46796 (Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации)
Описание файла
Документ из архива "Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "46796"
Текст из документа "46796"
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
Федеральное Агентство по образованию
РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИННОВАЦИОННЫХ ТЕХНОЛОГИЙ И ПРЕДПРИНИМАТЕЛЬСТВА
Пензенский филиал
Курсовая работа
по дисциплине: «Информационная безопасность»
На тему: «АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТДЕЛЕНИЯ ПЕНСИОННОГО ФОНДА Российской Федерации»
Выполнил: ст. гр. 02и1
Логунова В.В.
Принял: к.т.н., доцент
Зефиров С.Л.
Пенза 2005
Содержание
Введение
1. Описание деятельности госоргана
1.1 Разработка структурной и инфологической моделей информационной системы госучреждения
2. Перечень и анализ угроз
3. Квалификация угроз актуальных для информационной системы
4. Разработка политики безопасности
Заключение
Литература
Приложение А
Введение
Настоящее время характеризуется стремительной компьютеризацией, которая охватила практически все сферы человеческой жизни. Очень трудно в настоящее время найти отрасль, которая бы не ощутила на себе влияние этого глобального процесса. С каждым годом увеличивается объем информации и поэтому намного удобнее осуществлять работу с ней в электронном виде. Тем не менее, наряду с огромным количеством достоинств компьютерных технологий появляются проблемы в области информатизации, например, защиты информации. Организации, предприятия либо государственные органы, работающие в информационной сфере, должны, надлежащим образом, следить за получением, формированием, хранением, распределением и использованием сведений, поступающих к ним. Потеря конфиденциальной информации может привести к неблагоприятным последствиям в деятельности учреждения. В избежание подобных случаев, необходимо осуществлять контроль за информационной системой.
В рамках данной курсовой работы проведем анализ угроз и разработаем политику безопасности для информационной системы отделения Пенсионного Фонда РФ.
1. Описание деятельности госоргана
В г. Пензе существуют немало важные государственные учреждения, которые занимаются деятельностью в различных сферах жизни общества. В данном курсовом проекте будет уделено внимание отделению Пенсионного Фонда Российской Федерации. Целями (бизнес - цели) деятельности государственного органа являются:
- назначение на пенсию граждан РФ (работа с персональными данными);
- ведение лицевых счетов граждан РФ;
- распределение информации в банк.
Функции госучреждения следующие:
- сбор и получение информации;
- внесение ее в базы данных;
- выявление несоответствий;
- обеспечение конфиденциальности информации;
- хранение и обработка данных;
- передача сведений в банк;
- работа с Интернет.
Информационная система госучреждения должна иметь базы данных, хранящие конфиденциальную информацию о гражданине РФ: фамилию, имя, отчество, дату рождения, его доход, сведения о стаже и номер лицевого счета, а также выявлять несоответствия о полученных данных. Базы данных могут иметь наименования, такие как «БД Пенсионеров», «БД Работодателей», «БД Наемных лиц», «БД Льготников», «БД Ветеран». Информация поступает в орган двумя способами: индивидуально от каждого человека в виде бумажных документов, заверенных подписью и печатью, и через Интернет. Документы регистрируется. Электронный документ должен содержать электронно-цифровую подпись, т.е. входящая информация шифруется системами криптозащиты. Сведения заносятся в базу данных с автоматизированных рабочих мест операторов. Все изменения, внесенный в БД, периодически должны сохраняться, делаться копии на случай утери информации.
По схеме «запрос - ответ» может осуществляться обмен информации между регионами. Пенсионный фонд, получив запрос, анализирует актуальность, проверяет наличие прав на этот запрос, так как доступ к информации ограничен определенным кругом лиц, после чего извлекает из БД запись одного лица и отправляет ответ. Все запросы должны фиксироваться в специальном журнале. За этими действиями должен следить администратор по информационной безопасности. Информацию о назначении на пенсию граждан РФ отправляют в банк, где хранится их лицевой счет и происходит ежемесячная выдача определенной суммы денег. Передается информация в зашифрованном виде, что обеспечивает ее уникальность. Госучреждение должно взаимодействовать по отдельным защищенным каналам связи с г. Москвой (корпоративная сеть) для того, чтобы там хранить копии БД. В случае непредвиденных обстоятельств, сведения можно восстановить. Информационная система (ИС) госоргана должна достаточно надежно обеспечивать многофункциональную систему защиты собственных баз данных с информацией о людях и их счетах, подобрать специальное программное обеспечение, а также доступ к информации должен быть ограничен определенным кругом лиц.
