Анализ угроз и разработка политики безопасности информационной системы организации

Министерство образования  Российской Федерации

            ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

 

 

 

 

 

                                                       УТВЕРЖДАЮ 

Зав. кафедрой ИБСТ, доцент

_______________В.М.Алексеев

«____»  ____________  ______г.

ОТЧЕТ

О КУРСОВОЙ РАБОТЕ

Анализ угроз и разработка политики безопасности информационной системы  организации

АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ РАЙОННОЙ НАЛОГОВОЙ ИНСПЕКЦИИ.

 

 

 

 

 

Руководитель работы, доцент __________________ В. М. Алексеев

    подпись, дата

 

Нормоконтролер   ___________________ Т. В. Щербакова

    подпись, дата

Исполнитель

студент гр. 01ПИ1   _____________________Р.М. Дубин

    подпись, дата

 

 

Пенза 2010

 

Реферат

 

Пояснительная записка содержит 59 с., 2 рис.,  16 табл..

 

ИНФОРМАЦИОННАЯ СИСТЕМА, РАЙОННАЯ НАЛОГОВАЯ ИНСПЕКЦИЯ, АНЛИЗ  УГРОЗ, УЯЗВИМОСТЬ, CRAMM, ОЦЕНКА РИСКОВ, ПОЛИТИКА БЕЗОПАСНОСТИ.

 

 Объектом исследования в данной курсовой работе является информационная система районной налоговой инспекции, описание угроз на различных уровнях, разработка политики безопасности.

Целью работы является овладение  основами разработки моделей информационной безопасности телекоммуникационных систем и применения системного подхода  к обеспечению информационной безопасности телекоммуникационных систем.

В процессе работы была изучена информационная система организации, разработана  структурная и инфологическая модель, произведен анализ угроз и выполнена  оценка рисков.

      Анализ угроз и оценка риска производилась по методике документа ISO TR 13335.

В результате работы была разработана  политика безопасности предприятия - оператора  сотовой связи.

 

 

 

содержание

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ………………………………………59 
содержание

 

Нормативные ссылки

В настоящем отчете использованы ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий»;

 

Термины и определения

 

В настоящем отчете применены следующие  термины с соответствующими определениями:

 

анализ риска: Это систематическое  использование информации для выявления  опасности и количественной оценки риска (по ГОСТ Р 51898-2002 ).

архитектура "Клиент-сервер": Данные размещаются на специальной машине (сервере), а доступ к ним пользователей  осуществляется по компьютерной сети с рабочих станций (машин-клиентов).

звездообразная топология сети: Структура, при которой все компьютеры, включая файл-сервер, не связываются непосредственно друг с другом, а с помощью кабеля витая пара присоединяются к концентратору.

концентратор (многопортовый  повторитель или хаб): Это устройство, которое концентрирует функции объединения компьютеров в сеть, а также усиления и регенерации сигналов.

оценка риска: Это общий процесс  анализа риска и оценивания риска (по ГОСТ Р 51898-2002 ).

распределенные базы данных: Обеспечивают средства интеграции локальных баз  данных, располагающихся в некоторых  узлах вычислительной сети, с тем, чтобы пользователь, работающий в  любом узле сети, имел доступ ко всем этим базам данных как к единой базе данных. Иными словами обеспечивается распределенное хранение и обработка информации.

риск: Это сочетание вероятности  нанесения ущерба и тяжести этого  ущерба (по ГОСТ Р 51898-2002 ).

сервер БД (файл-сервер): Комбинация аппаратных и программных средств, которая служит для управления сетевыми ресурсами общего доступа. Он обслуживает другие станции, предоставляя общие ресурсы и услуги для совместного использования. Файл-сервер выполняет только задачи управления сетью и не используются как  РС или АРМ. Это повышает производительность сервера и надежность работы всей сети

ущерб: Это нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде (по ГОСТ Р 51898-2002 ).

