Компьютерные сети
Характеристика основ информационной безопасности финансовой структуры. Анализ перечня основных классов источников ИБ. Расчет актуальных угроз структуры, имеющей систему дистанционного банковского обслуживания. Аспекты оценки рисков нарушения ИБ.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | реферат |
Язык | русский |
Дата добавления | 18.03.2015 |
Размер файла | 26,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Федеральное государственное образовательное учреждение
высшего профессионального образования
«Сибирский государственный университет телекоммуникаций и информатики»
(ФГОБУ ВПО «СибГУТИ»)
Кафедра: САПР
Курсовая работа на тему:
Компьютерные сети
Выполнила:
Студентка 3 курса гр. РИ-17, ф. МРМ,
гр. РИ-17 Матвеева Н.А.
Проверил:
преподаватель Гончаров. С. А.
Новосибирск 2013 г.
Введение
Проектирование информационных систем, является важной задачей в развитии ИТ инфраструктуры любого предприятия. В задачу проектирования информационных систем входят так же и следующие важные задачи это проектирование структурированных кабельных систем, проектирование систем информационной безопасности. Целью курсовой работы является усвоение навыков расчета пропускной способности структурированных кабельных сетей, расчета актуальных угроз информационной безопасности в соответствии с текущими нормативными документами. Однако поскольку область обеспечения информационной безопасности является стремительно развивающейся отраслью необходимо так же самостоятельно изучить литературу при отмене руководящих документов, указанных в источниках.
Вариант № 09
Исходные данные:
Существует финансовая структура имеющая систему дистанционного банковского обслуживания, и обслуживание физических и юридических лиц. Структура не распределенная.
Задание:
Рассчитать актуальные угрозы информационной безопасности при использование такой структуры
финансовый риск банковский
1. Информационная безопасность финансовой структуры
Правильная и адекватная оценка рисков нарушения информационной безопасности (ИБ) является ключевым элементом при построении эффективной системы управления информационной безопасности в любой кредитно-финансовой организации. Оценка рисков нарушения ИБ является составной частью системы менеджмента ИБ (СМИБ) организации банковской системы.
Управление рисками в сфере ИБ - процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.
Управление рисков должно начинается с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы в будущем.
После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта, который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.
Составление списка угроз поможет использовать разные подходы:
заранее подготовленные экспертами перечни угроз, из которых выбираются актуальные для данной системы;
анализ статистики происшествий в данной ИС происходит оценка частоты их возникновения; по ряду угроз;
«мозговой штурм», проводимый сотрудниками компании [9,46].
Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка можно произвести для вероятности возникновения угрозы и ущерба от нее по следующим пунктам:
вероятность:
высокая - очень вероятно, что угроза реализуется в течение следующего года;
средняя - возможно угроза реализуется в течение следующего года;
низкая - маловероятно, что угроза реализуется в течение следующего года.
Ущерб - мера величины потерь или вреда, наносимого активу:
высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
После идентификации угрозы и получении оценки риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе
Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:
стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;
снижение эффективности выполнения системой своих основных задач;
внедрение дополнительных политик и процедур для поддержания средства;
затраты на найм дополнительного персонала или переобучение имеющегося.
Последний пункт в этой методике - документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате, для дальнейшего использования или для проведения более глубокого анализа[4].
Методика рассчитана на управленцев отделов по обеспечению информационной безопасностью предприятия с экономическим уклоном. Производится анализ затрат и полученного эффекта от применения средства защиты информационной системы предприятия. Методика позволяет снизить риск до приемлемого уровня, что позволяет избежать максимальных затрат на обеспечение безопасности современными средствами ИБ.
Характерность для этой методики вызывает «мозговой штурм» проводимый сотрудниками организации, проведение анализа статистики происшествий для данных информационных систем.
Принимаются законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты.
