Обеспечение целостности информации
ККЭП 090305 492_25 001 ПЗ
АННОТАЦИЯ
В пояснительной записке представлен курсовой проект на тему: «Обеспечение целостности информации вАС «Банк»»
Пояснительная записка состоит из девяти разделов в соответствии с которыми будет проектироваться, и создаваться данная подсистема защиты.
Также в пояснительной записке содержится описание объекта автоматизации, требования к компонентам системы, алгоритм работы системы, инструкция по эксплуатации системы, визуальные формы программных компонентов, таблицы, объекты, используемые в системе.
Содержание
ВВЕДЕНИЕ
Современное общество немыслимо без применения информационных технологий. Они проникли в каждую сферу общественной жизни. Банковская система, авиация, космонавтика и современная индустрия управляются и обслуживаются компьютерами. Компьютерные системы и телекоммуникации реализуют современные IT-технологии, обеспечивая хранение информации, ее обработку, доставку и представление потребителю, определяют надежность систем обороны и безопасности страны. Высочайшая степень автоматизации, к которой стремится общество, ставит его в зависимости от уровня безопасности использования информационных технологий, обеспечивающих благополучие множества людей.
Современные методы и средства обработки информации не только дают возможность повышения эффективности деятельности человека, но и создают целый комплекс проблем, связанных с вопросом ее защиты.
Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:
- расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи
- вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса
- отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем
- ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации
- ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации
Таким образом, в настоящее время от степени защищенности информационных технологий зависит благополучие, а порой и жизнь многих людей. Вывод из строя автоматизированных систем может повлечь сбои технологического цикла предприятия, систем управления и сопровождения транспорта и, как следствие, привести к авариям и катастрофам с гибелью населения. Нарушение в информационных процессах может повлечь за собой экономический, экологический или военный кризис.
Предметомисследования является автоматизированная система обработки информации (АСОИ) вАС "Банк", в которой необходимо реализовать комплексный подход обеспечения защиты информации, уделив особое внимание подсистеме защиты целостности информации.
Объектом исследования является подсистема защиты информации АС «Банк» по обеспечению целостности информации данной организации.
- НАЗНАЧЕНИЯ И ЦЕЛИ СОЗДАНИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ (АСЗИ)
Система защиты информации (СЗИ) предназначена дляобеспечение информационной безопасности (ИБ) данных, обрабатываемых в информационной системе. СЗИ должна обеспечивать конфиденциальность, целостность и доступность данных в информационной системе.
Целями создания СЗИ являются:
- воспрещение несанкционированного доступа к источникам конфиденциальной информации;
- сохранение целостности, полноты и доступности информации;
- защита программ и данных;
- обеспечение контроля доступа к ресурсам предприятия;
- защита документооборота.
- сохранение конфиденциальности критичных информационных ресурсов;
- обеспечение непрерывности доступа к информационным ресурсам
В результате создания СЗИ должно быть обеспечено:
- снижение вероятности реализации актуальных угроз несанкционированного доступа (НСД) к системе, а так же к обрабатываемой в ней информации;
- сохранение целостности и доступности информации.
- поддержание возможности банка по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- предотвращение утечки, хищения, утраты, искажение, подделки.
- защита конституционных прав.
3. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ
3.1 Описание компонентов системы
Исходя из основных принципов функционирования банка, в здании можно выделить два основных укрупненных блока - операционно-кассовый блок и блок, включающий помещения информатизации, офисные помещения и сопутствующие им вспомогательные помещения, а также помещения охраны и службы безопасности.
Операционно-кассовый блок является главным функциональным звеном в зданиях банков и, как правило, составляет до 70 % от общего объема здания.
В его состав входят:
а) кассовый узел;
б) кассовый и операционный залы или операционно-кассовый зал (залы) для обслуживания юридических и физических лиц;
в) группа специальных помещений по обслуживанию клиентов (обмена валюты, банкоматов, ночного сейфа, автоматического обслуживания);
г) помещения индивидуальных сейфов (депозитарий).
