Информационные технологии
Практическая работа
24 апр 2022
17 страниц

Построение системы защиты информации в интернет-аукционе

Оглавление
РАЗДЕЛ 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ 3
РАЗДЕЛ 2. ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ 4
Первый этап – выявление информационных активов 4
Второй этап – построение модели злоумышленника 6
Третий этап – определение возможных угроз 8
Четвертый этап – определение вероятности атаки 9
Пятый этап – расчет ущерба 10
Шестой этап – расчет рисков 11
Седьмой этап – анализ рисков 11
Восьмой этап – имеющиеся средства защиты 11
Девятый этап – создание системы защиты информации 11
Десятый этап – зоны ответственности 12
Одиннадцатый этап – расчет эффективности 12
Двенадцатый этап - расчет затрат на реализацию 12


РАЗДЕЛ 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ

Приведите описание выбранного Вами предприятия:
1. Определить предметную область.
2. Определить организацию (предприятие) в предметной области.
3. Классифицировать предприятие по годовой выручке и количеству персонала ( Постановление Правительства РФ - ежегодное)
4. Определить Цель, задачи и функции предприятия.
5. На основе перечня функций отобразить оргштатную или оргструктуру предприятия (выбрать из стандартных моделей оргструктур и применить к конкретному предприятию).
6. Отобразить схемы (схему) информационных потоков предприятия.
7. Построить схемы бизнес-процессов выбранного предприятия (SADT-блоки). На схеме с помощью модели информационных потоков отметить информацию, участвующую в каждом из бизнес-процессов.

РАЗДЕЛ 2. ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ
Первый этап – выявление информационных активов
На первом этапе необходимо выявить всю информацию на предприятии или учреждении, нуждающуюся в защите, и провести ее категорирование по степени важности для организации.
1.1. Определяется, где находится информация (как правило, это перечень информационных ресурсов). –Диск, оперативная память, флэш-накопитель, шкаф и т.д.
1.2. Определяется перечень лиц, которые работают с защищаемой информацией (см. Базовая часть – организационная структура)
1.3. Определяется - что делается с информацией (просматривают, копируют на другие ресурсы, передают по каналам связи, корректируют, удаляют, распечатывают и т.д.). (см. Базовая часть – схема информационных потоков). По итогам 1-3 пп. заполняется таблица 1.

Таблица 1 – Защищаемая информация на предприятии
№ п.п Защищаемая информация Где хранится защищаемая информация Кто работает с защищаемой информацией Что делает с информацией в процессе работы
















Пример 1.
Информация, которая нуждается в защите Где хранится информация Кто с этой информацией работает Что делают с этой информацией В каких бизнес-процессах участвует эта информация
Персональные данные сотрудников АРМ финансово-экономического отдела Главный бухгалтер Запись, просмотр, изменение, удаление, обезличивание Оплата труда
Персональные данные клиентов АРМ финансово-экономического отдела Ответственный за взаимоотношения с клиентами, курьер, бухгалтер Запись, просмотр, изменение, удаление, обезличивание, печать Заказ товара покупателем, доставка товара
Сведения о клиентах (покупки, сумма покупок) АРМ финансово-экономического отдела Главный бухгалтер, менеджер по продажам, ответственный за взаимоотношения с клиентами Запись, просмотр, изменение, удаление, печать Заказ товара покупателем, оформление заказа покупателем, доставка товара
База данных поставщиков АРМ финансово-экономического отдела Главный бухгалтер, менеджер по закупкам, ответственный за оформление договорных отношений Запись, просмотр, изменение, удаление Закупка товаров у поставщика
Сведения об оплате товаров (№счетов, сумма) АРМ финансово-экономического отдела Бухгалтер, курьер, менеджер по продажам, ответственный за взаимоотношения с клиентами Запись, просмотр, изменение, удаление, печать Оформление заказа покупателя
Сведения о предстоящих акциях, скидках (до их наступления) АРМ отдела продаж Экономист, управляющий магазином, менеджер по продажам Запись, просмотр, изменение, удаление, печать Создание акций, скидок
Учетные записи клиентов (логин, пароль) АРМ IT-отдела Системный администратор, специалист по ИБ Запись, просмотр, изменение, удаление Заказ товара покупателем


№ п.п Защищаемая информация Где хранится защищаемая информация Кто работает с защищаемой информацией Что делает с информацией в процессе работы
1. Данные об обороте производимой продукции (полуфабрикатов). В базе 1С (на компьютере), в телефонных справочниках для сотрудников. Отдел кадров, Бухгалтерия, Генеральный директор. Обработка заказа, отчеты данных в бухгалтерию, выполнение планов о поставке продукции, отчет о проданной продукции.
2. Информация учёта и контроля движения сырья и готовой продукции на производственном цеху организации. В базе 1С (на компьютере), документы Менеджер по закупкам, менеджер по продажам, Коммерческий директор, Технический директор, Бухгалтерия, производственный цех, склад. Обработка информации, принятие и реализация сырья, принятые и отгрузка товара, отчеты производственной продукции, план производства, отчет о производственном товаре.
3. Данные о заявках посредника на поставку товара. В базе 1С (на компьютере), документы, в телефонных справочниках для сотрудников. Плановый отдел, отдел кадров, бухгалтерия, коммерческий директор. Заявка клиента на изготовление продукции, Обработка заказа, Отчет о проданной продукции.
4. Информация о выплатах (заработная плата) и персональных данных сотрудников. В базе 1С (на компьютере), документы. Отдел кадров, Бухгалтерия, Генеральный директор. Информация о выплатах сотрудникам денежных средств, Информация о сотрудниках.
5. Информационная система компании В базе 1С (на компьютере), сервера компании (на сервере). Технический отдел Вся информация в компании
Пример 2.





Заполняем таблицу 2. - указываем, в каком бизнес-процессе участвует защищаемая информация, и проводим категорирования информации по степени важности для компании (см. лекцию по категорированию информации). Это позволит нам в последующем рассчитать эффективность (в том числе и экономическую) методов и средств по защите информации, а следовательно и эффективность всей системы защиты информации на предприятии ( см. Базовую часть – схемы бизнес-процессов).
Таблица 2 – Бизнес-процессы и защищаемая информация
№ п.п Наименование бизнес-процесса Защищаемая информация Категория информации
1
2
3
4
5

Второй этап – построение модели злоумышленника
На втором этапе выстраивается модель злоумышленника – лица, которое старается причинить вред организации, путем действий против защищаемой информации. Согласно Уголовному кодексу России ( ст. 272,273,274) это «..уничтожение, модификация, копирование, блокирование..». Отметим, что злоумышленником может являться и программный вредоносный комплекс .
2.1. Кто является злоумышленником ( должность, внешний ли он или внутренний),
2.2. его цель
2.3. Средства которыми он может воспользоваться (кража носителя с помощью взлома комнаты, вредоносная программа, копирование информации и т.д.)
2.4. Пути по которым он может взломать защиту или получить доступ к информации (канал связи, Интернет, внешний носитель и т.д. Заполняем таблицу 3.


Таблица 3 – Модель злоумышленника

п.п Защищаемая информация в бизнес-процессе Категория нарушителя Цель нарушителя Средства нарушителя для атаки Пути проникновения нарушителя (каналы атаки)




Пример 1.
№ Бизнес-процессы Вид Цель Средства Направления атаки
1 Регистрация пользователя Внутренний нарушитель Финансовая выгода, сбор информации для конкурентов Сбор информации и данных, кража данных пользователей База данных
2 Проведение торгов
Внутренний нарушитель,
Внешний Финансовая выгода, сбор информации для конкурентов Сбор информации и данных, средства перехвата, использование недостатков защиты, внедрение программных закладок База данных, Web-сервер.
3 Регистрация лота Внутренний нарушитель
сбор информации для конкурентов Сбор информации и данных, База данных, Web-сервер.
4 Проведение торгов.
Внутренний (работник),
Внешний Финансовая выгода, сбор информации для конкурентов Сбор информации и данных, средства перехвата, использование недостатков защиты, внедрение программ. закладок База данных, Web-сервер,
5 Оформление сделки
Внутренний (работник),
Внешний Сбор информации для конкурентов, причинение умышленного ущерба Сбор информации и данных, средства перехвата, использование недостатков защиты, внедрение программ. закладок База данных



Пример 2.
№ Бизнес-процессы Вид Цель Средства Направления атаки
1 Оплата труда Внутренний нарушитель (работник) Финансовая выгода, сбор инф. для конкурентов, месть Сбор инф. и данных, кража документов База данных, АРМ финансово-экономического отдела
2 Заказ товара покупателем Внутренний (работник),
Внешний Финансовая выгода, сбор инф. для конкурентов, месть Сбор инф. и данных, средства перехвата, использование недостатков защиты, внедрение программных закладок База данных, Web-сервер, АРМ финансово-экономического отдела

Ph. Ivanov Ph. Ivanov
3700 р