Разработка системы безопасности конфиденциальной информации
Построение комплексной системы безопасности конфиденциальной информации в частной школе английского языка. Создание модели угроз безопасности конфиденциальных данных. Оценка опасности каждой угрозы. Разглашение конфиденциальной информации сотрудниками.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | контрольная работа |
| Язык | русский |
| Дата добавления | 25.10.2017 |
| Размер файла | 308,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Задачи
· Построить комплексную систему безопасности конфиденциальной информации в частной школе английского языка
· Создать модель угроз безопасности конфиденциальных данных
· Рассчитать стоимость мер, направленных на противодействие угрозам конфиденциальных данных
Схема помещения
1. Общая информация о компании
Учебный центр располагается на четвертом этаже пятиэтажного офисного центра в помещении «офис № 10», общей площадью 88,6 м2. Посторонних людей много, ценность информации средняя. Учебный центр работает с 9:00 до 20:00. В часы работы входная дверь открыта для работников и посетителей. По окончании рабочего дня охранник закрывает на ключ входную дверь и включает сигнализацию. В ночное время слежение за помещениями производится с централизованного пункта охраны на цокольном этаже здания.
2. Персонал
· Директор
· Секретарь
· 4 преподавателя
· Ученики
3. Исходная степень защищенности (подробно см. «Методика определения актуальных угроз БПД при их обработке в ИСПД»)
Под уровнем исходной защищенности ИСПДН понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДН, приведенных в таблице:
|
№ |
Технические и эксплуатационные характеристики ИСПДН |
Уровень защищенности |
|||
|
Высокий |
Средний |
Низкий |
|||
|
1. |
По территориальному размещению: Локальная ИСПДН, развернутая в пределах одного здания |
+ |
- |
- |
|
|
2. |
По наличию соединения с сетями общего пользования: ИСПДн, имеющая одноточечный выход в сеть общего пользования |
- |
+ |
- |
|
|
3. |
По встроенным (легальным) операциям с записями баз ПД: Запись, удаление, сортировка |
- |
+ |
- |
|
|
4. |
По разграничению доступа к ПД: ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ИСПДн |
- |
+ |
- |
|
|
5. |
По наличию соединений с другими базами ПДн иных ИСПДН: ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн |
+ |
- |
- |
|
|
6. |
По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации |
- |
+ |
- |
|
|
7. |
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн, без предварительной обработки: ИСПДн, не предоставляющая никакой информации |
+ |
- |
- |
Исходная степень защищенности:
o ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствует уровню не ниже «средний», а остальные - низкому уровню защищенности. Числовой коэффициент Y1=5
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
o низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации) . Коэффициент Y2=2;
С учетом изложенного коэффициент реализуемой угрозы Y будет определяться соотношением:
Y = (Y1+Y2)/20 = (5+2)/20 = 0.35
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0,3 </= Y </= 0,6, то возможность реализации угрозы признается средней;
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице:
|
Возможность реализации угрозы |
Показатель опасности угрозы |
|||
|
низкая |
средняя |
высокая |
||
|
Низкая |
неактуальная |
неактуальная |
актуальная |
|
|
Средняя |
неактуальная |
актуальная |
актуальная |
|
|
Высокая |
актуальная |
актуальная |
актуальная |
|
|
Очень высокая |
актуальная |
актуальная |
актуальная |
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе "Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
4. Модель угроз
|
Наименование угрозы |
Опасность угрозы |
Вероятность реализации угрозы |
Меры по противодействию угрозе |
|
|
Финансовые угрозы |
||||
|
Кража технических средств (н-р ПЭВМ) |
Высокая |
низкая |
Покупка камер видеонаблюдения |
|
|
Сбой системы электроснабжения |
Низкая |
Средняя |
Покупка систем резервного питания, резервное копирование данных на сервере и ПК |
|
|
Физические угрозы |
||||
|
Уничтожение и/или порча информации с целью нанесения материального ущерба |
Низкая |
Низкая |
Стоимость охраны включена в сумму аренды |
|
|
Пожар |
Низкая |
Сложно определить |
Установка систем извещения о пожаре, покупка огнетушителей |
|
|
Информационные угрозы |
||||
|
Компьютерные вирусы и приравненные к ним программы (черви, трояны) |
Высокая |
Средняя |
Покупка файервола, антивируса, обновление программ до актуальных версий |
|
|
Перехват побочных электромагнитных излучений элементов тех. средств и систем |
Средняя |
Низкая |
Экранирование особо важных элементов сети |
|
|
Несанкционированный физический доступ нарушителей к ресурсам |
Высокая |
Средняя |
Установка железных дверей, опечатывание компьютеров |
|
|
Несанкционированный доступ через сети международного пользования |
Средняя |
Высокая |
Установка файервола, антивируса |
|
|
Кража документации |
Высокая |
Высокая |
Установка систем видеонаблюдения |
|
|
Непреднамеренная модификация или уничтожение информации сотрудниками, допущенными к ее обработке |
Высокая |
Средняя |
Обучение сотрудников работе с данными |
|
|
Преднамеренная модификация или уничтожение информации сотрудниками, допущенными к ее обработке |
Высокая |
Средняя |
Введение санкций за модификацию и/или уничтожение данных |
|
|
Ознакомление и/или кража охраняемых сведений путем просмотра отходов (ненужные документы, мусор) |
Средняя |
Низкая |
Установка уничтожителя бумаги |
|
|
Кража данных с рабочей станции |
Высокая |
Высокая |
Установка программ, отслеживающих перемещение защищаемой информации, блокирование портов USB и привода CD |
|
|
Разглашение конфиденциальной информации сотрудниками третьим лицам |
Средняя |
Высокая |
Обучение персонала обращению с конфиденциальной информацией |
5. Разработка систем ЗИ
В деле обеспечения информационной безопасности успех может принести только компексный подход. Поэтому целесообразно разделить все методы на группы:
o Законодательные
o Административные
o Процедурные
o Программно-технические
безопасность конфиденциальный информация данные
6. Законодательные меры по ЗИ
При проектировании систем защиты информации должны соблюдаться все законы, в которых рассматривается данный вопрос. Более полную информацию о требованиях, выдвигаемых законодательной и нормативной базами можно получить при их изучении. Список законов и нормативных документов, на которые нужно опираться про проектировании систем ЗИ:
o Закон «об информации, информационных технологиях и о защите информации» - основополагающий среди Российских законов, посвященных вопросам информационной безопасности. В нем даются основные определения, намечаются направления. В которых должно развиваться законодательство в данной области, регулируются отношения, возникающие в процессе работы с информацией.
