Разработка системы технической защиты информации типового объекта
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
тью нужна минимальная защита, для защиты от зондирования системы - более жесткая и самая жесткая вместе с постоянным контролем - от проникновении. Целью таких действий должно служить одно - обеспечение работоспособности АСОИБ в целом и ее системы защиты в частности.
Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть совершенно различными. Как уже отмечалось, около 86% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью, безответственностью и т.д. Но не это составляет основную угрозу для системы. Гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой [1].
Способы предотвращения нарушений вытекают из природы побудительных мотивов - это соответствующая подготовка пользователей, а также поддержание здорового рабочего климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист автоматизированной банковской системы может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал.
.2.2 Риски персонала
Ниже приводится примерный список персонала типичной АСОИБ и соответствующая степень риска от каждого из них [11].
. Наибольший риск:
системный контролер;
администратор безопасности.
. Повышенный риск:
оператор системы;
оператор ввода и подготовки данных;
менеджер обработки;
системный программист.
. Средний риск:
инженер системы;
менеджер программного обеспечения.
. Ограниченный риск:
прикладной программист;
инженер или оператор по связи;
администратор баз данных;
инженер по оборудованию;
оператор периферийного оборудования;
библиотекарь системных магнитных носителей;
пользователь-программист;
пользователь-операционист.
. Низкий риск:
инженер по периферийному оборудованию;
библиотекарь магнитных носителей пользователей;
пользователь сети.
Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Однако пользователи различных категорий различаются не только по степени риска, но и по тому, какому элементу системы они угрожают больше всего. Понятно, что операционист вряд ли сможет вывести из строя АСОИБ, но зато способен послать платеж не по адресу и нанести серьезный финансовый ущерб.
1.2.3 Анализ рисков
Анализ риска состоит из следующих основных этапов.
Этап 1. Описание состава системы:
- аппаратные средства;
- программное обеспечение;
- данные;
- документация;
- персонал.
Этап 2. Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.
Этап 3. Оценка вероятностей реализации угроз.
Этап 4. Оценка ожидаемых размеров потерь.
Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).
Этап 5. Анализ возможных методов и средств защиты.
Этап 6. Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.
.3 Категорирование информации по важности
Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой [10]:
. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
. Полезная информация - необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.
Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух степеней градации.
. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, так как может вызвать материальные и моральные потери.
. Открытая информация - информация, доступ