Для подразделений информации предназначены помещения центральных устройств локальных сетей ЭВМ, помещения аппаратуры связи и др. помещения технологического обеспечения.
Офисные помещения включают кабинеты и приемные руководства банка, помещения отделов, включая помещения бухгалтерии.
Схема взаимосвязи помещений банка
УСЛОВНЫЕ ОБОЗНАЧЕНИЯ
- основные маршруты посетителей
- основные маршруты перемещения денег
- основные технологические связи
Рисунок 1
Основной поток посетителей банка проходит по маршруту: вестибюль - операционный зал - кассовый зал - вестибюль или вестибюль - операционно-кассовый зал – вестибюль.
Исходя из вышеуказанных маршрутов, необходимо обеспечить защиту каждому:
- Маршрут, по которому происходит постоянный поток посетителей, оборудован камерами видеонаблюдения, а так же применены физические средства защиты (охрана, невозможность прохода к кассовому узлу и другим местам хранения ценностей). Проход к депозитарию должен быть под надежной защитой, а так же должна производиться идентификация и аутентификация клиентов.
- Маршрут перемещения денежных средств должен быть скрыт от посторонних глаз и являться конфиденциальной информацией.
- Основные технологические каналы должны иметь качественную защиту от проникновения в систему злоумышленником.
В центре внимания защиты находятся:
- Помещение передачи ценностей
- Операционные кассы
- Подразделения информации, связи и защиты информации
- Бухгалтерия
- Учетно – операционные и кредитно – экономические отделы
- Архивы
- Руководство и администрация
- Обмен валюты
Между операционистами и кассирами операционных касс обеспечена техническая или курьерская связь для оперативной передачи документов. Конкретный способ решения этой задачи должен учитываться при взаиморасположении зон операционистов в операционном или операционно-кассовом зале и операционных касс.
Информационная система рассматривается как единое целое программно-аппаратного комплекса и человеческих ресурсов. Под нарушением будем понимать любое нерегламентированное событие в информационной системе, способное привести к нежелательным для организации последствиям.
Администратор банка следит за работоспособностью системы информационной безопасности.
Бухгалтер занимается финансовой отчетностью и прочей документацией.
Оператор\кассир занимается приемом платежей, денежных переводов и других операций.
Система безопасности следит за любыми действиями, которые могут привести к несанкционированному доступу в систему, а так же выявлению незаконных действий в помещении банка.
Схема организации информационной безопасности
Рисунок 2
Обеспечение информационной безопасности
Рисунок3
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
предотвращение разглашения и утечки конфиденциальной информации;
воспрещение несанкционированного доступа к источникам конфиденциальной информации;
сохранение целостности, полноты и доступности информации;
соблюдение конфиденциальности информации;
обеспечение авторских прав (Рис.4).
Цели защиты информации
Рисунок 4
Определение объектов и субъектов системы
Объектом внедрения СУИБ является несколько отделений банка.
Данные отделения занимаются оказанием услуг: по переводам денежных средств, по депозитам, по предоставлению банковских карт, банковского страхования, по вкладам, по конвертации денежных валют, по оплате коммунальных услуг, по аренде банковских ячеек и сейфов, по получению заработной платы через банк.
Отдел внедрения СУИБ имеет несколько отделений:
- Кабинет управляющего банком. Доступ имеют посетители, встреча с которыми назначена и одобрена заранее.
- Отдел бухгалтерии. Занимается учетом всех финансовых операций, в том числе выдачей заработной платы всем сотрудникам. Через данный отдел проходит основной финансовый документооборот.
- Отдел охраны. Занимается охраной служебных помещений от доступа посторонних лиц.
- Отдел предоставления банковских услуг. Совершение различных операций с денежными средствами, оформление банковских карт и прочее.
