|
|
Разработка защищенной автоматизированной информационной системы те-стирования знаний кредитных инспекторов в коммерческом банке. Курсовая_Шевченко_БАСО-03-18. Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины)
Назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим
ИСПДн «Профессионал» предназначена для обработки и хранения информации о работниках ООО «ПрофБанкТест», проводящих тестирование, а также о сотрудниках из банков-клиентов, которые проходят тестирование.
Персональные данные работников ООО «ПрофБанкТест» обрабатываются с целью:
ведения учета рабочего времени;
ведения отчетности о деятельности сотрудников.
Персональные данные клиентов ООО «ПрофБанкТест» обрабатываются с целью:
ведение клиентской базы;
ведение отчетности о результатах тестирования;
сертификация сотрудников по итогам тестирования.
В ИСПДн «Профессионал» обрабатываются следующие персональные данные работников:
фамилия, имя, отчество работника;
контактные данные работника (номер телефона и адрес электронной почты).
В ИСПДн «Профессионал» обрабатываются следующие персональные данные клиентов:
фамилия, имя, отчество клиента;
пол клиента;
контактные данные клиента (номер телефона и адрес электронной почты);
дата рождения клиента;
должность клиента.
Вышеперечисленные персональные данные обрабатываются в соответствии с Трудовым и Налоговым кодексом РФ, Федеральным закон «О бухгалтерском учете» от 06.12.2011 N 402-ФЗ, согласием работника на обработку ПДн.
Описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа
В ИСПДн «Профессионал» обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа.
Режим обработки предусматривает следующие действия с персональными данными сотрудников и клиентов: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование, уничтожение персональных данных.
Все пользователи имеют собственные роли и полномочия. Список пользователей и их типов доступа представлен в виде матрицы доступа в таблице 1.3.
Таблица 1.3 – Матрица доступа к ИСПДн
Группа
пользователей
|
Уровень доступа к ИСПДн
|
Полномочия
|
Сотрудники
|
Системный администратор
|
Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным. Обладает правами конфигурирования и административной настройки технических средств ИСПДн.
|
- хранение
- систематизация
- сбор
- накопление
|
Сотрудники отдела администрирования, допущенные к работе с ИСПДн:
Мешков А.Г.
Талалаев О.К.
|
Программист, специалист по БД
|
Обладает правами администратора ИСПДн. Обладает полной информацией об ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных.
|
- сбор
- систематизация
- накопление
- хранение
- уничтожение
- уточнение
|
Сотрудники технического отдела:
Троценко В.С.
Якимушкин П.А.
Миронова М.А.
|
Окончание таблицы 1.3
Группа
пользователей
|
Уровень доступа к ИСПДн
|
Полномочия
|
Сотрудники
|
Операторы ИСПДн с правами на чтение и запись
|
Обладают всеми необходимыми правами и полномочиями, позволяющие осуществлять запись, удаление, изменение в базе данных.
|
- сбор
- накопление
- хранение
- уничтожение
- уточнение
- использование
|
Сотрудники отдела тестирования:
Петров И.И.
Краснова А.Н.
Петухов В.Е.
Абраменко О.П.
|
Описание групп внешних и внутренних нарушителей
Описание групп внешних и внутренних потенциальных нарушителей для ИСПДн «Профессионал», а также определение их актуальности представлено в таблице 1.4.
Таблица 1.4 – Описание групп внешних и внутренних нарушителей
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению
тактики
|
Гипотетическая
актуальность
|
1
|
СС иностранных государств
|
Внешний
|
Данный тип нарушителя не заинтересован в воздействии на ИСПДн, принадлежащую ООО «ПрофБанкТест», т.к. это не соответствует его целям, описанным в Приложение 6 к Методике оценки угроз безопасности информации ФСТЭК
|
Н4
|
Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы
|
Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы
|
Не актуален
|
2
|
Террористические, экстремистские группировки
|
Внешний
|
Данный тип нарушителя не заинтересован в воздействии на ИСПДн, принадлежащую ООО «ПрофБанкТест», т.к. это не соответствует его целям, описанным в Приложение 6 к Методике оценки угроз безопасности информации ФСТЭК
|
Н3
|
Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы
|
Не целесообразно к рассмотрению, в соответствии с обоснованием, данным в столбце 4 настоящей таблицы
|
Не актуален
|
3
|
Преступные группы (криминальные структуры)
|
Внешний
|
Получение финансовой или иной материальной выгоды
|
Н2
|
Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности
|
Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10
|
Актуален
|
Продолжение таблицы 1.4
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению тактики
|
Гипотетическая
актуальность
|
|
|
|
|
|
информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах
|
|
|
4
|
Отдельные физические лица (хакеры)
|
Внешний
|
Получение финансовой или иной материальной выгоды
|
Н1
|
Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации.
|
Т1, Т2, Т4, Т6, Т10
|
Актуален
|
5
|
Конкурирующие организации
|
Внешний
|
Получение конкурентных преимуществ, финансовой или иной материальной выгоды
|
Н2
|
Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также
|
Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10
|
Актуален
|
Продолжение таблицы 1.4
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению тактики
|
Гипотетическая
актуальность
|
|
|
|
|
|
имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах
|
|
|
6
|
Разработчики программных, программно-аппаратных средств
|
Внутренний
|
Получение конкурентных преимуществ, финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
|
Н3
|
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность самостоятельно разрабатывать средства, необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных средств. Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа. Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
|
Т1, Т2, Т3, Т4, Т5, Т6, Т7, Т8, Т9, Т10
|
Актуален
|
7
|
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
|
Внешний
|
Получение конкурентных преимуществ, финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
|
Н1
|
Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети Интернет и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
Т1, Т2, Т4, Т6, Т10
|
Актуален
|
Продолжение таблицы 1.4
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению тактики
|
Гипотетическая
актуальность
|
8
|
Поставщики вычислительных услуг, услуг связи
|
Внутренний
|
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ
|
Н2
|
Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
|
Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10
|
Актуален
|
9
|
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
|
Внутренний
|
Получение конкурентных преимуществ, финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
|
Н2
|
Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах
|
Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10
|
Актуален
| |
|
|
Скачать 2.54 Mb.