Министерство  образования Российской Федерации

Российский  государственный университет

 инновационных  технологий и предпринимательства

Пензенский  филиал 
 
 
 
 
 
 
 
 
 

ОТЧЕТ

о выполнении курсовой работы

Анализ угроз  и разработка политики безопасности информационной системы организации

АНАЛИЗ  УГРОЗ И РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ЧАСТНОГО ОХРАННОГО ПРЕДПРИТИЯ 
 
 
 
 

      Научный руководитель  ____________                  _ Зефиров С.Л.

                                               подпись,  дата 

      Исполнитель отчета   ___________                      __ Иванова Е.А.

                                             подпись, дата 

      Нормоконтролер    _______                      ______ Червякова В.А.

                                                 подпись, дата 

Пенза 2004 

Реферат

Отчет содержит  36 страниц,  2 рисунка, 7  таблиц,  1 источник.

     ЧАСТНОЕ ОХРАННОЕ ПРЕДПРИЯТИЕ, ИНФОРМАЦИОННАЯ СИСТЕМА, БИЗНЕС-ЦЕЛЬ, БИЗНЕС-ФУНКЦИЯ, ИНФОРМАЦИОННЫЙ РЕСУРС, АНАЛИЗ УГРОЗ, УЯЗВИМОСТЬ, ОЦЕНКА РИСКОВ, ПОЛИТИКА БЕЗОПАСНОСТИ.

     Объектом исследования является информационная система (ИС) частного охранного предприятия (ЧОП).

     Целью работы является анализ угроз и разработка политики информационной безопасности (ИБ) ИС данной организации на основе сформулированных правил безопасности.

    В результате работы согласно требований стандарта ГОСТ Р ИСО/МЭК 15408-2002 была разработана ИС исследуемой организации и сформулированы правила и политика ИБ.

 

        СОДЕРЖАНИЕ

4

НОРМАТИВНЫЕ ССЫЛКИ 6

ОПРЕДЕЛЕНИЯ 7

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 9

ВВЕДЕНИЕ 10

1 АНАЛИЗ  УГРОЗ ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ 11

1.1Разработка  структурной и  инфологической моделей  информационной системы  организации 11

1.2 Разработка перечня  угроз и их описание  на основе стандартной  модели угроз 19

1.3 Квалификация угроз  актуальных для  информационной системы 27

2 РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ 29

2.1 Формулирование правил  безопасности 29

2.2 Разработка политики информационной безопасности 33

ЗАКЛЮЧЕНИЕ 35 
 

 

НОРМАТИВНЫЕ ССЫЛКИ

       В настоящем отчете использованы ссылки на следующие стандарты:

       ГОСТ  Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий»;

       ГОСТ  Р 51898-2002. «Аспекты безопасности. Правила  включения в стандарты».

       Закон РФ “Об информации, информатизации и защите информации”.

       Гостехкомиссия  России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.

       ISO TR 133335.

ОПРЕДЕЛЕНИЯ

       В настоящем отчете применяют следующие термины с соответствующими определениями:

       Информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. (Закон РФ “Об информации, информатизации и защите информации”)

      Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. (Закон РФ “Об информации, информатизации и защите информации”)

       Информационная  безопасность информационных систем – состояние защищенности целей информационной системы, характеризуемое ее способностью противостоять случайным и/или преднамеренным угрозам, в результате которых возможно нарушение безопасности информации.

      Информационные  ресурсы  – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). (Закон РФ “Об информации, информатизации и защите информации”)

       Несанкционированный доступ к информации  – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. (Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.)

       Угроза – потенциальная возможность нанесения ущерба некоторого характера и размера собственникам или пользователям информационной системы и/или защищаемой информации. (в соответствии с ISO TR 133335)

       Риск – это сочетание вероятности нанесения ущерба и тяжести этого ущерба (по ГОСТ Р 51898-2002 ).

       Допустимый  риск – это риск, который в данной ситуации считают приемлемым при существующих общественных ценностях (по ГОСТ Р 51898-2002 ).

       Защитная  мера –  это мера, используемая для уменьшения риска (по ГОСТ Р 51898-2002 ).

       Ущерб – это нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде (по ГОСТ Р 51898-2002 ).