Конец методики позволяет просчитать, с точки зрения финансирования, применение средства для обеспечения безопасности предприятия, учитывается стоимость приобретения решения, но и стоимость поддержания его работы. Примером здесь может выступить внедрение антивирусного средства с файерволом и спам фильтром для каждого компьютера в сети, то есть его закупка, и сопровождение в последующее время его работы на обеспечение безопасности предприятия в пределах сети. Сразу же применяется программно-аппаратный комплекс для обеспечения безопасности информационной системы предприятия.
Из расчетов курсовой работы:
Таблица 1 Допустимые/недопустимые риски нарушения ИБ
СВР угроз ИБ |
СТП нарушения ИБ |
||||
минимальная |
средняя |
высокая |
критическая |
||
нереализуемая |
допустимый |
допустимый |
допустимый |
допустимый |
|
минимальная |
допустимый |
допустимый |
допустимый |
недопустимый |
|
средняя |
допустимый |
допустимый |
недопустимый |
недопустимый |
|
высокая |
допустимый |
недопустимый |
недопустимый |
недопустимый |
|
критическая |
недопустимый |
недопустимый |
недопустимый |
недопустимый |
Риски нарушения ИБ могут быть оценены в количественной (денежной) форме. Оценка рисков нарушения ИБ в количественной форме проводится с целью формирования резервов на возможные потери, связанные с инцидентами ИБ, и определяется на основании количественных оценок:
- СВР угроз ИБ, выраженной в количественной форме (процентах) (далее - СВР угроз ИБ);
- СТП нарушения ИБ, выраженной в количественной (денежной) форме (далее - СТП нарушения ИБ).
Оценки СВРугроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:
Таблица 2 Рекомендуемая шкала соответствия СВР угроз ИБ и СВР угроз ИБ
Величина СВР Угроз ИБ |
Величина СВР угроз количественная |
|
Нереализуемая |
0% |
|
Минимальная |
От 1 до 20% |
|
Средняя |
От 21% до 50% |
|
Высокая |
От 51 % до 100% |
|
Критическая |
100% |
Оценки СТП нарушения ИБ формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, в количественную форму в соответствии со следующей рекомендуемой шкалой:
Таблица 3 Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП нарушения ИБ
Величина СТП нарушения ИБ |
Величина СТП нарушения ИБ количественная |
|
Минимальная |
До 0,5% от величины капитала БС РФ |
|
Средняя |
От 0,5% до 1,5% от величины капитала БС РФ |
|
Высокая |
1,5% до 3% от величины капитала БС РФ |
|
критическая |
Более 3% от величины капитала БС РФ |
Таблица 4 Рекомендуемый перечень основных классов источников ИБ и их описание
Источник угрозы ИБ |
Описание |
|
Класс 1. Источники угроз ИБ, связанные с неблагоприятными событиями природного, техногенного и социального характера |
||
Пожар |
Неконтролируемый процесс горения, сопровождающийся уничтожением материальных ценностей и создающий опасность для жизни людей. Возможные причины: поджог, самовозгорание, природное явление |
|
Нарушение электропитания |
Нарушение или снижение качества электропитания. Возможные причины: техногенная катастрофа, стихийное бедствие, природное явление, террористический акт, пожар и т.п. Возможные последствия: сбои и отказы технических средств |
|
Класс 2. Источники угроз ИБ, связанные с деятельностью террористов и лиц, совершающих преступления и правонарушения |
||
Террористические действия |
Совершение взрыва, поджога или иных действий, устрашающих население и создающих опасность гибели людей, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения организацией БС РФ, а также угроза совершения указанных действий в тех же целях |
|
Промышленный шпионаж |
Передача, собирание, похищение или хранение информационных активов организации БС РФ для использования их в ущерб организации БС РФ |
|
Запугивание и шантаж |
Принуждение персонала организации БС РФ к осуществлению несанкционированных действий, заключающееся в угрозе разоблачения, физической расправы или расправы с близкими |
|
Класс 3. Источники угроз ИБ, связанные с деятельностью поставщиков/провайдеров/партнеров |
||
Зависимость от партнеров/клиентов |
Зависимость от партнеров заставляет организацию полагаться на их информационную безопасность, организация должна быть уверена, что партнер сможет обеспечить должный уровень безопасности либо учитывать данный источник угроз |
|
Ошибки, допущенные при заключении контрактов с провайдерами внешних услуг |
