Построение системы защиты информации
Этапы создания системы защиты информации. Разработка документа о сведениях, составляющих коммерческую тайну предприятия. Пространственное расположение мест размещения источников защищаемой информации. Моделирование угроз безопасности и степени риска.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 20.03.2012 |
| Размер файла | 970,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
УФИМСКИЙ ГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Факультет ИРТ
Кафедра ВТиЗИ
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К КУРСОВОЙ РАБОТЕ
по дисциплине “Инженерно-техническая защита информации”
Выполнил: студент группы ЗИ-316
Карасев П.В.
Проверил: доцент,
кандидат технических наук
Машкина И.В.
Уфа 2004
Содержание
- Введение
- 1. Описание объекта защиты
- 1. Моделирование объекта защиты
- 1.1 Структурирование защищаемой информации
- 3. Анализ угроз для идентифицированных активов
- 4. Анализ ущерба
- 5. Оценка информационного риска
- 6. Управление информационными рисками
- 7. Оценка эффективности введенных мероприятий
- Заключение
- Список использованных источников
Введение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной структуры, субъектов, осуществляющих сбор, формирование, распространение и использования информации, а также системы регулирования возникающих при этом общественных отношений. Поэтому важную роль играет защита информации и объектов информатизации.
Первым шагом на пути построения системы защиты информации является разработка документа "Перечень сведений, составляющих коммерческую тайну предприятия". Работу по созданию перечня можно разбить на два этапа:
1) составление предварительного перечня;
2) анализ предварительного перечня, разработка окончательного перечня и его утверждение. Второй этап включает в себя описание пространственного расположения мест размещения источников защищаемой информации. Далее создаются поэтажные планировки зданий с указанием мест размещения источников информации и необходимыми комментариями. Третий этап создания системы защиты информации - моделирование угроз безопасности с целью оценки уязвимости объектов защиты и степени риска, при этом создаются модели технических и физических каналов утечки информации.
система защита информация безопасность
1. Описание объекта защиты
Рассмотренный в данной курсовой работе объект защиты представляет компанию, предоставляющую Интернет услуги. В ней существует несколько принципиально разных производств. Первое - это предоставление доступа к сети Интернет. Для реализации этой деятельности отведено специальное помещение - серверная, в которой находится постоянно работающий сервер. Второе - технологическое, оно занимается разработкой планов по прокладке и организации сетей, а также монтированием уже разработанных сетей. Третье - это предоставление услуги web money - перевод "реальных" денежных единиц в "виртуальные", на которые затем пользователь может совершать покупки через сеть Интернет. Также в компании имеются комнаты директора, замдиректора, бухгалтерия и операторная. На плане помещения все отделы и комнаты подписаны или обозначены соответствующими цифрами. Расшифровка цифр приведена в условных обозначениях.
1. Моделирование объекта защиты
1.1 Структурирование защищаемой информации
Для структурирования информации в качестве исходных данных используются: перечень сведений составляющих государственную, ведомственную и коммерческую тайны; перечень источников информации в организации. Структурирование информации производится путем классификации информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам.
К конфиденциальной информации относятся:
· сведения о клиентах фирмы
· сведения о деятельности фирмы
· сведения о системе безопасности фирмы
· служебная информация о финансовом положении фирмы
· переговоры с клиентами
В зависимости от степени важности и ценности информации определены три грифа конфиденциальности: конфиденциально, строго конфиденциально и особо конфиденциально.
Каждому грифу конфиденциальности соответствует своя условная цена единицы информации (Кбайт):
· конфиденциально - 0,1
· особо конфиденциально - 0,3
· строго конфиденциально - 1
Стоимость элемента информации определена в соответствии с формулой:
Ц = V * Z (1), где
Ц - цена защищаемой информации в условных единицах; V - объём защищаемой информации в килобайтах; Z - цена за 1 Кбайт информации.
Объем информации определяется по формуле:
V = Vэ + 2,5 * N (2),
где Vэ - объем информации представленной в электронном виде на магнитных или оптических накопителях (Кбайт); N - количество страниц в документе на бумажном носителе.
