Оценка информационной безопасности

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Анализ объекта защиты

2. Анализ информационной системы

3. Анализ угроз информационной безопасности

4. Анализ ущерба

5. Оценка информационного риска

6. Управление информационными рисками

Заключение

Список использованной литературы

Введение

Все больше в прошлое уходит бесполезное нагромождение различных средств защиты, которое стало «модным» в результате реакции на первую волну страха перед компьютерными преступлениями. К тому, что защита информации должна носить комплексный характер, все начинают постепенно привыкать. При этом компании-заказчики больше не хотят выбрасывать деньги на ветер, они хотят приобретать только то, что им действительно необходимо для построения надежной системы защиты информации. Но организация обеспечения безопасности информации должна не просто носить комплексный характер, а еще и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты.

В настоящее время сформировалось устойчивое отношение к информации всех видов, как к ценнейшему ресурсу. Объясняется это небывалым ростом объема информационных потоков в современном обществе. В первую очередь это относится к тем направлением государственной деятельности, которые являются наиболее важными в жизнеобеспечении общества, а именно: экономика; наука; образование; социальная сфера; промышленность и др. Все эти направления тесно пересекаются, и развитие каждого напрямую зависит от качества используемой информации, ее достоверности и полноты, оперативности и формы представления. Поэтому особое внимание должно уделяться проблемам формирования, использования и защиты информационных ресурсов на основе применения информационных и коммуникационных технологий.

В данной курсовой работе в качестве объекта защиты я выбрала отдел кадров предприятия ОАО «Башкирский медно-серный комбинат».

Целью данной курсовой работы является рассмотрение моделей угроз безопасности систем и способов их реализации, анализ критериев уязвимости и устойчивости систем к деструктивным воздействиям, изучение методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности.

Предметом исследования курсовой работы является комплекс оценка информационной безопасности, а объектом исследования - ОАО «БМСК».

При написании работы была использована учебная литература и ресурсы интернета.

информационный безопасность угроза уязвимость

1. Анализ объекта защиты

В данной курсовой работе в качестве объекта защиты нами был выбран ОАО "Башкирский медно-серный комбинат" (БМСК).

ОАО "Башкирский медно-серный комбинат" (БМСК) занимается добычей и обогащением полиметаллических руд Ново-Сибайского и других месторождений. С 2004 года обогатительная фабрика работает на руде Камаганского и Нижней залежи подземного рудника Ново-Сибайского месторождений.

ОАО «БМСК» является предприятием, добывающим и обрабатывающим руды, поэтому напрямую влияет на развитие промышленности государства в целом. ОАО «БМСК» является обладателем значительных информационных ресурсов различных видов и типов, выраженных в различных формах, влияющих на его деятельность. Значимость этих ресурсов высока, и поэтому существует необходимость постоянно удерживать их в сохранности, т.е. возрастает потребность защиты этих ресурсов как от несанкционированного использования, так и от влияния других непредсказуемых факторов. Для обеспечения надежной защиты, необходимо постоянно держать во внимании, и анализировать всевозможные источники угроз, сопоставлять им уязвимости и определять потенциальные угрозы, реализация которых прямо или косвенно может нанести вред информационной системе ОАО «БМСК».

Целью защиты является обеспечение эффективной работы предприятия, поддержание существующего качества и обеспечение конкурентоспособности предприятия.

2. Анализ информационной системы

На данном этапе производится структурирование элементов информации, которые подлежат защите.

Вся информация, содержащаяся на объекте, является персональными данными сотрудников внутренней деятельности организации ОАО «БМСК». Следовательно, работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом закон N152-ФЗ «О персональных данных». Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.

Ни в коем случае нельзя допускать, чтобы такие данные, как сведения о сотрудниках, об их зарплате, об указаниях и распоряжениях были похищены или утеряны.

Основными защиты информации в отделе кадров являются:

- сведения о сотрудниках;

- распоряжения и указания;

- трудовые книжки;

- трудовые договора.

В результате структурирования получим таблицу, определяющую так называемую “структурная модель объекта защиты” (Таблица 1).

Расчет цены информации осуществляется по следующей формуле (таблица 1):

,

где N - число страниц, так как информация представлена в бумажном виде.

Z - цена за информацию;

В таблице 2 дается пояснение по цене информации. Каждому грифу конфиденциальности соответствует своя условная цена за Кбайт:

· Конфиденциально - 0,1;

· Строго конфиденциально - 0,5;

· Особо конфиденциально - 1.

Таким образом, рассчитав все необходимые значения, представим их в виде таблицы 1.

