного рабочего места руководства.

Графическое изображение конфигурации системы - ее структурная модель, на которой отображены аппаратные компоненты ИС, необходима для наглядного представления процесса функционирования системы.

Рис. 1 - Структурная модель информационной системы.

После того как составлено графическое изображение ИС рассматриваемой организации, которая представляет собой совокупность вычислительных средств управляющего кадрами предприятия, определяются ответственные за аппаратные ресурсы; кто является их пользователем и как пользователи используют или будут использовать тот или иной компонент системы.

Аппаратный

компонент

Пользователь

Ответственный за компонент

Полномочия пользователя по

отношению к компоненту

АРМ обработки

Оператор обработки информации

Оператор обработки информации

Получение, обработка и пересылка информации

АРМ ввода

Оператор ввода (агенты,кассиры)

Оператор ввода информации

Ввод информации, отправка в БД

АРМ администратора БД

Администратор БД

Администратор БД

Получение, хранение, выдача информации

Почтовый

сервер

Администратор БД и ИБ

Администраторы БД и ИБ

Обеспечение электронной почты

Сервер резервного

копирования

Администратор СУБД

Администраторы БД и ИБ

Определение правил безопасности доступа к данному компоненту, контроль аудита, доступ к аппаратным средствам компонента, чтение данных на компоненте

АРМ отдела безопасности

Администратор ИБ и БД

Администратор ИБ

Обеспечение ИБ

Выход в Интернет

Операторы, администраторы БД и ИБ

Администраторы БД и ИБ

Обеспечение связи с телекоммуникационными предприятиями, прием данных от абонентов

Сервер обработки

информации

Системный администратор

Администратор БД

Оператор обработки информации

Системный администратор

Конфигурация сетевых настроек компонента, установка ОС и ПО, чтение, создание, модификация и удаление данных на компоненте

АРМ руководства

Руководство

Системный администратор

Получение, обработка информации

АРМ бухгалтера

Бухгалтер

Системный администратор

Получение, обработка и пересылка информации БД

Таблица 1 - Определение полномочий пользователей по отношению к аппаратным компонентам ИС

При идентификации информационных ресурсов ИС учитывается то, что не вся информация в организации требует обеспечение максимального уровня безопасности. Для каждого вида информации определяется уровень защиты. Информация в организации классифицируется на критичную и чувствительную. Критичность информации подразумевает, что информация должна быть доступна там и тогда, когда она требуется для непрерывности и живучести бизнеса. Критичность информации прямо связана с критичностью процессов доступа к информации.

По степени критичности информация может быть, например, следующей:

· существенная - информация или интенсивность обработки информации, потеря которой может нанести серьезный или непоправимый ущерб организации;

· важная - информация или интенсивность обработки информации, потеря которой может нанести средний, но поправимый ущерб организации;

· нормальная - информация или интенсивность обработки информации, потеря которой представляет минимальное разрушение.

Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней. При категорировании чувствительной информации необходимо отвечать на вопрос: «Каково возможное влияние на организацию неавторизованной модификации, раскрытия или разрушения информации и какова вероятность возникновения такого влияния?».

По степени чувствительности могут быть выделены следующие виды информации:

· высоко чувствительная - информация высшей чувствительности, неправильное обращение с которой вероятно приведет к значительному ущербу для организации. Примерами являются информация о приобретениях/продажах, стратегические бизнес-планы, криптографические ключи и материалы.

· чувствительная - информация, неправильное обращение с которой может привести к существенному ущербу для организации. Примерами являются персональная данные, информация о клиентах, бюджеты департаментов.

· внутренняя - информация, неправильное обращение с которой может нанести некоторый ущерб организации. Примерами являются телефонные книги, функции подразделений организации.

· открытая - информация, одобренная для опубликования. Открытая информация не создается сразу как открытая, а получает такую классификацию после опубликования.

В зависимости от особенностей деятельности организации к информации может быть применена другая классификация. Например, деление информации по степени критичности относительно доступности, целостности и конфиденциальности.

Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес-цели организации.

По степени критичности относительно доступности виды информации могут быть следующие:

· критическая - информация, без которой работа субъекта останавливается;

· очень важная - информация, без которой субъект может работать, но очень короткое время;

· важная - информация, без которой субъект может работать некоторое время, но рано или поздно она понадобится;

· полезная - информация, без которой субъект может работать, но ее использование экономит ресурсы;

· несущественная - устаревшая или неиспользуемая информация, не влияющая на работу субъекта.

По степени критичности относительно целостности виды информации могут быть следующие:

· критическая - информация, несанкционированное изменение которой приведет к неправильной работе субъекта; последствия модификации необратимы;

· очень важная - информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы;

· важная - информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы;

· значимая - информация, несанкционированное изменение которой скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы;

· незначимая: информация, несанкционированное изменение которой не скажется на работе системы.

По степени критичности относительно конфиденциальности виды информации могут быть следующие:

· критическая - информация, разглашение которой приведет к невозможности реализации целей системы или к значительному ущербу;

· очень важная - информация, разглашение которой приведет к значительному ущербу, если не будут предприняты некоторые действия;

· важная - информация, разглашение которой приведет к незначительному ущербу, если не будут предприняты некоторые действия;

· значимая - информация, разглашение которой приведет только к моральному ущербу;

· незначимая - информация, разглашение которой не влияет на работу системы.

Таблица 2 - Идентификация информационных ресурсов.

Информационный ресурс

Ответствен

ный за информационный ресурс

Пользователь

Полномочия пользова

теля по отношению к ресурсу

Степень чувствительности ресурса

Степень критичности информации

Информация о выплатах

администра-тор ИБ

Операторы,

руководство, бухгалтер

занесение/удаление, чтение

Высоко чувстви-тельная

Существен-ная

Информация о приёме платежей

администра-тор ИБ

оператор

руководство, бухгалтер

Занесение/удаление, чтение

Высоко чувствитель-ная

Существен-ная

Информация по вкладам

Администра-торы БД и ИБ,

Операторы,

руководство, бухгалтер

Дополнение и ознакомление

Высоко чувствитель-ная

Существенная

Информация по ведению бух-ии

бухгалтер,

администратор ИБ

бухгалтер

занесение/удаление, чтение

внутренняя

важная

Информация по управле

нию системой безопасности

Администра-тор ИБ

Администра

тор ИБ

Занесение/удаление, ознакомлени, изменение

Чувствитель-ная

Важная

информация об управлении БД

администра-тор БД

администра-тор БД

Поддерживает работу всей организации на основе последнего анализа организации

Чувствитель-ная

существенная

Информация о сотрудниках

Администра-

тор БД,

Руководство, отдел кадров,

бухгалтер

Ознакомле-ие, дополнение и анализ

Внутренняя

Важная

Информация о выплатах и информация о приёме платежей получили статус высокочувствительной и существенной, потому что неправильное обращение или потеря её может нанести серьезный или непоправимый ущерб организации. Восстановить эти данные очень сложно.

Информация по вкладам признана высоко чувствительной и важной, так как неправильное обращение с ней может привести к материальному ущербу и приостановке деятельности организации, речь идёт о неразглашение конфиденциальной информации.

Информация по ведению бухгалтерии определена как внутренняя и важная, т.к. неправильное обращение и потеря ее, может привести к приостановке деятельности и материальному ущербу. В случае потери или несанкционированной модификации данную информацию можно восстановить.

Информации по управлению системой безопасности и информация об управлении БД назначена степень чувствительности - чувствительная, так как неправильное обращение с ней может нанести ущерб учреждению.

Информация о сотрудниках является внутренней, так как ее потеря может привести к некоторому ущербу учреждению.

Ответственным за сохранность информации является каждый пользователь в соответствии со своими служебными полномочиями.

