Федеральное агентство связи
Государственного образовательного учреждения высшего профессионального образования
«Сибирский Государственный Университет
Телекоммуникаций и Информатики»
Кафедра САПР
Курсовая работа по курсу
«КОМПЬЮТЕРНЫЕ СЕТИ»
на тему:
«Методика определения актуальных угроз безопасности при их обработки в информационных системах персональных данных»
Выполнила: студентка группы РП-16
Бурдинская.О.А.
Проверил: Гончаров С.А.
Новосибирск 2012
Оглавление:
Исходные данные…………………………………………………………………3
Задание на курсовую работу……………………………………………………..4
Расчет показателей исходной защищенности…………………………………..5
Модель угроз информационной безопасности…………………………………8
Модель нарушителя с учетом криптографических средств……………….....13
Заключение………………………………………………………………………26
Список литературы……………………………………………………………...27
Исходные данные:
Задание № 1
Дано Организация, имеющая 3 автоматизированных системы
ИСПДн первого класса, ИСПДн второго класса и ИС Конфиденциальной информации.
Режимы обработки многопользовательские с различными правами доступа.
Все системы являются локальными однако расположены в двух зданиях в разных концах города.
Выход в интернет осуществляется через единый коммутационный узел в здании № 1, здания № 1 и здания № 2 объедены ВОЛС.
Среди сотрудников присутствуют следующие категории пользователей: пользователи ИС, системные администраторы, администраторы безопасности, разработчики прикладного ПО.
Информационные системы после обработки предоставляют сторонним пользователям информацию в рамках существующего законодательства.
Задание:
В соответствии с выбранным вариантом необходимо:
Рассчитать исходную защищенно Рассчитать показатели исходной защищенности.
Построить модель угрозПостроить модель угроз информационной безопасности.
Построить модель нарушителя с учетом использования криптографических средствПостроить модель нарушителя с учетом использования криптографических средств.
Расчет показателей исходной защищенности:
Для расчета исходной защищенности информационных систем обработки персональных данных необходимо воспользоваться руководящим документом ФСТЭК России «Методика определения актуальных угроз безопасности при их обработки в информационных системах персональных данных».
Показатели исходной защищенности ИСПДн 1 класса
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
Высокий |
Средний |
Низкий |
|
1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; |
–
|
–
|
+
|
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); |
–
|
–
|
+
|
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; |
–
|
+
|
–
|
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; |
–
|
+ |
–
|
локальная ИСПДн, развернутая в пределах одного здания |
+
|
–
|
–
|
2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; |
– |
– |
+ |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; |
– |
+ |
– |
ИСПДн, физически отделенная от сети общего пользования |
+ |
–
|
– |
3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; |
+ |
– |
– |
запись, удаление, сортировка; |
– |
+ |
– |
модификация, передача |
– |
– |
+ |
4. По разграничению доступа к персональным данным: |
–
|
+
|
–
|
ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
|||
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; |
–
|
–
|
+
|
Окончание таблицы 1
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
Высокий |
Средний |
Низкий |
|
ИСПДн с открытым доступом |
– |
– |
+ |
5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); |
–
|
–
|
+
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн |
+ |
–
|
–
|
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) |
+
–
–
|
–
+
–
|
–
–
+
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн; |
– |
– |
+ |
ИСПДн, предоставляющая часть ПДн; |
– |
+ |
– |
ИСПДн, не предоставляющая никакой информации. |
+ |
– |
– |
ИСПДн имеет средний уровень исходной защищенности, т.к. не менее 70% характеристик соответствует уровню «не ниже среднего». Тем более больше степень угроз по большей мере соответствует уровню «не ниже среднего». Больше «+» соответствует уровню «средний». В столбе «средний» 5 (+) и 3(-).