Быстрый поиск

Курсовая работа: Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

Федеральное Агентство по образованию

РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИННОВАЦИОННЫХ ТЕХНОЛОГИЙ И ПРЕДПРИНИМАТЕЛЬСТВА

Пензенский филиал

Курсовая работа

по дисциплине: «Информационная безопасность»

На тему: «АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТДЕЛЕНИЯ ПЕНСИОННОГО ФОНДА Российской Федерации»

Выполнил: ст. гр. 02и1

Логунова В.В.

Принял: к.т.н., доцент

Зефиров С.Л.

Пенза 2005

Содержание

Введение

1. Описание деятельности госоргана

1.1 Разработка структурной и инфологической моделей информационной системы госучреждения

2. Перечень и анализ угроз

3. Квалификация угроз актуальных для информационной системы

4. Разработка политики безопасности

Заключение

Литература

Приложение А

Введение

Настоящее время характеризуется стремительной компьютеризацией, которая охватила практически все сферы человеческой жизни. Очень трудно в настоящее время найти отрасль, которая бы не ощутила на себе влияние этого глобального процесса. С каждым годом увеличивается объем информации и поэтому намного удобнее осуществлять работу с ней в электронном виде. Тем не менее, наряду с огромным количеством достоинств компьютерных технологий появляются проблемы в области информатизации, например, защиты информации. Организации, предприятия либо государственные органы, работающие в информационной сфере, должны, надлежащим образом, следить за получением, формированием, хранением, распределением и использованием сведений, поступающих к ним. Потеря конфиденциальной информации может привести к неблагоприятным последствиям в деятельности учреждения. В избежание подобных случаев, необходимо осуществлять контроль за информационной системой.

В рамках данной курсовой работы проведем анализ угроз и разработаем политику безопасности для информационной системы отделения Пенсионного Фонда РФ.

1. Описание деятельности госоргана

В г. Пензе существуют немало важные государственные учреждения, которые занимаются деятельностью в различных сферах жизни общества. В данном курсовом проекте будет уделено внимание отделению Пенсионного Фонда Российской Федерации. Целями (бизнес - цели) деятельности государственного органа являются:

- назначение на пенсию граждан РФ (работа с персональными данными);

- ведение лицевых счетов граждан РФ;

- распределение информации в банк.

Функции госучреждения следующие:

- сбор и получение информации;

- внесение ее в базы данных;

- выявление несоответствий;

- обеспечение конфиденциальности информации;

- хранение и обработка данных;

- передача сведений в банк;

- работа с Интернет.

Информационная система госучреждения должна иметь базы данных, хранящие конфиденциальную информацию о гражданине РФ: фамилию, имя, отчество, дату рождения, его доход, сведения о стаже и номер лицевого счета, а также выявлять несоответствия о полученных данных. Базы данных могут иметь наименования, такие как «БД Пенсионеров», «БД Работодателей», «БД Наемных лиц», «БД Льготников», «БД Ветеран». Информация поступает в орган двумя способами: индивидуально от каждого человека в виде бумажных документов, заверенных подписью и печатью, и через Интернет. Документы регистрируется. Электронный документ должен содержать электронно-цифровую подпись, т.е. входящая информация шифруется системами криптозащиты. Сведения заносятся в базу данных с автоматизированных рабочих мест операторов. Все изменения, внесенный в БД, периодически должны сохраняться, делаться копии на случай утери информации.

По схеме «запрос - ответ» может осуществляться обмен информации между регионами. Пенсионный фонд, получив запрос, анализирует актуальность, проверяет наличие прав на этот запрос, так как доступ к информации ограничен определенным кругом лиц, после чего извлекает из БД запись одного лица и отправляет ответ. Все запросы должны фиксироваться в специальном журнале. За этими действиями должен следить администратор по информационной безопасности. Информацию о назначении на пенсию граждан РФ отправляют в банк, где хранится их лицевой счет и происходит ежемесячная выдача определенной суммы денег. Передается информация в зашифрованном виде, что обеспечивает ее уникальность. Госучреждение должно взаимодействовать по отдельным защищенным каналам связи с г. Москвой (корпоративная сеть) для того, чтобы там хранить копии БД. В случае непредвиденных обстоятельств, сведения можно восстановить. Информационная система (ИС) госоргана должна достаточно надежно обеспечивать многофункциональную систему защиты собственных баз данных с информацией о людях и их счетах, подобрать специальное программное обеспечение, а также доступ к информации должен быть ограничен определенным кругом лиц.

