Автор работы: Пользователь скрыл имя, 22 Апреля 2013 в 18:27, курсовая работа
Целью своей курсовой работы автор избрал разработку проекта КСЗИ на примере Управы Дмитровского района города Москва.
Задачи, которые автор поставил перед собой:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
1. ВВЕДЕНИЕ................................................................................................. 3
2. ПАСПОРТ ПРЕДПРИЯТИЯ. .................................................................... 5
3. ОПИСАНИЕ МОДЕЛИ БИЗНЕСС ПРОЦЕСС....................................... 9
4. ЗАДАЧИ ПОСТРОЕНИЯ КСЗИ .............................................................. 10
5. ЭТАПЫ ПОСТРОЕНИЯ КСЗИ ................................................................ 11
6. РАСЧЕТ ИНФОРМАЦИОННЫХ РИСКОВ ........................................... 13
7. РАЗРАБОТКА ПИБ ................................................................................... 20
8. ЗАКЛЮЧЕНИЕ .......................................................................................... 22
9. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ.. 23
10. ПРИЛОЖЕНИЯ .......................................................................................... 24
ПРИЛОЖЕНИЕ 1 .................................................................................... 24
ПРИЛОЖЕНИЕ 2...................................................................................... 36
ПРИЛОЖЕНИЕ 3........................................................................... ......... 45
ПРИЛОЖЕНИЕ 4..................................................................................... 47
6. РАСЧЕТ ИНФОРМАЦИОННЫХ РИСКОВ
Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %.
Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.
Критерий критичности (D) равен 5000 (пяти тысячам) рублей.
Таблица угроз и уязвимостей.
Угроза |
Уязвимости |
1.Физический доступ |
1. Отсутствие системы контроля доступа служащих к чужим АРМам |
2.Отсутствие системы на предприятии | |
3. Несогласованность в
системе охраны периметра | |
2.Разглашение КИ, хранящейся на АРМ |
1.Отсутствие соглашения
о неразглашении между |
2.Нечеткое распределение
ответственности между | |
3.Разрушение КИ при помощи специальных программ и вирусов |
1.Отсутствие или некорректная работа антивирусного ПО |
2.Отсутствие ограничения
доступа пользователей к |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V)) и критичности реализации угрозы (ER).
Угроза/уязвимость |
P(V), % |
ER,% |
1/1 |
50 |
50 |
1/2 |
30 |
50 |
1/3 |
10 |
40 |
2/1 |
30 |
40 |
2/2 |
50 |
40 |
3/1 |
10 |
90 |
3/2 |
20 |
60 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Угроза/уязвимость |
Th |
CTh |
1/1 |
0,25 |
0,975 |
1/2 |
0,15 | |
1/3 |
0,04 | |
2/1 |
0,12 |
0,296 |
2/2 |
0,2 | |
3/1 |
0,09 |
0,199 |
3/2 |
0,12 |
Th = P(V) / 100 * ER / 100
CTh = 1 - П (1 - Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,025*0,04*
Рассчитаем риск по ресурсу:
R= CThR*D=0,986*7500=7395 (руб).
Объект защиты – сервер локальной сети.
Критерий критичности (D) равен 15000 рублей.
Таблица угроз и уязвимостей.
Угроза |
Уязвимости |
1.Физический доступ |
1.Неорганизованность |
2.Отсутствие видеонаблюдения | |
2.Разглашение КИ, хранящейся на сервере |
1.Отсутствие соглашения о нераспространении КИ |
2. Нечеткое распределение
ответственности между |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Угроза/уязвимость |
P(V), % |
ER,% |
1/1 |
70 |
80 |
1/2 |
40 |
60 |
2/1 |
30 |
30 |
2/2 |
70 |
50 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Угроза/уязвимость |
Th |
CTh |
1/1 |
0,56 |
0,666 |
1/2 |
0,24 | |
2/1 |
0,09 |
0,408 |
2/2 |
0,35 |
Th = P(V) / 100 * ER / 100
CTh = 1 - П (1 - Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,344*0,592=
Рассчитаем риск по ресурсу:
R=CTh*D=0,796*15000=11940 (руб).
