Информационная безопасность. 24
Содержание.
Введение…………………………………………………………
Глава 1. Описание
объекта защиты………………………………………
Глава 2.Анализ информационной системы………………………………..8
Глава 3.Анализ угроз информационной безопасности…………………...10
Глава 4.Анализ ущерба………………………………………………..……19
Глава 5.Оценка информационного риска……………………………..…..21
Глава 6. Управление
информационными рисками…………………
Заключение……………………………………………………
Список использованной
литературы………………………………………30
Введение
Все больше в прошлое уходит бесполезное нагромождение различных средств защиты, которое стало «модным» в результате реакции на первую волну страха перед компьютерными преступлениями. К тому, что защита информации должна носить комплексный характер, все начинают постепенно привыкать. При этом компании-заказчики больше не хотят выбрасывать деньги на ветер, они хотят приобретать только то, что им действительно необходимо для построения надежной системы защиты информации. Но организация обеспечения безопасности информации должна не просто носить комплексный характер, а еще и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты.
В настоящее время сформировалось устойчивое отношение к информации всех видов, как к ценнейшему ресурсу. Объясняется это небывалым ростом объема информационных потоков в современном обществе. В первую очередь это относится к тем направлением государственной деятельности, которые являются наиболее важными в жизнеобеспечении общества, а именно: экономика; наука; образование; социальная сфера; промышленность и др. Все эти направления тесно пересекаются, и развитие каждого напрямую зависит от качества используемой информации, ее достоверности и полноты, оперативности и формы представления. Поэтому особое внимание должно уделяться проблемам формирования, использования и защиты информационных ресурсов на основе применения информационных и коммуникационных технологий.
В данной курсовой работе в качестве объекта защиты я выбрала отдел кадров предприятия ОАО «Башкирский медно-серный комбинат».
Целью данной курсовой работы является рассмотрение моделей угроз безопасности систем и способов их реализации, анализ критериев уязвимости и устойчивости систем к деструктивным воздействиям, изучение методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности.
Предметом исследования курсовой работы является комплекс оценка информационной безопасности, а объектом исследования – ОАО «БМСК».
При
написании работы была использована
учебная литература и ресурсы интернета.
Глава 1. Анализ объекта защиты
В данной курсовой работе в качестве объекта защиты нами был выбран ОАО "Башкирский медно-серный комбинат" (БМСК).
ОАО "Башкирский медно-серный комбинат" (БМСК) занимается добычей и обогащением полиметаллических руд Ново-Сибайского и других месторождений. С 2004 года обогатительная фабрика работает на руде Камаганского и Нижней залежи подземного рудника Ново-Сибайского месторождений.
ОАО «БМСК» является предприятием, добывающим и обрабатывающим руды, поэтому напрямую влияет на развитие промышленности государства в целом. ОАО «БМСК» является обладателем значительных информационных ресурсов различных видов и типов, выраженных в различных формах, влияющих на его деятельность. Значимость этих ресурсов высока, и поэтому существует необходимость постоянно удерживать их в сохранности, т.е. возрастает потребность защиты этих ресурсов как от несанкционированного использования, так и от влияния других непредсказуемых факторов. Для обеспечения надежной защиты, необходимо постоянно держать во внимании, и анализировать всевозможные источники угроз, сопоставлять им уязвимости и определять потенциальные угрозы, реализация которых прямо или косвенно может нанести вред информационной системе ОАО «БМСК».
Целью
защиты является обеспечение эффективной
работы предприятия, поддержание существующего
качества и обеспечение конкурентоспособности
предприятия.
Глава
2. Анализ информационной
системы.
На данном этапе производится структурирование элементов информации, которые подлежат защите.
Вся информация, содержащаяся на объекте, является персональными данными сотрудников внутренней деятельности организации ОАО «БМСК». Следовательно, работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом закон N152-ФЗ «О персональных данных». Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.
Ни в коем случае нельзя допускать, чтобы такие данные, как сведения о сотрудниках, об их зарплате, об указаниях и распоряжениях были похищены или утеряны.
Основными защиты информации в отделе кадров являются:
- сведения о сотрудниках;
- распоряжения и указания;
- трудовые книжки;
- трудовые договора.
В результате структурирования
получим таблицу, определяющую так называемую
“структурная модель объекта защиты”
(Таблица 1).
Расчет цены информации осуществляется по следующей формуле (таблица 1):
где
N – число страниц, так как информация
представлена в бумажном
Z – цена за информацию;
В таблице 2 дается пояснение по цене информации. Каждому грифу конфиденциальности соответствует своя условная цена за Кбайт:
- Конфиденциально - 0,1;
- Строго конфиденциально – 0,5;
- Особо конфиденциально - 1.
