Оценка защищенности информационной системы организации

Министерство образования  и науки Российской Федерации

Федеральное государственное бюджетное  образовательное учреждение высшего  профессионального образования

«ПЕРМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

 

 

 

 

 

 

ОТЧЕТ

по практической работе №1

 

«Оценка защищенности информационной системы организации»

 

 

 

 

 

 

 

Выполнил:	студент гр. 08ПТ1
	Кузин Р.В.
Проверил:	Жданов В.М.

 

 

 

 

 

 

 

 

Пенза, 2013

 

1 Анализ угроз для  информационной системы организации

2 Разработка  схемы информационных потоков информационной системы организации

На первом этапе практических занятий необходимо провести идентификацию  информационной системы районной налоговой инспекции.

Главной целью районной налоговой инспекции является работа с физическими и юридическими лицами, осуществление налогового контроля за их деятельностью и обеспечение поступления средств в бюджетную систему страны.

Для достижения указанной  цели организации требуется выполнение следующих задач:

• учет и регистрация налогоплательщиков;
• прием налоговой отчетности и начисление платежей;
• проведение проверок правильности уплаты налогов;
• осуществлять возврат или зачет излишне уплаченных или излишне взысканных сумм налогов;
• формирование отчетности налоговой инспекции в городскую или областную налоговую службу;
• экономический анализ деятельности налоговой инспекции и состояния обслуживаемого района;

 

Можно выделить следующие  основные функции организации:

1. регистрация налогоплательщиков;
2. учет налогоплательщиков;
3. начисление платежей;
4. прием налоговой отчетности.

 

Описание процесса регистрации  налогоплательщика в налоговой инспекции.

Исходная информация поступает от самого налогоплательщика. Она может быть предоставлена  лично налогоплательщиком, через  курьера или по почте. На различных  носителях:  бумажных или электронных.

Данную информацию получает  инспектор или юрист-консультант. Далее полученная информация обрабатывается на АРМ: производится проверка подлинность документов и систематизация полученных данных с последующей отправкой в СУБД. В результате создается база данных, содержащая необходимую информацию о налогоплательщике по регистрационной карточке. Таким образом формируется электронная папка на налогоплательщика. Эта информация в дальнейшем будет использована всеми отделами налоговых инспекторов и отделами анализа и отчетности налоговой инспекции, а также дополнена различными данными по налогоплательщику. Схема информационного процесса представлена на рисунке 1.

Рисунок 1—Информационный  процесс при постановке на учет налогоплательщика

 

При приеме налоговой отчетности и начислении платежей исходной информацией являются ФИО, дата и место рождения, место проживания, контактный телефон, ИНН, код по ОКАТО (для физических лиц), ИНН, КПП, полное наименование организации или ФИО индивидуального предпринимателя, номер контактного телефона (для юридических лиц.). Такие данные по отчетности поступают в РНИ от налогоплательщиков, равно как и от сторонних организаций (отделений пенсионного фонда, служб судебных приставов, центров занятости, страховых компаний, территориального фонда обязательного медицинского страхования, казначейства и др.) как на бумажных носителях, так и в электронном виде. Эта информация поступает на АРМ налогового инспектора. Результатом является расходный кассовый ордер о выдаче денежных средств. Схема информационного процесса представлена на рисунке 2.

 

 

Рисунок 2—Информационный процесс при приеме налоговой отчетности и начислении платежей

 

Описание структуры  информационной системы районной налоговой  инспекции приводится в таблице 1.

Таблица 1 – описание ИС

Характеристики информационной системы	Параметры информационной системы
Структура информационной системы	Локальная информационная система
Подключение информационной системы к сетям общего пользования  и (или) сетям международного информационного обмена	Имеется
Режим обработки персональных данных	Многопользовательская система
Режим разграничения  прав доступа пользователей	Система с разграничением доступа
Местонахождение технических  средств информационной системы	Все технические средства находятся в пределах Российской Федерации

 

Структура структуры информационной системы районной налоговой инспекции включает в себя следующие элементы:

• АРМ администратора БД;
• АРМ системного администратора;
• АРМ налогового инспектора;
• АРМ юрист-консультанта;
• сервер БД;
• маршрутизатор.

Графическая схема структуры  информационной системы районной налоговой  инспекции приведена на рисунке 3.

 

 

 

 

 

 

 

 

 

 

 

Рисунок 3 – Структура ИС районной налоговой инспекции

 

 Сведения об аппаратных компонентах, а так же полномочия пользователя и владельца представлены в таблице 2.

