Файл: Разработка модели системы информационной безопасности на предприятии.docx

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 222

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

АКТУАЛЬНОСТЬ

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

1.2. Состав аппаратных и программных средств и структура сети

1.3. Анализ информационных потоков

1.4. Анализ информационных ресурсов

1.5. Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

2.2. Модель нарушителя

2.3. Определение актуальных угроз информационной системы

2.4. Определение класса защищенности информационной системы

ЗАКЛЮЧЕНИЕ

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи:

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз.

Список литературы

Приложение 1

2.2. Модель нарушителя


Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут исходить от любых субъектов, целесообразно разделить на две категории: внешние нарушители и внутренние нарушители. Внешним нарушителем является лицо, которое не является сотрудником и не имеет доступа к информационной системе. В эту категорию входят:

  • хакеры (субъекты, создающие и реализующие атаки, с целью нанесения ущерба и овладения информацией ограниченного доступа): посредством несанкционированного доступа к информационным системам может уничтожить или изменить информацию; внедрение вредоносных программ и вирусов, аппаратных и программных закладок с последующим осуществлением несанкционированного доступа);

  • провайдеры, и поставщики технического и программного обеспечения (осуществление несанкционированного доступа через рабочие станции к информационным ресурсам и к каналам связи);

Все остальные субъекты – внутренние нарушители. В соответствии с руководящим документом ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» внутренние нарушители подразделяются на восемь категорий:

  1. Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн.

Применительно к данному учреждению такими правами обладает руководство, управление информатизации. В соответствии с правами эти лица могут: иметь доступ к некоторым частям ПДн, которые циркулирует по внутренним каналам; знать информацию о топологии ИСПДн, коммуникационных протоколах и сервисах; выявлять имена и пароли зарегистрированных пользователей; изменять конфигурацию аппаратных и программных средств.

  1. Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

К этой категории можно отнести сотрудников управлений, преподавателей и студентов учреждения. Лица данной категории: имеют один идентификатор и пароль
; располагают конфиденциальными данными, к которым имеют санкционированный доступ.

  1. Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

Лица данной категории: знают топологию ИСПДн и о составе технических средств; имеют физический доступ к некоторым техническим средствам ИСПДн.

  1. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн.

Лица этой категории: располагают информацией о программном обеспечении, технических средствах, используемых в данном сегменте; имеет доступ к средствам защиты и протоколирования и к аппаратным средствам ИСПДн.

  1. Зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лица этой категории: знает информацию о программном и аппаратном обеспечении полной ИСПДн; имеет физический доступ ко всем аппаратным средствам; имеет право конфигурировать аппаратное обеспечение.

  1. Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

Лица этой категории: располагает всей информацией об ИСПДн; имеет доступ к средствам защиты и протоколирования данных.

  1. Программисты – разработчики программного обеспечения и лица, сопровождающие его на данном объекте.

Лица данной категории: знают информацию о процедурах и программах обработки данных на ИСПДн; может вносить ошибки, программные закладки и вредоносный код на стадии разработки; может знать информацию о топологии и аппаратных средствах ИСПДн.

  1. Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт аппаратных средств на ИСПДн.

Лица данной категории: может внедрять аппаратные закладки на стадии разработки и сопровождения; может знать информацию о топологии и аппаратных средствах ИСПДн.12

Применительно к данному учреждению к внутренним нарушителям можно отнести:

  • пользователи информационных ресурсов (персонал управлений, отделов и других подразделений, преподаватели, студенты) (непреднамеренная модификация или уничтожение данных; установка вредоносного и несертифицированного программного обеспечения; передача индивидуального пароля посторонним лицам);


  • лица, обслуживающие и поддерживающие информационную систему (случайное или преднамеренное неправильное конфигурирование технических или сетевых средств);

  • другие лица, имеющие доступ к объектам обработки информации (технический и обслуживающий персонал) (непреднамеренное нарушение работоспособности средств электрообеспечения и инженерных сооружений);

Особая и наиболее значительная категория нарушителей – студенты. На сегодняшний день многие из них достаточно хорошо подготовлены и разбираются в киберпространстве. Путем некоторых манипуляций студенты в состоянии произвести ряд нарушений безопасности и нанести ущерб.

