Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
Аннотация к работе
Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Под информационной безопасностью понимается состояние защищенности информации и поддерживающих инфраструктур от случайных или преднамеренных воздействий естественного либо искусственного характера, связанных с нанесением ущерба субъектам информационных отношений. Конфиденциальность информации - субъективно определяемая характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. 3.1 Категории целостности защищаемой информации: «Высокая» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба предприятию, ее партнерам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства; Преднамеренные угрозы: u Целенаправленная кража или уничтожение данных на рабочей станции или сервере u Внедрение агентов в число персонала системы, либо вербовка путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающими этой информацией. u Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.) u Несанкционированное копирование носителей информации u Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя. u Преднамеренное заражение программного обеспечения вредоносными программамиВ курсовой работе была разработана система комплексной информационной защиты для разрабатываемой информационной системы ООО «Нейрософт», что проявляется в снижении риска информационной безопасности после внедрения предложенных в работе средств защиты.Термины, используемые в настоящей Концепции, их определения: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею. Концепция обеспечения информационной безопасности предназначена для: u организации и проведения единой политики в области обеспечения безопасности Информационной системы u разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации u координации деятельности сотрудников Нормативно-правовой базой данной концепции являются: u Федеральный Закон от 20.02.1995 №24-ФЗ (ред. от 10.01.2003) "Об информации, информатизации и защите информации" (принят ГД ФС РФ 25.01.1995). u "Кодекс РФ Об административных правонарушениях" от 30.12.2001 №195-ФЗ (принят ГД ФС РФ 20.12.2001) (ред. от 02.07.2005). u "Уголовный кодекс РФ" от 13.06.1996 №63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 28.12.2004) (с изм. и доп., вступающими в силу с 30.01.2005). u Закон РФ от 21.07.1993 №5485-1 (ред. от 22.08.2004) "О государственной тайне» u Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ Основными объектами информационной безопасности в информационной системе являются: Профиль информации Наименование сведений, документов и другой информации, составляющих коммерческую тайнуСубъектами правоотношений при использовании Информационной Системы и обеспечении безопасности информации являются: u ООО «Нейрософт» во главе с Президентом ООО «Нейрософт» u должностные лица и сотрудники ООО, как пользователи и поставщики информации в информационную систему в соответствии с возложенными на них функциями Перечисленные субъекты заинтересованы в обеспечении: 1) предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и систем ее обработки: доступность информации, то есть
Введение
Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Информация является одним из важнейших факторов эффективного управления деятельностью любого предприятия. Она приобрела ощутимый стоимостный вес, который четко определяется размерами ущерба, с разной степенью вероятности наносимого владельцу информации.
Роль информации в процессе управления велика - на всех его уровнях и во всех сферах: политической, экономической, научной, культурной и т.д.
В связи с этим возникает повышенная опасность в виде возможного ущерба тем информационным ресурсам, которые используются информационными технологиями. Для снижения возможности причинения ущерба информационным ресурсам до приемлемого минимума необходимо серьезно заниматься таким понятием как информационная безопасность.
Под информационной безопасностью понимается состояние защищенности информации и поддерживающих инфраструктур от случайных или преднамеренных воздействий естественного либо искусственного характера, связанных с нанесением ущерба субъектам информационных отношений.
1. Предпроектные исследования
Компания Нейрософт основана 29 января 1992 года преподавателями и научными сотрудниками двух ивановских вузов - медицинского и энергетического. Именно объединение сил инженеров-электронщиков, программистов и ученых-медиков позволило ей в короткий срок занять лидирующие позиции на рынке российского диагностического электрофизиологического оборудования. Политика компании состоит в том, чтобы всегда быть на переднем крае электронной, компьютерной и медицинской технологии, разрабатывать высококачественные приборы и предоставлять современные достижения науки практическому здравоохранению.
1.1 Преимущества компании Нейрософт
Отличная подготовка персонала
По количеству студентов на душу населения Иваново занимает одно из первых мест среди городов России. В городе действует около двух десятков высших учебных заведений, семь из которых имеют высокий образовательный рейтинг и как минимум полувековую историю. Это позволяет использовать в качестве персонала ведущих научных сотрудников вузов и наиболее талантливых студентов. Сегодня в компании Нейрософт на постоянной основе трудится 100 человек. На предприятии существуют отделы маркетинга, конструкторско-экспериментальный, программного обеспечения, производственный, транспортный, финансовый, отделы рекламы и продаж. Все, начиная от разработки продукции и заканчивая ее производством, реализацией, гарантийным и послегарантийным обслуживанием, выполняется силами сотрудников компании.
