Файл: Разработка модели системы информационной безопасности на предприятии.docx

Контент интернет – сайта ВУЗа контролируется профессиональной системой управления 1С – Битрикс. Преимущество данной системы в том, что она способна повысить скорость ответа сайта.

Бухгалтерия обслуживается через автоматизированную систему обработки «ПАРУС - Бухгалтерия». Данный программный пакет позволяет полностью автоматизировать учет активов, расчетов и средств. Как и корпоративная система Tandem University, «ПАРУС – Бухгалтерия» является изолированной, и доступ к ней имеют только сотрудники бухгалтерского отдела.

Библиотека университета тоже автоматизирована и контролируется через информационно – библиотечную систему MARK – SQL. Данная система содержит большое количество информационных ресурсов, в том числе информационный каталог, который хранится на отдельном Windows сервере.

Также часть ресурсов содержится в следующих информационных системах:

Консультант+ (справочно – правовая система);
ТехЭксперт (информационно – справочная система, содержащая нормативно – правовую и техническую информацию в сфере «Бизнес для бизнеса»);
Norma CS (справочная система поиска и использования стандартов и нормативных документов в конструкторской деятельности);
OTRS (система обработки заявок);
RedMine (внутренняя база данных);
АИСТ (кадровый сервис);

1.4. Анализ информационных ресурсов

Информационная система ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» содержит огромное количество информационных ресурсов (базы данных, документация, персональные данные, архив, библиотеки), которые, в свою очередь, являются основным объектом защиты. Целесообразно ввести несколько уровней конфиденциальности информации:

Информация ограниченного доступа:

Служебная тайна - информация, содержащая сведения о финансах, производстве, управлении и других видах деятельности субъекта, разглашение которой может нанести экономический ущерб;
Профессиональная тайна - сведения, содержащие организацию учебной деятельности и процессов.
Персональные данные – любая информация, содержащая сведения о конкретном лице (сведения о студентах, преподавателях и др.);

Информация общего доступа:

Постановления, указы, распоряжения;
Информация, содержащая статистические сведения об образовательной деятельности;
Информация, доступ к которой не ограничен законом и уставом;

1.5. Физическая безопасность объектов (охрана)

На территории учреждения ведется круглосуточное наблюдение через пост охраны. Вход на территорию университета осуществляется по персональным пропускам. Посетители имеют право прибывать на территории только в сопровождении сотрудника учреждения. В университете осуществлена пожарно – охранная сигнализация и установлены соответствующие датчики. Аппаратные средства хранения информации (сервера) располагаются в отдельном помещении. Мониторинг объекта осуществляется через систему видеонаблюдения.

К основным объектам защиты можно отнести:

серверы баз данных;
станция управления учетными записями;
ftp и www – серверы;
ЛВС бухгалтерии и др.;
Данные архивов, финансового, статистического и учебного отделов;
Внешние и внутренние информационные ресурсы;

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

В информационной безопасности под угрозой понимают потенциальное событие или действие, которое может повлиять на работу компьютерной сети и ведет к сбою систему безопасности. При воздействии на ресурсы угрозы приводят к несанкционированному доступу, искажению, распространению защищенных данных. Целесообразно разделить источники угроз на следующие группы:

антропогенные угрозы (случайные ошибки разработки и эксплуатации составных частей системы безопасности, умышленные действия нарушителя);
техногенные угрозы (отказы и сбои технического оборудования);
стихийные угрозы (угрозы безопасности естественного характера);

В таблице 2 представлена классификация и возможные угрозы, характерные для учреждения.

Таблица 2. Классификация источников угроз

Антропогенные источники угроз
Внутренние	Внешние
Лица, имеющие санкционированный доступ к объектам безопасности (руководство, преподаватели, студенты)	Потенциальные хакеры
Представители управления по безопасности и режиму	Поставщики информационных услуг (провайдеры,
Представители управления информатизации (администратор системы, разработчики)	Представители аварийных и инспекционных служб
Технический и вспомогательный персонал (уборщики, электрики, сантехники, плотники)	Недобросовестные партнеры
Техногенные источники угроз
Внутренние	Внешние
Некачественные аппаратные средства обработки информации	Средства связи (каналы передачи информации)
Отказ и сбой средств хранения информации	Структура инженерных коммуникаций
Незащищенные средства передачи информации	Вредоносное программное обеспечение и вирусы
Сбои в работе средств обеспечения безопасности

Стихийные источники угроз характеризуются непреодолимой силой и распространяются на все объекты безопасности. Такие угрозы сложно спрогнозировать и предотвратить. Основными стихийными источниками угроз являются: пожары, наводнения, ураганы и непредвиденные обстоятельства. Защитные меры относительно стихийных угроз должны выполняться постоянно.

Относительно вышеперечисленных угроз наиболее вероятными и опасными являются непреднамеренные действия внутренних пользователей и лиц, имеющих непосредственное отношение к компьютерной сети.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть. Антропогенные угрозы являются наиболее вероятными, так как есть возможность спрогнозировать действия людей и принять соответствующие контрмеры, которые в свою очередь зависят от действий лиц, ответственных за обеспечение информационной безопасности.

Угрозы, как правило, являются следствием уязвимостей, которые в свою очередь приводят к нарушению безопасности. Уязвимость – это недостаток системы, который позволяет успешно реализовать угрозу и нарушить целостность системы. Уязвимости могут возникнуть по нескольким причинам:

ошибки при создании программно обеспечения (ПО);
умышленное внесение уязвимостей на стадии проектирования ПО;
несанкционированное использование вредоносных программ и, как следствие, неосновательное расходование ресурсов;
непреднамеренные действия пользователей;
нарушение в работе программно-аппаратного обеспечения;

Существуют следующие уязвимости:

Объективные (уязвимости, зависящие от технического оборудования информационной системы):

Аппаратные закладки (закладки техническом и периферийном оборудовании);
Программные закладки (вредоносное ПО);

Субъективные (уязвимости, зависящие от действий людей):

Ошибки (неправильная эксплуатация программных и аппаратных средств пользователями, ошибочный ввод данных);
Нарушения (нарушение правил политики информационной безопасности, нарушение режима доступа и конфиденциальности, нарушение эксплуатации аппаратных средств);

Случайные (уязвимости, обусловленные окружающей информационную систему среды)

Отказы (отказ средств обработки данных, отказ средств сети, отказ системы контроля и охраны, отказ программного обеспечения);
Сбои (перебои электроснабжения);
Повреждения (поломка инженерных коммуникаций);

Ослабление или ликвидация уязвимостей оказывает влияние на вероятность осуществления угроз информационной безопасности.¹¹

Смотрите также файлы

Билет 1 Гипогалактия, ее причины, профилактика, лечение Причины гипогалактии (отсутствия молока).doc

Курсовая работа бакалавра по направлению 40. 03. 01 Юриспруденция (030900. 62) Принцип равенства между мужчиной и женщиной.docx

1. Исходя из категории дороги, высоты насыпи и диаметра трубы, определим длину трубы.docx

Задание к теме 7 Задание выполняется с опорой на теоретический материал по результатам просмотра хф Чучело (реж. Р. Быков).docx

История торта Прагуха.docx

Файл: Разработка модели системы информационной безопасности на предприятии.docx

1.4. Анализ информационных ресурсов

1.5. Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

Смотрите также файлы

Информация

Списки файлов

Дополнительно