Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
?ОтрицаниеННСНеисправность услуг связи (то есть, услуг сети)НССОшибки пользователяСССНеправильное использование ресурсовНВВДефицит персоналаСССПожарВВВПреднамеренное повреждениеСССАвария источника мощностиСССАвария в подаче водыНННАвария воздушного кондиционированияННННеисправности аппаратных средствСССКолебание мощностиСССЭкстремальные значения температуры и влажностиНННПыльНННЭлектромагнитное излучениеНННКражаННСНеавторизованное использование среды храненияННСИзнос среды храненияННСОперационная ошибка персоналаНССОшибка технического обслуживанияНННАвария программного обеспеченияСССИспользование программного обеспечения неавторизованными пользователямиНННИспользование программного обеспечения неавторизованным способомНННПодделка идентификатора пользователяНССНелегальное использование программного обеспеченияНННВредоносное программное обеспечениеСССНелегальный импорт/экспорт программного обеспеченияССВДоступ к сети неавторизованных пользователейНННОшибка операционного персоналаНССОшибка технического обслуживанияНННТехническая неисправность компонентов сетиНСНОшибки при передачеНССПовреждения в линиях связиННСПерегрузка трафикаНННПерехватНННПроникновение в коммуникацииНССОшибочная маршрутизация сообщенийНССПовторная маршрутизация сообщенийНССОтрицаниеННННеисправность услуг связи (то есть, услуг сети)НСНОшибки пользователяНССНеправильное использование ресурсовНСВДефицит персоналаНННПожарНВВПреднамеренное повреждениеСВВАвария источника мощностиСВВАвария в подаче водыНННАвария воздушного кондиционированияННННеисправности аппаратных средствНВВКолебание мощностиСВСЭкстремальные значения температуры и влажностиННСПыльНННЭлектромагнитное излучениеННСКражаВВВНеавторизованное использование среды храненияНССИзнос среды храненияСНСОперационная ошибка персоналаННСОшибка технического обслуживанияНССАвария программного обеспеченияНСВИспользование программного обеспечения неавторизованными пользователямиНССИспользование программного обеспечения неавторизованным способомННСПодделка идентификатора пользователяСНСНелегальное использование программного обеспеченияНННВредоносное программное обеспечениеВСВНелегальный импорт/экспорт программного обеспеченияССНДоступ к сети неавторизованных пользователейСННОшибка операционного персоналаСССОшибка технического обслуживанияСССТехническая неисправность компонентов сетиНССОшибки при передачеСССПовреждения в линиях связиСВВПерегрузка трафикаНССПерехватССНПроникновение в коммуникацииСССОшибочная маршрутизация сообщенийСВВПовторная маршрутизация сообщенийНВВОтрицаниеСВННеисправность услуг связи (то есть, услуг сети)ССВОшибки пользователяСВСНеправильное использование ресурсовННВДефицит персоналаНВВ
Таблица 9 Таблица оценки риска
Категория потерьЗона уязвимостиДенежная потеряПотеря производительностиЗатрудненияОбщий рискФизический уровеньННННСетевой уровеньНСССУровень сетевых приложенийНСННУровень операционных системННСНУровень СУБДВВСВУровень функциональных приложенийНСССУровень бизнес-процессовНССС
Самой уязвимой зоной, в которой риск потери будет высокий, - это уровень системы управления базами данных. Важной значение для отделения Пенсионного Фонда имеет потеря информации. Актуальными будут те угрозы, которые на уровне СУБД носят высокую степень риска. Отделение Пенсионного Фонда РФ не составляет особого интереса окружающим (возможно, потому что не занимается денежными операциями, а только назначением на пенсию), поэтому общий риск потерь не является особо высоким на рассматриваемых уровнях, и самой актуальными угрозами будут неисправность программного обеспечения и аппаратных средств, ошибки пользователей.
4. Разработка политики безопасности
Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для собственника. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности.
Отделение Пенсионного Фонда РФ, помимо основных бизнес функций, должно обеспечивать защиту информационных, вычислительных, коммуникационных и аппаратных ресурсов, следить за функционированием систем, создавать защитные меры для эффективной работоспособности и качественной производительности.
Исходя из полученной таблицы оценки риска, можно сделать вывод, что защищать необходимо информационный ресурс на уровне СУБД, так как уровень риска является самым высоким. Защищать зоны уязвимости, где уровень риска низкий, просто не имеет смысла.
Вся информация, находящаяся в госучреждении, должна быть конфиденциальной, целостной, надежной, качественной, защищенной. Ей управляет администратор, защищает администратор ИБ. В отделении должны обеспечиваться:
- функционирование системы парольной защиты электронных вычислительных машин и локальных вычислительных сетей. Должна быть организована служба централизованной парольной защиты для генерации, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;
- формирование уникальных идентификаторов сообщений и идентификаторов пол?/p>