Крепкие научные и дружественные связи с ведущими специалистами и учреждениями
Компания Нейрософт является коллективным членом Академии медико-технических наук Российской Федерации. За годы деятельности компания установила крепкие научные и дружественные связи со многими научными учреждениями, крупными медицинскими центрами и именитыми учеными. Среди них: · Отдел электрофизиологии ММА им. Сеченова / г. Москва (академик М.А. Ронкин);
· Отдел нервно-мышечной патологии человека НИИ общей патологии и патофизиологии / г. Москва;
· НИИ скорой помощи им. Склифосовского / г. Москва (профессор Л.И. Сумский);
· Сомнологический центр МЗ РФ (профессор Я.И. Левин);
· НИИ неврологии / г. Москва (профессор В.В. Гнездицкий);
· НИИ глазных болезней им. Гельмгольца / г. Москва (ведущий научный сотрудник д.м.н. А.М. Шамшинова);
· НИИ нейрохирургии им. Бурденко / г. Москва (д.м.н. Г.А. Щекутьев);
· НИИ материнства и детства им. В.Н. Городкова / г. Иваново (профессор Л.В. Посисеева);
· Российская военно-медицинская академия / г. Санкт-Петербург (профессор М.М. Одинак);
· Ивановская государственная медицинская академия / г. Иваново (профессор Р.Р. Шиляев);
· Академия медико-технических наук / г. Москва (академик Б.И. Леонов, академик О.Я. Боксер);
· Центр подготовки космонавтов им. Ю.А. Гагарина / Звездный городок (полковник Н.А. Филатов);
· Всероссийский центр медицины катастроф «Защита» / г. Москва (профессор В.Н. Преображенский);
· Российский научный центр восстановительной медицины и курортологии МЗ РФ (действительный член РАМН директор А.Н. Разумов);
· Арктический и антарктический НИИ / г. Санкт-Петербург (Ю.И. Сенкевич);
· Институт медико-биологических проблем РАН / г. Москва (профессор Р.М. Баевский);
· НИИ нормальной физиологии им. П.К. Анохина РАМН / г. Москва (академик К.В. Судаков);
· Центральный клинический санаторий им. Ф.Э. Дзержинского ФСБ РФ / г. Сочи (чл.-корр. РАМН профессор А.Т. Быков);
· Ассоциация специалистов восстановительной медицины / г. Москва (президент к.т.н. А.И. Труханов).
Высокий потенциал разработок
Все производимое предприятием оборудование - результат собственных разработок. С 1992 года конструкторы и инженеры-электронщики создали 47 моделей различных медицинских приборов. Все программное обеспечение для выпускаемых приборов является продуктом творческой мысли высококвалифицированных программистов компании. Каждый второй продаваемый прибор разработан в течение последних двух лет, каждый третий - в течение последних четырех.
Ежегодно в России врачам, биологам, ученым, совершившим открытия, не имеющие мировых аналогов, вручается национальная премия в области медицины «Призвание». В 2004 году в номинации «За вклад в развитие медицины, внесенный представителями фундаментальной науки и немедицинских профессий» были выдвинуты руководители отделов программного обеспечения и схемотехники компании Нейрософт М.Б. Бабаев и Е.А. Романов, создавшие уникальный прибор для исследования состояния нервной системы - электронейромиограф Нейро-МВП .
Предприятие может осуществить разработку новой продукции по техническому заданию заказчика. Например, по заданию Центра подготовки космонавтов им. Ю.А. Гагарина с 2000 по 2002 год компания создала и внедрила в практику подготовки кандидатов в космонавты систему передачи физиологической информации по радиоканалу. За плодотворное сотрудничество в интересах российской и международной космонавтики компания Нейрософт в 2002 году была награждена почетным дипломом имени Ю.А. Гагарина.
Ежегодно с использованием разработанной компанией Нейрософт системы передачи физиологической информации проходит специальная парашютная подготовка кандидатов в космонавты и проводятся тренировки на выживание в различных климатогеографических зонах в случае аварийной посадки.