Формула (2) используется в случае, когда информация в электронном виде и на бумажном носителе дополняет друг друга. Многие элементы информации в рассматриваемом перечне дублируются, т.е. представлены и на бумажном носителе и в электронном виде, поэтому объем информации следует считать только для одного носителя.
Стоимости и объем элементов информации представлены в таблице 1.
Таблица 1. Объем и стоимость элементов информации.
|
Номер элемен-та информации |
Наименование элемента информации |
Количество страниц в документе |
Объем информации, Кб |
Стоимость информации, У. е. |
|
|
1.1 |
Уставы и юридические дела предприятий |
1000 |
2500 |
250 |
|
|
1.2 |
Система охраны фирмы |
100 |
250 |
250 |
|
|
1.3 |
Документы счета-фактуры |
3500 |
8750 |
875 |
|
|
1.4 |
Договора об оказании услуг |
1200 |
3000 |
300 |
|
|
1.5 |
Платежные поручения |
860 |
2150 |
645 |
|
|
1.6 |
Налоговые ведомости |
50 |
125 |
37,5 |
|
|
2.1 |
Имена пользователей и пароли |
- |
51200 |
51200 |
|
|
2.2 |
Карта сетей г. Уфы |
- |
153600 |
15360 |
|
|
2.3 |
Планы по прокладке сетей |
3000 |
7500 |
750 |
|
|
2.4 |
Система электронных платежей (web money) |
- |
640 |
64 |
|
|
3.1 |
Сведения о клиентах фирмы |
- |
256 |
76,8 |
|
|
3.2 |
Переговоры с клиентами и сотрудниками |
- |
- |
150 |
|
|
3.3 |
Телефонные переговоры |
- |
- |
60 |
Пункты 3.2 и 3.3 являются элементами информации, представленной в виде акустических или электрических (телефонные переговоры) сигналов. Для них стоимость информации определена в соответствии с экспертными оценками.
В соответствии с проведенным анализом результаты структурирования представлены в Таблице 2.
Таблица 2. Перечень элементов информации.
|
Номер элемента информации |
Наименование элемента информации |
Гриф конфиденциальности |
Цена информации, у. е. |
|
|
1.1 |
Уставы и юридические дела предприятий |
Конфиденциально |
250 |
|
|
1.2 |
Система охраны фирмы |
Строго конфиденциально |
250 |
|
|
1.3 |
Документы счета-фактуры |
Конфиденциально |
875 |
|
|
1.4 |
Договоры об оказании услуг |
Конфиденциально |
300 |
|
|
1.5 |
Платежные поручения |
Особо конфиденциально |
645 |
|
|
1.6 |
Налоговые ведомости |
Особо Конфиденциально |
37,5 |
|
|
2.1 |
Имена пользователей и пароли |
Строго конфиденциально |
51200 |
|
|
2.2 |
Карта сетей г. Уфы |
Конфиденциально |
15360 |
|
|
2.3 |
Планы по прокладке сетей |
Строго конфиденциально |
750 |
|
|
2.4 |
Система электронных платежей (web money) |
Конфиденциально |
64 |
|
|
3.1 |
Сведения о клиентах фирмы |
Строго конфиденциально |
76,8 |
|
|
3.2 |
Переговоры с клиентами и сотрудниками |
Строго конфиденциально |
150 |
|
|
3.3 |
Телефонные переговоры |
Особо конфиденциально |
60 |
Таблица 3. Структурная модель объекта защиты
|
Номер элемента информации |
Наименование элемента информации |
Гриф конфиденциальности |
Цена информации, у. е. |
Наименование источника информации |
Местонахождение источника информации |
|
|
1.1 |
Уставы и юридические дела предприятий |
Конфиденциально |
250 |
Документ на бумажном носителе |
Шкаф Ш4 в кабинете директора |
|
|
1.2 |
Система охраны фирмы |
Строго конфиденциально |
250 |
Документ на бумажном носителе |
Сейф в бухгалтерии |
|
|
1.3 |
Документы счета-фактуры |
Конфиденциально |
875 |
Документ на бумажном носителе Электронный документ на ЖМД |
