46796 (607944), страница 2
Текст из файла (страница 2)
- Важная: Сведения, которые должны быть переданы в банк.
- Полезная: Применение электронных таблиц Excel, использование Интернет, факса, телефонных книг – это значительно экономит временные ресурсы.
- Несущественная: сведения, хранящиеся более 75 лет.
По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.
По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ и методах связи с Г. Москва.
- Очень важная: пароли АРМ, номера персонифицированных счетов.
- Важная: Сведения, которые должны быть переданы в банк.
- Незначимая: метод обмена информации между регионами количество индивидуальных, способ хранения информации и т.д.
Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о гражданах РФ, хранящиеся в БД. БД должны хранится на администраторском сервере, а их дубликаты на АРМ администратора ИБ и в г. Москве. Главный администратор должен контролировать СУБД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями Пенсионного Фонда и поступающая с почтового сервера. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.
Таблица 2 - Информационный ресурс - пользователь
| Информационный ресурс | Ответственный | Пользователь | Обязанности пользователя | Степень Критичности (чувствительности) | Фаза жизненного цикла | Место хранения | ||||
| Персональные данные клиентов | Администратор и администратор по ИБ | Работники отделения (АРМ), администратор, администратор ИБ и администратор сервера в г. Москве | Сбор данных, обработка, хранение, следить за доступом к ним | Критическая | Получение обработка хранение | БД | ||||
| Системные пароли | Администратор ИБ | Администратор, администратор ИБ | Следить за правом доступа | Очень важная | Хранение | АРМ Администратора ИБ | ||||
| Сетевые данные | Администратор | Администратор | Передача данных на АРМ (3,4), размещение объявлений на сайте и др. | Чувствительная | Передача | Почтовый сервер | ||||
| Обработанная информация | АРМ (5,б) | АРМ (5,б) | Передача информации, выявление несоответствий | Важной | Передача | БД | ||||
| Регистрация документов, должностные инструкции, телефонные книги | Руководитель организации | Работники отделения | Использование этих сведений непосредственно на рабочем месте | Внутренняя | Хранение | АРМ работников, АРМ руководителя | ||||
| Незасекреченная информация о деятельности отделения (способ хранения информации) | Руководитель | Граждане РФ | Использование по необходимости | Открытая | Обработка | АРМ руководителя | ||||
| Информационный ресурс | Ответственный | Пользователь | Обязанности пользователя | Степень Критичности (чувствительности) | Фаза жизненного цикла | Место хранения | ||||
| Устаревшие данные | Администратор по ИБ | Администратор и администратор ИБ | Хранение и удаление | Несущественная | Удаление | АРМ Администратора ИБ | ||||
Программное обеспечение
Программное обеспечение (ПО) – это совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ. Основные функции ПО:
- автоматическое управление вычислительным процессом работы компьютера при минимальном вмешательстве оператора;
- повышение эффективности функционирования ЭВМ;
- обеспечение взаимодействия пользователь и компьютера;
- обеспечение контроля и надежности функционирования ЭВМ.
ПО дополняет компьютеры теми возможностями, которые трудно или экономически нецелесообразно реализовать аппаратными средствами. Информационные системы на основе компьютерных сетей выполняют функции хранение и обработки данных, организации доступа к данным, передачу данных и результатов обработки пользователем. Функциональное назначение любой компьютерной сети состоит в том, чтобы предоставлять информационные и вычислительные ресурсы пользователям, которые имеют подключение к сети. Локальная сеть включает: сервер, рабочие станции (АРМ), среду передачи (линии связи или пространство, в котором распространяются электрические сигналы и аппаратуру передачи данных), сетевое программное обеспечение, почтовый сервер. Помимо локальной сети в госоргане существует и глобальная сеть. В нее включаются еще АРМ банка и сервер в г. Москва. По определенным протоколам в сети происходит обмен информации. Протокол – это стандарт (набор правил), определяющий способ преобразования информации для ее передачи по сетям. Для подключения к Интернет и получения набора услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) – Transmission Control Protocol / Internet Protocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.
В TCP/IP для проверки правильности пакета использует контрольную сумму. Контрольная сумма - это число, помещаемое в дейтаграмму и вычисляемое по специальному алгоритму.
Протокол POP3 (Post Office Protocol) предназначен для организации динамического доступа рабочих станций к почтовому серверу. Протокол POP3 на транспортном уровне использует TCP-соединение. Уязвимостью протокола POP3 считается - невозможность выборочного приема клиентом сообщения с почтового сервера.