На основе результатов анализа на базе структурной модели разрабатывается информационно - логическая модель ИС организации. На ней с привязкой к компонентам структуры и конфигурации среды ИС и среды организации показываются локализация объектов защиты, циркуляция ИР, подлежащих защите, сфера действия протоколов информационных технологии в ИС и операционных системах (ОС).

На основе определенных полномочий пользователя и степени критичности и чувствительности информации строится информационно - логическая (инфологическая) модель ИС.

Исходя из предыдущего анализа, ясно, что защите подлежат следующие информационные ресурсы:

1. Информация по вкладам

2. Информация о выплатах

3. Информация о приёме платежей

4. Информация по ведению бухгалтерии

5. Информация по управлению системой безопасности

6. Информация о сотрудниках

7. Информация по управлению БД

2. Разработка перечня угроз и их описания на основе стандартной модели угроз

2.1 Описание угроз

Список угроз взят в соответствии с номером варианта:

· неавторизованное раскрытие защищаемой информации;

· Ухудшение обслуживания пользователей защищаемой информации.

После составляется детальное описание каждой угрозы из этого списка. Описание каждой угрозы соответствует модели угроз, которая включает в себя:

· нападения пригодные для реализации угрозы (возможность, методы, уязвимости);

· объекты нападений;

· тип потери (конфиденциальность, целостность, доступность и т. д.);

· масштаб ущерба;

· источники угрозы. Для источников угроз - людей, модель нарушителя должна включать:

? указание их опыта;

? указание знаний;

? указание доступных ресурсов, необходимых для реализации угрозы;

? возможную мотивацию их действий.

1. Неавторизованное раскрытие защищаемой информации.

Эта угроза является случайным или преднамеренным выпуском информации людьми, с осуществлением или без осуществления доступа к информационному процессу во время выполнения их обычных обязанностей.

· Физический уровень:

Возможность нападения: средняя;

Уязвимость: доступное расположение и незащищенность кабельных линий и соответствующего оборудования от повреждений;

Метод нападения: преднамеренный обрыв сетевого кабеля или розетки, использование специальной аппаратуры, позволяющей перехватывать пакеты сообщений и осуществлять их замену, а также другая спец. аппаратура;

Объект нападения: аппаратное оборудование, носители информации;

Тип потери: затруднение деятельности, целостность;

Мотивация нападения: безответственное отношение или корыстные цели.

Источник угрозы: персонал или постороннее лицо;

Опыт: не обязателен;

Знания: присутствуют;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Сетевой уровень:

Возможность нападения: низкая.

Уязвимость: отсутствие проверки прав и возможностей пользователя;

Метод нападения: неавторизованное использование сетевых аппаратных средств или коммутатора, использование программы для взлома сетей;

Объект нападения: сетевые аппаратные средства, коммутатор;

Тип потери: потеря конфиденциальности информации;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Опыт: не обязателен;

Знания: присутствуют;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Уровень сетевых приложений:

Возможность нападения: средняя;

Уязвимость: отсутствие проверки прав и возможностей пользователя;

Метод нападения: несанкционированное использование почтовых программных средств, использование чужого логин-пароля;

Объект нападения: сеть, почтовые программные средства;

Тип потери: потеря конфиденциальности информации;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Знания: информационные;

Опыт: не обязателен;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Уровень операционных систем (ОС):

Возможность нападения: средняя;

Уязвимость: отсутствие проверки прав и возможностей пользователя;

Метод нападения: несанкционированное использование ОС, вход под чужим логин-паролем;

Объект нападения: ОС;

Тип потери: потеря конфиденциальности информации, затруднение деятельности, целостность;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Опыт: начальный уровень;

Знания: присутствуют;

Доступные ресурсы: информационные;

Масштаб ущерба: высокий.

· Уровень систем управления базами данных (СУБД):

Возможность нападения: средняя;

Уязвимость: уязвимость СУБД, ошибки пользователей, сбой ОС.