Шкаф Ш2 Компьютеры К2 - К6 в бухгалтерии |
|
|
1.4 |
Договоры об оказании услуг |
Конфиденциально |
300 |
Документ на бумажном носителе Электронный документ на ЖМД |
Шкаф Ш3 Компьютеры К2 - К6 в бухгалтерии |
|
|
1.5 |
Платежные поручения |
Особо конфиденциально |
645 |
Документ на бумажном носителе Электронный документ на ЖМД |
Сейф Компьютеры К2 - К6 в бухгалтерии |
|
|
1.6 |
Налоговые ведомости |
Особо Конфиденциально |
37,5 |
Документ на бумажном носителе Электронный документ на ЖМД |
Сейф Компьютеры К2 - К6 в бухгалтерии |
|
|
2.1 |
Имена пользователей и пароли |
Строго конфиденциально |
51200 |
Электронная база данных на ЖМД сервера |
Сервер в серверной |
|
|
2.2 |
Карта сетей г. Уфы |
Конфиденциально |
15360 |
Программный продукт на ЖМД |
Компьютеры К7 - К9 в проектном отделе |
|
|
2.3 |
Планы по прокладке сетей |
Строго конфиденциально |
750 |
Документ на бумажном носителе Электронный документ на ЖМД Персонал |
Компьютеры К7 - К9 Шкаф Ш6 в проектном отделе Проектный отдел |
|
|
2.4 |
Система электронных платежей (web money) |
Конфиденциально |
64 |
Электронная база данных на ЖМД |
Компьютер К1 Сервер в серверной |
|
|
3.1 |
Сведения о клиентах фирмы |
Строго конфиденциально |
76,8 |
Электронная база данных на ЖМД |
Компьютеры К2 - К6 в бухгалтерии |
|
|
3.2 |
Переговоры с клиентами и сотрудниками |
Строго конфиденциально |
150 |
Директор, клиенты, сотрудники |
Кабинет директора и зам. директора |
|
|
3.3 |
Телефонные переговоры |
Особо конфиденциально |
60 |
Директор, клиенты, сотрудники |
Кабинет директора и зам. директора |
3. Анализ угроз для идентифицированных активов
Над вопросами обеспечения информационной безопасности сейчас задумываются все чаще. Есть понимание того, что бизнес компании с высоким уровнем автоматизации зависит от функционирования информационной системы. Но вот насколько велика эта зависимость? Какие компоненты информационной системы наиболее критичны? На все эти вопросы мы получим ответ после проведения анализа угроз информационной безопасности.
Общие требования к состоянию защищенности информационной системы предприятия:
обеспечение конфиденциальности финансовой информации, личной почтовой переписки, информации о проектах и/или заказчиках;
обеспечение непрерывности ведения бизнеса;
выполнения обязательств перед клиентами;
выполнение требований законодательства.
На этапе построения модели угроз и модели потенциального злоумышленника, составляется перечень угроз, проводится их формализованное описание, описание источников этих угроз (потенциального злоумышленника) и механизмов реализации. От того, какая будет принята модель угроз и злоумышленника, зависит очень многое и, в первую очередь, стоимость системы защиты. Действительно, разница в построении и затратах на систему информационной безопасности очевидна, если в качестве потенциального злоумышленника принимается:
1) внешняя персона, не имеющая какой-либо определенной мотивации на несанкционированные действия, но способная использовать общедоступный инструментарий для реализации атак.
2) конкурирующая организация, заинтересованная в экономическом шпионаже.
Строить же систему защиты, ориентируясь на все возможные угрозы, бессмысленно как с технологической, так и с финансовой точки зрения.