o Закон «О персональных данных» - федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных.
Размещено на Allbest.ur
...Подобные документы
Классификация угроз конфиденциальной информации. Концепция математической модели оценки ущерба конфиденциальной информации от внешних угроз. Реализация и исследование модели. Безопасность и экологичность работы. Расчет технико-экономической эффективности.
дипломная работа [1,5 M], добавлен 30.06.2011Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
курсовая работа [64,2 K], добавлен 15.11.2009Анализ подходов по защите от утечки конфиденциальной информации. Разработать программный модуль обнаружения текстовых областей в графических файлах для решения задач предотвращения утечки конфиденциальной информации. Иллюстрация штрихового фильтра.
дипломная работа [12,8 M], добавлен 28.08.2014Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Применение программного обеспечения и технических средств контроля и управления доступом для предупреждения угроз несанкционированного доступа к защищаемой информации. Построение интегрированной системы безопасности "FortNet" и ее составных элементов.
лабораторная работа [1,3 M], добавлен 14.11.2014Этапы развития и процесс внедрения DLP-системы. Анализ передаваемой конфиденциальной информации DLP-системы. Состав системы DLP на примере программного решения линейки SymantecDataLossPrevention (SDLP). Программные решения, представленные на рынке.
реферат [1,0 M], добавлен 07.07.2012Характеристика понятия и видов угроз информационной безопасности. Классы каналов несанкционированного доступа к конфиденциальной информации. Описание потенциально возможных злоумышленных действий. Методы резервирования данных и маскировки информации.
курсовая работа [45,1 K], добавлен 25.06.2014Описание средств защиты конфиденциальной и ценной информации в ЭИС. Характеристика активных и пассивных умышленных угроз безопасности информации. Принципы составления промежуточной бухгалтерской и налоговой отчетности при помощи программы "1С:ГАРАНТ".
контрольная работа [451,4 K], добавлен 20.09.2011Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Создание надежной системы защиты данных, проходящих в локальной вычислительной сети, от сетевых атак, целью которых является хищение конфиденциальной информации. Проектирование схемы внедрения межсетевых экранов. Политика информационной безопасности.
курсовая работа [236,1 K], добавлен 10.05.2015Утечка конфиденциальных данных как прямая угроза для бизнеса, характеристика ее основных причин. Способы борьбы с утечками конфиденциальных данных на уровнях организационных процедур и программных решений. Программные решения, представленные на рынке.
реферат [1,1 M], добавлен 15.07.2012Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Обработка информации, анализ каналов ее возможной утечки. Построение системы технической защиты информации: блокирование каналов несанкционированного доступа, нормативное регулирование. Защита конфиденциальной информации на АРМ на базе автономных ПЭВМ.
дипломная работа [398,5 K], добавлен 05.06.2011Права граждан на защиту конфиденциальной информации и интеллектуальной собственности. Комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора и хранения информации. Массивы документов в информационных системах.
презентация [57,3 K], добавлен 24.06.2017Концепция обеспечения безопасности информации в ООО "Нейрософт"; разработка системы комплексной защиты. Информационные объекты фирмы, степень их конфиденциальности, достоверности, целостности; определение источников угроз и рисков, выбор средств защиты.
курсовая работа [458,9 K], добавлен 23.05.2013Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Основные принципы работы измерительного комплекса "Навигатор", возможность перехвата побочных электромагнитных излучений и наводок с защищаемого объекта. Определение требуемого радиуса контролируемой зоны для защиты конфиденциальной информации от утечки.
курсовая работа [1,4 M], добавлен 02.10.2013Анализ модели информационно-телекоммуникационной системы предприятия. Виды угроз информационной безопасности. Цели и задачи защиты информации на предприятии. Разработка процедур контроля системы управления защитой информации в корпоративной сети.
дипломная работа [3,6 M], добавлен 30.06.2011
