Угрозы информационной безопасности
Несанкционированное воздействие на информацию. Система защиты информации (СЗИ). Угрозы информационной безопасности. Угрозы безопасности в компьютерных системах. Классификация злоумышленников. Оценка качества СЗИ на основе анализа профиля безопасности.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 28.02.2016 |
| Размер файла | 3,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Рисунок 2.9 - Свойства матрицы
Заполнив 140 элементов матрицы соответствующими требованиями, получим достаточно полное представление о возможностях СЗИ и по результатам их анализа изменить конфигурацию средств защиты информации рассматриваемой ИС. На основании сказанного можно перейти к разработке методики оценки системы защиты информации.
2.5 Цель и содержание методики оценки системы защиты информации
Понятие «методика» может трактоваться по-разному, в зависимости от области применения -- в образовании, медицине, научных исследованиях и других сферах. Однако есть общее, что присуще им всем -- это совокупность правил, приемов, позволяющая решать конкретную практическую задачу на основе использования тех или иных методов. Исходя из такого понимания, будем считать, что цель разрабатываемой методики состоит в разработке последовательности процедур, позволяющих, в конечном счете, оценить уровень безопасности информации для рассматриваемого состава средств защиты информации в информационной системе. Сравнивая между собой разные конфигурации средств защиты, можно найти оптимальной вариант построения СЗИ, что и является конечной целью разработки данной методики.
Конкретное содержание методики включает в себя:
1) формирование модели СЗИ, как это показано в п. 2.3;
2) определение информационных и технических ресурсов, а также объектов ИС, подлежащих защите;
3) выявление полного множества потенциально возможных угроз и каналов утечки информации;
4) проведение оценки уязвимости и рисков информации (ресурсов ИС) при имеющемся множестве угроз и каналов утечки;
5) формирование матрицы «знаний» как это показано в п. 2.4;
6) по всем (в данном случае 140 показателям (элементам) матрицы) выставляются соответствующие оценки. При этом заказчик определяет необходимые требования к системе защиты и устанавливает заданный уровень безопасности в соответствующих клетках таблицы, а эксперты в процессе проведения оценки качества созданной системы защиты определяют, реализован ли заданный уровень безопасности и свои оценки выставляют в соседних с заданными клетках таблицы.
7) с помощью разработанного программного средства, выполняется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному.
8) выполняется оценка качества СЗИ на основе анализа профиля безопасности. По полученным значениям обобщенных показателей уровня защищенности ИС строятся матрицы количественных и качественных оценок, что позволяет повысить наглядность результатов оценки.
9) оценивается эффективность СЗИ, разработанной на основе методики выбора средств защиты информации. Это делается также с помощью соответствующего программного средства, что существенно повышает уровень автоматизации процесса оценки и его наглядность.
10) производится сравнение заданного и достигнутого уровней безопасности и делается вывод о целесообразности повторения процедуры оценки.
Таким образом, предлагаемая методика носит итерационный характер, является достаточно гибкой за счет варьирования значениями элементов матрицы и, благодаря использованию разработанного программного средства, имеет высокий уровень автоматизации и наглядности. В следующем разделе приводится более подробное описание порядка реализации предлагаемой методики.
3. ТЕХНОЛОГИЧЕСКИЙ РАЗДЕЛ
Программа "Оценка СЗИ" иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы. Прграмма разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации.
С помощью указанной программы осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному. Программа "Оценка СЗИ" реализована в виде таблиц Excel и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации.
Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ. Если заказчик, приступая к созданию системы защиты, не знаете с чего начать, то ему предлогается ответить на предлагаемые в матрице вопросы, начиная с любого из них, то есть заполнить 140 элементов (вопросов) матрицы соответствующими требованиями. И когда это будет сделано, мы получим достаточно полное техническое задание.
Для того, чтобы оценить эффективность создаваемой или уже функционирующей СЗИ так же поможет подход на основе трехмерной матрицы. Только теперь по 140 показателям (элементам матрицы) надо выставить соответствующие оценки.