В настоящее время в Центре подготовки космонавтов работают также вегетотестеры ВНС-Микро , электрокардиографы Поли-Спектр-12 , реограф Рео-Спектр-3 , комплекс для психофизиологического тестирования НС-ПСИХОТЕСТ , электроэнцефалограф Нейрон-Спектр-2 с системой видеонаблюдения Нейрон-Спектр-Видео . Это оборудование использовалось, в частности, при подготовке экипажей «МКС-3», «МКС-5», «МКС-7» и «МКС-8» Международной космической станции.
Использование планарной технологии
При создании приборов Нейрософт применяет так называемую планарную технологию. Эта технология используется сегодня во всем мире при производстве электронных компонентов. Она позволяет добиться высочайшей надежности работы при исключительно малых габаритах аппаратуры.
Использование технологии USB
Все приборы, производимые компанией Нейрософт, используют для обмена данными с компьютером интерфейс USB. Эта современная технология обеспечивает высокую скорость передачи данных, удобство подключения и применения приборов.
Полное соответствие международной системе обеспечения качества
В 2001 году Нейрософт сертифицировала производство в соответствии со стандартом ГОСТ Р ИСО 9002-96.
В марте 2004 года компания прошла полный аудит и получила сертификаты соответствия системы менеджмента качества международным стандартам DI№E№ISO 9001:2000 и DI№E№ISO 13488:2001. Сертификационный аудит предприятия проводила одна из ведущих мировых сертификационных организаций EUROCAT (Германия).
С ноября 2004 года компания получила право нанесения маркировки CE на выпускаемое нейрофизиологическое оборудование согласно Приложения V раздела 3 директивы ЕС 93/42/ЕЕС.
В 2002 году многофункциональный комплекс Нейро-МВП стал лауреатом конкурса «Сто лучших товаров России», в 2003 году дипломом этого конкурса отмечен электроэнцефалограф Нейрон-Спектр .
1.2 Организационно-правовая форма
Фирма «НЕЙРОСОФТ» по своей организационно-правовой форме является обществом с ограниченной ответственностью, имеющим пять учредителей.
Обществом с ограниченной ответственностью признается учрежденное одним или несколькими лицами Общество, уставный капитал которого разделен на доли определенных учредительными документами размеров; участники общества с ограниченной ответственностью не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов (ст.87 ГК РФ).
Преимущества общества
Участники общества не отвечают по его обязательствам. В самом худшем случае член подобного общества может потерять только свой пай в капитале общества. Это означает, что предпринимательский риск для делового человека заранее ограничен определенной суммой.
Общество является юридическим лицом: имеет гражданские права, и, в то же время, оно более устойчиво, чем индивидуальное предприятие, в экономическом плане, ему легче получить кредит.
Наличие относительно невысокого минимально допустимого размера уставного капитала. Это дает возможность начать собственное дело даже при малом стартовом капитале. Однако с точки зрения защиты интересов кредиторов, учитывая высокий уровень цен на товарно-материальные ценности, подобное преимущество может обернуться недостатком. В таких условиях при маленьком уставном капитале долги общества придется компенсировать исходя из наличного капитала фирмы путем пропорционального уменьшения выплат кредиторам.
Общество вправе открывать банковские счета как на территории РФ, так и за ее пределами.
Участниками общества могут стать и граждане, и юридические лица, причем число участников не должно быть более 50.
Общество может быть преобразовано в открытое акционерное общество или в производственный кооператив.
Недостатки общества
Участники общества вправе в любое время выйти из общества независимо от согласия других его участников. При этом ему должна быть выплачена стоимость части имущества, соответствующей его доле в уставном капитале общества в порядке, способом и в сроки, которые предусмотрены законом об обществах с ограниченной ответственностью и учредительными документами общества (ст.94 ГК РФ).
Но в отличие от индивидуального предпринимательства, для которого уход с предприятия его директора-собственника означает крах, на обществе с ограниченной ответственностью, если число его участников больше одного, это отразится не в столь значительной степени. Причем, чем больше число участников, тем легче Общество переносит их уход.
Сложность регистрации (однако, этот недостаток характерен и для других организационно-правовых форм).
Фирма ООО «НЕЙРОСОФТ» не имеет ни дочерних фирм, ни филиалов в других регионах, не входит в ассоциации, союзы и т.п.
