_ _______________________________________________________________________________________________

Факультет

«Кибернетика и информационная безопасность»

________________________________________________________________________________________________

Отчет о выполнении курсового проекта

«Продажа товаров в сети розничных магазинов в Курске»

Работу выполнили:

Липсюк Сергей, Б9-04

Макрушин Денис, Б9-03

Шамшина Елена, Б9-02

Зайцев Антон, Б9-01

Москва 2011

Реферат

Отчет 48 с., 1 ч., 8 рис., 12 табл.

БИЗНЕС-ПРОЦЕСС, РОЗНИЧНАЯ ТОРГОВЛЯ, НАРУШИТЕЛЬ, УГРОЗА, УЯЗВИМОСТЬ, ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ, ТЕСТИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ, ОТКАЗОУСТОЙЧИВОСТЬ, АТАКИ, ИНФОРМАЦИОННЫЕ ПОТОКИ.

Объектом исследования является корпоративная инфраструктура сети магазинов розничной торговли в городе Курске.

Цель работы - построить модель технологического процесса с учетом систем и средств обеспечения сетевой информационной безопасности.

Для достижения поставленной цели рассматриваются модули и компоненты, составляющие технологический процесс, информационные потоки, модель нарушителей информационной безопасности, угрозы и уязвимости для функционирования технологического процесса, проводится сравнительная характеристика программного обеспечения и оборудования для реализации технологического процесса. При разработке системы учитывались требования Федерального закона «О персональных данных». Была рассмотрена региональная специфика города Курска, в котором планируется внедрение разработанной системы.

В результате работы была разработана модель технологического процесса с учетом подсистемы обеспечения сетевой информационной безопасности, а также обеспечивающая отказоустойчивость и возможность резервирования. Были предложены варианты тестирования данной системы, организационно-технические меры для повышения уровня защищенности.

Оглавление

Введение 6

1. Описание бизнес-процесса. Постановка задачи 7

2 Региональная специфика 9

3 Описание технологического процесса 12

3.1 Модули и компоненты, составляющие технологический процесс 12

3.2 Карта информационных потоков 14

3.3 Модель нарушителя информационной безопасности 18

3.4 Угрозы и уязвимости для функционирования технологического и бизнес-процесса 21

3.5 Возможные атаки на рассматриваемую систему 23

4 Сравнительная характеристика элементов технологического решения и их аналогов 25

5 Внутренняя сеть компании 28

6 Подсистема обеспечения информационной безопасности 32

7 Оплата налогов, пошлин и услуг через банк 35

8 Разграничение доступа 35

9 Требования закона «О персональных данных» 41

10 Сценарии тестирования системы 42

10.1 Нагрузочное тестирование 42

10.2 Тестирование подсистемы обеспечения ИБ 42

11 Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности 44

Заключение 45

Заключение о работе группы 46

Термины и определения

АТС – Автоматическая телефонная станция – устройство, автоматически передающее сигнал вызова от одного телефонного аппарата к другому. 

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Банк-эквайер – банк, осуществляющий прием оплаты товара с помощью платежных карт посредством установки платежного терминала (POS-терминала) на стороне обслуживаемого магазина.

Ведение журнала событий (логирование) – процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл).

Вредоносная программа – программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного владельцем использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и ТС, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таки средств.

Кейлоггер – программа, предназначенная для перехвата кодов нажатых на клавиатуре клавиш.

Маршрутизатор – сетевое устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определённых правил, заданных администратором.

Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель угроз – перечень возможных угроз. Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Нагрузочное тестирование – определение или сбор показателей производительности и времени отклика программно-технической системы или устройства в ответ на внешний запрос с целью установления соответствия требованиям, предъявляемым к данной системе (устройству).

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

СКЗИ – Средство криптографической защиты информации – средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Социальная инженерия – это метод управления действиями человека без использования технических средств. 

СУБД – Система управления базами данных – совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных.

Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость ‑ Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

ARP - Address Resolution Protocol - протокол низкого уровня, предназначенный для определения адреса канального уровня по известному адресу сетевого уровня.

DoS-атака (Denial of Service) – атака типа «отказ в обслуживании».

DDoS-атака (Distributed Denial of Service) – распределенная атака типа «отказ в обслуживании».

DNS – Domain Name System – компьютерная распределённая система для получения информации о доменах.

IPS – Intrusion Prevention System (система предотвращения вторжений) – программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

MAC-адрес (Media Access Control) - уникальный идентификатор, присваиваемый каждой единице оборудования компьютерных сетей.

POS-терминал – торговый терминал (программно-аппаратный комплекс для торговли или АРМ кассира), установленный на месте, где кассир осуществляет прием платежей от клиентов.

Spoofing - метод атаки, связанный с подменой доменных имен.