- •Отчет о выполнении курсового проекта
- •Введение
- •Описание бизнес-процесса. Постановка задачи
- •Региональная специфика
- •Описание технологического процесса
- •Модули и компоненты, составляющие технологический процесс
- •Карта информационных потоков
- •Модель нарушителя информационной безопасности
- •Угрозы и уязвимости для функционирования технологического и бизнес-процесса
- •Возможные атаки на рассматриваемую систему
- •Сравнительная характеристика элементов технологического решения и их аналогов
- •Внутренняя сеть компании
- •Подсистема обеспечения информационной безопасности
- •Умная атс с фильтрацией
- •Банк-эквайер
- •База данных
- •Шлюз сотового оператора и атс телефонной линии общего пользования.
- •Внутренняя вычислительная сеть филиалов магазина
- •Оплата налогов, пошлин и услуг через банк
- •Разграничение доступа
- •Требования закона «о персональных данных»
- •Сценарии тестирования системы
- •Нагрузочное тестирование
- •Тестирование подсистемы обеспечения иб
- •Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности
- •Заключение
- •Заключение о работе группы
Требования закона «о персональных данных»
Для осуществления доставки товара необходимо получить у покупателя контактные данные, а именно:
адрес доставки;
контактный телефон;
имя (никнейм).
Поэтому автоматизированная система магазина попадает под действие Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных.
Запрашиваемая информация является персональными данными. Причем в отдельных случаях эти данные можно отнести к различным категориям персональных данных. Рассмотрим наиболее сложный случай, в котором персональные данные, запрашиваемые у покупателя, относятся ко 2 категории.
Это накладывает ограничение на используемые средства защиты информации в системе. А именно, согласно закону, рекомендуется использовать только сертифицированные СЗИ.
Сценарии тестирования системы
Перед запуском технологического процесса в работу необходимо удостовериться, что на
стадии проектирования системы не были допущены ошибки, которые приведут к сбоям в работе и остановке работы магазина. Для этого необходимо провести нагрузочное тестирование. Нагрузочное тестирование – это определение или сбор показателей производительности и времени отклика программно-технической системы или устройства в ответ на внешний запрос с целью установления соответствия требованиям, предъявляемым к данной системе (устройству).
Нагрузочное тестирование
При этом тестировании искусственно генерируется большое количество сообщений, имитирующих действия легитимного пользователя. Проверяются следующие моменты:
реакция системы на сформированные сообщения с некорректными данными;
правильность работы системы архивирования сообщений при интенсивной нагрузке;
реакция системы на ошибки оператора;
имитируется выход из строя выделенной линии, коммутируемого подключения, подключения через Internet в различных сочетаниях, вычисляется максимально возможное количество сообщений в единицу времени для каждого варианта;
проверяются возможности архивного восстановления базы данных при выходе из строя, оценивается доля информации, которую нельзя восстановить при интенсивной нагрузке, определяются интервалы времени, через которые обязательно нужно делать фиксацию БД;
определяется максимальное количество удаленных пользователей, которые могут работать в системе с учетом интенсивной внутренней нагрузки.
Тестирование подсистемы обеспечения иб
Тестирование системы аутентификации:
предпринимаются попытки получить данные аутентификации операторов:
т.к. аутентификация оператора в системе происходит только по паролю, делается попытка подсмотреть ввод пароля с помощью технических средств или с рабочего места другого оператора;
проверяются средства аутентификации оператора в ОС – делается попытка подсмотреть пароль, выведать его с помощью социальной инженерии, выкрасть ключевой носитель, проверяется общая логика работы средства аутентификации;
предпринимаются попытки получить данные аутентификации удаленных пользователей: делается попытка подсмотреть пароль, выведать его с помощью социальной инженерии, выкрасть ключевой носитель.
Тестирование системы предотвращения утечки данных:
проверяется невозможность использования внешних носителей информации;
проверяется невозможность выхода в Internet с рабочих станции операторов;
проверяется запрет установки неразрешенного ПО;
проверяется система учета документов, отсылаемых на печать.
Тестирование антивирусной защиты и средства доверенной загрузки:
предпринимаются попытки внедрения вредоносного ПО на рабочие станции и сервера;
проверяется реакция антивирусных программ на различное вредоносное ПО;
тестируется работа сетевого антивируса;
проверяется невозможность загрузки рабочих станций с внешних носителей;
проверяется реакция средства доверенной загрузки на внесение изменений в конфигурацию аппаратной платформы, модификацию загрузочного образа.
Тестирование системы противодействия сетевым атакам:
моделируются DoS, DDoS атаки на внешние маршрутизаторы через Internet – проверяется работа AntiDDoS модулей;
выполняются попытки атак с одной рабочей станции на другую, на сервера;
применяются сетевые сканеры для исследования реакции МСЭ;
применяются сканеры уязвимостей для комплексного тестирования компонентов ИБ;
выполняется прослушивание сетевого трафика, его анализ с целью выделения полезных данных, получения шифрматериала, криптоанализ;
выполняется тестирование системы IPS: различные попытки подключения к сервисам, попытки перебора пароля, попытки реализовать криптографические атаки (например, повтор ранее перехваченного шифрованного сообщения);
выполнение атак типа ARP-, MAC-Spoofing – анализируются результаты атак без аутентификации клиент-сервер, с односторонней аутентификацией, с двусторонней;
выполнение попытки подключиться к внутренней сети банка с постороннего ПК, анализа адресного пространства, получения доступа к сервисам;
тестирование работы средств аудита на различных компонентах инфраструктуры.