 

Таблица 2 – Аппаратные компоненты и ответственные за них

Аппаратный компонент	Ответственный за аппаратный компонент	Пользователи	Полномочия пользователей
АРМ налогового инспектора	Системный администратор	Налоговый инспектор	Включение и работа на АРМ
		Юрист-консультант	Нет доступа
		Системный администратор	Включение, работа и настройка
		Администратор БД	Включение и работа на АРМ
АРМ юрист-консультанта	Системный администратор	Налоговый инспектор	Нет доступа
		Юрист-консультант	Включение и работа на АРМ
		Системный администратор	Включение, работа и настройка
		Администратор БД	Включение и работа на АРМ
АРМ системного администратора	Системный администратор	Налоговый инспектор	Нет доступа
		Юрист-консультант	Нет доступа
		Системный администратор	Включение, работа и настройка
		Администратор БД	Нет доступа
АРМ администратора БД	Системный администратор	Налоговый инспектор	Нет доступа
		Юрист-консультант	Нет доступа
		Системный администратор	Включение, настройка оборудования
		Администратор БД	Включение, работа
Сервер БД	Администратор БД	Налоговый инспектор	Нет доступа
		Юрист-консультант	Нет доступа
		Системный администратор	Включение оборудования
		Администратор БД	Включение и работа с оборудованием
Маршрутизатор	Системный администратор	Налоговый инспектор	Нет доступа
		Юрист-консультант	Нет доступа
		Системный администратор	Включение и работа с оборудованием
		Администратор БД	Включение оборудования

 

Сведения информационных ресурсах, а так же полномочия пользователя и владельца представлены в таблице 3.

 

 

 

Таблица 3 – Информационные ресурсы и ответственные за них

Информационный ресурс	Ответственный за информационный ресурс	Пользователь	Полномочия пользователя
Персональные данные налогоплательщиков	Администратор БД	Налоговый инспектор	Чтение, запись, изменение и удаление из базы данных
		Юрист-консультант	Чтение
		Системный администратор	Чтение
		Администратор БД	Чтение, запись, изменение и удаление из базы данных
Отчетность по начисленным платежам	Администратор БД	Налоговый инспектор	Чтение, запись, изменение и удаление из базы данных
		Юрист-консультант	Чтение
		Системный администратор	Чтение
		Администратор БД	Чтение, запись, изменение и удаление из базы данных

 

На основе вышеперечисленных  данных можно составить инфологическую схему районной налоговой инспекции. Схема представлена на рисунке 4.

На рисунке 4 используются следующие обозначения:

1 – ПДн налогоплательщика (ФИО, дата и место рождения, адрес прописки,  паспортные данные, контактный телефон, ИНН, код по ОКАТО, КПП, полное наименование организации или ФИО ИП);

2 – Отчетность по начисленным платежам.

 

 

 

 

 

Рисунок 4 – Инфологическая модель ИС районной налоговой инспекции

 

3 Разработка описания угроз на основе модели угроз из национального стандарта ГОСТ Р ИСО/МЭК 15408

На втором этапе необходимо разработать описание угроз информационным ресурсам районной налоговой инспекции. Угрозами для анализа являются: нарушение доступности защищаемой информации, нарушение конфиденциальности защищаемой информации. Угрозы реализуются на прикладном уровне программного обеспечения АС.

Результат описания угроз  представлен в табличной форме  в таблицах с 4 по 5.

 

Угроза несанкционированного раскрытия информации с использованием прикладного ПО сервера БД
Уязвимость	Метод нападения	Объект нападения	Тип потери	Масштаб ущерба	Источник угрозы	Опыт	Знания	Доступные ресурсы	Возможная мотивация
CVE-2012-4178; SQL инъекция в сервере MySQL, следствие недостаточной проверки принятых от пользователя значений	Выявление наличия SQL инъекции; анализ БД через MySQL инъекцию;	ПДн налогоплательщика	Конфиден-циальность	Высокий	Злоумышленники (хакеры)	Высокий уровень	Обязательны специальные знания в области сетевой безопасности	АРМ с подключением к локальной  сети	Желание самоутвердиться, кража информации на заказ

Таблица 4 – Угроза несанкционированного раскрытия информации и ее распространения с использованием прикладного ПО сервера БД

 

 

 

 

Таблица 5 – Угроза нарушения целостности информации действиями внешнего нарушителя

Угроза нарушения  целостности информации действиями внешнего нарушителя
Уязвимость	Метод нападения	Объект нападения	Тип потери	Масштаб ущерба	Источник угрозы	Опыт	Знания	Доступные ресурсы	Возможная мотивация
CVE-1999-0537; конфигурация web-браузера, такого как IE, позволяет выполнение, ActiveX, Javascript	Внедрение вредоносных программ, способные удалить или изменить файлы, отформатировать жесткие диски и тд.	ПДн  налогоплательщика,  отчетность по начисленным платежам	Целостность	Высокий	Злоумышленники (хакеры)	Средний уровень и выше	Обязательны специальные знания в  области сетевой безопасности	Специализированное ПО(средства разработки ПО)	Личные мотивы (месть, желание самоутвердиться)