Метод нападения: несанкционированное использование СУБД;

Объект нападения: СУБД;

Тип потери: потеря конфиденциальности информации;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Опыт: не обязателен;

Знания: средний уровень;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Уровень приложений, обеспечивающих реализацию основных функций ИС:

Возможность нападения: высокая;

Уязвимость: доступность приложений;

Метод нападения: несанкционированное использование приложений, обеспечивающих реализацию основных функций ИС;

Объект нападения: приложения, обеспечивающие реализацию основных функций ИС;

Тип потери: потеря конфиденциальности информации, затруднение деятельности, целостность;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Опыт: не обязателен;

Знания: средний уровень;

Доступные ресурсы: АРМ;

Масштаб ущерба: высокий.

· Уровень бизнес-процессов организации:

Возможность нападения: высокая;

Уязвимость: отсутствие проверки прав и возможностей пользователя;

Метод нападения: неавторизованный доступ к БД;

Объект нападения: бизнес-процессы организации;

Тип потери: потеря конфиденциальности информации, затруднение деятельности;

Возможная мотивация действий: безответственное отношение, корыстный интерес;

Источник угрозы: персонал, посторонние;

Опыт: не обязателен;

Знания: средний уровень;

Доступные ресурсы: не обязательны;

Масштаб ущерба: высокий.

2. Ухудшение обслуживания пользователей защищаемой информации.

Эта угроза являются незапланированной потерей доступности или сниженной производительностью всего информационного процесса или его части на короткие или продолжительные периоды времени.

· Физический уровень:

Возможность нападения: средняя;

Уязвимость: открытость доступа к линиям связи, кабелям, неисправность в канале связи;

Методы нападения: частичное или неполное выведение из строя аппаратных средств;

Объект нападения: сетевое оборудование, аппаратные ресурсы;

Тип потери: затруднение деятельности, потеря производительности;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

Источник угроз: персонал;

Опыт: начальный уровень;

Знания: не обязательны;

Доступные ресурсы: не обязательны;

Масштаб ущерба: низкий.

· Сетевой уровень:

Возможность нападения: средняя;

Уязвимость: использование некачественного программного обеспечения;

Методы нападения: перегрузка системы, сбой в операционной системе, частичное выведение из строя сетевого оборудования;

Объект нападения: сетевые аппаратные средства;

Тип потери: затруднение деятельности;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

Источник угроз: персонал;

Опыт: начальный уровень;

Знания: не обязательны;

Доступные ресурсы: не обязательны;

Масштаб ущерба: низкий.

· Уровень сетевых приложений:

Возможность нападения: средняя;

Уязвимость: использование некачественного программного обеспечения, определяется ошибками драйверов;

Методы нападения: перегрузка системы, сбой в операционной системе, внедрение программного кода;

Объект нападения: сетевые аппаратные средства;

Тип потери: затруднения в деятельности организации;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

Источник угроз: вирусы, персонал, администраторы, злоумышленники: конкуренты, хакеры, фрикеры; и т.п.;

Опыт: средний уровень;

Знания: не обязательны;

Доступные ресурсы: не обязательны;

Масштаб ущерба: средний.

· Уровень операционных систем (ОС):

Возможность нападения: средняя;

Уязвимость: изъяны используемой операционной системы;

Методы нападения: выведение из строя ОС программным кодом;

Объект нападения: операционная система АРМ;

Тип потери: затруднение деятельности;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.).

Источник угроз: вирусы;

Опыт: средний уровень;

Знания: не обязательны;

Доступные ресурсы: не обязательны;

Масштаб ущерба: средний.

· Уровень систем управления базами данных (СУБД):

Возможность нападения: средняя;

Уязвимость: использование некачественного программного обеспечения, неполная автоматизация сервера БД;

Методы нападения: несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД;

Объект нападения: АРМ администратора СУБД, сервер обработки БД, сервер резервного копирования;

Тип потери: затруднение деятельности, целостность;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.

Источник угроз: персонал, оборудование, программное обеспечение;

Опыт: средний уровень;

Знания: необходимые для выполнения своих должностных обязанностей;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Уровень приложений, обеспечивающих реализацию основных функций ИС:

Возможность нападения: средняя;

Уязвимость: использование некачественного программного обеспечения, неполная автоматизация сервера БД;

Методы нападения: умышленное нанесение вреда системе администратором БД, перегрузка системы, сбой;

Объект нападения: информация, хранящаяся на сервере обработки данных и на сервере резервного копирования;

Тип потери: затруднение деятельности, целостность;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.

Источник угроз: персонал, оборудование, программное обеспечение;

Опыт: начальный уровень;

Знания: необходимые для выполнения своих должностных обязанностей;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

· Уровень бизнес-процессов организации:

Возможность нападения: средняя;

Уязвимость: использование некачественного программного обеспечения, неполная автоматизация сервера БД, недобросовестное исполнение должностных обязанностей;

Методы нападения: несвоевременное исправление ошибок СУБД, умышленное нанесение вреда системе администратором БД, перегрузка системы, сбой;

Объект нападения: информация, хранящаяся на сервере обработки данных и на сервере резервного копирования;

Тип потери: затруднение деятельности, целостность;

Возможная мотивация действий: отсутствует (или небрежность, халатность и т. п.), умышленное нанесение вреда ИС.

Источник угроз: персонал, оборудование, программное обеспечение;

Опыт: средний уровень;

Знания: необходимые для выполнения своих должностных обязанностей;

Доступные ресурсы: информационные;

Масштаб ущерба: средний.

2.2 Квалификация угроз актуальных для информационной системы

При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 3.

Таблица 3 - Категории возможных потерь

Категории возможных потерь

Описание

Денежная потеря

Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса.

Потеря производительности

Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов

Затруднения для организаций

Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность

Составим матрицу оценки рисков.

Уровни риска подразделяются на:

Высокий (В): значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.

Средний (С): номинальная денежная потеря, потеря производительности или случающиеся затруднения.

Низкий (Н): минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.

Таблица 4 - Матрица оценки рисков

Зона

уязвимости

Угроза

Риск денежной

потери

Риск потери

производ-ти

Риск

затрудне ния

Физический

уровень

Неавторизованное раскрытие защищаемой информации

С

С

Н

Ухудшение обслуживания

Н

Н

Н

Сетевой

уровень

Неавторизованное раскрытие защищаемой информации

С

С

С

Ухудшение обслуживания

Н

Н

Н

Уровень сетевых

приложений

Неавторизованное раскрытие защищаемой информации

С

Н

Н

Ухудшение обслуживания

Н

С

Н

Уровень ОС

Неавторизованное раскрытие защищаемой информации

С

В

В

Ухудшение обслуживания

Н

С

С

Уровень СУБД

Неавторизованное раскрытие защищаемой информации

С

С

Н

Ухудшение обслуживания

Н

С

С

Уровень приложений,

необходимых

для реализации

основных

функций ИС

Неавторизованное раскрытие защищаемой информации

В

В

В

Ухудшение обслуживания

С

В

С

Уровень бизнес-процессов

организации

Неавторизованное раскрытие, защищаемой инф-ции

В

В

В

Ухудшение обслуживания

С

С

С

Таблица 5 - Оценка риска

Категория потерь

Зона уязвимости

Денежная

потеря

Потеря

производительности

Затруднения

Общий риск

Физический

уровень

Н

С

Н

Н

Сетевой

уровень

С

С

Н

Н

Уровень сетевых

приложений

С

С

С

С

Уровень ОС

В

С

С

В

Уровень СУБД

С

С

С

С

Уровень приложений,

необходимых

для реализации

основных

функций ИС

В

С

В

В

Уровень бизнес-процессов

организации

В

С

В

В

Как видно из таблицы 5 и 4 актуальными угрозами, объектом атаки которых является чувствительная либо высоко чувствительная информация, для организации являются:

· угроза неавторизованного раскрытия информации на уровне операционных систем, на уровне СУБД, на уровне приложений, необходимых для реализации основных функций ИС и на уровне бизнес - процессов;

· угроза ухудшения обслуживания на уровне приложений, необходимых для реализации основных функций ИС и бизнес - процессов;

3. Политика безопасности организации

Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности.