Таблица 1. Таблица связи субъектов и объектов
Занимаемая должность |
Кадры |
Сведения о клиенте |
Заработная плата |
Записи камер видеонаблюдения |
Журналы подкл. к системе и серверу |
Главный бухгалтер |
+ |
+ |
+ |
- |
- |
Администратор |
- |
- |
- |
- |
+ |
Управляющий банком |
+ |
+ |
+ |
- |
- |
Отдел банковских услуг |
- |
+ |
- |
- |
- |
Отдел охраны |
+ |
- |
- |
+ |
- |
Тип доступа на редактирование и чтение:
«+» назначены права доступа к данным.
«-» не назначены права доступа к данным.
Объектами защиты являются:
1.Документы и прочие бумажные источники информации;
2.Аппаратура;
3.Компьютеры и хранящаяся в них информация;
4.Прочее имущество.
3.3 Описание бизнес-процессов предметной области
Бизнес-процесс – это последовательность работ, направленных на решение одной из задач предприятия, например, материально-техническое снабжение, планирование и т.д.
Для моделирования различных бизнес-процессов в организациях используется специализированное программное обеспечение (CASE-средства).
Бизнес-процессы делятся на основные, обеспечивающие и бизнес-процессы управления.
Бизнес-процессы, происходящие в банке
Рисунок 5
3.4 Определение и описание информационных потоков
Информационным потоком от объекта А к объекту В называется преобразованием информации в объекте А, зависящее от информации в объекте В.
Любая обработка информации внутри информационной системы происходит посредством данных потоков. Утечка информации также происходит только с помощью информационных потоков, а значит есть необходимость уметь разделять потоки на разрешенные (безопасные, не приводящие к утечке данных) и запрещенные (небезопасные, потенциально ведущие к утечке).
Анализ информационных потоков на предприятии помогает понять механизм работы самого предприятия. В процессе изучения информационных связей и информационных потоков изучаются процессы возникновения, движения и обработки информации, а также направленность и интенсивность документооборота на предприятии.
Электронно-цифровые потоки информации.
Рисунок 6
Все документы проходят через администратора и хранятся в центральном сервере. Это определяет важность защиты отдела администратора от всех разновидностей угроз, так как он имеет доступ ко всем электронным данным, которыми располагает объект защиты.
3.5 Классификация информации по видам тайн
Основная информация, циркулирующая в локальной сети между отделениями, относится к конфиденциальной информации.
Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация становится доступной или раскрытой только санкционированным лицам, объектам илипроцессам.
Таблица 2. Классификация информации
Должность |
Документ |
Данные содержащиеся в документе |
Вид тайны |
Закон |
Управляющий банком |
Весь документооборот |
Различные накладные, кассовые справки, сметы и др. |
Персональные данные и коммерческая тайна |
ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, ст. 138 УКРФ |
Главный бухгалтер |
Ведомости о доходах сотрудников |
ФИО сотрудников, адрес, должность, информация о доходах |
Персональные данные |
ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ |
Оператор\кассир |
Накладные, извещения, бланки |
Реквизиты клиента |
Персональные данные, служебная тайна |
ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ |
Охранник |
Личные данные |
ФИО сотрудников, должность(отдел) |
Персональные данные |
ФЗРФ «О коммерческой тайне» Ст. 139 ГКРФ, Ст. 138 УКРФ |
В системе циркулирует информация, содержащая коммерческую и служебную тайны, а так же персональные данные.
Так как сотрудники работают с информацией разного уровня конфиденциальности, СУИБ должна определять функции выполняемые пользователями, наделять их правами в соответствии с должностными инструкциями и разграничивать доступ к информации разных уровней.
В отделении банка сотрудники имеют разный доступ к информации и в системе происходит оперирование данными различных уровней (таблица 2):
3.6 Описание угроз, модель нарушителя
Угроза безопасности информации
– это потенциальная возможность нарушения
основных качественных характеристик
(свойств) информации при ее обработке
техническими средствами: секретности/ конфиденциальности,
целостности, доступности.
