Разработка системы защиты с использованием биометрических данных
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
? ПЭМИН - наводки на линии, инженерные конструкции, выходящие за пределы КЗ;Н50,75высокаяактуальная10. НСД к информации, обрабатываемой в АРМ - действия нарушителей при непосредственном доступе к АС;Н50,75высокаяактуальная11. НСД к информации, обрабатываемой в АРМ, по средствам внедрения аппаратных закладок;Н00,5средняянеактуальная12. Угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей и идентификаторов, модификацию базовой системы ввода / вывода (BIOS), перехват управления загрузкой;Н50,75высокаяактуальная13. Угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)Н50,75высокаяактуальная14. Внедрение вредоносных программ;Н50,75высокаяактуальная15. угрозы Анализа сетевого трафика с перехватом передаваемой по сети информации;Н20,6средняянеактуальная16. угрозы выявления паролей;Н20,6средняянеактуальная17. угрозы удаленного запуска приложений;Н20,6средняянеактуальная18. угрозы внедрения по сети вредоносных программ.Н20,6средняянеактуальная
Для того чтобы произвести анализ рисков (таблица 4), необходимо проанализировать виды угроз, описанные в таблице.
Расчет риска происходит по следующей схеме:
Риск = Величина потерь * Вероятность реализации угрозы
Величина потерь - неотрицательное число. В таблице 2 представлена шкала для определения возможного ущерба. А шкала для определения вероятности угроз в таблице 3.
Таблица 2
Величина потерьОписание ущерба от реализации угрозы0Реализации угрозы приведет к ничтожному ущербу1Основная деятельность не будет затронута. Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска2Деятельность организации прервется на некоторое время. Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль3Будут затронуты внешние функции организации, нанесен большой финансовый ущерб. Возможна утрата части партнерских связей4На восстановление требуются крупные финансовые вложения, деятельность прерывается на длительный срок, возможна смена руководства5Деятельность прекращается, невосполнимый ущерб
Таблица 3
Вероятность реализации угрозыСредняя частота появления0Данный вид атаки отсутствует вообще1Реже, чем 1 раз в год2Около 1 раза в год3Около 1 раза в месяц4Около 1 раза в неделю5Ежедневно
Таблица 4
Описание угрозыУщербВероятностьРиск1. утечка информации по каналу ПЭМИН - перехват ПЭМИ ТС обработки информации;1222. утечка информации по каналу ПЭМИН - наводки на ВТСС;1223. утечка информации по каналу ПЭМИН - наводки на линии, инженерные конструкции, выходящие за пределы КЗ;1224. НСД к информации, обрабатываемой в АРМ - действия нарушителей при непосредственном доступе к АС;25105. Угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей и идентификаторов, модификацию базовой системы ввода / вывода (BIOS), перехват управления загрузкой;25106. Угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)25107. Внедрение вредоносных программ;2510Итого:46
Суммарный риск подсчитывается как сумма максимальных величин риска для каждой угрозы.
Максимальный риск - это риск, который понесет организация при осуществлении всех угроз. Максимальный риск рассчитывается как произведение суммарной цены всех угроз (11) на максимальную величину возможности реализации угрозы (5). Максимальный риск составляет 55 ед.
Соответственно, среднее значение частоты осуществления угроз можно определить как частное от суммарного риска и суммарной цены всех угроз. Среднее значение частоты возникновения угроз Рср=55/46=1,2. т.е., исходя из методики и шкалы, различные угрозы осуществляются около одного раза в год.
Для снижения рисков, во-первых, предлагается введение организационно-правовых мер. Однако одних организационно-правовых мер для обеспечения защиты информации недостаточно, необходимо также использовать и программно-аппаратные средства защиты.
Понизить вероятность риска, а, следовательно, и уменьшить предполагаемый ущерб, можно потратив некоторую денежную сумму на построение системы защиты.
Комплексная система защиты должна уменьшать вероятность риска таким образом, чтобы затраты на её внедрение и эксплуатацию, не превышали возможного ущерба от угроз на информацию, которую она защищает.
3.Конструкторская часть
3.1Техническое задание
Предмет контракта: выполнение работ по защите биометрических данных в ИСПДн СКУД ОАО ММЗ.
Защите подлежат персональные данные в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ О защите персональных данных
Состав работ:
1.Разработка Перечня информационных систем персональных данных (ИСПДн):
- Анализ структуры информационных систем ОАО М