Обеспечение целостности информации

Автор: Пользователь скрыл имя, 24 Июня 2015 в 00:07, курсовая работа

Краткое описание

Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:
расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи
вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса
отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем

Скачать в ZIP (1.99 Мб) Сколько стоит заказать работу?

Файлы: 1 файл

Курсовой проект обеспечение целостности информации.docx

— 2.06 Мб (Скачать)

Для моделирования различных бизнес-процессов в организациях используется специализированное программное обеспечение (CASE-средства).

Бизнес-процессы делятся на основные, обеспечивающие и бизнес-процессы управления.

Бизнес-процессы, происходящие в банке

Рисунок 5

3.4 Определение и описание информационных потоков

Информационным потоком от объекта А к объекту В называется преобразованием информации в объекте А, зависящее от информации в объекте В.

Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).

Анализ информационных потоков на предприятии помогает понять механизм работы самого предприятия. В процессе изучения информационных связей и информационных потоков изучаются процессы возникновения, движения и обработки информации, а также направленность и интенсивность документооборота на предприятии.

Электронно-цифровые потоки информации.

Рисунок 6

Все документы проходят через администратора и хранятся в центральном сервере. Это определяет важность защиты отдела администратора от всех разновидностей угроз, так как он имеет доступ ко всем электронным данным, которыми располагает объект защиты.

3.5 Классификация информации по видам тайн

Основная информация, циркулирующая в локальной сети между отделениями, относится к конфиденциальной информации.

Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация становится доступной или раскрытой только санкционированным лицам, объектам илипроцессам.

Таблица 2. Классификация информации

Должность	Документ	Данные содержащиеся в документе	Вид тайны	Закон
Управляющий банком	Весь документооборот	Различные накладные, кассовые справки, сметы и др.	Персональные данные и коммерческая тайна	ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, ст. 138 УКРФ
Главный бухгалтер	Ведомости о доходах сотрудников	ФИО сотрудников, адрес, должность, информация о доходах	Персональные данные	ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ
Оператор\кассир	Накладные, извещения, бланки	Реквизиты клиента	Персональные данные, служебная тайна	ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ
Охранник	Личные данные	ФИО сотрудников, должность(отдел)	Персональные данные	ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ

В системе циркулирует информация, содержащая коммерческую и служебную тайны, а так же персональные данные.

Так как сотрудники работают с информацией разного уровня конфиденциальности, СУИБ должна определять функции выполняемые пользователями, наделять их правами в соответствии с должностными инструкциями и разграничивать доступ к информации разных уровней.

В отделении банка сотрудники имеют разный доступ к информации и в системе происходит оперирование данными различных уровней (таблица 2):

3.6 Описание угроз, модель нарушителя

Угроза безопасности информации – это потенциальная возможность нарушения основных качественных характеристик (свойств) информации при ее обработке техническими средствами: секретности/конфиденциальности, целостности, доступности.

Схема модели нарушителя

Рисунок 7

Основные угрозы, которым должна противостоять система управления информационной безопасностью:

Попытки НСД в систему;
Умышленное уничтожение, искажение или хищение программных данных, конфиденциальных и иных документов;
Вирусы и иные деструктивные программы;
Несанкционированное изменение состава и конфигурации СУИБ;
Системные ошибки ИС;
Ошибки персонала, которые могут повлечь за собой неработоспособность ИС.

Все вышеперечисленное может повлечь за собой утечку важной информации, неправильную работу автоматизированной системы банка либо ее полное прекращение. Данным угрозам должна противодействовать СУИБ, что обеспечит защиту программ, данных и документов.

Таблица 3. Виды угроз

Виды угроз	Содержание
Физическая	Уничтожение, повреждение, разрушение средств обработки информации, телекоммуникации и связи.
	Перехват информации в технических каналах связи и телекоммуникационных системах.
	Уничтожение, повреждение, разрушение, хищение магнитных и других носителей информации.
	Воздействие на пароль-ключ системы защиты средств обработки и передачи информации.
Информационная	Противозаконный сбор и использование информации.
	Хищение информационных ресурсов.
	Осуществление НСД к информации и ее противоправного использования.
	Нарушение процесса обработки информации.
Организационная	Невыполнение требований законодательства в информационной сфере.
Организационная	Формирование закупок на совершенствование устаревшей техники, средств защиты информации.
Программно-материальная	Внедрение в аппаратные и программные изделия разрушающих компонентов.
Программно-материальная	Программы, нарушающие нормативную функциональность информационной системы или системы защиты информации.