 

Обозначения и сокращения

 

АРМ – автоматизированное рабочее место (персональный компьютер),

БПО – бизнес процессы организации,

ИБ – информационная безопасность,

ИР – информационные ресурсы,

ИС - информационная система,

НСД – несанкционированный доступ,

ПБ – политика безопасности,

ПО – программное обеспечение,

ОС – операционная система,

СУБД – система управления баз  данных.

 

Введение

 

В настоящее время в России наблюдается  рост интереса к проблемам информационной безопасности, который объясняется  бурным развитием крупномасштабных информационных систем, а также совершенствованием технических и программных средств нарушения информационной безопасности. Обеспечение совокупности защитных мер, таких как:

- правовые, устанавливающие юридические  нормы владения, управления и  ответственности при обладании активами;

- организационные, определяющие  порядок работ по обеспечению  безопасности всех субъектов; 

- административные, регламентирующие  доступ субъектов к активам; 

- программные, реализующие в  программной среде политику безопасности  путем выполнения специальных настроек на оборудовании;

- технические, реализующие политику  безопасности техническими средствами.

позволяют более эффективно реагировать на вновь создаваемые  технические и программные средства, осуществляющие дестабилизирующее  воздействие на информацию и бизнес-функции информационной системы.

Создание единых правил для всех пользователей информационной системы, четкое соблюдение рекомендованных  правил политики информационной безопасности, позволяет добиться такого уровня функционирования организации, при котором осуществление угроз будет наименее вероятным.

Для обеспечения организационных  мер по поддержанию информационной безопасности формируется политика информационной безопасности. На практике под информационной безопасностью  понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.

Выявление уязвимостей информационной системы, перечня актуальных угроз их оценка рисков и построение политики безопасности информационной системы районной налоговой инспекции и является основным предметом рассмотрения в данной работе.

 

1. Разработка структурной  и инфологической моделей информационной системы районной налоговой инспекции

1.1. Бизнес-цель:

Осуществление контроля за отчислениями налоговых платежей физическими и юридическими лицами.

1.2 Бизнес-функции:

 Учёт налогоплательщиков (предприятий, организаций, физических и юридических лиц) (постановка налогоплательщика на учет в налоговых органах, открытие/закрытие предпринимательства, финансовое состояние, доходы, имущество). При этом вся информация о налогоплательщике заносится в единый, централизованный государственный реестр налогоплательщиков с присвоением каждому индивидуального ИНН.

Контроль поступления налогов посредством:

- Фиксация приема налоговых платежей 

- Расчет налоговых ставок для  приема платежей 

- Контроля за своевременностью  и полнотой поступления налогов в соответствии с законодательством.

- Анализа доходов инспектируемых  предприятий и физических лиц.

- Контроль за отчислениями в  различные фонды (пенсионные, соц.  страхования и др.).

1.3. Назначение  информационной системы:

- автоматизация выполнения бизнес-функций и повышение эффективности их реализации;

- создание единой информационной  сети, позволяющей эффективно хранить,  обрабатывать, анализировать и использовать  информацию о налогообложениях, платежах и налогоплательщиках.

- улучшение оперативности принятия решений;

- повышение производительности  труда;

- снижение количества вычислительных  ошибок при помощи автоматизации  процесса обработки информации;

- содействие эффективному и  безопасному хранению и доступу  к информации;

 

ИС представляет собой  систему управления базой данных(СУБД). Сама БД является частью распределенной базы данных налоговых инспекций других районов и налоговых организаций более высокого уровня (областной, общероссийской и др.). СУБД реализована на технологии "Клиент-сервер".

Возможные варианты реализации ИС: СУБД, предназначенные для построения небольших БД (локальных, или с использованием архитектуры "клиент-сервер" с небольшим числом пользователей) наиболее распространены язык запросов SQL, Visual FoxPro и Access. Для построения мощных многопользовательских систем чаще всего используются Oracle, MS SQL Server, DB2 и др. Более подробная информация об организации ИС приводится в подпункте

1.4. Рабочие  процессы:

Ввод:

Первоначальным источником всей необходимой для выполнения бизнес-функций информации является налогоплательщик. Налогоплательщик (инспектируемое предприятие, организация или физическое лицо) предоставляет информацию, через представителя, курьера, или самого предпринимателя, на различных носителях:

- бумажных (различная документация, предоставляемая налогоплательщиком по почте, факсу)

- электронных (дискеты, диски,  или электронные документы, поступившие  с электронной почтой).

Также данные о налогоплательщике, такие как факты оплаты, ее своевременность  и др. информация может поступать из финансовых отделов, аналитических отделов инспекции, по данным проверок налоговой инспекции и налоговой полиции (в виде документации на бумажном или электронном носителе).

В любом из описанных  случаев информация поступает к  оператору автоматизированного рабочего места (АРМ). Он является получателем информации.

 

Обработка:

Доступ к информации осуществляется в соответствии с  рабочими обязанностями пользователей (операторами автоматизированных рабочих  мест (АРМ)) на их рабочих местах. При этом информация (как обработанная, так и еще не подвергшаяся обработке) перемещается по следующим основным направлениям:

- сервер обработки  – концентратор – АРМы;

- АРМы – концентратор  – сервер обработки;

- глобальная сеть Internet  - концентратор – почтовый сервер - сервер обработки.

- сервер обработки–  почтовый сервер – концентратор - глобальная сеть Internet.

- сервер обработки  – концентратор – сервер резервного  копирования.

- сервер резервного  копирования– концентратор –  сервер обработки(в случае сбоя работы сервера обработки).

К информации имеет доступ строго ограниченный круг лиц: операторы  АРМ, администратор ИБ, администратор  БД, в соответствии со своими обязанностями  и полномочиями (ввод, дополнение, модификация  информации и др.). При необходимости доступ могут получить и другие сотрудники (напр. заместители или лица, занимающие вышестоящие должности) в установленном порядке, однако их действия по отношению к информации также ограничены полномочиями и обязанностями.

При выполнении бизнес-функций  используются следующие процессы:

процессы обработки  информации, выполняемые вручную, например: ввод информации с клавиатуры, или  сканера, поиск информации в архивах; занесение и извлечение информации из архива, перевод документов в  электронный вид, а также работа с финансовой документацией, различные расчеты т.п.

 автоматизированные  процессы обработки информации  с использованием лицензионных  программных приложений, являющихся  СУБД, для осуществления действий, таких как поиск информации  в БД по определенным параметрам, дополнение, модификация информации, и т.п.

Работа с информацией  осуществляется непосредственно на АРМ. При этом используется строго аппаратура, предусмотренная комплектностью АРМ (ПК, телефон, принтер, сканер др.).

 

Вывод:

После процесса обработки информация может быть модифицирована или содержать добавления. Таким образом, существующая БД постоянно расширяется и изменяется. При необходимости информация на сервере может быть уничтожена, но только в установленном порядке администратором БД, т.к. информацию о налогоплательщике нельзя бесследно изъять из БД, она может быть лишь перенесена на постоянное хранение в архив. Уничтожение информации предусмотрено только на случай ошибочного ввода данных о клиенте.

Информация распространяется от АРМ на сервер обработки, оттуда на сервер резервного копирования, где и хранится. Для занесения в архив информация может быть зафиксирована на бумажном носителе. В данном случае отправителем информации является оператор АРМ, получателем - БД.

1.5. Построение  структурной модели ИС

Для построения инфологической модели ИС необходимо определить аппаратные и информационные ресурсы организации, а также объекты защиты.

Аппаратные ресурсы:

Конфигурация (структурная модель) ИС состоит из следующих элементов:

- почтового сервера, оборудованного встроенной интерфейсной платой (сетевой адаптер) или внешним модемом. На почтовый сервер информация поступает через Интернет по выделенному каналу;

- сервер базы данных (файл-сервер), на котором установлена система  управления базами данных (СУБД) и производится автоматизированный анализ текущей ситуации;