Чтобы обеспечить безопасность передачи данных необходимо защищать каналы связи следующими способами: защита сообщений от несанкционированного доступа и подтверждение целостности полученных по каналам связи. Уязвимость – при огромном количестве передачи сообщений, снижается скорость передачи данных.
Передача данных осуществляется по каналам и линиям связи. С помощью информационно – логической модели ИС (Приложение А) можно наблюдать распределение данных.
Т
аблица 3 - Информационно-технологическая инфраструктура
| № | Объект защиты | Уровень | Уязвимости |
| 1. | Линии связи Аппаратные средства | физический | Незащищенность от помех |
| 2. | Шлюз | Сетевой | Медленная передача |
| Маршрутизаторы | Зависят от использу-емого протокола | ||
| Концентраторы | При попытке одновременной передачи данных из двух узлов логического сегмента возникает коллизия. | ||
| 3. | Почтовые программные средства | Сетевых приложений | Прием и передача сообщений Протокол POP3 может только считывать либо доставлять почту, обработка данных происходит на АРМ. |
| 4. | ОС | Операционных система | Система ввода вывода |
| 5. | БД | Систем управления базами данных (СУБД) | Пароли, данные, нарушение конфиденциальности |
| 6. | Процесс назначения на пенсию | Бизнес-процессов организации | Чувствительной информация |
2. Перечень и анализ угроз
Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности госоргана. Описание каждой угрозы анализируем с помощью модели угроз, включающую:
-
нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
-
объекты нападений;
-
тип потери (конфиденциальность, целостность, доступность и т.д.);
-
масштаб ущерба;
-
источники угрозы. Для источников угроз – людей модель нарушителя должна включать:
-
указание их опыта,
-
указание знаний,
-
указание доступных ресурсов, необходимых для реализации угрозы,
-
возможную мотивацию их действий.
Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом:
-
землетрясение;
-
наводнение;
-
ураган;
-
молния;
-
промышленная деятельность;
-
бомбовая атака;
-
использование оружия;
-
пожар (огонь);
-
преднамеренное повреждение;
-
авария источника мощности;
-
авария в подаче воды;
-
авария воздушного кондиционирования;
-
неисправности аппаратных средств;
-
колебание мощности;
-
экстремальные значения температуры и влажности;
-
пыль;
-
электромагнитное излучение;
-
кража;
-
неавторизованное использование среды хранения;
-
износ среды хранения;
-
операционная ошибка персонала;
-
ошибка технического обслуживания;
-
авария программного обеспечения;
-
использование программного обеспечения неавторизованными пользователями;
-
использование программного обеспечения неавторизованным способом;
-
подделка идентификатора пользователя;
-
нелегальное использование программного обеспечения;
-
вредоносное программное обеспечение;
-
нелегальный импорт/экспорт программного обеспечения;
-
доступ к сети неавторизованных пользователей;
-
ошибка операционного персонала;
-
ошибка технического обслуживания;
-
техническая неисправность компонентов сети;
-
ошибки при передаче;
-
повреждения в линиях связи;
-
перегрузка трафика;
-
перехват;
-
проникновение в коммуникации;
-
ошибочная маршрутизация сообщений;
-
повторная маршрутизация сообщений;
-
отрицание;
-
неисправность услуг связи (то есть, услуг сети);
-
ошибки пользователя;
-
неправильное использование ресурсов;
-
дефицит персонала.
Анализ каждой угрозы.
Землетрясение, наводнение, ураган и молнию не имеет смысла рассматривать подробно по модели, т.к. возможность их появления мало-вероятная. Тем не менее, в случае наводнения госучреждение не пострадает, потому что находится на возвышенной местности (недалеко от Западной Поляны), относительно центра города и других спальных районов. Географическое положение г. Пенза исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. По неосторожности (если в открытую форточку ворвется ветер) можно потерять время на наведение порядка в разбросанных бумагах. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. Угроза пожара будет рассмотрена ниже. Промышленная деятельность, бомбовая атака и использование оружия являются маловероятными угрозами, поэтому их подробно не анализируем. В случае реализации промышленной деятельности как угрозы может произойти случайный обрыв каналов связи с банком и г. Москвой. При этом будет потеряна часть информационного ресурса. При бомбовой атаки появится возможность потери информации, жизни людей, оборудования. Все это связано с огромными денежными потерями. При использовании оружия возникнет вероятность нарушение конфиденциальности информационного ресурса.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