Схема модели нарушителя
Рисунок 7
Основные угрозы, которым должна противостоять система управления информационной безопасностью:
- Попытки НСД в систему;
- Умышленное уничтожение, искажение или хищение программных данных, конфиденциальных и иных документов;
- Вирусы и иные деструктивные программы;
- Несанкционированное изменение состава и конфигурации СУИБ;
- Системные ошибки ИС;
- Ошибки персонала, которые могут повлечь за собой неработоспособность ИС.
Все вышеперечисленное может повлечь за собой утечку важной информации, неправильную работу автоматизированной системы банка либо ее полное прекращение. Данным угрозам должна противодействовать СУИБ, что обеспечит защиту программ, данных и документов.
Таблица 3. Виды угроз
Виды угроз |
Содержание |
Физическая |
Уничтожение, повреждение, разрушение средств обработки информации, телекоммуникации и связи. |
Перехват информации в технических каналах связи и телекоммуникационных системах. | |
Уничтожение, повреждение, разрушение, хищение магнитных и других носителей информации. | |
Воздействие на пароль-ключ системы защиты средств обработки и передачи информации. | |
Информационная |
Противозаконный сбор и использование информации. |
Хищение информационных ресурсов. | |
Осуществление НСД к информации и ее противоправного использования. | |
Нарушение процесса обработки информации. | |
Организационная |
Невыполнение требований законодательства в информационной сфере. |
Формирование закупок на совершенствование устаревшей техники, средств защиты информации. | |
Программно-материальная |
Внедрение в аппаратные и программные изделия разрушающих компонентов. |
Программы, нарушающие нормативную функциональность информационной системы или системы защиты информации. |
Таблица 4. Модель нарушителя
Пользователь |
Модель нарушителя |
Администратор безопасности |
3 уровень |
Управляющий банком |
2 уровень |
Главный бухгалтер |
1 уровень |
Оператор/кассир |
1 уровень |
Охранник |
1 уровень |
Таблица 5. Уровни нарушителя
1 уровень |
Определяет самый низкий уровень возможности ведения диалога пользователя сАС – запуск задачи из фиксированного набора, реализация заранее предусмотренных функций по обработке информации. |
2 уровень |
Определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. |
3 уровень |
Определяется возможностью управления функционирования АС, т.е. воздействие на базовое ПО системы и на состав и конфигурацию ее оборудования. |
4 уровень |
Определяется всем объемом возможных лиц осуществляющих проектирование, реализацию и ремонт технических средств АС вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации. |
Основные нарушения, возникающие в системе: нарушения конфиденциальности, изменения в системе, утрата работоспособности.
Нарушения конфиденциальности.
Причиной возникновения данной проблемы является нарушение движения информационных потоков или ошибки в системе доступа. Из-за того, что данные виды нарушений никак не влияют на состояние системы, выявить их очень сложно. Только небольшое число подобных нарушений можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы.
Наиболее часто встречающиеся примеры нарушения доступа к информации:
– ошибки администрирования:
– неправильное формирование групп пользователей и определение прав их доступа;
– ошибки в формировании итоговых и агрегированных отчетов и доступа к ним.
– наличие открытого доступа для представителей сторонней организации, выполняющей какие-либо подрядные работы;
– ошибки проектирования информационной системы:
– использование недостаточно защищенной среды для разработки информационной системы.