Таблица 4 - Характеристика моделей злоумышленников
|
Злоумышленник |
Угроза |
Причины |
Квалификация |
Используемые методы и средства |
|
|
1 |
2 |
3 |
4 |
5 |
|
|
Хакеры |
1. ведение XSS-атак (модификация web-страницы сайта); 2. кража электронных документов с компьютеров сотрудников; 3. заражение компьютеров. |
1. личные выгоды; 2. заказная работа; 3. самоутвержде-ние; 4. шантаж; |
1. умение разрабатывать вредоносные программы и их распространение и внедрение через сети Интернета; |
Трояны, пинчеры для незаметной кражи информации и, удаления следов присутствия. |
|
|
Сотрудники организации, сотрудники по обслуживанию серверного оборудования и локальной сети |
1. внедрение вредоносных программ, логических бомб при наличии непосредственного доступа к серверу; 2. установка закладочных устройств; 3. установка средств перехвата трафика (Интернет, электронная почта); |
1. личные выгоды; 2. заказная работа; 3. самоутвержде-ние; 4. шантаж; |
1. умение работать с закладочными устройствами; 2. умение разрабатывать и внедрять вредоносные программы; 3. методы социальной инженерии. |
1. методы социальной инженерии; 2. закладочные устройства; 3. вредоносные программы; 4. знание паролей доступа; 5. вхождение в доверие сотрудников организации; 6. знание “графика” присутствия сотрудников в кабинетах |
|
|
Рабочие по текущему или капитальному ремонту здания |
1. установка закладочных устройств; 2. кража документов; 3. установка средств ПЭМИН |
1. личные выгоды; 2. заказная работа; 3. самоутверждение; 4. шантаж; |
1. умение работать с закладочными устройствами; 4. знание установленных средств охраны здания (датчики, камеры) |
1. закладочные устройства; 2. вхождение в доверие сотрудников организации |
4. Анализ ущерба
Ущерб - это результат негативного изменения, вследствие каких-то событий, явлений, действий состояния объектов, выражающийся в нарушении их целостности или ухудшении других свойств; фактические или возможные социальные и экономические потери (нарушение процесса нормальной хозяйственной деятельности; утрата того или иного вида собственности, других материальных, культурных, исторических или природных ценностей).
Рисунок 1 - Виды ущерба от реализации угроз на предприятии.
По результатам экспертного анализа стоимость ущерба репутации организации от реализации угроз экспертами службы безопасности было оценено в размере 3148474,2 рублей.
Стоимость ущерба материальному состоянию - 4722711,3 рублей.
Стоимость ущерба от упущенной выгоды - 7871185,5 рублей.
5. Оценка информационного риска
Риск - это возможность того, что через уязвимые места информационной системы будет реализована угроза информационной безопасности и произойдет потеря или повреждение активов (ресурсов). Риск измеряется величиной потенциального ущерба и вероятностью нанесения такого ущерба Анализ и управление рисками - это процесс идентификации уязвимых мест и угроз в отношении ресурсов ИС и выработка контрмер для снижения рисков до приемлемого уровня, с учетом ценности ресурсов для организации.
Обеспечение информационной безопасности требует финансовых вложений. При этом возврат инвестиций от таких вложений не всегда очевиден. Проведение аналитической работы, позволяющей сопоставить бизнес-риски с рисками технологическими, выявить критичные ресурсы в ИС, угрозы нарушения информационной безопасности, оценить последствия от реализации угроз для деятельности организации, иными словами - проведение анализа рисков может стать обоснованием финансовых вложений в обеспечение информационной безопасности.
