Разработка модулей администрирования и шифрования данных для информационной системы предприятия
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
? налоговых органов, из которого путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок [8].
Обобщенная модель незащищенной информационно-телекоммуникационной системы предприятия представлена на рисунке 2.1.
Рисунок 2.1 - Обобщенная модель ИТКС предприятия
Федеральная налоговая служба России собирает, обрабатывает и хранит множество информации, разделенной на несколько баз данных (единый государственный реестр налогоплательщиков, единый государственный реестр индивидуальных предпринимателей, единый государственный реестр юридических лиц и т.д.). Налоговые органы расположены в каждом крае и районе, потому автоматизированная система УФНС России по Ставропольскому краю очень обширна, включает в себя несколько десятков серверов, более 250 автоматизированных рабочих мест, иметься несколько каналов связи с налоговыми органами по всей территории России. Для обеспечения безопасности налоговой тайны используются передовые системы защиты, такие как: межсетевые экраны, системы создания криптографических каналов, единая антивирусная система защиты, на серверах используется резервное копирование всех массивов жестких дисков, производиться защита питания от сбоев, производится постоянное обновление программных средств для закрытия известных на данный момент уязвимостей [6].
2.2 Модель угроз безопасности информации на предприятии
Под угрозой информационной безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы принято называть атакой.
Информация, обрабатываемая в ИТКС ФНС России, дает потенциальную возможность для проявления угроз безопасности, вызванных действиями, процессами или явлениями, приводящими к нанесению ущерба ФНС России. В соответствии с ГОСТ Р 50922-96 предусматривается два типа угроз безопасности:
-связанные с утечкой информации (разглашение, утечка, несанкционированный доступ);
-связанные с несанкционированным воздействием на информацию и ее носители (искажение, уничтожение, копирование, блокирование,сбои и ошибки техники, другие случайные воздействия).
Реализация той или иной угрозы информационной безопасности предприятия может преследовать следующие цели:
-нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в ИТКС предприятия, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;
-нарушение целостности информации. Потеря целостности информации - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обеiенена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,
-нарушение (частичное или полное) работоспособности ИВС (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов сети, их модификация или подмена могут привести к получению неверных результатов, отказу компьютерной системы от потока информации или отказам при обслуживании.
Модель угроз концепции информационной безопасности должна разрабатываться с учетом особенностей топологии автоматизированной системы (АС) организации, ее функциональных задач, а также установленного общесистемного и прикладного ПО. Это позволяет более точно определить возможные источники угроз информационной безопасности, способы их реализации, а также последствия, к которым они могут привести. Модель угроз является основой для определения состава работ по следующим базовым направлениям обеспечения информационной безопасности:
нормативно-методическое обеспечение, направленное на создание сбалансированной правовой базы в области защиты информации;
технологическое обеспечение, предназначенное для реализации, внедрения и сопровождения комплексной системы информационной безопасности;
кадровое обеспечение, предполагающее укомплектование соответствующих подразделений специалистами по информационной безопасности, а также проведение обучения сотрудников организации по вопросам защиты от угроз информационной безопасности.
Обобщенная модель угроз безопасности информации на предприятия представлена в таблице 2.1
Таблица 2.1 - Модель угроз безопасности информации на предприятия
Угроза информ безопасностиИсточник угрозСпособы реализации угрозI. Получение информации1. Антропогенныйа) разглашение, передача или утрата атрибутов разграничения доступа;б) внедрение агентов в число персонала системы;в) хищение носителей информации;г) незаконное получение паролей и других реквизитов разграничения доступа;д) несанкционированная модификация программного обеспече) перехват данных, передаваемых по каналам связи;ж) несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;II. Анализ характе информации1. Антропогенныйа) хищение носителей информации хищение производственных отходов;б) чтение остаточной информации из оперативной па