Заказчик определяет необходимые требования к системе защиты и устанавливает заданный уровень безопасности в соответствующих клетках таблицы. Эксперты в процессе проведения оценки качества созданной системы защиты определяют, реализован ли заданный уровень безопасности и свои оценки выставляют в соседних с заданными клетках таблицы.
3.1 Оценка качества СЗИ на основе анализа профиля безопасности
Под профилем безопасности будем понимать графическое представление степени выполнения требований в системе координат:
- по горизонтали - перечень требований, предъявляемых к СЗИ;
- по вертикали - степень выполнения каждого требования.
Целесообразно рассматривать два профиля безопасности: требуемый и реально достигнутый. Для построения требуемого профиля безопасности используются предварительно заданные заказчиком требования к СЗИ например по уже знакомым вам 140 элементам матрицы. При этом содержание указанных элементов формулируется в виде требований к СЗИ, то есть что именно хотим получить в результате создания СЗИ. Таким образом, исходные данные для построения требуемого профиля безопасности представлены в виде матрицы требований.
3.2 Пример оценки качества СЗИ
Эффективность и качество СЗИ определяется степенью (полнотой) выполнения требований к СЗИ. Исходные данные, представлены в виде частных матриц знаний, заполненных экспертами по соответствующим направлениям защиты.
- “Направления” формируются исходя из конкретных особенностей ИС как объекта защиты. В общем случае, учитывая типовую структуру ИС и исторически сложившиеся виды работ по защите информации, предлагается рассмотреть следующие “Направления”:
- Защита объектов информационных систем;
- Защита процессов, процедур и программ обработки информации;
- Защита каналов связи;
- Подавление побочных электромагнитных излучений.
- Управление системой защиты;
Рассмотрим, как формируются данные для оценки защищенности объектов ИС (первое направление защиты).
Таблица 3.1 - оценка защищенности объектов ИС
|
Столбцы таблицы |
Содержание |
|
|
1 |
номер этапа c 1 по 7 |
|
|
2 |
порядковый номер показателей (m) для соответствующих элементов матрицы (от 1 до 28) |
|
|
3 |
обозначение соответствующего элемента матрицы |
|
|
4 |
показатели требуемого (заданного) профиля безопасности (Qтр). Для всех показателей установлено максимальное значение 1,00. Их значения заданы заказчиком и графически изображены на диаграмме “Сравнение профилей защиты” в виде красной линии. |
|
|
5 |
показатели достигнутого профиля безопасности (Qд). Их значения определены экспертами и графически изображены на диаграмме “Сравнение профилей защиты” в виде синей линии. |
|
|
7 |
значения показателей (Qгруп), вычисленных для соответствующих “Этапов” с учетом “Основ”. |
|
|
8 |
Качественная оценка (Q) определяется исходя из значений показателей (Qгруп), вычисленных для соответствующих этапов. Эта оценка характеризует степень (объем) выполненных работ по созданию СЗИ. Другими словами процент выполнения работ от заданного объема. |
|
|
9 |
Количественная оценка (S) определятся путем подсчета значений (Sпр), а именно нулей и единиц полученных при сравнении профилей. Это более грубая оценка, представляющая собой в отношение количества выполненных (достигнутых) требований к заданным (требумым). |
Графически требуемый профиль и достигнутый профиль безопасности изображены на рисунке 3.1 в виде прямой красной линии на уровне 1,00 и ломанной синей линии в соответствии с оценками экспертов.
Размещено на http://www.allbest.ru/
Рисунок 3.1 - Сравнение профилей защиты
Сравнение профилей (Sпр) производится следующим образом:
Таблица 3.2 - сравнение профилей защиты
|
(Sпр) = 1 |
если значение показателя достигнутого профиля безопасности равно или превышает значение показателя заданного |
|
|
(Sпр) = 0 |
если значение показателя достигнутого профиля безопасности ниже значение показателя заданного. |
Графически этот процесс представлен на рисунке 3.2.