В ходе анализа бизнес-процессов, рассматриваемого в данной курсовой работе предприятия, я выделил следующие концепты:
Угрозы:
Кража; Антропогенные
Пожар; Техногенные
Разглашение; Стихийные бедствия
Вирусы;
Аппаратные и программные сбои;
Информационные активы:
База данных;
Конфиденциальная информация;
Программное обеспечение;
Web-money;
Финансы;
Аппаратные ресурсы;
Базисные факторы:
Снижение объемов продаж;
Эмоциональное психологическое состояние;
Целевые факторы:
Репутация;
Прибыль;
Таблица 5 - Обоснование влияния угрозы на управляющий фактор
|
Угроза |
Управляющий фактор |
Вес связи |
Обоснование |
|
|
Кража C (U) 1 |
База данных |
Сильно |
1. Нет авторизации при входе в БД.2. Данные в БД не шифруются.3. Сотрудники плохо информированы о способах защиты информации. |
|
|
Конфиденциальная информация |
Слабо |
1. Наличие сигнализации и вневедомственной охраны, датчиков движения и датчиков на открытие двери и разбития стекла.2. Вся конфиденциальная информация и финансы хранятся в сейфе. |
||
|
Финансы |
Слабо |
|||
|
Аппаратные ресурсы |
Слабо |
|||
|
Web-money |
Слабо |
1. Наличие сигнализации и вневедомственной охраны, датчиков движения и датчиков на открытие двери и разбития стекла.2. Покупатели не имеют прямого доступа к книгам. |
||
|
Программное обеспечение |
Сильно |
Все сотрудники имеют доступ к программному обеспечению. |
||
|
Пожар C (U) 2 |
База данных |
Слабо |
1. Вся конфиденциальная информация и финансы хранятся в несгораемом сейфе.2. Датчики дыма расположены в каждом помещении.3. Наличие огнетушителей.4. Сигнализация. |
|
|
Конфиденциальная информация |
||||
|
Финансы |
||||
|
Аппаратные ресурсы |
||||
|
Web-money |
||||
|
Программное обеспечение |
||||
|
Разглашение C (U) 3 |
Конфиденциальная информация |
Слабо |
Вся конфиденциальная информация и финансы хранятся в сейфе. |
|
|
Финансы |
Средне |
Сотрудники владеют информацией о финансовом состоянии предприятия |
||
|
Вирусы C (U) 4 |
База данных |
Сильно |
1. Сотрудники плохо информированы о способах защиты от вирусов.2. Отсутствие локальной сети усложняет обновление антивирусных программ |
|
|
Программное обеспечение |
Сильно |
|||
|
Аппаратные ресурсы |
Сильно |
|||
|
Аппаратные и программные сбои C (U) 5 |
Программное обеспечение |
Слабо |
1. Предприятие использует проверенное (лицензионное) программное обеспечение.2. Наличие бесперебойных источников питания на 60% ПК |
|
|
Аппаратные ресурсы |
Средне |
|||
|
Финансы |
Слабо |
Для устранения сбоев могут потребоваться определенные денежные средства. |
Таблица 6 - Обоснование выбора веса связей.
|
Управляющий фактор |
Промежуточный или целевой фактор |
Вес связи |
Обоснование |
|
|
1 |
2 |
3 |
4 |
|
|
База данных C6 |
Репутация |
Сильно |
Потеря или разглашение данных хранящихся в базе данных прямым образом скажется на репутации предприятия. Потеря доверия со стороны покупателей. |
|
|
Снижение объемов продаж |
Сильно |
Потеря данных хранящихся в базе данных повлечет за собой снижение объемов продаж, т.к. необходимо определенное время для восстановления данных. |
||
|
Эмоциональное и психологическое состояние |
Сильно |
Потеря данных хранящихся в базе данных повлечет за собой снижение эмоционального и психологического состояния сотрудников. 1. Поиск виновных (меры); 2. Восстановление данных. |
||
|
Прибыль |
Сильно |
Потеря данных хранящихся в базе данных повлечет за собой снижение прибыли, так как произойдет снижение репутации предприятия и объемов продаж. |
||
|
Конфиденциальная информация C7 |
Снижение объемов продаж |
Сильно |
Разглашение конфиденциальной информации (Заключённые контракты, экономические прогнозы, сведения о результатах продаж, стратегия действий на рынке и т.д.) повлечет за собой снижение конкурентоспособности защищаемого предприятия рынке CD-дисков. |
