Аттестационная работа (ИАР/ВАР) на тему Разработка модели угроз автоматизированной системы безопасность

Содержание:

Список используемых сокращений. 5

Введение. 6

Глава 1. Исследование теоретических аспектов организации
информационной безопасности автоматизированных систем. 9

1.1 Анализ литературных источников по исследуемой тематике. 9

1.2 Исследование стандартов и нормативной базы в области
информационной безопасности автоматизированных систем. 13

1.3 Описание общей модели нарушителя информационной
безопасности автоматизированных систем. 17

1.4 Описание (классификация) возможных типов и угроз
безопасности информации. 21

Глава 2. Разработка модели угроз автоматизированной
системы в компании «ЮГОРИЯ». 26

2.1 Исследование общей характеристики и особенностей
организации  автоматизированной системы
компании «ЮГОРИЯ». 26

2.2 Анализ информационных потоков, обрабатываемых в
автоматизированной системе компании «ЮГОРИЯ». 30

2.3 Определение возможных векторов атак на
автоматизированную систему компании «ЮГОРИЯ». 32

2.4 Формирование модели угроз автоматизированной системы
компании «ЮГОРИЯ». 35

2.5 Определение рекомендаций по минимизации угроз
информационной безопасности автоматизированной системы компании «ЮГОРИЯ». 46

Глава 3. Экономическое обоснование разработанных решений. 54

3.1 Составление календарного плана выполнения работ. 54

3.2 Составление сметы затрат на реализацию решений. 56

3.3 Обоснование экономической эффективности разработанных
решений  60

Заключение. 64

Список используемых источников. 66

Введение:

На текущий момент
информационный ресурс является одним из самых ценных как для бизнес-структур,
так и для государства в целом.

В современном мире все
чаще происходят факты несанкционированного доступа к конфиденциальной
информации, постороннего вмешательства в информационные ресурсы как частных
лиц, так и крупных предприятий.

Задача обеспечения
надежной защиты информационных ресурсов, 
– базовая задача в сфере обеспечения защиты информации для любой
организации. С развитием предприятий, переходом к распределенной структуре
организаций, они начинают выходить за пределы отдельных зданий.

Тема настоящей выпускной квалификационной
работы – «Проект
системы обнаружения компьютерных угроз в АС».

Актуальность темы
выпускной квалификационной работы определяется увеличением угроз информационной
безопасности и их  рисков возникновения из-за
появления новых угроз информационным системам. Современные темпы и уровень
развития методов обеспечения защиты информации значительно отстают от уровня
развития современных информационных технологийа также наличие свободного
доступа к информационным ресурсам через мобильные средства.

Для обеспечения информационной
безопасности защиту информации на объектах информатизации необходимо
обеспечивать на всех этапах их жизненного цикла.

Средства защиты
информации для информационной системы определяются в соответствии с моделью
угроз, где учитываются потенциалы внутренних и внешних нарушителей.

Для организации защиты информационной  системы необходимо использования различных
методов для выполнения требования нормативно – правовых  документов, а также федеральных органов  уполномоченных в области защиты информации.

Необходимо применение программных
и программно-аппаратных средств которые расширяют возможности подсистем информационной
безопасности для объектов информатизации.

Исследуемая тематика
является актуальной, так как сейчас наблюдается рост угроз информационной
безопасности и риск их реализации, связанный с появлением новых
программно-аппаратных средств.

Выпускная
квалификационная работа выполнена на базе центра обслуживания клиентов
страховой компании «ЮГОРИЯ».

Цель выпускной квалификационной
работы – разработка модели угроз автоматизированной системы безопасности центра
обслуживания клиентов страховой компании «ЮГОРИЯ».

Для достижения цели
работы необходимо:

– провести обследование объекта
инфрматизации;

– исследовать систему защиты
информации на удаленных автоматизированных рабочих местах в центрах
обслуживания клиентов;

– рассмотреть актуальные угрозы
информационной безопасности и риски их реализации для минимизации ущерба для
организации;

 – 
актуализировать модель угроз с учетом потенциала внутреннего и внешнего
нарушителя;

– актуализировать  организационно-рапорядительные документы
включая  реграменты и процедуры
обеспечения информационной безопасности объекта информатизации;

– произвести оценку затрат на внедрение дополнительно
необходимых.

Объект исследования
настоящей выпускной квалификационной работы – центр обслуживания клиентов
страховой компании «ЮГОРИЯ».

