КР 3121ТмЗ Иванов вар 11. Модель угроз и нарушителя информационной безопасности объекта информатизации
 Скачать 44.21 Kb.
|
|
Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий Академия Государственной противопожарной службы Кафедра: «Специальной электротехники, автоматизированных систем и связи» КУРСОВОЙ ПРОЕКТ по дисциплине «Технологии обеспечения информационной безопасности сложных технических объектов и систем» Тема: Модель угроз и нарушителя информационной безопасности объекта информатизации Группа 3121ТмЗ Иванов Павел Владимирович (звание) (подпись) (ФИО) Оценка работы ____________________________________________________ Преподаватель, доктор технических наук, доцент, Страхолис А.А. МОСКВА 2022 Оглавление Общие положения 4 1термины и определения 5 2Обозначения и сокращения 9 3ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ иб 10 4Модели угроз и нарушителей информациОННОЙ безопасности БАНКА 11 5Система информационной безопасности БАНКА 19 6Требования к системе информационной безопасности 21 7система безопасного функционирования технических средств и информационных ресурсов Налоговой инспекции 28 8Категорирование защищаемых ресурсов 31 9управление доступом к Информационным Ресурсам АВТОМАТИЗИРОВАННЫХ СИСТЕМ 35 10администрирование 38 11планирование бесперебойной работы 40 12Этапы создания системы защиты информации 41 13ответственность за нарушение Политики информационной безопасности 42 14 Перечень используемой ЛИТЕРАТУРЫ 43 1.Положение Налоговой инспекции России “Об организации внутреннего контроля в кредитных организациях и банковских группах” от 16 декабря 2003 № 242-П. 43 2.Стандарт Налоговой инспекции России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” СТО БР ИББС-1.0-2010 (Принят и введен в действие Распоряжением Налоговой инспекции России от 21 июня 2010 года №Р_705). 43 3.http://securitypolicy.ru - Документы по информационной безопасности. 43 4.http://dehack.ru/razrab_szi/politika_inf_bezop/ - Разработка системы защиты информации. 43 5.Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». 43 6.Методические указания к курсовой работе по дисциплине «Информационная безопасность и защита информации» для студентов специальности 230201 "Информационные системы и технологии" очной формы обучения С. А. Асанов Кемерово 2009. 43 Общие положенияНастоящий документ определяет основные направления политики информационной безопасности, цели и задачи, принципы ее организации, функционирования и правовые основы в компании ОАО АКБ Связь-Банк. Описывает виды угроз банковским активам и ресурсы, подлежащие защите, а также комплекс организационно-технических мер по защите автоматизированной системы Налоговой инспекции от несанкционированного доступа к циркулирующей в ней информации и незаконного вмешательства в процесс ее функционирования. 1Требования настоящего документа распространяются на все структурные подразделения и пользователей информационной системы Налоговой инспекции. Перечень мер по реализации «Политики информационной безопасности», а также структура управления системой защиты информации и ответственность должностных лиц могут варьироваться в соответствии с особенностями построения и организацией информационной системы Налоговой инспекции, с целью достижения разумного компромисса между защищенностью, удобством работы и стоимостью системы защиты информации. Положения данной Политики разработаны согласно рекомендациям Стандарта Налоговой инспекции России СТО БР ИББС-1.0-2010. термины и определенияИнформационная система Налоговой инспекции – система, реализующая банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем в целом. Банковский технологический процесс – технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Информационный актив - информация с реквизитами, позволяющими ее идентифицировать, имеющая ценность и представленная на любом носителе. Информационная безопасность – состояние защищенности информационных активов Налоговой инспекции в условиях угроз в информационной сфере. Политика информационной безопасности – свод правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется Банк в своей деятельности. Инцидент информационной безопасности – событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности Налоговой инспекции, приводящее к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости. Риск – неопределенность, предполагающая возможность потерь (ущерба). Менеджмент риска – скоординированные действия по руководству и управлению в отношении риска с целью его минимизации. Риск нарушения информационной безопасности – неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) Налоговой инспекции в условиях угроз в информационной сфере. Мониторинг информационной безопасности – постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Аудит информационной безопасности – периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в Банке требований по обеспечению информационной безопасности. Автоматизированное рабочее место - в данном контексте - совокупность программного обеспечения, установленного на рабочие станции пользователей, позволяющего выполнять определенные функциональные задачи в рамках бизнес процессов. Алгоритмы специального преобразования данных - алгоритмы, осуществляющие преобразование информации для обеспечения ее безопасности. Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности Аудит - отслеживание действий пользователей путем регистрации событий определенных типов в журналах регистрации. Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации. Защищаемые ресурсы (ресурсы, подлежащие защите) - информация, функциональные задачи, рабочие станции, подлежащие защите с целью обеспечения информационной безопасности подразделений банка, его клиентов, корреспондентов, а также его сотрудников. Защищаемое помещение - помещение, в котором исключено неконтролируемое пребывание лиц, не имеющих на это право. Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям. Класс защищенности - определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации. Ключевая информация - персональные ключи и информация, используемая для проверки подлинности и безопасного обмена данными по общедоступным сетям. Конфиденциальность информации - субъективно определяемая (присваиваемая государством или собственником) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Концепция полномочий - система распределения полномочий для управления действиями, которые может выполнять пользователь. Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Структура управления средствами защиты информации - управляемая структура, объединяющая специалистов по защите информации различных подразделений Налоговой инспекции для решения задач по информационной безопасности информационной системы Налоговой инспекции, осуществления поддержки Политики информационной безопасности и контроля за ее выполнением. Угроза информационной безопасности - совокупность условий и факторов, создающих опасность несанкционированного доступа к информации, циркулирующей в автоматизированных системах. Учетная запись - запись, содержащая сведения, определяющие пользователя в системе (имя пользователя и пароль, а также права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам) Формуляр - документ установленной формы, фиксирующий характеристики оборудования и удостоверяющий возможность эксплуатации данного оборудования. Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения). |