|
|
Репутация |
||||
|
Прибыль |
||||
|
Программное обеспечение C16 |
Прибыль |
Сильно |
1. Некорректная работа программного обеспечения повлечет за собой ошибки. Это в свою очередь повлияет на прибыль (время на обнаружение и устранения ошибок); 2. Поиск виновных (меры); |
|
|
Эмоциональное и психологическое состояние |
Средне |
|||
|
Web-money C8 |
Прибыль |
Средне |
Утрата CD-дисков прямым образом скажется на прибыли, так как повлечет за собой финансовые потери. |
|
|
Репутация |
Средне |
Репутация фирмы так же пострадает 1. Утрата товара на продажу; 2. Невыполнение обязательств перед покупателями; |
||
|
Материально-техническое состояние |
Средне |
CD-диски входят в состав материально - технического состояния защищаемого предприятия их утрата прямым образом скажется на этом факторе. |
||
|
Эмоциональное и психологическое состояние |
Средне |
1. Утрата товара на продажу; 2. Невыполнение обязательств перед покупателями; 3. Расследование и поиск виновных (меры); |
||
|
Финансы C9 |
Репутация |
Средне |
Финансовое благополучие предприятия прямым образом сказывается на его репутации. |
|
|
Прибыль |
Сильно |
Финансы оказывают прямое воздействие на прибыль, так как от этого фактора зависит товарооборот предприятия |
||
|
Эмоциональное и психологическое состояние |
Сильно |
Заработная плата сотрудников. |
||
|
Материально-техническое состояние |
Сильно |
Материально-техническое состояние напрямую зависит от того каким количеством денежных средств располагает предприятие. |
||
|
Аппаратные ресурсы C10 |
Материально-техническое состояние |
Сильно |
Между этими двумя факторами существует прямая связь, чем выше уровень аппаратные ресурсов, тем выше материально-техническое состояние предприятия. |
|
|
Снижение объемов C14 |
Репутация |
Средне |
Снижение прибыли. |
|
|
Прибыль |
Сильно |
Этот фактор прямым образом виляет на прибыль, так как она в свою очередь зависит от объема продаж. |
||
|
Материально-техническое состояние |
Средне |
Снижение объемов продаж повлечет за собой ухудшение материально-технического состояния предприятия. |
||
|
Эмоциональное и психологическое состояние C15 |
Репутация |
Средне |
Психо-эмоциональный настрой сотрудников в целом влияет на их производительность. (уровень продаж, ошибки при оформлении документов и отчетностей) |
|
|
Прибыль |
В программном пакете FSMBuilder v1.0 была построена нечеткая когнитивная карта, учитывающая эти факторы и дающая оценку информационных рисков предприятия.
Инструментальное средство FSMBuilder v1.0 предназначено для автоматизации анализа и управления информационными рисками предприятия (организации) путем построения нечеткой когнитивной карты и включает в себя следующие этапы:
1. Задание концептов, определяющих состояние информационной безопасности предприятия;
2. Определение направления и силы связи между концептами;
3. Построение нечеткой когнитивной карты;
4. Расчет матрицы достижимости;
5. Расчет рисков;
6. Управление рисками.
Нечеткая когнитивная карта (НКК) представляет собой нечеткую причинно-следственную сеть в форме графа, вершины которого соответствуют концептам (переменным), характеризующим моделируемую ситуацию, а дуги описывают причинно-следственные связи между ними. Концепт (фактор, переменная) - значимый фактор ситуации.
Связь задает влияние концепта-причины на концепт-следствие. При этом, если увеличение значения концепта-причины приводит к увеличению значения концепта-следствия, то влияние считается положительным ("усиление"), если же значение уменьшается - отрицательным ("торможение"). Вес связи определяет степень (интенсивность) влияния.
Рисунок 2 - Нечеткая когнитивная карта, построенная в программе FSMBuilder.