Таким образом, рассчитав все необходимые значения, представим их в виде таблицы 1.
Таблица 1 – Защищаемая информация отдела кадров
| Наименование элемента информации | Гриф
конфиденциальности |
Объем информации на электронном носителе | Объем информации на бумажном носителе | Цена | Местонахождение Носителей информации |
| Сведения о сотрудниках ОГПС №28 г.Сибай | Конфиденциальная | 10000 | 50 | 12600 | Сейф
начальника ОК |
| Распоряжения и указания | Конфиденциальная | 3000 | 100 | 4800 | Рабочие места сотрудников |
| Трудовые книжки | Конфиденциальная | 40000 | 115 | 5400 | Сейф
начальника ОК |
| Трудовые договора | Особо конфиденциальная | 80000 | 300 | 25000 | Сейф начальника ОК |
| Итоговая отчетность | Конфиденциально | 3000 | 200 | 13000 | Сейф начальника ОК |
| Прочие документы о приеме и увольнении | Конфиденциально | 2500 | 150 | 8600 | Сейф начальника ОК |
Таблица 1 – Защищаемая информация отдела кадров
Глава 3.Анализ угроз информационной безопасности.
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Над
вопросами обеспечения
- Обеспечить конфиденциальность личной информации;
- Обеспечить защиту от пожаров и проникновений;
- Обеспечить стабильную и защищенную работу информационной базы;
- Выполнять требования законодательства.
Проанализируем возможную модель угроз (угроза – ресурс). Она предоставлена в таблице 2.
Таблица 2
Модель угроз
| № | Наименование угрозы | Ресурс |
| 1 | Пожар | - Конфиденциальная информация в бумажном и электронном виде; |
| 2 | Кража | - Конфиденциальная информация в бумажном и электронном виде; |
| 3 | Сбой базы данных | - Информационная база данных. |
| 4 | Разглашение конфиденциальной информации | - Конфиденциальная информация; |
| 5 | Компьютерные вирусы | - Информационная база данных. |
Теперь перейдем к рассмотрению модели злоумышленника. Как уже было сказано, злоумышленник – это тот, кто предпринимает попытки реализовать угрозу. Полная модель предоставлена в таблице 3 и включает в себя такие аспекты, как: тип злоумышленника, уязвимость, причины и оснащенность необходимыми средствами.
Таблица 3. Модель злоумышленника
| Злоумышленник | Угроза | причины | Используемы средства |
| Хакеры | 1.Взлом информационной
базы
2.Заражение компьютеров 3.Кража электронных документов |
1. Хулиганство
2.Личные выгоды 3.Обида на начальство за увольнение |
Трояны, программы для незаметной кражи и удаления следов присутствия |
| Сотрудники
Отдела кадров |
1. Кража документов
2. Утеря документов 3. Поломка компьютеров 4. Пожар |
1.Неосторожность
2. Личная выгода. 3.Несоблюдение правил техники безопасности и пожарной безопасности |
Знание паролей
доступа, право доступа к |
| Ремонтные рабочие | 1. Кража денежных
средств
2.Кража конфиденциальной информации 3. Пожар |
1. Личная выгода
2. Хулиганство 3.Несоблюдение правил пожарной безопасности |
Вхождение в доверие сотрудникам |
Глава 4.Анализ ущерба.
Приведем классификацию угроз:
Ущерб-
это результат негативного изменения
вследствие каких-то событий, явлений,
действий состояния объектов, выражающийся
в нарушении их целостности или ухудшении
других свойств; фактические или возможные
социальные и экономические потери (нарушение
процесса нормальной хозяйственной деятельности;
утрата того или иного вида собственности,
других материальных, культурных, исторических
или природных ценностей и т.д).
Потери-
часть последствий, которые связаны с
негативными изменениями в основных сферах
жизнедеятельности государства.
Виды ущерба ОАО «БМСК» от реализации угроз информационной безопасности.
Прямые финансовые потери:
1.ущерб, связанный с восстановлением ресурсов после реализации
угрозы;
2.ущерб, связанный со срывом производственного процесса.
Потери нематериального
1.нарушение морально-
2.снижение
Непрямые финансовые потери:
1.ущерб от разглашения
2. ущерб от упущенной выгоды.
Прямой ущерб связан с воздействием угроз непосредственно на информацию и ее носители и проявляется как необходимость затрат людских и материальных ресурсов на восстановление информации и/или ее носителей.
