Компьютерные сети

Размещено на http://www.allbest.ru

Федеральное государственное образовательное учреждение

высшего профессионального образования

«Сибирский государственный университет телекоммуникаций и информатики»

(ФГОБУ ВПО «СибГУТИ»)

Кафедра: САПР

Курсовая работа на тему:

Компьютерные сети

Выполнила:

Студентка 3 курса гр. РИ-17, ф. МРМ,

гр. РИ-17 Матвеева Н.А.

Проверил:

преподаватель Гончаров. С. А.

Новосибирск 2013 г.

Введение

Проектирование информационных систем, является важной задачей в развитии ИТ инфраструктуры любого предприятия. В задачу проектирования информационных систем входят так же и следующие важные задачи это проектирование структурированных кабельных систем, проектирование систем информационной безопасности. Целью курсовой работы является усвоение навыков расчета пропускной способности структурированных кабельных сетей, расчета актуальных угроз информационной безопасности в соответствии с текущими нормативными документами. Однако поскольку область обеспечения информационной безопасности является стремительно развивающейся отраслью необходимо так же самостоятельно изучить литературу при отмене руководящих документов, указанных в источниках.

Вариант № 09

Исходные данные:

Существует финансовая структура имеющая систему дистанционного банковского обслуживания, и обслуживание физических и юридических лиц. Структура не распределенная.

Задание:

Рассчитать актуальные угрозы информационной безопасности при использование такой структуры

финансовый риск банковский

1. Информационная безопасность финансовой структуры

Правильная и адекватная оценка рисков нарушения информационной безопасности (ИБ) является ключевым элементом при построении эффективной системы управления информационной безопасности в любой кредитно-финансовой организации. Оценка рисков нарушения ИБ является составной частью системы менеджмента ИБ (СМИБ) организации банковской системы.

Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.

Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.

После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.

Составление списка угроз поможет использовать разные подходы:

заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;

анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз;

«мозговой штурм», проводимый сотрудниками компании [9,46].

Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).

Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:

вероятность:

высокая - очень вероятно, что угроза реализуется в течение следующего года;

средняя - возможно угроза реализуется в течение следующего года;

низкая - маловероятно, что угроза реализуется в течение следующего года.

Ущерб - мера величины потерь или вреда, наносимого активу:

высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;

средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;

низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.

После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе

Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:

стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;

снижение эффективности выполнения системой своих основных задач;

внедрение дополнительных политик и процедур для поддержания средства;

затраты на найм дополнительного персонала или переобучение имеющегося.

Последний пункт в этой методике - документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].

Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.

Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.

Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.

Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.

Из расчетов курсовой работы:

Таблица 1 Допустимые/недопустимые риски нарушения ИБ

Риски нарушения ИБ могут быть оценены в количественной (денежной) форме. Оценка рисков нарушения ИБ в количественной форме проводится с целью формирования резервов на возможные потери, связанные с инцидентами ИБ, и определяется на основании количественных оценок:

- СВР угроз ИБ, выраженной в количественной форме (процентах) (далее - СВР угроз ИБ);

- СТП нарушения ИБ, выраженной в количественной (денежной) форме (далее - СТП нарушения ИБ).

Оценки СВРугроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:

Таблица 2 Рекомендуемая шкала соответствия СВР угроз ИБ и СВР угроз ИБ

Оценки СТП нарушения ИБ формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, в количественную форму в соответствии со следующей рекомендуемой шкалой:

Таблица 3 Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП нарушения ИБ

Таблица 4 Рекомендуемый перечень основных классов источников ИБ и их описание

Заключение

Основное содержание данной курсовой работы - это расчет угроз информационной безопасности.

Операционная деятельность финансовых структур, связанная непосредственно с деньгами, особенно привлекательна для кибер злоумышленников. Специалисты в области ИБ по-прежнему видят большие проблемы в защищенности дистанционного банковского обслуживания (ДБО). Мошенничество в банковской сфере заставляет банки внедрять дорогие системы борьбы с фродом, наносящим им значительный ущерб.

Библиография

1. Методические рекомендации к выполнению курсовой работы по курсу «Компьютерные сети»

2. С.Н. Родин, Ю.В. Родина, Анализ рисков информационной безопасности на основе применения аппарата нечеткой логики. VII Научно-техническая конференция молодых ученых, аспирантов и студентов, посвященная 60-летию Победы в Великой Отечественной Войне. Тезисы докладов, часть I, РХТУ им. Д.И. Менделеева. Новомосковск, 2005 г., - 172 с.

3. Стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2010. Дата введения 21.06.2010. Принят и введен в действие Распоряжением Банка России от 21 июня 2010 года № Р-705.

Размещено на Allbest.ru