1.1 Разработка структурной и инфологической моделей информационной системы госучреждения

Функционирование информационной системы осуществляется следующим образом. Сведения заносятся в базу данных с автоматизированных рабочих мест (АРМ) операторов, два из которых будут соединены с почтовым сервером. Некоторые АРМ будут взаимосвязаны друг с другом. Базы данных (БД), система управления базами данных (СУБД) располагаются на администраторском сервере, взаимосвязанном с АРМ и с главным сервером в г. Москве, хранящий копию БД. Обработка данных осуществляется на главном (администраторском) сервере. Администратор имеет доступа к сети Интернет, но не сам сервер. АРМ администратора информационной безопасности (ИБ) обеспечивает защиту БД. Каждый компьютер имеет пароль, с помощью которого администратор ИБ проверяет наличие прав доступ персонала к БД (пароли) и фиксирует запросы на информацию. Только он имеет право удалять устаревшую информацию и хранить копии БД. АРМ банка получает сведения, поступившие из БД, от квалифицированных работников по средствам связи (телефон, факс, компьютер и т.д.).

Составим структурную модель ИС, состоящую из таких элементов как:

- автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД, поступающую в индивидуальном порядке от физического лица либо от почтового сервера, и которые отправляют сведения в банк;

- почтовый сервер, на который информация поступает через Интернет;

- администраторский сервер, хранящий БД, он же сервер обработки, на котором установлена система управления базами данных;

- автоматизированное рабочее место администратора информа-ционной безопасности;

- главный сервер г. Москвы, хранящий копии БД:

Функции ИС:

1.Способствует быстрому и своевременному внесению новых сведений, изменению уже имеющихся, а также удалению устарелых данных;

2.Структурирует и облегчает поиск информации в БД;

3.Показывает доступ к информационным ресурсам;

4.Обеспечивает надежное хранение данных (их безопасность);

5.Позволяет вести учет о назначения на пенсию граждан РФ;

6.Своевременная передача информации в банк.

Таблица 1 - Аппаратный компонент - пользователь

Аппаратный ресурс	Пользователь	Права пользователя	Ответственный персонал	Обязанности ответственного персонала
АРМ	Работники отделения	Возможность доступа к БД.	Работники отделения (сотрудник несет ответственность за свои действия)	Обязанности распределяются в соответствии с работой, которую они выполняют (внесение новых сведений в БД, полученных от почтового сервера, по средствам связи и лично от граждан РФ, передача сведений в банк)
АРМ администратора ИБ	Администратор ИБ	Доступ к главному серверу, к БД	Администратор ИБ	Проверять наличие прав доступа к БД, фиксирует запросы, удаляет информацию, хранить копии БД
Почтовый сервер	Администратор	Доступ к Интернету	Администратор	Контролировать функционирование автоматизированной информационной системы, обрабатывать информацию в БД, хранить и создавать копий БД, осуществлять работу с почтой и с Интернетом, взаимодействовать с АРМ, с сервером г. Москвы и с АРМ администратора ИБ
Администраторский сервер	Рабочий персонал, администратор, администратор ИБ и администратор сервера в г. Москве	Доступ и пользование БД	Администратор
АРМ банка	АРМ Пенсионного Фонда РФ	Передача информации в банк по средствам связи. Отсутствие прав пользования рабочего персонала отделения Пенсионного Фонда РФ информационными ресурсами банка	_______	________
Аппаратный ресурс	Пользователь	Права пользователя	Ответственный персонал	Обязанности ответственного персонала
Сервер г.Москвы	Администратор	Доступ к хранилищу копий БД	________	____________

Информация в отделении Пенсионного Фонда РФ может классифицироваться на критическую и чувствительную.

Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации.

На основе этого информация по степени критичности может быть следующей:

- Существенная: Персональные данные о гражданах РФ (например, заработанная плата, лицевой счет и др.), хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее потери отделения Пенсионного Фонда РФ понесет значительный ущерб в деятельности. Существует возможность временное прекращение деятельности учреждения, пока БД не будут восполнены.

- Важная: Информация, поступившая на почтовый сервер или на АРМ (1,2). Потеря такой информации нанесет средний, но поправимый ущерб деятельности госоргана.

- Нормальная: Устаревшие сведения.

Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.

По степени чувствительности могут быть выделены следующие виды информации:

- Высоко чувствительная: Раскрытие персональных данных граждан РФ.

- Чувствительная: Разглашение паролей АРМ, доступ к почтовому серверу, отсутствие шифрования данных.

Такие ситуации возможны по неосторожности, любопытству, не задумавшись о последствии действий или намеренно, если злоумышленник покидает место работы.

- Внутренняя: Регистрирование документов, должностные инструкции, ведение лицевых счетов.

- Открытая: метод обмена информации между регионами (по схеме «запрос - ответ»), количество индивидуальных счетов (1 300 000), способ хранения информации и др.

В зависимости от особенностей деятельности учреждения к информации может быть применена другая классификация. Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес - цели организации.

По степени критичности относительно доступности виды информации могут быть следующие:

- Критическая: Сведения о гражданах РФ, находящиеся в БД.

При отсутствии такой информации работа остановится.

- Очень важная: Информация, поступающая от почтового сервера, системные пароли, номера персональных счетов.

Доступ к сведениям о гражданах РФ должен быть ограничен. За этим следит администратор ИБ. Администратор сервера несет ответственность за целостность, конфиденциальность, доступность, подотчетность и подлинность БД.

- Важная: Сведения, которые должны быть переданы в банк.

- Полезная: Применение электронных таблиц Excel, использование Интернет, факса, телефонных книг – это значительно экономит временные ресурсы.

- Несущественная: сведения, хранящиеся более 75 лет.

По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.

По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:

- Критическая: Сведения о гражданах РФ и методах связи с Г. Москва.

- Очень важная: пароли АРМ, номера персонифицированных счетов.

- Важная: Сведения, которые должны быть переданы в банк.

- Незначимая: метод обмена информации между регионами количество индивидуальных, способ хранения информации и т.д.

Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о гражданах РФ, хранящиеся в БД. БД должны хранится на администраторском сервере, а их дубликаты на АРМ администратора ИБ и в г. Москве. Главный администратор должен контролировать СУБД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями Пенсионного Фонда и поступающая с почтового сервера. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.

Таблица 2 - Информационный ресурс - пользователь

Информационный ресурс		Ответственный	Пользователь	Обязанности пользователя	Степень Критичности (чувствительности)	Фаза жизненного цикла	Место хранения
Персональные данные клиентов		Администратор и администратор по ИБ	Работники отделения (АРМ), администратор, администратор ИБ и администратор сервера в г. Москве	Сбор данных, обработка, хранение, следить за доступом к ним	Критическая	Получение обработка хранение	БД
Системные пароли		Администратор ИБ	Администратор, администратор ИБ	Следить за правом доступа	Очень важная	Хранение	АРМ Администратора ИБ
Сетевые данные		Администратор	Администратор	Передача данных на АРМ (3,4), размещение объявлений на сайте и др.	Чувствительная	Передача	Почтовый сервер
Обработанная информация		АРМ (5,б)	АРМ (5,б)	Передача информации, выявление несоответствий	Важной	Передача	БД
Регистрация документов, должностные инструкции, телефонные книги		Руководитель организации	Работники отделения	Использование этих сведений непосредственно на рабочем месте	Внутренняя	Хранение	АРМ работников, АРМ руководителя
Незасекреченная информация о деятельности отделения (способ хранения информации)	Руководитель		Граждане РФ	Использование по необходимости	Открытая	Обработка	АРМ руководителя
Информационный ресурс	Ответственный		Пользователь	Обязанности пользователя	Степень Критичности (чувствительности)	Фаза жизненного цикла	Место хранения
Устаревшие данные	Администратор по ИБ		Администратор и администратор ИБ	Хранение и удаление	Несущественная	Удаление	АРМ Администратора ИБ