Неточности и неопределенности в договоре с провайдером внешних услуг, которые могут создавать проблемы в работе заказчика |
|
Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла |
Ошибки в обеспечении безопасности при разработке, эксплуатации, сопровождении и выводе из эксплуатации информационных систем |
|
Использование программных средств и информации без гарантии источника |
Использование в информационной системе организации непроверенных данных или нелицензионного программного обеспечения |
|
Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, разрушениями/повреждениями программных и технических средств |
||
Разрушение/повреждение, аварии технических средств и каналов связи |
Физическое разрушение/повреждение технических средств (канала связи) или определенное сочетание отказов его элементов, приводящее к нарушениям функционирования, сопряженным с особо значительными техническими потерями, делающее невозможным функционирование технического средства (канала связи) в целом в течение значительного периода времени. Возможные причины: действие внешних (физический несанкционированный доступ, террористический акт, техногенная катастрофа, стихийное бедствие, природное явление, массовые беспорядки) и/или внутренних (значительные отказы элементов технических средств) факторов. Возможные последствия: нарушение свойств информационных активов, их утрата, нарушение непрерывности выполнения процессов, снижение качества информационных услуг(сервисов) |
|
Сбои и отказы программных средств |
Нарушение работоспособности программных средств. Возможные причины: недопустимое изменение параметров или свойств программных средств под влиянием внутренних процессов (ошибок) и/или внешних воздействий со стороны вредоносных программ, оператора и технических средств. Возможные последствия: нарушение свойств информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов) |
|
Сбои и отказы технических средств и каналов связи |
Прерывание работоспособности технических средств или невозможность выполнения ими своих функций в заранее установленных границах. Возможные причины: недопустимое изменение характеристик технических средств под влиянием внутренних процессов, сложность технических средств, нехватка персонала, недостаточное техническое обслуживание. Возможные последствия: сбои, отказыпрограммных средств, аварии систем, нарушение доступности информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов) |
|
Нарушения функциональности криптографической системы |
Случайное или намеренное неправильное управление криптографическими ключами, криптографическими протоколами и алгоритмами, программно-аппаратными средствами систем криптографической защиты информации, приводящее к потере конфиденциальности, целостности и доступности информации, нарушению неотказуемости приема- передачи информации, блокировке функционирования платежных и информационных систем организации БС РФ |
|
Нарушения функциональности архивной системы |
Нарушение конфиденциальности и целостности архивных данных и/или непредоставление услуг архивной системой (нарушение доступности) вследствие случайных ошибок пользователей или неправильного управления архивной системой, а также вследствие физических воздействий на компоненты архивной системы |
|
Класс 5. Источники угроз ИБ, связанные с деятельностью внутренних нарушителей ИБ |
||
Ошибка персонала |
Любые не соответствующие установленному регламенту или сложившимся практикам действия персонала, совершаемые без злого умысла. Возможные причины: недостаточно четко определенные обязанности, халатность, недостаточное обучение или квалификация персонала. Возникновению ошибок способствуют отсутствие дисциплинарного процесса и документирования процессов, предоставление избыточных полномочий, умышленное использование методов социального инжиниринга по отношению к персоналу. Возможные последствия: нарушение конфиденциальности и целостности информации, утрата информационных активов, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов), сбои и отказы технических и программных средств |
|
Хищение |
Совершенное с корыстной целью противоправное безвозмездное изъятие и/или обращение имущества организации БС РФ, причинившие ущерб собственнику или иному владельцу этого имущества |
|
Выполнение вредоносных программ |