       Анализ  риска – это систематическое использование информации для выявления опасности и количественной оценки риска (по ГОСТ Р 51898-2002 ).

       Оценка  риска – это общий процесс анализа риска и оценивания риска (по ГОСТ Р 51898-2002 ).

       Политика  безопасности организации  – одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности. (по ГОСТ Р 15408-2002 ) 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

  ОБОЗНАЧЕНИЯ И  СОКРАЩЕНИЯ

     ИС - информационная система,

     ЧОП – частное охранное предприятие,

     ИБ  – информационная безопасность,

     ЧС  – чрезвычайная ситуация,

     БД  – база данных,

     АРМ – автоматизированное рабочее место,

     ГОР – группа оперативного реагирования,

     СУБД  – система управления базами данных,

     РС  – рабочая станция,

     ОС  – операционная система,

     ПО  – программное обеспечение,

     ИР  – информационные ресурсы,

     НСД – несанкционированный доступ.

 

ВВЕДЕНИЕ

     В современном обществе, где информация обладает особой ценностью, необходимо серьезно подойти к решению вопросов ИБ, чтобы не допустить утечку информации – важнейшего ресурса в деятельности любой организации. Для успешной работы организации необходимо обеспечение таких свойств безопасности информации, как целостность, доступность и конфиденциальность. Решая эту задачу, необходимо проработать такие вопросы, как анализ угроз, оценка рисков, разработка политики безопасности ИС организации.

     Этой  теме посвящена данная курсовая работа. В качестве ИС рассматривается потенциальная конфигурация ИС ЧОП, а в качестве угроз разрабатывается перечень угроз на основе угроз, идентифицированных в британском программном продукте CRAMM. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1. АНАЛИЗ  УГРОЗ ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНИЗАЦИИ

1.1 Разработка структурной и инфологической моделей информационной системы организации

       Объектом  изучения данного курсового проекта  является ИС ЧОП.

       Бизнес-цель деятельности ЧОП - удовлетворение потребностей населения в сфере:

• обеспечения жизни и здоровья физических лиц;
• охраны и защиты имущества при его транспортировке;
• охраны и защиты имущества в месте его расположения;
• обеспечения порядка в местах проведения массовых мероприятий.

 

       Для достижения этой бизнес-цели ЧОП решает следующие задачи, называемые бизнес-функциями:

1. Создание и ведение баз данных с информацией о клиентах;
2. Взаимодействие с единой диспетчерской службой 01;
3. Реагирование на чрезвычайные ситуации (ЧС), возникшие на охраняемых объектах.

 

       Теперь  необходимо произвести анализ рабочего процесса в каждой бизнес-функции.

       Для первой бизнес-функции рабочий процесс  можно описать так.

       Информация  поступает от физических лиц и  организаций-клиентов при заключении договора по охране объекта на бумажном носителе. Полученная информация заносится администратором ИС (он же администратор баз данных (БД)) с его автоматизированного рабочего места (АРМ) и направляется на сервер обработки, где хранится и при необходимости считывается. При снятии клиента с учета информация о нем удаляется.

       Доступ  к информации имеют лица, непосредственно связанные с реализацией бизнес-функции на рабочих местах. В данном случае это администратор ИС. Получить доступ к информации может руководство ЧОП. Перемещение информации осуществляется по направлениям:

       Клиент  – АРМ администратора ИС – сервер обработки и обратно.

       В процессе работы с информацией осуществляться  ее ручная обработка: перевод документов на бумажном носителе в электронный  вид.  

       Вторая  и третья бизнес-функции поддерживаются следующим рабочим процессом.

       Информация  о ЧС поступает по телефонам или посредством радиосвязи от соответствующих служб охраняемого объекта и автоматизированных систем охранной сигнализации, устанавливаемых на объекте. Поступившая информация вводится операторами с их АРМ и направляется далее на сервер обработки. На сервере обработки она анализируется и направляется на соответствующее АРМ оператора группы оперативного реагирования (ГОР), который принимает решения о мерах, которые необходимо предпринять, для реакции на поступающие сообщения, вызовы, заказы. Полученную информацию он по радиоканалам направляет ГОР. В случае необходимости помощи других служб он связывается с единой диспетчерской службой 01 и пересылает всю необходимую информацию через Internet.