Таблица 1

Защищаемая информация отдела кадров

Наименование элемента информации	Гриф конфиденциальности	Объем информации на электронном носителе	Объем информации на бумажном носителе	Цена	Местонахождение Носителей информации
Сведения о сотрудниках ОГПС №28 г.Сибай	Конфиденциальная	10000	50	12600	Сейф начальника ОК
Распоряжения и указания	Конфиденциальная	3000	100	4800	Рабочие места сотрудников
Трудовые книжки	Конфиденциальная	40000	115	5400	Сейф начальника ОК
Трудовые договора	Особо конфиденциальная	80000	300	25000	Сейф начальника ОК
Итоговая отчетность	Конфиденциально	3000	200	13000	Сейф начальника ОК
Прочие документы о приеме и увольнении	Конфиденциально	2500	150	8600	Сейф начальника ОК

3. Анализ угроз информационной безопасности

Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Над вопросами обеспечения информационной безопасности сейчас задумываються все чаще, потому что информационные технологии дошли то такого уровня, что может быть получена как открытая информация так и закрытая. С целью обеспечения информационной безопасности и безопасности информации в отделе кадров в целом необходимо:

1. Обеспечить конфиденциальность личной информации;

2. Обеспечить защиту от пожаров и проникновений;

3. Обеспечить стабильную и защищенную работу информационной базы;

4. Выполнять требования законодательства.

Проанализируем возможную модель угроз (угроза - ресурс). Она предоставлена в таблице 2.

Таблица 2

Модель угроз

№	Наименование угрозы	Ресурс
1	Пожар	- Конфиденциальная информация в бумажном и электронном виде;
2	Кража	- Конфиденциальная информация в бумажном и электронном виде;
3	Сбой базы данных	- Информационная база данных.
4	Разглашение конфиденциальной информации	- Конфиденциальная информация;
5	Компьютерные вирусы	- Информационная база данных.

Теперь перейдем к рассмотрению модели злоумышленника. Как уже было сказано, злоумышленник - это тот, кто предпринимает попытки реализовать угрозу. Полная модель предоставлена в таблице 3 и включает в себя такие аспекты, как: тип злоумышленника, уязвимость, причины и оснащенность необходимыми средствами.

Таблица 3.

Модель злоумышленника

Злоумышленник	Угроза	причины	Используемы средства
Хакеры	1.Взлом информационной базы 2.Заражение компьютеров 3.Кража электронных документов	1. Хулиганство 2.Личные выгоды 3.Обида на начальство за увольнение	Трояны, программы для незаметной кражи и удаления следов присутствия
Сотрудники Отдела кадров	1. Кража документов 2. Утеря документов 3. Поломка компьютеров 4. Пожар	1.Неосторожность 2. Личная выгода. 3.Несоблюдение правил техники безопасности и пожарной безопасности	Знание паролей доступа, право доступа к конфиденциальной информации, вхождение в доверие сотрудников
Ремонтные рабочие	1. Кража денежных средств 2.Кража конфиденциальной информации 3. Пожар	1. Личная выгода 2. Хулиганство 3.Несоблюдение правил пожарной безопасности	Вхождение в доверие сотрудникам

4. Анализ ущерба

Приведем классификацию угроз:

Ущерб- это результат негативного изменения вследствие каких-то событий, явлений, действий состояния объектов, выражающийся в нарушении их целостности или ухудшении других свойств; фактические или возможные социальные и экономические потери (нарушение процесса нормальной хозяйственной деятельности; утрата того или иного вида собственности, других материальных, культурных, исторических или природных ценностей и т.д).

Потери- часть последствий, которые связаны с негативными изменениями в основных сферах жизнедеятельности государства.

Виды ущерба ОАО «БМСК» от реализации угроз информационной безопасности.

Прямые финансовые потери:

1. ущерб, связанный с восстановлением ресурсов после реализации угрозы;

2. ущерб, связанный со срывом производственного процесса.

Потери нематериального характера:

1. нарушение морально-психологического состояния персонала;

2. снижение конкурентоспособности.

Непрямые финансовые потери:

1. ущерб от разглашения конфиденциальной информации;

2. ущерб от упущенной выгоды.

Прямой ущерб связан с воздействием угроз непосредственно на информацию и ее носители и проявляется как необходимость затрат людских и материальных ресурсов на восстановление информации и/или ее носителей.

Косвенный ущерб связан с последствиями нарушения безопасности информации для субъектов информационных отношений (потребителей информации), в качестве которых могут выступать:

1. государство;

2. организации, предприятия (в т.ч. негосударственные);

3. граждане страны.

В этом случае ущерб проявляется как людские, моральные или материальные потери в различных сферах деятельности субъектов информационных отношений (в политической, экономической, военной, научно-технической, социальной сферах). По величине потерь (масштаба ущерба) ущерб может быть классифицирован как очень значительный, значительный, средний, незначительный и очень незначительный.

5. Оценка информационного риска

Риск- потенциальная потеря предприятия от реализации угроз безопасности. В данной курсовой работе для определения риска используется метод экспертных оценок и строится нечетно-когнитивная карта.

Основным в данном подходе является понятие ситуации. Ситуация характеризуется набором базовых факторов с помощью которых описываются процессы смены состояния в исследуемом процессе. Факторы могут влиять друг на друга, влияния могут быть положительными так и отрицательными. Для отображения степени влияния используются нечеткие лингвистические переменные.

Таким образом когнитивная карта ситуации представляет собой взвешенный ориентированный граф, узлами которого являются указанные базисные факторы (концепты), а дугами -связи между этими концептами.

Определение концептов.