Рисунок 3.2 - Условная оценка достигнутого профиля безопасности
Таким образом производится оценка для всех “Направлений” защиты (с учетом “Этапов” И “Основ”). Результаты представлены на следующих рисунках:
Размещено на http://www.allbest.ru/
Рисунок 3.3 - “Направление” защита объектов информационных систем
Из рисунка 3.3 видно, что в исследуемой системе защиты по “направлению” “Оценка защищенности объектов ИС” наилучший результат был достигнут в 5 блоке “этапы” - “Осуществление выбора средств защиты”. По всем 4 составляющим этого блока оценка экспертов достигла уровня оценки требований заказчика, включающим элементы матрицы знаний (511), (512), (513), (514).
Минимальные совпадения с требованиями заказчика были получен в 6 блоке “этапы” - “Внедрение и использование выбранных мер и средств”, а именно элементов матрицы знаний под номерами (611), (612), (613), (614).
Объём выполненных работ, или качесвенная оценка (Q) = 0,74. Другими словами значение показателя (Q) характеризует объем выполненных работ по созданию СЗИ, который по “направлению” “защита объектов информационных систем” равняется 74%.
Количество выполненных требований, или количественная оценка (S) = 0,25. Коэффициент (S) = 0, 25 говорит о том, что количество полностью достигнутых требований по отношению к заданным заказчикам равняется 25%.
Таким образом проанализируем результаты работы программы по оставшимся 4 “направлениям”.
Рисунок 3.4 - “Направление” защита процессов, процедур и программ обработки информации
Из рисунка 3.4 видно, что в исследуемой системе защиты по “направлению” “Оценка защищенности процессов, процедур и программ обработки информации” наилучший результат был достигнут так же в 5 блоке “этапы” - “Осуществление выбора средств защиты” и в блоке 1 - “Определение информации, подлежащей защите”. По всем 4 составляющим каждого блока оценка экспертов достигла уровня оценки требований заказчика, включающим элементы матрицы знаний (521), (522), (523), (524) 5 блока, и элементов (121), (122), (123), (124) 1 блока.
Минимальные совпадения с требованиями заказчика были получен в 3 блоке “этапы” - “Проведение оценки уязвимости и рисков”, а именно элементов матрицы знаний под номерами (321), (322), (323), (324).
Объём выполненных работ, или качественная оценка (Q) равняется 82%.
Количество выполненных требований, или количественная оценка (S) = 46%.
Рисунок 3.5 - “Направление” Защита каналов связи
Из рисунка 3.5 видно, что в исследуемой системе защиты по “направлению” “Оценка защищенности каналов связи” наилучший результат был достигнут в 5 блоке “этапы” - “Осуществление выбора средств защиты”, включающим элементы матрицы знаний (531), (532), (533), (534).
Минимальные совпадения с требованиями заказчика были получен в 1 блоке “этапы” - “Определение информации, подлежащей защите”, а именно элементов матрицы знаний под номерами (131), (132), (133), (134).
Объём выполненных работ, или качесвенная оценка (Q) равняется 78%.
Количество выполненных требований, или количественная оценка (S) = 29%.
Рисунок 3.6 - “Направление” Подавление побочных электромагнитных излучений и наводок
Из рисунка 3.6 видно, что в исследуемой системе защиты по “направлению” “Оценка защищенности по техническим каналам (ПЭМИН)” наилучший результат был достигнут в 5 блоке “этапы” - “Осуществление выбора средств защиты”, включающим элементы матрицы знаний (541), (542), (543), (544).
Минимальные совпадения с требованиями заказчика были получен в 3 блоке “этапы” - “Проведение оценки уязвимости и рисков”, а именно элементов матрицы знаний под номерами (341), (342), (343), (344).
Объём выполненных работ, или качесвенная оценка (Q) равняется 81%.
Количество выполненных требований, или количественная оценка (S) = 29%.
Рисунок 3.7 - “Направление” защищенность элементов системы защиты
Из рисунка 3.7 видно, что в исследуемой системе защиты по “направлению” “Оценка защищенности элементов системы защиты” наилучший результат был достигнут в 5 блоке “этапы” - “Осуществление выбора средств защиты”, включающим элементы матрицы знаний (551), (552), (553), (554).
Минимальные совпадения с требованиями заказчика были получен в 3 блоке “этапы” - “Проведение оценки уязвимости и рисков”, а именно элементов матрицы знаний под номерами (351), (352), (353), (354).