1.3 Организационная структура фирмы «НЕЙРОСОФТ»
Фирма «НЕЙРОСОФТ» имеет структуру, схожую с функциональной структурой управления. Она имеет небольшой стабильный состав персонала, возможно перемещение персонала с одного объекта на другой. Члены коллектива имеют свободу действий. Характер работы делает необходимыми тесные взаимосвязи между сотрудниками. Благодаря своей структуре и организации «НЕЙРОСОФТ» имеет возможность быстро реагировать и приспосабливаться к изменениям внешней среды
Организационная структура компании «НЕЙРОСОФТ» имеет следующие подразделения: · Административно-хозяйственный отдел
· Администрация
· Группа контроля технологии и качества
· Инженерный центр
· Коммерческий отдел
· Конструкторский отдел
· Отдел АУУП
· Отдел встроенных систем
· Отдел инноваций
· Отдел МТС
· Отдел оперативной полиграфии
· Отдел по работе с персоналом
· Отдел программного обеспечения
· Отдел сбыта готовой продукции
· Отдел стандартизации и управления качеством
· Отдел схемотехники
· Производственный отдел
· Производство
· Сервисный центр
· Служба ИТ
· Технологический отдел
· Финансовый отдел
Данные структурные подразделения с формально установленными между ними взаимосвязями можно изобразить схематично:
1.4 Процессы, протекающие в организации
Процесс Владелец процесса
Порядок разработки, согласования, утверждения, внесения изменений, учета, изъятия и архивирования документов Системы менеджмента качества Руководитель отдела стандартизации и управления качеством
Проведение внутренних аудитов Системы менеджмента качества. Руководитель отдела стандартизации и управления качеством
Порядок проведения корректирующих и предупреждающих действий Руководитель отдела стандартизации и управления качеством
Порядок проведения анализа эффективности Системы менеджмента качества. Руководитель отдела стандартизации и управления качеством
Порядок изготовления изделий номенклатурного перечня Начальник производства
Сбыт готовой продукции, товаров и аксессуаров Руководитель коммерческого отдела
Порядок управления нормативно-технической документацией. Руководитель отдела стандартизации и управления качеством
Порядок проведения входного контроля ПКИ, материалов и полуфабрикатов Руководитель отдела МТС
Порядок проектирования, разработки и постановки продукции на производство Технический директор
Порядок разработки аппаратной частии встроенного программного обеспечения Руководитель отдела схемотехники Инженер-электроник (СХТ)
Управление персоналом Руководитель отдела по работе с персоналом
Порядок организации и проведения работ по ремонту, модернизациии техническому обслуживанию продукции, поступающей от потребителя в сервисный центр Руководитель сервисного центра.
Определение спецификации и анализ заказа Руководитель коммерческого отдела
Организация обучения персонала заказчика Директор по развитию
Организация материально-технического обеспечения Руководитель отдела МТС
Запись дистрибутивов программного обеспечения на компакт-диски Руководитель службы ИТ
Процесс обработки заказа на поставку оргтехники Руководитель службы ИТ
Порядок связи с потребителем и работа с обращениями Руководитель коммерческого отдела
Порядок разработки и внесения изменений в программное обеспечение Руководитель отдела программного обеспечения Руководитель отдела инноваций
Процесс разработки и изготовления опытных образцов изделий для продукции, выпускаемой ООО «Нейрософт» Руководитель технологического отдела
Порядок разработки информационно-декоративных панелей Руководитель технологического отдела
Управление конструкторской документацией Главный механик (конструкторский отдел)
Управление технологической документацией Руководитель технологического отдела
Порядок управления записями Системы менеджмента качества. Руководитель отдела стандартизации и управления качеством
Порядок управления эксплуатационной документацией Директор по развитию
Менеджмент риска Руководитель отдела стандартизации и управления качеством
Метрологическое обеспечение производства Руководитель отдела стандартизации и управления качеством
Порядок внесения изменения в аппаратную часть серийно выпускаемой продукции Руководитель лаборатории Инженер-электроник (СХТ)
Порядок внесения изменений в серийновыпускаемую продукцию Технический директор
Порядок проведения работ по ремонту, модернизации и техническому обслуживанию продукции,поступающей в производство из сервисного центра Начальник производства
Порядок технической подготовки производства Начальник производства
Управление комплектамипоставки продукции Руководитель отдела стандартизации и управления качеством
2. Информационные объекты
Информационный объект - информационные массивы, наборы данных, технические средства, участвующие в обработке и хранении информации, персонал, информационные продукты. Информационным продуктом может быть объектом интеллектуальной собственности, если он содержит новую, ценную, уникальную для общечеловеческого тезауруса информацию.