В качестве дестабилизирующих факторов выбраны такие концепты:

1. Пожар;

2. Кража документов;

3. Месть за увольнение.

В качестве промежуточных факторов выбраны такие концепты:

1. Персональные данные сотрудников;

2. Трудовые книжки

3. Трудовые договора

4. Отчетные документы

5. Распоряжения

6. Документы о приеме на работу и увольнении

В качестве целевых факторов выбраны такие концепты:

1. Материальный ущерб;

2. Морально-психологическое состояние сотрудников;

3. Ущерб деловой репутации отдела.

Таблица 4

Концепты угроз

№	Угроза	Состояние	Значение состояния	Предельное значение
1	Пожар C(U)2	Количество пожаров в месяц	0	30
2	Кража C(U)1	Количество краж в месяц	0	30
3	Месть C(U)3	Количество попыток мести	0	30

Таблица 5

Влияние угроз на промежуточные факторы

Угроза	Промежуточный фактор	Вес связи	Обоснование
Пожар	Потеря персональных данных	очень сильно	Такая угроза, как пожар очень сильно влияет на все промежуточные факторы
	Потеря трудовых книжек	очень сильно
	Потеря трудовых договоров	очень сильно
	Потеря приказов и распоряжений	очень сильно
	Потеря отчетности	очень сильно
Кража	Потеря персональных данных	очень сильно	Влияет очень сильно
	Потеря трудовых книжек	очень сильно
	Потеря трудовых договоров	Очень сильно
	Потеря приказов и распоряжений	Очень сильно
	Потеря отчетности	Очень сильно

Граф выглядит следующим образом:

Были выбраны следующие лингвистические термы:

Матрица достижимости:

Полный эффект:

Общий риск:

До внедрения контрмер общая сумма риска составляла 38 756 300 руб., а после внедрения - 34 675 450руб. Откуда следует, величина предотвращенного ущерба: 4 080 850 руб. Таким образом, можно сделать вывод о том, что введение такой системы защиты является эффективным и экономически целесообразным.

Из рисунка следует что риск уменьшился за счет внедрения следующих управляющих факторов:

1. инструкции по поведению персонала в ЧС;

2. внедрение системы защиты от краж.

6. Управление информационными рисками

Обеспечение информационной безопасности -- одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.

Информационные риски -- это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, информационные риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

Информационные риски можно разделить на две категории:

· риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

· риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации информационных рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации информационных рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Выявление информационных рисков: На практике способы выявления информационных рисков ничем не отличаются от способов определения любых других рисков: составляются карты рисков, проводится сбор экспертных мнений и т. п.

Чтобы минимизировать информационные риски необходимо выполнение следующих правил:

1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

2. Организация должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

3. Информационные системы, от которых напрямую зависит деятельность организации (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации.

Обеспечение информационной безопасности -- это, в первую очередь, вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба.

Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их экономическую эффективность.

Для обеспечения необходимой защиты от информационных рисков и контроля безопасности можно провести следующие мероприятия.

1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение информационных рисков, а также обеспечить резервные мощности для работы в критической ситуации.

2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах организации, используемых для этой цели.

3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:

проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во

· внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

· разработать варианты решения проблем, связанных с кадрами, включая уход из организации ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;

· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.

В заключение отметим, что разработка и реализация политики по минимизации информационных рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению информационной безопасности должна быть комплексной и продуманной.

Заключение

В данной курсовой работе была проведена оценка информационной безопасности предприятия ОАО «БМСК».

В первой главе мы охарактеризовали выбранный нами объект защиты, кратко описали деятельность предприятия, его особенности, выявили главную цель предприятии- это получение прибыли и поддержание высокого качества оказываемых услуг.

Во второй главе мы привели данные о том, какие используются на предприятии информационные активы, где хранится эта информация, в каком виде и вычислили цену этих ресурсов.

В третьей главе мы построили модель злоумышленника, модель угроз и модель уязвимостей.

В четвертой главе мы провели анализ ущерба, то есть выявили какие потери понесет предприятие при реализации угроз -прямые финансовые потери, непрямые финансовые потери, потери нематериального характера.

В пятой главе мы провели оценку информационного риска. Изложили краткие теоретические сведения о том, что такое риск, что нужно для построения нечеткой когнитивной карты. На основе проведенного анализа определили список концептов, выделенных для анализа, определили направления и силы связи между концептами, построили нечеткую когнитивную карту, посчитали общий риск.

В шестой главе мы сформулировали основные правила для минимизации информационных рисков, провели несколько мероприятий для обеспечения необходимой защиты от информационных рисков.

Список использованной литературы

1. Галатенко, В.А. Основы информационной безопасности. М.: Интуит, 2003.

2. Доктрина информационной безопасности от 09.09.2000 г.

3. Завгородний, В.И. Комплексная защита информации в компьютерных системах. М.: Логос, 2008.

4. Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем. М.: Интуит, 2006.

5. Стандарты информационной безопасности.

6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

7. http://ru. wikipedia.org/wiki/.

8. http://z-oleg.com/.

9. http://www.infosecurity.ru/.

Размещено на Allbest.ru

...