Предмет исследования – объект
информатизации (информационная система) территориально распределенная в центра
обслуживания клиентов страховой компании «ЮГОРИЯ».

Методы исследования: обследование
объекта информатизации и анализ функционирования информационной системы с
имеющимся прикладным и системным программным обеспечением, наличие
сертифицированных средств защиты информации  и наличие технической поддержки для них.  Анализ актуальных угроз информационной
безопасности для организации,  анализ обоснованного
выбора необходимых средств защиты информации.

Практическая значимость
работы – результаты работы позволят обеспечить устойчивое функционирование
информационной системы организации.

В ходе работы
предполагается получить практический опыт, который будет необходим для
дальнейшей трудовой деятельности в области информационной безопасности.

Заключение:

На сегодняшний день информационные ресурсы стали
одними из самых значимых рычагов экономического влияния. Информация нужного
качества в необходимое время, в необходимом месте — это залог достижения целей
в абсолютно любом виде деятельности. Монопольные права на обладание
информационными ресурсами оказываются, как правило, определяющими
преимуществами в борьбе за рынок [5].

Сегодня невозможно представить организацию, пусть
даже и самую мелкую, которая бы не имела в своем распоряжении современные
средств обработки данных.

Формирование защищенной системы работы с
персональными данными, дает предпосылки для значительного роста эффективности
труда, порождает при этом ряд сложных и масштабных проблем. Одна из таких
проблем — надежное обеспечение сохранности персональных данных и установленного
статуса её использования.

Информационная
безопасность сегодня развивается очень быстрыми темпами. Данному факту
способствуют стремительное развитие информационных технологий, а также
противоборство «нападающих» и «защищающихся».

К великому сожалению,
указанная динамичность затрудняет обеспечение надежной защищенности
информационных ресурсов. На это существуют конкретные причины:

— рост быстродействия микросхем, модернизация существующих и создание
новых архитектур с высокой степенью параллелизма дает возможность с помощью
«грубой силы» (перебором вариантов) более эффективно преодолевать
криптографические барьеры, которые ранее были неприступными;

— модернизация сетей, рост числа связей в информационных системах,
увеличение пропускной способности каналов связи – все это увеличивает число
злоумышленников, имеющих технические возможность осуществлять нападение;

— рост конкуренции среди производителей ПО вынуждает компании уменьшать
сроки разработки программных систем, а это ведет к уменьшению уровня качества и
выпуску продуктов с дефектами в системах защиты.

По завершению выполнения
выпускной квалификационной работы получены следующие результаты:

– исследована общая
характеристика центра обслуживания клиентов страховой компании «ЮГОРИЯ»;

– произведен анализ
программно-аппаратной структуры объекта ;

– разработана модель
угроз и нарушителя;

– исследована система
защиты информации на автоматизированных рабочих местах центра обслуживания
клиентов;

– рассмотрены понятия и
базовые основы информационной безопасности;

– рассмотрены понятие
угроз, видов угроз и методов реализации угроз информационной безопасности;

– исследованы методы
обеспечения информационной безопасности;

– разработаны
организационные и правовые мер защиты информационных ресурсов объекта;

– разработаны
программно-технические меры информационной безопасности объекта;

– произведена оценка
затрат на внедрение средств защиты информации;

– разработаны
практические рекомендации по организации работы средств защиты.

По завершению работы можно достоверно отметить, что
все поставленные задачи были выполнены, а цель работы полностью достигнута.

Фрагмент текста работы:

Глава 1. Исследование теоретических аспектов
организации информационной безопасности автоматизированных систем

1.1 Анализ литературных источников по исследуемой
тематике Рассмотрим работы,
которые освещают вопросы защиты информации и персональных данных. Эти работы
широко использовались при написании курсовой работы.

В работе автора Торокина
А. А. «Инженерно-техническая защита информации» изложены вопросы
инженерно-технической защиты как одного из основных направлений информационной
безопасности. С системных позиций рассмотрены концепция, теория, технические
системы и средства, организация и методология инженерно-технической защиты
информации и информационных средств.

Автор Илюшенко В. Н. в
своем труде «Информационная безопасность и методология защиты информации» с позиций
процессов управления рассмотрены мировоззренческие основы информационной
безопасности государства, общества и личности, методология, принципы,
направления и средства защиты информации.