1.1 Разработка структурной и инфологической моделей информационной системы госучреждения
Функционирование информационной системы осуществляется следующим образом. Сведения заносятся в базу данных с автоматизированных рабочих мест (АРМ) операторов, два из которых будут соединены с почтовым сервером. Некоторые АРМ будут взаимосвязаны друг с другом. Базы данных (БД), система управления базами данных (СУБД) располагаются на администраторском сервере, взаимосвязанном с АРМ и с главным сервером в г. Москве, хранящий копию БД. Обработка данных осуществляется на главном (администраторском) сервере. Администратор имеет доступа к сети Интернет, но не сам сервер. АРМ администратора информационной безопасности (ИБ) обеспечивает защиту БД. Каждый компьютер имеет пароль, с помощью которого администратор ИБ проверяет наличие прав доступ персонала к БД (пароли) и фиксирует запросы на информацию. Только он имеет право удалять устаревшую информацию и хранить копии БД. АРМ банка получает сведения, поступившие из БД, от квалифицированных работников по средствам связи (телефон, факс, компьютер и т.д.).
Составим структурную модель ИС, состоящую из таких элементов как:
- автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД, поступающую в индивидуальном порядке от физического лица либо от почтового сервера, и которые отправляют сведения в банк;
- почтовый сервер, на который информация поступает через Интернет;
- администраторский сервер, хранящий БД, он же сервер обработки, на котором установлена система управления базами данных;
- автоматизированное рабочее место администратора информа-ционной безопасности;
- главный сервер г. Москвы, хранящий копии БД:
Функции ИС:
-
Способствует быстрому и своевременному внесению новых сведений, изменению уже имеющихся, а также удалению устарелых данных;
-
Структурирует и облегчает поиск информации в БД;
-
Показывает доступ к информационным ресурсам;
-
Обеспечивает надежное хранение данных (их безопасность);
-
Позволяет вести учет о назначения на пенсию граждан РФ;
-
Своевременная передача информации в банк.
Таблица 1 - Аппаратный компонент - пользователь
| Аппаратный ресурс | Пользователь | Права пользователя | Ответственный персонал | Обязанности ответственного персонала |
| АРМ | Работники отделения | Возможность доступа к БД. | Работники отделения (сотрудник несет ответственность за свои действия) | Обязанности распределяются в соответствии с работой, которую они выполняют (внесение новых сведений в БД, полученных от почтового сервера, по средствам связи и лично от граждан РФ, передача сведений в банк) |
| АРМ администратора ИБ | Администратор ИБ | Доступ к главному серверу, к БД | Администратор ИБ | Проверять наличие прав доступа к БД, фиксирует запросы, удаляет информацию, хранить копии БД |
| Почтовый сервер | Администратор | Доступ к Интернету | Администратор | Контролировать функционирование автоматизированной информационной системы, обрабатывать информацию в БД, хранить и создавать копий БД, осуществлять работу с почтой и с Интернетом, взаимодействовать с АРМ, с сервером г. Москвы и с АРМ администратора ИБ |
| Администраторский сервер | Рабочий персонал, администратор, администратор ИБ и администратор сервера в г. Москве | Доступ и пользование БД | ||
| АРМ банка | АРМ Пенсионного Фонда РФ | Передача информации в банк по средствам связи. Отсутствие прав пользования рабочего персонала отделения Пенсионного Фонда РФ информационными ресурсами банка | _______ | ________ |
| Аппаратный ресурс | Пользователь | Права пользователя | Ответственный персонал | Обязанности ответственного персонала |
| Сервер г.Москвы | Администратор | Доступ к хранилищу копий БД | ________ | ____________ |
Информация в отделении Пенсионного Фонда РФ может классифицироваться на критическую и чувствительную.
Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации.
На основе этого информация по степени критичности может быть следующей:
- Существенная: Персональные данные о гражданах РФ (например, заработанная плата, лицевой счет и др.), хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее потери отделения Пенсионного Фонда РФ понесет значительный ущерб в деятельности. Существует возможность временное прекращение деятельности учреждения, пока БД не будут восполнены.
- Важная: Информация, поступившая на почтовый сервер или на АРМ (1,2). Потеря такой информации нанесет средний, но поправимый ущерб деятельности госоргана.
- Нормальная: Устаревшие сведения.
Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.
По степени чувствительности могут быть выделены следующие виды информации:
- Высоко чувствительная: Раскрытие персональных данных граждан РФ.
- Чувствительная: Разглашение паролей АРМ, доступ к почтовому серверу, отсутствие шифрования данных.
Такие ситуации возможны по неосторожности, любопытству, не задумавшись о последствии действий или намеренно, если злоумышленник покидает место работы.
- Внутренняя: Регистрирование документов, должностные инструкции, ведение лицевых счетов.
- Открытая: метод обмена информации между регионами (по схеме «запрос - ответ»), количество индивидуальных счетов (1 300 000), способ хранения информации и др.
В зависимости от особенностей деятельности учреждения к информации может быть применена другая классификация. Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес - цели организации.
По степени критичности относительно доступности виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ, находящиеся в БД.
При отсутствии такой информации работа остановится.
- Очень важная: Информация, поступающая от почтового сервера, системные пароли, номера персональных счетов.
Доступ к сведениям о гражданах РФ должен быть ограничен. За этим следит администратор ИБ. Администратор сервера несет ответственность за целостность, конфиденциальность, доступность, подотчетность и подлинность БД.