Объём выполненных работ, или качесвенная оценка (Q) равняется 78%.
Количество выполненных требований, или количественная оценка (S) = 29%.
Далее, объединив частные показатели по направлениям в обобщенный показатель, получаем суммарный профиль безопасности и его графическое изображение на рисунке 3.8.
Рисунок 3.8 - Суммарный профиль безопасности
На основании суммарного профиля безопасности можно выявить, какие группы требований по каким направлениям выполнены. Это наглядно показано на рисунке 3.9. "Количественные показатели степени выполнения требований по защите информации":
Рисунок 3.9 - Количественные показатели степени выполнения требований по защите
Проанализировав результаты можно сделать выводы, что наилучший уровень защищенности рассматриваемой системы защиты достигнут по показателям 5, 17, 18,19,20. По этим требованиям уровень защиты полностью соответствует уровню требований заказчика. А требования 10, 14, 15, 16, 22, 23, 26, 28 не выполнены ни по одному из направлений, то есть каждый из них является слабым и наиболее уязвимым местом системы защиты.
Обобщенные показатели уровня защищенности (качественный и количественный) представлены на рисунке 3.10.
Рисунок 3.10 - Обобщенные показатели уровня защищенности ИС
На рисунке 3.10 показан обобщенный количественный показатель защищенности информационной системы, равный 31%. Обобщенный качественный показатель защищенности равен 79%.
Коэффициент важности “направлений” задан заказчиком, и в рассматриваемом случае равняется 0,2, то есть для каждого из 5 направлений защиты он одинаков.
Наиболее наглядно оценка просматривается в матрицах. На рисунках 3.11 и 3.12 представлены матрицы количественных и качественных оценок уровня защищенности информационной системы.
Рисунок 3.11 - матрица количественных оценок уровня защищенности
Данная матрица наглядно отображает, по каким из 140 критериям уровень оценки экспертов был полностью достигнут уровня требований, заданных заказчиком.
Рисунок 3.12 - матрица качественных оценок уровня защищенности
Матрица качественных оценок показывает процент достигнутых требований, по отношению к требованиям заказчика. В графе “оценки” можно увидеть среднее значение по любому необходимому показателю на обоих матрицах.
Данные матрицы позволяющие наглядно оценить степень выполнения требований по защите информации. Это дает возможность определить сильные и слабые места в СЗИ.
Программа "Оценка СЗИ" иллюстрирует работу модели СЗИ представленной в виде трехмерной матрицы, описание которой приведено выше, она разработана с целью демонстрации преимуществ системного подхода к созданию и оценке эффективности систем защиты информации. С помощью указанной программы осуществляется расчет условных показателей эффективности СЗИ, а также графическое представление состояния достигнутого уровня безопасности по отношению к заданному.
Программа "Оценка СЗИ" реализована и предназначена для оценки эффективности мероприятий, проводимых при создании и функционировании систем защиты информации. Предложенная модель СЗИ в виде трехмерной матрицы позволяет не только жестко отслеживать взаимные связи между элементами защиты, но может выступать в роли руководства по созданию СЗИ.
3.3 Разработка предложений по практической реализации методики
Разработанная методика оценки СЗИ является достаточно универсальной и может быть использована в тех случаях, когда номенклатура применяемых СЗИ разнородна и разнообразна. Количество оцениваемых средств влияет на размерность матрицы и соответственно на трудоемкость вычислений при решении задачи оценки. Однако при машинной обработке это не имеет принципиального значения.
Практическая реализация методики возможна по следующим направлениям:
- проектирование систем защиты информации в различных организациях для оценки и сравнения проектных вариантов на этапах эскизного проектирования и на заключительных стадиях проектирования;
- проведение научных исследований по вопросам создания и внедрения разных средств защиты информации;
- внедрение систем защиты информации на предприятиях, в учреждениях и организациях;
- доработка и модернизация уже существующих СЗИ с целью оценки эффекта от выполненных доработок и внесенных изменений;
- составление технических условий и задания на разработку информационной системы и СЗИ для нее.
