Курсовая работа: Проектирование системы информационной безопасности
И T-ресурсы ООО магазин «Стиль» делятся на три группы:
1. Информация, являющаяся коммерческой тайной.
2. Конфиденциальная информация.
3. Информация общего доступа.
????????, ??????????? ? ??? ???? ???????, ????? ???????? ? ??????? ??????????? ??????????? ?? ??????, ? ????? ??????????????? ???? ????????? ? ????. 8.??????? 8???????? ????????, ???????????? ???????????? ????? ??? ???????
|
№ п/п | Наименование сведений | Срок действия, условия прекращения ограничений на доступ | Ограничительный гриф | |||||||
| 1. Сведения делового характера | ||||||||||
| 1.1 | Информация о номерах домашних телефонов и адресах работников и членов их семей. Местонахождение руководителей, учредителей и членов их семей. Конфликтные ситуации и другие внутренние отношения | Постоянно | Коммерческая тайна | |||||||
| 1.2 | Учредительные документы ООО «Стиль» | Постоянно | Конфиденциально | |||||||
| 1.3 | Информация, раскрывающая детальные планы капитальных вложений в развитие предприятия. Перспективные и текущие планы развития и роста ООО «Стиль» | До реализации планов | Коммерческая тайна | |||||||
| 1.5 | Планы и методы продвижения услуг на рынок, планируемые новые рынки и услуги |
До момента реализации планов |
Коммерческая тайна | |||||||
| 1.7 | Информация об участии (подготовке) компании в торгах и аукционах | До момента завершения торгов | Коммерческая тайна | |||||||
| 2. Информация по организационно-правовым вопросам | ||||||||||
| 2.1 | Информация по делам, рассматриваемым в судах, разглашение которой может нанести ущерб интересам компании | До потери актуальности | Коммерческая тайна | |||||||
| 2.2 | Информация, на конфиденциальности которой настаивает хотя бы одна из договаривающихся сторон | До принятия согласованного решения об их раскрытии | Коммерческая тайна | |||||||
| 3. Информация по вопросам торгово-экономических отношений | ||||||||||
| 3.2 | Номенклатура и количество услуг по взаимным обязательствам |
До потери актуальности | Информация общего доступа | |||||||
| 4. Информация по финансово-хозяйственным вопросам | ||||||||||
| 4.1 | Сведения об открытых расчетных и иных счетах, в том числе и в иностранной валюте), о движении средств по эти счетам, о имеющихся вкладах. Операции по банковским счетам | Постоянно | Конфиденциально | |||||||
| 4.2 | Информация об особых сделках или условиях платежа по бартерным операциям, об условиях компенсационных сделок | 3 года | Конфиденциально | |||||||
| 4.3 | Данные о состоянии дебиторской задолженности, а также о заключенных договорах и соглашениях | До принятия решения об их раскрытии | Конфиденциально | |||||||
| 4.4 | Акты комплексных проверок финансово-хозяйственной деятельности ООО «Стиль» (кроме заключений ревизионной комиссии и аудитора) | Постоянно | Конфиденциально | |||||||
| 4.5 | Информация об условиях проведения зачетов и вексельных операций по дебиторской и кредиторской задолженностям | 3 года | Конфиденциально | |||||||
| 4.6 | Информация об эффективности сделок, договоров | 1 год после прекращения действия договора | Информация общего доступа | |||||||
| 4.7 | ИНН, документы об уплате налогов и обязательных платежах | Постоянно | Конфиденциально | |||||||
| 4.8 | Акты проверки финансово-хозяйственной деятельности региональных филиалов и компании в целом, проведенные специалистами по аудиту | Постоянно | Конфиденциальнона | |||||||
| 5. Информация о производственной деятельности | ||||
| 5.1 | Штатное расписание | Постоянно | Информация общего доступа | |
| 5.2 | Сведения об обработанных и необработанных заказах | Постоянно | Информация общего доступа | |
| 5.3 | Разрабатываемые проекты по автоматизации предприятий и бизнес-процессов | Постоянно | Коммерческая тайна | |
| 5.4 | Консалтинговые услуги: постановка управленческого учета на предприятии, внедрение систем бюджетирования | Постоянно | Коммерческая тайна | |
| 6. По вопросам обеспечения безопасности | ||||
| 6.1 | Информация об организации и состоянии физической охраны административного здания ООО «Стиль», пропускном режиме, установленных системах сигнализации и видеонаблюдения | До потери актуальности | Конфиденциально | |
| 6.2 | Информация, раскрывающая организацию, средства и методы обеспечения безопасности ООО «Стиль» | Постоянно | Конфиденциально | |
| 6.3 | Информация о защищаемых информационных ресурсах | Постоянно | Конфиденциально | |
| 6.4 | Базы данных ООО «Стиль» | Постоянно | Конфиденциально | |
| 6.5 | Информация о детальной структуре корпоративной сети | Постоянно | Конфиденциально | |
| 6.7 | Сведения о системе разграничения доступа к информации, правах пользователей, ограничениях на использование информационных ресурсов | На период действия | Конфиденциально | |
| 7. По организационно-управленческой деятельности | ||||
| 7.1 | Условия индивидуальных трудовых договоров с работниками и руководителями ООО «Стиль» | Постоянно | Конфиденциально | |
| 7.2 | Информация о персональных данных работников ООО «Стиль», внесенная в личные дела, а также информация об условиях оплаты труда и премирования | Постоянно | Конфиденциально |
| 7.3 | Информация о персональных данных работников ООО «Стиль», индивидуальных размерах оплаты труда, предоставляемые для проведения актуарных расчетов по негосударственному пенсионному обеспечению | Постоянно | Конфиденциально |
2.Предпроектное обследование информационной безопасности отдела бухгалтерии ООО магазин «Стиль»
2.1 Информационная безопасность в вычислительной сети
2.1.1 Классификация угроз безопасности информации
Под угрозой безопасности информации в компьютерной сети (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.
Уязвимость информации — это возможность возникновения такого состояния, при котором создаются условия для реализации угроз безопасности информации.
Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.
Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
- перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена;
- модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
- подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от чужого имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.
Специфика компьютерных сетей, с точки зрения их уязвимости, связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными (разнотипными) элементами.
Уязвимыми являются буквально все основные структурно-функциональные элементы КС: рабочие станции, серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи и т.д.
Известно большое количество разноплановых угроз безопасности информации различного происхождения. В литературе встречается множество разнообразных классификаций, где в качестве критериев деления используются виды порождаемых опасностей, степень злого умысла, источники появления угроз и т.д. Одна из самых простых классификаций приведена на рис. 3.
 |
Рис. 3. Общая классификация угроз безопасности
Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы - это угрозы КС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС - ее аппаратура, программы, персонал).
Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 4.
Рис. 4. Модель реализации угроз информационной безопасности
Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.
Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис. 5а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 5б). Методы реализации можно разделить на группы по способам реализации (рис. 5в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».
Рис. 5. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»
Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.
Исходными данными для проведения оценки и анализа угроз безопасности при работе в сети служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых в сети и условий расположения и эксплуатации сети.