2.3. Определение актуальных угроз информационной системы


Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель – это уровень исходной защищенности информационной системы. Это обобщенный показатель, который зависит от технических характеристик системы. В таблице 4 представлен расчет исходной защищенности информационной системы, который определяется процентным соотношением отдельного уровня защищенности ко всем имеющимся показателям защищенности.

Таблица 4. Расчет исходной защищенности учреждения

Показатели защищенности

Уровень защищенности

Технические и эксплуатационные характеристики ИСПДн

Высокий

Средний

Низкий

По территориальному размещению:










распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;





+

городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);





+

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;



+



локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;



+



локальная ИСПДн, развернутая в пределах одного здания

+





По наличию соединения с сетями общего пользования:










ИСПДн, имеющая многоточечный выход в сеть общего пользования;





+

ИСПДн, имеющая одноточечный выход в сеть общего пользования;



+



ИСПДн, физически отделенная от сети общего пользования

+





По встроенным (легальным) операциям с записями баз персональных данных:










чтение, поиск;

+





запись, удаление, сортировка;



+



модификация, передача





+

По разграничению доступа к персональным данным:










ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;



+



ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;





+

ИСПДн с открытым доступом





+

По наличию соединений с другими базами ПДн иных ИСПДн:










интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);





+

ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн

+





По уровню обобщения (обезличивания) ПДн:










ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

+





ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;



+



ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)





+

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:










ИСПДн, предоставляющая всю базу данных с ПДн;





+

ИСПДн, предоставляющая часть ПДн;



+



ИСПДн, не предоставляющая никакой информации.

+





Количество решений

28%

71%

0%


По результатам анализа можно сделать вывод, что ИСПДн учреждения имеет средний уровень защищенности. В соответствии с полученным результатом вводится коэффициент Y1 = 5. Этот коэффициент является первым параметром при определении актуальности угроз.

Следующий параметр – вероятность осуществления угрозы (Y2). Этот показатель определяется экспертным путем и имеет четыре возможных значения:

  • маловероятно (отсутствие объективных предпосылок реализации угрозы - 0);

  • низкая вероятность (явные предпосылки осуществления угрозы существуют, но существующие средства защиты затрудняют её реализацию - 2);

  • средняя вероятность (существуют предпосылки реализации угроз, и исходные методы защиты недостаточны - 5);

  • высокая вероятность (существуют объективные предпосылки осуществления угроз и меры по обеспечению безопасности не предприняты - 10);

На основании полученных параметров рассчитывается коэффициент реализации угрозы Y, который определяется по формуле Y = (Y1+Y2)/20. В соответствии с полученным результатом, Y принимает следующие значения:

  • 0 < Y < 0,3 – низкая реализуемость угрозы;

  • 0,3 < Y < 0,6 – средняя реализуемость угрозы;

  • 0,6 < Y < 0,8 – высокая реализуемость угрозы;

  • Y > 0,8 – очень высокая реализуемость угрозы;

Следующим шагом является оценка опасности угрозы. Эта оценка дается специалистом безопасности и имеет следующие значения опасности:

  • низкая опасность – осуществление угрозы может нанести несущественный ущерб;

  • средняя опасность – осуществление угрозы может нанести ущерб;

  • высокая опасность – осуществление угрозы может нанести значительный ущерб;

В таблице 5 представлена матрица расчета актуальности угроз, которая получается в результате учета всех вышеизложенных показателей.

  • «+» - угроза актуальная;

  • «-» - угроза неактуальная;13

Таблица 5. Матрица расчета актуальности угроз

Значение реализуемости угрозы

Значение опасности угрозы

Низкая

Средняя

Высокая

Низкая

-

-

+

Средняя

-

+

+

Высокая

+

+

+

Очень высокая

+

+

+