Внедрение в систему и выполнение вредоносных программ: программных закладок, "троянских коней", программных "вирусов" и "червей" и т.п. Возможные причины: беспечность, халатность, низкая квалификация персонала (пользователей), наличие уязвимостей используемых программных средств. Возможные последствия: несанкционированный доступ к информационным активам, нарушение их свойств, сбои, отказы и уничтожение программных средств, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов) |
|
Нарушения персоналом организационных мер по обеспечению ИБ |
Несоблюдение персоналом требований внутренних документов, регламентирующих деятельность по ИБ |
|
Класс 6. Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ |
||
Неконтролируемое уничтожение информационного актива |
Неумышленное уничтожение информационных активов. Возможные причины: сбои оборудования, природные факторы и техногенные катастрофы. Возможные последствия: прямой ущерб организации |
|
Несанкционированный |
Физический несанкционированный доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов. Возможные причины: может осуществляться путем обхода средств контроля физического доступа или использования утраченных/похищенных средств обеспечения доступа. Возможные последствия: разрушение и уничтожение технических и программных средств, нарушение конфиденциальности, целостности, доступности информационных активов, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов) |
|
Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям надзорных и регулирующих органов, действующему законодательству |
||
Несоответствие внутренних документов действующему законодательству |
Несоответствие деятельности может привести к административным и уголовным санкциям со стороны судебных, надзорных и регулирующих органов в отношении должностных лиц подразделения, вызвать остановку отдельных видов деятельности |
Заключение
Основное содержание данной курсовой работы - это расчет угроз информационной безопасности.
Операционная деятельность финансовых структур, связанная непосредственно с деньгами, особенно привлекательна для кибер злоумышленников. Специалисты в области ИБ по-прежнему видят большие проблемы в защищенности дистанционного банковского обслуживания (ДБО). Мошенничество в банковской сфере заставляет банки внедрять дорогие системы борьбы с фродом, наносящим им значительный ущерб.
Библиография
1. Методические рекомендации к выполнению курсовой работы по курсу «Компьютерные сети»
2. С.Н. Родин, Ю.В. Родина, Анализ рисков информационной безопасности на основе применения аппарата нечеткой логики. VII Научно-техническая конференция молодых ученых, аспирантов и студентов, посвященная 60-летию Победы в Великой Отечественной Войне. Тезисы докладов, часть I, РХТУ им. Д.И. Менделеева. Новомосковск, 2005 г., - 172 с.
3. Стандарт Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2010. Дата введения 21.06.2010. Принят и введен в действие Распоряжением Банка России от 21 июня 2010 года № Р-705.
Размещено на Allbest.ru
Подобные документы
Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Выявление структуры и свойств незащищённой сети, основных угроз безопасности и видов сетевых атак на систему. Формирование требований защиты. Классификация, построение и методы реализации VPN. Настройка фильтров координатора в сети с Proxy-серверами.
курсовая работа [92,3 K], добавлен 21.06.2011Общие понятие и компоненты системы безопасности, типы угроз. Компьютерные преступления и способы их совершения. Разработка и распространение компьютерных вирусов. Ущерб от нарушения информационной безопасности, ответственность по данным преступлениям.
реферат [248,9 K], добавлен 17.06.2013Анализ структуры незащищенной сети и выявление потенциальных угроз информационной безопасности. Исследование функции туннелирования открытого трафика локальной сети. Характеристика защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами.
курсовая работа [851,1 K], добавлен 22.06.2011Класс защищённости разрабатываемой подсистемы. Горизонтальная модель сети. Описание возможных угроз. Меры по устранению угроз безопасности сети. Механизмы защиты вертикальной структуры сети. Прикладное и общесистемное программное обеспечение.
курсовая работа [36,6 K], добавлен 28.11.2008Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016