Основные информационные объекты в системе: Профиль информации Наименование сведений, документов и другой информации, составляющих коммерческую тайну
1. Производственная информация 1.1 Сведения о структуре производства и производственных мощностях. 1.2 Сведения о типе и размещении оборудования. 1.3 Сведения о запасах и движении сырья, материалов, комплектующих и готовой продукции за месяц. 1.4 Сведения о модификации и модернизации ранее известных технологий, процессов, оборудования. 1.5 Перспективные планы развития производства. 1.6 Технические спецификации существующей и перспективной продукции.
2. Управленческая информация 2.1 Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по производственным, научно-техническим, коммерческим, организационным и иным вопросам. 2.2 Предмет совещаний у руководства. 2.3 Сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний и заседаний органов управления предприятием.
3. Информация о рынке 3.1 Сведения о рыночной политике и планах. 3.2 Сведения о каналах и методах сбыта. 3.3 Сведения о политике сбыта. 3.4 Сведения о ценах, скидках, условиях договоров, спецификации продукции.
4. Финансовая информация 4.1 Сведения об источниках финансирования, финансовой устойчивости, размерах и условиях банковских кредитов. 4.2 Сведения о состоянии материально-технической базы ООО.
5. Информация по безопасности и персональным данным 5.1 Сведения о важных элементах систем безопасности, кодов и процедур доступа к информационным сетям и центрам; 5.2 Принципы организации защиты коммерческой тайны.
6. Научно-техническая информация 6.1 Новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия; 6.2 Программы НИР; 6.3 Новые алгоритмы; 6.4 Оригинальные программы.
3. Определение степени конфиденциальности, достоверности, целостности информационных объектов
Для эффективной деятельности предприятия информационные объекты должны обладать следующими свойствами: - своевременность доступа;
- конфиденциальность;
- доступность;
- достоверность;
- разграничение ответственности;
- защищенность от нежелательного искажения, утраты.
Данный этап является начальным при проектировании системы защиты информации, т.к. от правильности определения информационных объектов зависит адекватность функционирования выбираемых в последующем средств защиты.
Безопасность любого информационного объекта может быть заключена в обеспечении трех основных характеристик: конфиденциальность, доступность и достоверность.
Конфиденциальность информации - субъективно определяемая характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Целостность информации - защита от несанкционированного изменения или разрушения информации и программно-технической информационно среды.
Доступность информации - защита от несанкционированного сокрытия информации.
3.1 Категории целостности защищаемой информации: «Высокая» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба предприятию, ее партнерам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства;
«Средняя» - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба предприятию, ее партнерам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, электронной цифровой подписи и т.п.);
«Нет требований» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.
С целью упрощения операций по категорированию конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: «жизненно важная», «очень важная», «важная» и «неважная». Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии со следующей таблицей.
Проведем категоризацию информационных объектов по свойствам: целостность, доступность, конфиденциальность. Оценку выделенных свойств будем проводить по номинальной шкале.
Обобщенная категория информации (конфиденциальность-целостность)
Определение обобщенной категории информации
Категория конфиденциальности информации Категория целостности информации
Обобщенная категория информации с учетом доступности
Определение обобщенной категории с учетом доступности
Обобщенная категория информации Требуемая степень доступности выполнения задачи
«Высокая» «Средняя» «Низкая»
«Жизненно важная» 1 1 2
«Очень важная» 1 2 2
«Важная» 2 2 3
«Неважная» 2 3 4
1 - «первая» категория: 2 - «вторая» категория: 3 - «третья» категория: 4 - «четвертая» категория: В соответствии с порядком категорирования, нам необходимо прокатегорировать перечень сведений, составляющих конфиденциальную тайну организации.
Оценка ценного информационного ресурса
Тематическая группа Конфиденциальность Целостность Обобщенная категория Доступность Итоговая категория
1. Производственная информация Высокая Средняя 1 Средняя 1
2. Управленческая информация Высокая Средняя 1 Высокая 1
3. Информация о рынке Высокая Высокая 1 Высокая 1
4. Финансовая информация Средняя Высокая 1 Высокая 1
5. Информация по безопасности и персональным данным Высокая Высокая 1 Высокая 1
6. Научно-техническая информация Высокая Высокая 1 Средняя 1
Имеем три категории конфиденциальности информации: высокая, средняя, нет требований. Определение возможного ущерба для категорий конфиденциальности, целостности и доступности были получены в результате экспертного опроса должностных лиц предприятия: Категория конфиденциальности Величина возможного ущерба (руб.)
Высокая 150 000
Средняя 110 000
Нет требований 10 000
Имеем три категории целостности информации: высокая, средняя, нет требований.
Категория целостности Величина возможного ущерба, (руб.)
Высокая 100 000
Средняя 85 000
Нет требований 15 000
Имеем три категории доступности информации: высокая, средняя, низкая.
Категория доступности Величина возможного ущерба, (руб.)
Высокая 95 000
Средняя 53 000
Низкая 7 000
Определение ущерба категориям конфиденциальности и категориям целостности
Ущерб категории конфиденциальности Ущерб категории целостности
Величины возможных ущербов для обобщенной категории конфиденциальности и целостности (выбирается максимум из ущербов для каждой из обобщенных категорий: максимум для предельно важной категории (1), максимум для очень важной категории (2) и т.д.): Обобщенная категория Величина возможного ущерба, (руб.)
«Предельно важная» 250 000
«Очень важная» 210 000
«Важная» 165 000
«Несущественная» 95 000
Величины возможных ущербов для обобщенной категории конфиденциальности и целостности и категорий доступности - итоговых категорий рассчитываются как: Определение обобщенной категории с учетом доступности
Обобщенная категория информации Требуемая степень доступности выполнения задачи
Величины возможных ущербов для итоговой категории c учетом доступности (выбирается максимум из ущербов для каждой из обобщенных категорий: максимум для первой категории (1), максимум для второй категории (2) и т.д.): Итоговая категория Величина возможного ущерба, (руб.)
«Первая» 345 000
«Вторая» 263 000
«Третья» 190 000
«Четвертая» 102 000
Теперь рассчитаем общий вероятный ущерб предприятию от нарушения требований всем составляющим ценного информационного ресурса по формуле
, где №- количество выделенных информационных объектов в j-ой итоговой категории
4.1 Определение угроз и источников их возникновения
Выделим угрозы, классифицируем их и определим источники этих угроз, а также для источников - субъекты построим модель нарушителя.
Классификацию информационных угроз можно представить в виде схемы.
Естественные угрозы (стихийные бедствия): вызваны воздействием на информационную систему стихийными, природными явлениями, физическими процессами, различного рода катастрофами, не зависящими от человека: u Пожар u Ураган u Смерч u Наводнение
Искусственные угрозы вызваны непосредственно деятельностью человека, среди которых выделяют преднамеренные и случайные угрозы.
Преднамеренные угрозы: u Целенаправленная кража или уничтожение данных на рабочей станции или сервере u Внедрение агентов в число персонала системы, либо вербовка путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающими этой информацией. u Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.) u Несанкционированное копирование носителей информации u Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя. u Преднамеренное заражение программного обеспечения вредоносными программами
Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании. u Хищение документации (распечаток, записей, документов и т.д.) u Несанкционированное проникновение в компьютерные сети
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п. u DOS-атаки
Атака типа DOS (сокр. от De№ial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.
Случайные угрозы: u Повреждение данных пользователем в результате неосторожных действий u Ввод в систему ошибочных данных в силу некомпетентности u Отправка конфиденциальной информации по ошибочным адресам u Запись файлов в папки и на носители общего доступа u Заражение вирусами u СПАМ
Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать); вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям. u Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.) u Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);
u Неумышленная порча или потеря носителей информации u Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
Техногенные угрозы, источниками которых являются различные технические неполадки. u Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных u Старение носителей информации и средств обработки u Замыкание электрической сети u Отказ функционирования вычислительной техники и программного обеспечения
4.2 Определение рисков информационной безопасности
В данной работе необходимо определить вероятности реализации возможных угроз Pi и степени уязвимости ценного информационного ресурса Pij в условиях действующей системы средств защиты информационной безопасности, где i - порядковый номер угрозы, j - порядковый номер категории ценного информационного ресурса.
У5 Целенаправленная кража или уничтожение данных на сервере 0,01
У6 Внедрение агентов в число персонала системы, либо вербовки путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией 0,02
У7 Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.) 0,2
У8 Несанкционированное копирование носителей информации 0,2
У9 Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя. 0,2
У10 Преднамеренное заражение программного обеспечения вредоносными программами 0,25
У11 DOS-атаки 0,15
У12 Хищение документации (распечаток, записей, документов и т.д.) 0,4
У13 Несанкционированное проникновение в компьютерные сети 0,2
Искусственные случайные угрозы
У14 Повреждение данных пользователем в результате неосторожных действий 0,3
У15 Ввод в систему ошибочных данных в силу некомпетентности 0,05
У16 Отправка конфиденциальной информации по ошибочным адресам 0,3
У17 Запись файлов в папки и на носители общего доступа 0,35
У18 Заражение вирусами 0,15
У19 Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.) 0,05
У21 Неумышленная порча или потеря носителей информации 0,1
У22 Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.); 0,15
У23 СПАМ 0,4
Техногенные угрозы
У24 Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных 0,45
У25 Старение носителей информации и средств обработки 0,1
У26 Замыкание электрической сети 0,15
У27 Отказ функционирования вычислительной техники и программного обеспечения 0,48
Далее необходимо определить вероятности уязвимости категорий ценного информационного ресурса предприятия для реализации той или иной угрозы информационной безопасности.
Уязвимость ценного информационного ресурса
Угроза Вероятность реализации угрозы Объект воздействия Категория ЦИР Вероятность уязвимости объекта
Искусственные преднамеренные угрозы У2. Целенаправленная кража или уничтожение данных на сервере 0,01 Первая 0,02
Вторая 0,025
Третья 0,03
Четвертая 0,035
У3. Внедрение агентов в число персонала системы, либо вербовки путем подкупа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией 0,002 Первая 0,09
Вторая 0,04
Третья 0,04
Четвертая 0,04
У4. Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.) 0,02 Первая 0,05
Вторая 0,04
Третья 0,035
Четвертая 0,032
У5. Несанкционированное копирование носителей информации 0,02 Первая 0,03
Вторая 0,025
Третья 0,01
Четвертая 0,005
У6. Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя 0,002 Первая 0,04
Вторая 0,03
Третья 0,03
Четвертая 0,02
У7. Преднамеренное заражение программного обеспечения вредоносными программами 0,025 Первая 0,01
Вторая 0,015
Третья 0,023
Четвертая 0,029
У8. DOS-атаки 0,015 Первая 0,002
Вторая 0,003
Третья 0,01
Четвертая 0,015
У9. Хищение документации (распечаток, записей, документов и т.д.) 0,02 Первая 0,03
Вторая 0,035
Третья 0,04
Четвертая 0,045
У10. Несанкционированное проникновение в компьютерные сети 0,02 Первая 0,02
Вторая 0,023
Третья 0,025
Четвертая 0,027
У11. Повреждение данных пользователем в результате неосторожных действий 0,03 Первая 0,0035
Вторая 0,003
Третья 0,003
Четвертая 0,003
У12. Ввод в систему ошибочных данных в силу некомпетентности 0,05 Первая 0,05
Вторая 0,05
Третья 0,056
Четвертая 0,06
У13. Отправка конфиденциальной информации по ошибочным адресам 0,03 Первая 0,001
Вторая 0,001
Третья 0,0012
Четвертая 0,0015
У14. Запись файлов в папки и на носители общего доступа 0,035 Первая 0,001
Вторая 0,001
Третья 0,001
Четвертая 0,001
У15. Заражение вирусами 0,015 Первая 0,0012
Вторая 0,001
Третья 0,001
Четвертая 0,001
У16. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.) 0,05 Первая 0,0034
Вторая 0,0034
Третья 0,003
Четвертая 0,003
У17. Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных); 0,01 Первая 0,001
Вторая 0,001
Третья 0,001
Вывод
В курсовой работе была разработана система комплексной информационной защиты для разрабатываемой информационной системы ООО «Нейрософт», что проявляется в снижении риска информационной безопасности после внедрения предложенных в работе средств защиты.
Список литературы
1. Баллод Б.А. Курс лекций по дисциплине «Информационная безопасность» ИГЭУ, Иваново 2009
2. Международный стандарт безопасности ISO 15408, интернет-сайт