Рисунок 3 - Диаграмма с данными до внедрения контрмер
6. Управление информационными рисками
В процессе анализа влияния дестабилизирующих факторов на риски, было решено применить следующие контрмеры:
Таблица 7 - Описание контрмер
|
Угроза |
Управляющий фактор |
Контрмеры |
Цена, руб. |
|
|
Кража |
База данных |
1. Обучение сотрудников новым технологиям борьбы с кражами; 2. Замена паролей для входа в систему по истечении определнного срока; |
41200 |
|
|
Программное обеспечение |
||||
|
Вирусы |
Программное обеспечение |
1. Установка более качественного антивируса на все ПК; 2. Ежедневное обновление антивирусных баз. |
28790 |
|
|
Аппаратные ресурсы |
||||
|
Аппаратные и программные сбои |
База данных |
1. Повышение качества обслуживания и апгрейд установленного оборудования; 2. Резервное копирование; |
59000 |
|
|
Аппаратные ресурсы |
||||
|
Разглашение |
Конфиденциальная информация |
Подписание сотрудниками акта о неразглашении |
38000 |
7. Оценка эффективности введенных мероприятий
Для оценки эффективности введенных мероприятий и расчета рисков был использован пакет FCMBuilder. С учетом выявленных концептов и данных, предоставленных экспертами службы безопасности об ущербах от реализации угроз, оценим эффективность введенных мероприятий.
Эффективность введенных мероприятий = = 55,9 %
Рисунок 4 - Диаграмма с данными после внедрения контрмер
Заключение
В результате выполнения курсового проекта была постороена модель объекта защиты, смоделированы угрозы безопасности информации.
Все расчеты проводились с помощью пакета FCMBuilder. По полученным результатам:
1. Построена модель объекта защиты:
1. Были выявлены наиболее опасные каналы утечки информации;
2. Произведена оценка риска от реализации угроз на предприятии:
3. Разработаны контрмеры по уменьшению рисков от реализации угроз на предприятии;
4. Произведена оценка введенных контрмер, которая составила 55,9%.
Список использованных источников
1. Петренко, С.А., Симонов, С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс, 2005. - 384 с.
2. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации:. учеб. пособие для вузов. М.: Горячая линия - Телеком, 2004. - 280 с.
3. Ярушкина, Н.Г. Основы теории нечетких и гибридных систем: Учеб. пособие. - М.: Финансы и статистика, 2004. - 320 с.
4. Шоломицкий А.Г. Теория риска. Выбор при неопределенности и моделирование риска: Учеб. пособие для вузов. Гос. ун-т - Высшая школа экономики. - М.: Изд. дом ГУ ВШЭ, 2005. - 400 с.
5. http://www.fstec.ru - официальный сайт ФСТЭК при Президенте РФ
6. http://si. ibs.ru - Как установить приоритеты при обеспечении информационной безопасности.
Размещено на Allbest.ru
Подобные документы
Защита выделенного помещения. Структурирование защищаемой информации. Перечень сведений, составляющих государственную или коммерческую тайну. Моделирование угроз безопасности информации. Каналы утечки информации. Скорость распространения носителя.
курсовая работа [66,4 K], добавлен 22.02.2011Моделирование объектов защиты информации. Структурирование защищаемой информации. Моделирование угроз безопасности: способы физического проникновения, технические каналы утечки информации, угрозы от стихийных источников. Инженерно-техническое мероприятия.
курсовая работа [794,1 K], добавлен 13.07.2012Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
курсовая работа [458,9 K], добавлен 23.05.2013Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.
курсовая работа [92,4 K], добавлен 21.10.2008Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Характеристика предприятия Datalif. Проектирование и внедрение системы защиты информации в компьютерной сети с рекомендациями по внедрению аппаратных средств обеспечения безопасности информации. Модель нарушителя и угроз, оценка риска их реализации.
курсовая работа [1,3 M], добавлен 30.03.2011Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010Организационно-правовое обеспечение защиты информации. Характеристика систем телевизионного наблюдения. Назначение и принцип действия акустических сенсоров. Задачи службы безопасности, ее состав. Работа с документами, содержащими коммерческую тайну.
контрольная работа [35,3 K], добавлен 14.04.2009Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.
презентация [288,1 K], добавлен 22.12.2015