Кроме перечисленных выше типовых предложений по использованию данной методики, имеющих достаточно общий характер, можно использовать ее в качестве отправной точки для дальнейшего ее улучшения и совершенствования. Так, например, можно дополнить интерфейсную часть программного средства новыми функциональными кнопками с целью запуска процедур статистической обработки оцениваемых параметров. Или ввести в методику расчетные соотношения, позволяющие получить количественные параметры эффективности включаемых в СЗИ аппаратных и программных средств.
Таким образом, реализация этих предложений позволит более объективно и взвешенно подойти к выбору средств защиты информации, необходимых для построения эффективной СЗИ.
угроза информационный безопасность компьютерный
ЗАКЛЮЧЕНИЕ
В настоящее время число информационных угроз и их качество увеличивается с каждым днем. Существуют различные способы защиты информации, но для того, чтобы создать эффективную систему защиты, необходимо тщательно проанализировать рассматриваемую систему, оценить текущее состояние её защищенности, найти её слабые места. В связи с этим в выпускной квалификационной работе разработана методика оценки системы защиты информации и создано программное средство, позволяющее совмещать в себе не большую стоимость, широкий набор функций, легкость в использовании, а также максимально сократить время работы. Решение поставленной задачи осуществлено по следующим этапам.
1. В исследовательском разделе произведен анализ существующих средств защиты информации. В ходе анализа установлено, что в настоящее время число информационных угроз только увеличивается, и очень трудно выбрать оптимальную систему защиты информации. Установлено что для решения поставленной задачи наиболее подходящим средством разработки программного обеспечения является программный продукт Microsoft Excel.
2. В специальном разделе дипломного проекта разработана структурная схема программного средства. От результатов, полученных на данном этапе, по сути, зависит успешность всего проекта. При разработке программного средства был использован подход на основе трехмерной матрицы.
3. В технологическом разделе представлена технология и принципы разработки программы и пользовательского интерфейса. Важное преимущество данной программы заключается в том, что она не требует специальной подготовки пользователей. В ней реализованы функции, необходимые для полноценного выполнения поставленной задачи.
Размещено на Allbest.ru
...Подобные документы
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Понятие и сущность информационной безопасности, существующие угрозы для школьников в интернете. Этапы разработки системы информационной безопасности и ее организация в школе, структура и компоненты, а также анализ и оценка практической эффективности.
дипломная работа [1,0 M], добавлен 27.10.2017Понятие, цели и задачи информационной безопасности. Угрозы информационной безопасности и способы их реализации. Управление доступом к информации и информационным системам. Защита сетей и информации при работе в Интернете. Понятие об электронной подписи.
контрольная работа [37,1 K], добавлен 15.12.2015Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа [225,1 K], добавлен 16.06.2012Угрозы безопасности программного обеспечения и классификация средств атаки на средства защиты ПО. Методы и средства защиты программ от компьютерных вирусов и средств исследования программ. Анализ стандартов в области информационной безопасности.
дипломная работа [1,4 M], добавлен 29.06.2012Описание деятельности и структуры предприятия, его территориальное расположение и режим функционирования. Классификация информации по степени конфиденциальности, существующие угрозы безопасности в данной сфере, программные средства борьбы с ними.
отчет по практике [41,2 K], добавлен 19.04.2015Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Понятие государственной и коммерческой тайны. Основные нормативные документы по оценке информационной безопасности. Потенциальные угрозы безопасности информации в локальных вычислительных сетях. Криптография и ее применение. Защита от удаленных атак.
курсовая работа [37,3 K], добавлен 24.03.2013Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Сущность информационной безопасности, ее структура и составные части, значение в современном обществе и бизнесе. Компьютерные эпидемии и непрошенный спам как основные угрозы для личной информации, хранящейся на ЭВМ, способы ограничения доступа для них.
реферат [21,3 K], добавлен 22.11.2009Разработка политики безопасности компании в условиях информационной борьбы. Повышение информационной безопасности в системах обработки данных. Обеспечение устойчивости к противодействию диверсионной и технической разведке. Защита локальной сети.
курсовая работа [841,2 K], добавлен 13.06.2012