– небрежность пользователей в вопросах информационной безопасности:
– нарушение хранения паролей для доступа в информационную систему.;
– сохранение закрытого соединения после окончания работы. Уходя на обед или домой, пользователь не выключает компьютер и не выходит из банковской системы. Если система не имеет механизма временного отключения неактивных пользователей, данное нарушение делает бессмысленным большинство других требований системы безопасности;
– нерегламентированное обсуждение зарытой информации;
– умышленный взлом системы:
– через внешние точки доступа в информационную систему, например через Интернет. Самый опасный вид взлома, так как нарушитель недоступен или почти недоступен для службы безопасности и, чувствуя свою безнаказанность, может нанести максимальный вред организации;
– нерегламентированное подключение к собственной сети (информационным коммуникациям) банка. С развитием сетевых технологий данный вид нарушений встречается достаточно редко;
Нарушение целостности или нерегламентированные изменения в информационной системе приводят к более серьезным последствиям, чем нарушения конфиденциальности. Однако при правильном построении информационной безопасности нерегламентированные изменения могут быть зарегистрированы и выявлены в процессе работы. Кроме того, существуют дополнительные механизмы защиты от них, такие, как электронная подпись, благодаря чему общее количество данных нарушений меньше, чем нарушений доступа на просмотр информации, хотя их последствия более серьезны.
Причины, приводящие к нарушениям записи информации в системе:
ошибки программирования;
ошибки ввода;
технические сбои;
умышленные нарушения в системе;
Причинами, побудившими сотрудников к умышленному нарушению информационной безопасности, являются:
обида на действия менеджеров, как правило, связанная с конфликтами или увольнением сотрудника;
попытка дополнительного заработка;
попытка хищения денег из организации;
попытка создания зависимости организации от конкретного сотрудника;
карьерная борьба.
В качестве мер противостояния нарушениям данного типа наиболее эффективны социальные меры, разграничение доступа и мониторинг действий пользователей.
Основой политики информационной безопасности в банке является общая политика безопасности организации. Часто информационная безопасность рассматривается как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.
3.7 Оценка рисков
При проведении оценки рисков должны рассматриваться три основные категории потерь:
- Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов;
- Потеря производительности –потеря происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей;
- Общий риск.
Таблица 6. Уровни риска
Зона уязвимости |
Денежная потеря |
Потеря производительности |
Общий риск |
Уровень СУБД |
С |
С |
Н |
Физический уровень |
Н |
С |
В |
Уровни риска разделяются на:
Низкий (Н) – минимальная возможность потерь;
Средний (С) – номинальная возможность потерь;
Высокий (В) – значительная возможность потерь.
3.8 Выбор класса защищенности системы.
ИС «Банк» является многопользовательской, где одновременно обрабатывается и хранится информация разных уровней конфиденциальности и не все пользователи системы имеют одинаковый доступ ко всей информации. Данная ИС должна соответствовать уровню защищенности класса «1Д».
Обеспечение безопасности информации реализуется за счет следующих подсистем:
- Подсистема контроля целостности
- Подсистема управления доступом
- Подсистема регистрации и учета входа/выхода.
Средства защиты СВТ от НСД к информации должны удовлетворять 6 классу защищенности.Показатели защищённости средств вычислительной техники, согласно шестому классу защищённости:
- Дискреционный принцип контроля доступа;
- Идентификация и аутентификация;
- Тестирование;
- Руководство пользователя;
- Руководство по КСЗ;
- Тестовая документация;
- Конструкторская документация.

- Обеспечение экологической безопасности общехозяйственных систем управления
- Обеспечение экологической безопасности общехозяйственных систем управления
- Обеспечение экономической безопасности в сфере потребительского кредитования населения (на примере отделения ОАО «Уралтрансбанк» г.Крас
- Обеспечение экономической безопасности на предприятиях производства машин и оборудования
- Обеспечение экономической безопасности Приморского края от внешних и внутренних угроз в добывающей отрасли рыбного хозяйства
- Обеспечение экономической безопасности России таможенными методами
- Обеспечение электронного учебника
- Обеспечение финансирования расходов на образование в современных условиях
- Обеспечение финансирования расходов на образование в современных условиях
- Обеспечение финансирования расходов на образование в современных условиях
- Обеспечение финансирования расходов на образования в современных условиях
- Обеспечение финансирования расходов на образования в современных условиях
- Обеспечение финансового оздоровления предприятия за счет использования внешней помощи
- Обеспечение , хранение и доставка сырья для столовой на 150 мест