Косвенный ущерб связан с последствиями нарушения безопасности информации для субъектов информационных отношений (потребителей информации), в качестве которых могут выступать:
1. государство;
2. организации, предприятия (в т.ч. негосударственные);
3. граждане страны.
В
этом случае ущерб проявляется как
людские, моральные или материальные
потери в различных сферах деятельности
субъектов информационных отношений
(в политической, экономической, военной,
научно-технической, социальной сферах).
По величине потерь (масштаба ущерба) ущерб
может быть классифицирован как очень
значительный, значительный, средний,
незначительный и очень незначительный.
Глава
5.Оценка информационного
риска.
Риск- потенциальная потеря предприятия от реализации угроз безопасности. В данной курсовой работе для определения риска используется метод экспертных оценок и строится нечетно-когнитивная карта.
Основным в данном подходе является понятие ситуации. Ситуация характеризуется набором базовых факторов с помощью которых описываются процессы смены состояния в исследуемом процессе. Факторы могут влиять друг на друга, влияния могут быть положительными так и отрицательными. Для отображения степени влияния используются нечеткие лингвистические переменные.
Таким
образом когнитивная карта
Определение концептов.
В качестве дестабилизирующих факторов выбраны такие концепты:
1.Пожар;
2.Кража документов;
3.Месть за увольнение.
В качестве промежуточных факторов выбраны такие концепты:
1.Персональные данные сотрудников;
2.Трудовые книжки
3.Трудовые договора
4. Отчетные документы
5.Распоряжения
6.Документы о приеме на работу и увольнении
В качестве целевых факторов выбраны такие концепты:
1.Материальный ущерб;
2.Морально-психологическое состояние сотрудников;
3.Ущерб деловой репутации отдела.
Таблица 4 Концепты угроз
| № | Угроза | Состояние | Значение состояния | Предельное значение |
| 1 | Пожар
C(U)2 |
Количество пожаров в месяц | 0 | 30 |
| 2 | Кража
C(U)1 |
Количество краж в месяц | 0 | 30 |
| 3 | Месть
C(U)3 |
Количество попыток мести | 0 | 30 |
Таблица 5. Влияние угроз на промежуточные факторы
| Угроза | Промежуточный фактор | Вес связи | Обоснование | |
| Пожар |
Потеря персональных данных | очень сильно | Такая угроза, как пожар очень сильно влияет на все промежуточные факторы | |
| Потеря трудовых книжек | очень сильно | |||
| Потеря трудовых договоров | очень сильно | |||
| Потеря приказов и распоряжений | очень сильно | |||
| Потеря отчетности | очень сильно | |||
| Кража |
Потеря персональных данных | очень сильно | Влияет очень сильно | |
| Потеря трудовых книжек | очень сильно | |||
| Потеря трудовых договоров | Очень сильно | |||
| Потеря приказов и распоряжений | Очень сильно | |||
| Потеря отчетности | Очень сильно | |||
Граф выглядит следующим образом:
Были выбраны следующие лингвистические термы:
Матрица
достижимости:
Полный эффект:
Общий
риск:
До внедрения контрмер общая сумма риска составляла 38 756 300 руб., а после внедрения – 34 675 450руб. Откуда следует, величина предотвращенного ущерба: 4 080 850 руб. Таким образом, можно сделать вывод о том, что введение такой системы защиты является эффективным и экономически целесообразным.
Из
рисунка следует что риск уменьшился
за счет внедрения следующих
1.инструкции по поведению персонала в ЧС;
2.внедрение системы
защиты от краж.
Глава 6.Управление информационными рисками.
Обеспечение информационной безопасности — одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.
Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, информационные риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
Информационные риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
- риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации информационных рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации информационных рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Выявление информационных рисков:
На практике
способы выявления
Чтобы минимизировать информационные риски необходимо выполнение следующих правил:
1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
2. Организация должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
3.Информационные системы, от которых напрямую зависит деятельность организации (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.
Обеспечение информационной безопасности — это, в первую очередь, вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба.
Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их экономическую эффективность.
Для обеспечения необходимой защиты от информационных рисков и контроля безопасности можно провести следующие мероприятия.
- Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение информационных рисков, а также обеспечить резервные мощности для работы в критической ситуации.
- Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах организации, используемых для этой цели.
- Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
- Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
- Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность автоматизированных систем предприятий
- Информационная безопасность баз данных
- Информационная безопасность в Intranet
- Информационная безопасность. Вредоносное программное обеспечение. Вирусы, шпионское программное обеспечение, руткиты
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность