Автор: Пользователь скрыл имя, 25 Сентября 2012 в 18:51, курсовая работа
Для обеспечения организационных мер по поддержанию информационной безопасности формируется политика информационной безопасности. На практике под информационной безопасностью понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.
- сервера резервного
- автоматизированных рабочих
- автоматизированного рабочего
места администратора
- автоматизированного рабочего места администратора БД.
- концентратор
АРМы и серверы соединяются с кабелем коммуникационной подсети с помощью встроенных интерфейсных плат - сетевых адаптеров (СА). Основные функции СА: организация приема (передачи) данных с (на) АРМ, согласование скорости приема (передачи) информации (буферизация), формирование пакета данных, параллельно-последовательное преобразование (конвертирование), кодирование (декодирование) данных, проверка правильности передачи, установление соединения с требуемым абонентом сети, организация обмена данными. Предположим, что в данном случае в качестве кабельной передающей среды используется оптимальный вариант – оптоволоконный кабель. Для организации сети с большой пропускной способностью (сотни Мбит/с).
Графическое изображение структуры ИС приведено на рисунке 1:
Рисунок 1 - Структурная модель ИС
Пользователями ИС и ответственными за аппаратные ресурсы являются операторы АРМ, администратор БД и администратор ИБ. Идентификация аппаратных ресурсов представлена в таблице 1:
Таблица 1 - Идентификация аппаратных ресурсов
аппаратный компонент |
пользователи | ||
операторы АРМ |
администратор БД |
администратор ИБ | |
АРМы |
ввод, обработка, вывод информации |
ввод, обработка, вывод и удаление, установка ОС и ПО, обслуживание, конфигурирование |
Доступ к информации, реализация защитных мер |
Сервер БД |
- |
ввод, обработка, установка ОС и ПО, конфигурирование и обслуживание |
Доступ к информации, реализация защитных мер |
Сервер резервного копирования, |
- |
установка ОС и ПО, конфигурирование и обслуживание |
Доступ к информации, реализация защитных мер |
Почтовый сервер |
- |
установка ОС и ПО, конфигурирование и обслуживание |
Доступ к информации, реализация защитных мер |
Концентраторы |
- |
конфигурирование и обслуживание |
Реализация защитных мер |
Информационные ресурсы:
База данных налогоплательщиков (ИР1) – совокупность всех данных о всех налогоплательщиках, их персональные данные, идентификационные номера, и т.п.
Информация требует
наивысшей степени защищенности
Ответственный: администратор БД, администратор ИБ.
Пользователь: оператор АРМ, имеет полномочия вносить изменения в отдельные записи, добавлять записи, получать доступ к записям БД, администратор БД имеет полномочия вносить изменения в отдельные записи, добавлять записи, получать доступ к записям БД, удалять записи в соответствии с установленным порядком.
Отдельные записи БД о налогоплательщиках (ИР2) – эти записи содержат вновь введенные или модифицированные данные о налогоплательщике, куда входят его персональные данные, идентификационный номер, информация о доходах, имуществе и т.п.
Информация требует
наивысшей степени
Ответственный: оператор АРМ.
Пользователь: оператор АРМ, имеет полномочия вносить изменения в записи, добавлять записи.
Правовая информация (ИР3): законодательство РФ о налогообложении (налоговый кодекс, являющийся основным источником информации об организации и правилах сбора налоговых платежей и др. информации по налогообложению).
Информация требует
наивысшей степени
Ответственный: администратор БД.
Пользователь: оператор АРМ, имеет полномочия использовать ИР в процессе работы, с целью ознакомления, уведомления, в качестве базы для принятия решения, или осуществления расчетов.
Информация в организации классифицируется на критичную и чувствительную.
По степени критичности могут быть выделены следующие виды информации:
Таблица 2 - Идентификация ИР по степени критичности, представленная в виде матрицы
Вид информации |
Существенная |
Важная |
Нормальная |
ИР1 |
+ |
- |
- |
ИР2 |
- |
+ |
- |
ИР3 |
- |
- |
+ |
По степени чувствительности могут быть выделены следующие виды информации:
Таблица 3 - Идентификация ИР по степени чувствительности, представленная в виде матрицы
Вид информации |
Высоко чувствительная |
Чувствительная |
Внутренняя |
Открытая |
ИР1 |
+ |
- |
- |
- |
ИР2 |
- |
+ |
- |
- |
ИР3 |
- |
- |
- |
+ |
По степени критичности относительно доступности могут быть выделены следующие виды информации:
Таблица 4 - Идентификация ИР по степени критичности относительно доступности, представленная в виде матрицы
Вид информации |
Критическая |
Очень важная |
Важная |
Полезная |
Несущественная |
ИР1 |
+ |
- |
- |
- |
- |
ИР2 |
+ |
- |
- |
- |
- |
ИР3 |
- |
- |
- |
+ |
- |
По степени критичности относительно целостности могут быть выделены следующие виды информации:
Таблица 5 - Идентификация ИР по степени критичности относительно целостности, представленная в виде матрицы
Вид информации |
Критическая |
Очень важная |
Важная |
Значимая |
Незначимая |
ИР1 |
- |
+ |
- |
- |
- |
ИР2 |
- |
- |
+ |
- |
- |
ИР3 |
- |
- |
- |
+ |
- |
По степени критичности относительно конфиденциальности могут быть выделены следующие виды информации:
Таблица 6 - Идентификация ИР по степени критичности относительно конфиденциальности, представленная в виде матрицы
Вид информации |
Критическая |
Очень важная |
Важная |
Значимая |
Незначимая |
ИР1 |
- |
+ |
- |
- |
- |
ИР2 |
- |
- |
+ |
- |
- |
ИР3 |
- |
- |
- |
- |
+ |
Идентификация информационных ресурсов представлена в таблице 7:
Таблица 7 – Идентификация информационных ресурсов
Информационный ресурс |
Ответственный |
Пользователь |
Полномочия пользователя |
Место хранения |
Фаза жизненного цикла на которой необходима наибольшая защита |
Степень критичности |
База данных налогоплательщиков (ИР1) |
администратор БД, администратор ИБ |
оператор АРМ, |
внесение изменений в записи, добавление записей, получение доступа к записям БД, |
Сервер базы данных, сервер резервного копирования |
обработка, хранение, передача. |
существенная |
|
администратор БД имеет |
внесение изменений в записи, добавление записей, получение доступа к записям БД, удаление записи в соответствии с установленным порядком. | |||||
Отдельные записи БД о налогоплательщиках (ИР2) |
оператор АРМ |
оператор АРМ |
внесение изменений в записи, добавление записей |
АРМ |
передача, модификация |
важная |
Правовая информация (ИР3): |
администратор БД |
оператор АРМ |
использование ИР в процессе работы |
Сервер БД, сервер, резервного хранения |
передача |
нормальная |
Информационно-логическая модель приведена на рисунке 2:
Рисунок 2 - Информационно-логическая модель ИС.
На основе стандартного перечня угроз ISO/IEC PDTR 13335 применительно к информационным и программным ресурсам информационной системы районной налоговой инспекции и на основе их идентификации относительно пользователей, ответственных лиц, а так же критичности и чувствительности информации были выделены уровни информационно – технологической инфраструктуры, на которых актуальна та или иная угроза из списка ISO/IEC PDTR 13335. Актуальность угроз представлена в таблице 8:
Таблица 8 - Актуальности угроз на каждом уровне информационно - технологической инфраструктуры
Угрозы |
Уровни инф. - техн. инфраструк. | ||||||
Физический |
Сетевой |
Сетевых приложений |
Операционных систем |
Систем управления БД |
Приложений |
Бизнес - процессов | |
Наводнение |
+ |
- |
- |
- |
- |
- |
- |
Молния |
+ |
- |
- |
- |
- |
- |
- |
Пожар (огонь) |
- |
- |
- |
- |
- |
- |
+ |
Преднамеренное повреждение |
+ |
+ |
- |
- |
- |
- |
- |
Авария источника мощности |
+ |
- |
- |
- |
- |
- |
- |
Авария в подаче воды |
- |
- |
- |
- |
- |
- |
- |
Авария воздушного кондиционирования |
- |
- |
- |
- |
- |
- |
- |
Неисправности аппаратных средств |
+ |
- |
- |
- |
- |
- |
- |
Колебание мощности |
+ |
- |
- |
- |
- |
- |
- |
Электромагнитное излучение |
- |
- |
- |
- |
- |
- |
- |
Неавторизованное использование среды хранения |
- |
- |
- |
- |
+ |
- |
- |
Износ среды хранения |
- |
- |
- |
- |
+ |
- |
- |
Операционная ошибка персонала |
- |
- |
- |
- |
+ |
+ |
- |
Авария программного обеспечения |
- |
- |
- |
+ |
+ |
+ |
- |
Использование программного обеспечения неавторизованными пользователями |
- |
- |
+ |
+ |
- |
+ |
- |
Использование программного обеспечения неавторизованным способом |
- |
- |
- |
+ |
- |
+ |
- |
Подделка идентификатора пользователя |
- |
- |
- |
- |
- |
- |
+ |
Нелегальное использование программного обеспечения |
- |
- |
- |
+ |
- |
+ |
- |
Вредоносное программное обеспечение |
- |
- |
- |
+ |
- |
- |
- |
Ошибка технического обслуживания |
+ |
+ |
- |
- |
- |
- |
- |
Использование сетевых средств неавторизованным способом |
- |
- |
+ |
- |
- |
- |
- |
Техническая неисправность компонентов сети |
- |
+ |
- |
- |
- |
- |
- |
Ошибка при передаче |
- |
- |
+ |
- |
- |
- |
- |
Повреждения в линиях связи |
- |
+ |
- |
- |
- |
- |
- |
Перегрузка трафика |
- |
+ |
- |
- |
- |
- |
- |
Перехват |
- |
- |
- |
- |
- |
- |
- |
Проникновение в коммутации |
- |
+ |
- |
- |
- |
- |
- |
Анализ трафика |
- |
- |
+ |
- |
- |
- |
- |
Ошибочная маршрутизация сообщений |
- |
- |
+ |
- |
- |
- |
- |
Повторная маршрутизация сообщения |
- |
- |
+ |
- |
- |
- |
- |
Отрицание |
- |
- |
- |
- |
- |
- |
- |
Неисправность услуг связи |
- |
+ |
- |
- |
- |
- |
- |
Ошибка пользователя |
- |
- |
- |
- |
+ |
- |
- |
Неправильное использование ресурсов |
- |
- |
- |
- |
+ |
- |
- |
Дефицит персонала |
- |
- |
- |
- |
- |
- |
+ |