На сегодняшний день и у
нас в стране, и за рубежом достаточно много публикаций по современным
стандартам защиты, средствам и методам защиты. Однако такой работы, которая
являлась бы по своей сути творческим обобщением существующих формальных
моделей, нормативных документов, зарубежных стандартов в области защиты информации,
на нашем книжном рынке не было. Авторам А. Грушо, Е. Тимонина в работе
«Теоретические основы защиты информации» 
удалось «оживить» разрозненные, порой противоречивые фрагменты в виде
целостных теоретических основ защиты информации, придав им новое качество.

Работа вводит в теорию
защиты информации, наряду со строгими определениями и доказательствами содержит
большое количество примеров из практической жизни, доходчиво иллюстрирующих
основные теоретические положения.

Особо хотелось бы
выделить разделы, посвященные гарантированно защищенным распределенным
системам, доказательному подходу к построению систем защиты и определению
политики безопасности.

Работа «Теория и практика
обеспечения информационной безопасности» автора П. Зегжа раскрывает проблемы
безопасности компьютерных систем в соответствии с их современным состоянием. В
работе приведены классификация и примеры нарушения безопасности КС, на их
основе намечены новые подходы к созданию защищенных систем. Работа содержит
уникальный справочный материал по анализу безопасности зарубежных КС.

Особо хотелось бы
выделить разделы, посвященные гарантированно защищенным распределенным
системам, доказательному подходу к построению систем защиты и определению
политики безопасности.

В работе В. Мельникова «Защита
информации в компьютерных системах» предложен новый подход, концепция, принципы
построения защиты и оценки уровня безопасности информации в вычислительных
системах, сетях и АСУ. С этих позиций рассматриваются информация и условия ее
обработки в автоматизированных системах: потенциальные угрозы, возможные каналы
несанкционированного доступа, методы, средства и системы ее защиты. Цель данной
работы — показать возможность создания системы безопасности информации с
гарантированными характеристиками, качеством и оптимальными затратами.

Работа «Основные задачи и
способы обеспечения безопасности автоматизированных систем обработки
информации» автора Р. Магауенова носит характер вводного учебно-методического
пособия, в котором изложены основные задачи, методы, способы и особенности
обеспечения безопасности автоматизированных систем обработки информации.
Концептуально (с определенным приближением) изложенные подходы, методы и
способы могут быть применены в организациях, имеющих объективную потребность
защиты информации.

Среди зарубежных авторов
можно отметить Л.Дж. Хоффмана, в работе которого «Современные методы защиты
информации» подробно изложены современные методы и технические средства для
защиты информации в вычислительных системах, сетях ЭВМ и на отдельных терминалах.
Приведены стандартные методы с учетом архитектуры ЭВМ и ее влияния на
секретность информации, рассмотрены теоретические модели систем защиты данных и
новые методы шифрования данных в файлах с произвольным доступом.

Ю.А. Стpельченко в работе
«Обеспечение информационной безопасности банков» на основе единого подхода
рассматривает все стороны информационной безопасности банков. Изложены принципы
постpоения и функциониpования систем, ее обеспечивающих: системы сбоpа
инфоpмации, системы защиты инфоpмации и системы выдачи инфоpмации. Особое
внимание уделено новой технологии смаpт-каpт. Описаны pеально действующие
системы, использующие эту технологию для защиты компьютерных систем банка,
удаленных платежей и ведения безналичных расчетов на основе платежных карточек.

В.С. Баpсуков, В.В.
Маpущенко, В.А. Шигин в своей работе «Интегральная безопасность» рассматривают
актуальные вопpосы обеспечения интегpальной безопасности объектов и инфоpмации.
С единых позиций пpоанализиpовано большое количество pазpозненных заpубежных и
отечественных публикаций, матеpиалов конфеpенций, семинаров и выставок
последних лет, посвященных пpоблемам обеспечения интегpальной безопасности, в
том числе, физической безопасности, безопасности технических сpедств и
безопасности связи.

С. Расторгуев в работе
«Программные методы защиты информации в компьютерных сетях» рассматривает
вопросы организации компьютерной безопасности исключительно программными
методами. Представлены математические модели, на базе которых можно
осуществлять расчеты надежности защитных механизмов. Предложен новый,
перспективный подход к защите данных на базе экспертных и самообучающихся
систем, намечена тенденция развития программно-аппаратных средств защиты от
несанкционированного доступа. В работе приведены описания новых алгоритмов,
которые могут быть использованы читателями в своих собственных разработках.