Критерий критичности (D) равен 3000 рублей.
Таблица угроз и уязвимостей.
Угроза |
Уязвимости |
1.Физический доступ |
1.Неорганизованность |
2.Отсутствие видеонаблюдения | |
2.Разглашение КИ, используемой в документах, вынос документов за пределы КЗ |
1.Отсутствие соглашения о неразглашении КИ |
2. Нечеткое распределение ответственности за документы между сотрудниками предприятия | |
3.Несанкционированное |
1. Нечеткая организация
конфиденциального |
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике |
Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).
Угроза/уязвимость |
P(V), % |
ER,% |
1/1 |
70 |
80 |
1/2 |
40 |
60 |
2/1 |
30 |
30 |
2/2 |
70 |
50 |
3/1 |
70 |
50 |
3/2 |
90 |
80 |
Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).
Угроза/уязвимость |
Th |
CTh |
1/1 |
0,56 |
0,666 |
1/2 |
0,24 | |
2/1 |
0,09 |
0,408 |
2/2 |
0,35 | |
3/1 |
0,35 |
0,818 |
3/2 |
0,72 |
Th=P(V)/100*ER/100
CTh=1-П(1-Th)
Рассчитаем общий уровень угроз по ресурсу:
CThR=1-П(1-CTh)=1-0,334*0,592*
Рассчитаем риск по ресурсу:
R=CTh*D=0,964*3000=2892 (руб).
Управа района Дмитровский города Москва является государственной организацией, поэтому деньги на создание комплексной системы защиты информации будут выделяться из городского бюджета.
Из оценки рисков можно подсчитать какой ущерб может понести Управа при реализации той. Так же мы можем оценить экономическую целесообразность построения КСЗИ.
Если потери при реализации информационных угроз являются незначительными, то не имеет смысла строить дорогостоящую КСЗИ.
Еще одним важным шагом является разработка Технического задания на КСЗИ (Приложение №1).Оно определяет все основные требования к КСЗИ и возможные пути реализации её составляющих элементов. В ТЗ формулируются и исследуются основные каналы утечки информации и пути и средства их локализации.
7. РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ
Под политикой информационной безопасности
(ИБ) понимается совокупность документированных
управленческих решений, направленных
на защиту информационных ресурсов организации.
Это позволяет обеспечить эффективное
управление и поддержку политики
в области информационной безопасности
со стороны руководства
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).
В России к нормативным документам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. В отечественных и международные стандартах используются сходная методология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее подробно. Таким образом, при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты, позволяющие разработать более качественные документы, полностью соответствующие отечественным РД.
Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Основные этапы:
Разработка концепции политики информационной безопасности
Описание границ системы и построение модели ИС с позиции безопасности
Анализ рисков: формализация системы
приоритетов организации в
Анализ возможных вариантов контрмер и оценка их эффективности.
Выбор комплексной системы защиты на всех этапах жизненного цикла
8. ЗАКЛЮЧЕНИЕ
Таким образом, поставив перед собой цель разработать проект КСЗИ в Управе Дмитровского района города Москва, автором проделаны следующие работы:
Автор считает, что построение КСЗИ в таком муниципальном органе, как районная управа необходима.
9. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
Научная литература:
Гришина Н.В. Организация комплексной системы защиты информации М.: Гелиос АРВ, 2007. — 256 с, ил.
Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.
Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.
Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с.
Торокин А.А. «Основы инженерно-технической защиты информации».
Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр
Приложение 1
«Техническое задание на систему защиты информации»
приложение 1 к Договору №____________от «____»____________2012г. |
Для служебного пользования
Экз. №__
От Заказчика: |
От Исполнителя: |
Первый заместитель главы управы |
Генеральный директор |
___________ А.С. Бородин |
______________ А.П. Заикин |
«___» ___________ 2012 г. |
«___» __________ 2012 г. |