В процессе разработки политики безопасности формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. На основе свода правил создается политика безопасности.

Правило 1:

В организации должны проводиться проверки выполняемых действий персонала.

Правило 2:

В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности.

Положения:

· пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности. Об инцидентах, связанных с безопасностью следует немедленно сообщать администратору.

Правило №3:

Обеспечение защиты СУБД и хранение информации.

Положения:

· пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности;

· администратор имеет право читать, записывать, модифицировать и удалять - только при разрешении выше стоящего руководства;

· хранение информации в БД защищенной паролем;

· один раз в сутки осуществлять резервное копирование на внешнее устройство - внешний USB «винчестер» (жесткий магнитный диск).

Правило №4:

Обеспечение защиты бизнес-процессов филиала коммерческого банка.

Положения:

· обязательное дублирование информации, хранимой в базах данных различных уровней;

· периодическая (лучше ежедневная) актуализация всех баз данных в информационной системе (эта мера исключает возможность фальсификации сведений "задним числом");

· для достижения необходимого уровня защиты информации со стороны программных средств использовать средства сетевых операционных систем.

Правило №5

Управление доступом.

Положения:

· использование уникальных паролей;

· проверка паролей администратором системы для подтверждения прав пользования системой или услугами;

· содержание пароля в секрете;

· изменение пароля в случае признаков компрометации пароля;

· выбор качественных паролей: длина пароля должна быть не менее 8 символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы; пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.), а также общепринятые сокращения; при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; полная плановая смена паролей должна проводиться регулярно не реже одного раза в месяц;

· идентификация, аутентификация и верификация пользователей;

· запись успешных и неудавшихся доступов к системе;

· ограничение времени доступа;

· принудительная аварийная сигнализация для защиты пользователей.

Правило №6

Защита от вредоносного ПО.

Положения:

· установка и регулярное обновление антивирусных баз и исправление ПО;

· проведение регулярного пересмотра содержимого ПО;

· проверка любых вложений электронной почты и скачиваемой информации на наличие вредоносного ПО;

· процедуры и планы по предотвращению введения вредоносного ПО;

· использование только лицензированное ПО.

Таблица 6 - Политика безопасности организации

Правила ИБ

Ответственные

Виды защитных мер

В организации должны проводиться проверки выполняемых действий персонала

Администратор ИБ

Организационные и технические

В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности

Администратор ИБ

Организационные

Обеспечение защиты СУБД и хранение информации

Персонал (операторы АРМ, администраторы)

Организационные и технические

Обеспечение защиты бизнес-процессов филиала коммерческого банка

Персонал (операторы АРМ, администраторы)

Организационные и технические

Управление доступом

Персонал (операторы АРМ, администраторы)

Организационные и технические

Защита от вредоносного ПО

Администраторы ИБ и СУБД

Организационные и технические

Заключение

В связи с увеличением в последнее время компьютерных преступлений, вопросы по обеспечению информационной безопасности становятся всё более актуальными. К сожалению, нет единых правил политики безопасности, поэтому решением данной проблемы является организация комплексных мер информационной защиты, разработанных для конкретной организации.

В данной курсовой работе был проведен анализ высокоуровневых угроз, взятых из варианта задания в филиале коммерческого банка.

Итогом курсовой работы стало создание политики безопасности, на основе построенной информационной системы и ее структурной и инфологической модели, выявления наиболее чувствительной информации, проведенной оценки рисков нападения.

Список использованной литературы

1. Алексеев В.М. Анализ угроз и разработка политики безопасности информационной системы организации: Методические указания к курсовой работе по дисциплине «Информационная безопасность».- Пенза 2007.- 30 с.: ил., табл., библиогр. назв.

2. Трифонов С.Е., Трифонова Л.И.. Методы и средства защиты информации.- Пенза 2002г.

3. Безруков Н.Н.. Вирусы и методы защиты от них. - Москва 1991 год.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены