Информационная безопасность

Содержание.

Введение……………………………………………………………………...4

Глава 1. Описание объекта защиты………………………………………   6

Глава 2.Анализ информационной системы………………………………..8

Глава 3.Анализ угроз  информационной безопасности…………………...10

Глава 4.Анализ ущерба………………………………………………..……19

Глава 5.Оценка информационного  риска……………………………..…..21

Глава 6. Управление информационными рисками…………………….... 24

Заключение…………………………………………………………………. 28  

Список использованной литературы………………………………………30 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

     Все больше в прошлое уходит бесполезное нагромождение различных средств защиты, которое стало «модным» в результате реакции на первую волну страха перед компьютерными преступлениями. К тому, что защита информации должна носить комплексный характер, все начинают постепенно привыкать. При этом компании-заказчики больше не хотят выбрасывать деньги на ветер, они хотят приобретать только то, что им действительно необходимо для построения надежной системы защиты информации. Но организация обеспечения безопасности информации должна не просто носить комплексный характер, а еще и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты.

     В настоящее время сформировалось устойчивое отношение к информации всех видов, как к ценнейшему ресурсу. Объясняется это небывалым ростом объема информационных потоков в современном обществе. В первую очередь это относится к тем направлением государственной деятельности, которые являются наиболее важными в жизнеобеспечении общества, а именно: экономика; наука; образование; социальная сфера; промышленность и др. Все эти направления тесно пересекаются, и развитие каждого напрямую зависит от качества используемой информации, ее достоверности и полноты, оперативности и формы представления. Поэтому особое внимание должно уделяться проблемам формирования, использования и защиты информационных ресурсов на основе применения информационных и коммуникационных технологий.

     В данной курсовой работе в качестве объекта защиты я  выбрала отдел кадров предприятия ОАО «Башкирский медно-серный комбинат».

     Целью данной курсовой работы является рассмотрение моделей угроз безопасности систем и способов их реализации, анализ критериев уязвимости и устойчивости систем к деструктивным воздействиям, изучение методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности.

     Предметом исследования курсовой работы является комплекс оценка информационной безопасности, а объектом исследования – ОАО «БМСК».

     При написании работы была использована учебная литература и ресурсы интернета. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Глава 1. Анализ объекта защиты

     В данной курсовой работе в качестве объекта защиты нами был выбран ОАО  "Башкирский медно-серный комбинат" (БМСК).

     ОАО "Башкирский медно-серный комбинат" (БМСК) занимается добычей и обогащением полиметаллических руд Ново-Сибайского и других месторождений. С 2004 года обогатительная фабрика работает на руде Камаганского и Нижней залежи подземного рудника Ново-Сибайского месторождений.

     ОАО «БМСК» является предприятием, добывающим и обрабатывающим руды, поэтому напрямую влияет на развитие промышленности государства в целом. ОАО «БМСК» является обладателем значительных информационных ресурсов различных видов и типов, выраженных в различных формах, влияющих на его деятельность. Значимость этих ресурсов высока, и поэтому существует необходимость постоянно удерживать их в сохранности, т.е. возрастает потребность защиты этих ресурсов как от несанкционированного использования, так и от влияния других непредсказуемых факторов. Для обеспечения надежной защиты, необходимо постоянно держать во внимании, и анализировать всевозможные источники угроз, сопоставлять им уязвимости и определять потенциальные угрозы, реализация которых прямо или косвенно может нанести вред информационной системе ОАО «БМСК».

     Целью защиты является обеспечение эффективной работы предприятия, поддержание существующего качества и обеспечение конкурентоспособности предприятия. 
 
 
 

Глава 2. Анализ информационной системы. 

     На  данном этапе производится структурирование элементов информации, которые подлежат защите.

      Вся информация, содержащаяся на объекте, является персональными данными сотрудников внутренней деятельности организации ОАО «БМСК». Следовательно, работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом закон N152-ФЗ «О персональных данных». Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.

      Ни  в коем случае нельзя допускать, чтобы  такие данные, как сведения о сотрудниках, об их зарплате, об указаниях и распоряжениях были похищены или утеряны.  

Основными защиты информации в отделе кадров являются:

- сведения  о сотрудниках;

- распоряжения  и указания;

- трудовые  книжки;

- трудовые  договора.

       В результате структурирования получим таблицу, определяющую так называемую “структурная модель объекта защиты” (Таблица 1). 

 

           Расчет цены информации осуществляется по следующей формуле (таблица 1):

     

,

где N – число страниц, так как информация представлена в бумажном                                                         виде.

       Z – цена за информацию;

В таблице 2 дается пояснение по цене информации. Каждому грифу конфиденциальности соответствует своя условная цена за Кбайт:

• Конфиденциально  - 0,1;
• Строго конфиденциально – 0,5;
• Особо конфиденциально - 1.

Таким образом, рассчитав все необходимые значения, представим их в виде таблицы 1.

Таблица 1 – Защищаемая информация отдела кадров

Таблица 1 – Защищаемая информация отдела кадров

                                                      

Глава 3.Анализ угроз информационной безопасности.

Угроза - это потенциальная возможность  определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

      Над вопросами обеспечения информационной безопасности сейчас задумываються  все чаще, потому что информационные технологии дошли то такого уровня, что может быть получена как открытая информация так и закрытая.   С целью обеспечения информационной безопасности и безопасности информации в отделе кадров в целом необходимо:

1. Обеспечить конфиденциальность личной информации;
2. Обеспечить защиту от пожаров и проникновений;
3. Обеспечить стабильную и защищенную работу информационной базы;
4. Выполнять требования законодательства.

      Проанализируем  возможную модель угроз (угроза –  ресурс). Она предоставлена в таблице 2.

Таблица 2

Модель  угроз

 
 

Теперь  перейдем к рассмотрению модели злоумышленника. Как уже было сказано, злоумышленник  – это тот, кто предпринимает попытки реализовать угрозу. Полная модель предоставлена в таблице 3 и включает в себя такие аспекты, как: тип злоумышленника, уязвимость, причины и оснащенность необходимыми средствами.