Таблица 4. Модель нарушителя

Пользователь	Модель нарушителя
Администратор безопасности	3 уровень
Управляющий банком	2 уровень
Главный бухгалтер	1 уровень
Оператор/кассир	1 уровень
Охранник	1 уровень

Таблица 5. Уровни нарушителя

1 уровень	Определяет самый низкий уровень возможности ведения диалога пользователя сАС – запуск задачи из фиксированного набора, реализация заранее предусмотренных функций по обработке информации.
2 уровень	Определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
3 уровень	Определяется возможностью управления функционирования АС, т.е. воздействие на базовое ПО системы и на состав и конфигурацию ее оборудования.
4 уровень	Определяется всем объемом возможных лиц осуществляющих проектирование, реализацию и ремонт технических средств АС вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

Основные нарушения, возникающие в системе: нарушения конфиденциальности, изменения в системе, утрата работоспособности.

Нарушения конфиденциальности.

Причиной возникновения данной проблемы является нарушение движения информационных потоков или ошибки в системе доступа. Из-за того, что данные виды нарушений никак не влияют на состояние системы, выявить их очень сложно. Только небольшое число подобных нарушений можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы.

Наиболее часто встречающиеся примеры нарушения доступа к информации:

– ошибки администрирования:

– неправильное формирование групп пользователей и определение прав их доступа;

– ошибки в формировании итоговых и агрегированных отчетов и доступа к ним.

– наличие открытого доступа для представителей сторонней организации, выполняющей какие-либо подрядные работы;

– ошибки проектирования информационной системы:

– использование недостаточно защищенной среды для разработки информационной системы.

– небрежность пользователей в вопросах информационной безопасности:

– нарушение хранения паролей для доступа в информационную систему.;

– сохранение закрытого соединения после окончания работы. Уходя на обед или домой, пользователь не выключает компьютер и не выходит из банковской системы. Если система не имеет механизма временного отключения неактивных пользователей, данное нарушение делает бессмысленным большинство других требований системы безопасности;

– нерегламентированное обсуждение зарытой информации;

– умышленный взлом системы:

– через внешние точки доступа в информационную систему, например через Интернет. Самый опасный вид взлома, так как нарушитель недоступен или почти недоступен для службы безопасности и, чувствуя свою безнаказанность, может нанести максимальный вред организации;

– нерегламентированное подключение к собственной сети (информационным коммуникациям) банка. С развитием сетевых технологий данный вид нарушений встречается достаточно редко;

Нарушение целостности или нерегламентированные изменения в информационной системе приводят к более серьезным последствиям, чем нарушения конфиденциальности. Однако при правильном построении информационной безопасности нерегламентированные изменения могут быть зарегистрированы и выявлены в процессе работы. Кроме того, существуют дополнительные механизмы защиты от них, такие, как электронная подпись, благодаря чему общее количество данных нарушений меньше, чем нарушений доступа на просмотр информации, хотя их последствия более серьезны.

Причины, приводящие к нарушениям записи информации в системе:

ошибки программирования;

ошибки ввода;

технические сбои;

умышленные нарушения в системе;

Причинами, побудившими сотрудников к умышленному нарушению информационной безопасности, являются:

обида на действия менеджеров, как правило, связанная с конфликтами или увольнением сотрудника;

попытка дополнительного заработка;

попытка хищения денег из организации;

попытка создания зависимости организации от конкретного сотрудника;

карьерная борьба.

В качестве мер противостояния нарушениям данного типа наиболее эффективны социальные меры, разграничение доступа и мониторинг действий пользователей.

Основой политики информационной безопасности в банке является общая политика безопасности организации. Часто информационная безопасность рассматривается как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.

3.7 Оценка рисков

При проведении оценки рисков должны рассматриваться три основные категории потерь:

Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов;
Потеря производительности –потеря происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей;
Общий риск.

Таблица 6. Уровни риска

Зона уязвимости	Денежная потеря	Потеря производительности	Общий риск
Уровень СУБД	С	С	Н
Физический уровень	Н	С	В

Уровни риска разделяются на:

Низкий (Н) – минимальная возможность потерь;

Средний (С) – номинальная возможность потерь;

Высокий (В) – значительная возможность потерь.

3.8 Выбор класса защищенности системы.

ИС «Банк» является многопользовательской, где одновременно обрабатывается и хранится информация разных уровней конфиденциальности и не все пользователи системы имеют одинаковый доступ ко всей информации. Данная ИС должна соответствовать уровню защищенности класса «1Д».

Обеспечение безопасности информации реализуется за счет следующих подсистем:

Подсистема контроля целостности
Подсистема управления доступом
Подсистема регистрации и учета входа/выхода.

Средства защиты СВТ от НСД к информации должны удовлетворять 6 классу защищенности.Показатели защищённости средств вычислительной техники, согласно шестому классу защищённости:

Дискреционный принцип контроля доступа;
Идентификация и аутентификация;
Тестирование;
Руководство пользователя;
Руководство по КСЗ;
Тестовая документация;
Конструкторская документация.

Информация о работе Обеспечение целостности информации