Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации (стр. 2 из 8)
- Нормальная: Устаревшие сведения.
Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.
По степени чувствительности могут быть выделены следующие виды информации:
- Высоко чувствительная: Раскрытие персональных данных граждан РФ.
- Чувствительная: Разглашение паролей АРМ, доступ к почтовому серверу, отсутствие шифрования данных.
Такие ситуации возможны по неосторожности, любопытству, не задумавшись о последствии действий или намеренно, если злоумышленник покидает место работы.
- Внутренняя: Регистрирование документов, должностные инструкции, ведение лицевых счетов.
- Открытая: метод обмена информации между регионами (по схеме «запрос - ответ»), количество индивидуальных счетов (1 300 000), способ хранения информации и др.
В зависимости от особенностей деятельности учреждения к информации может быть применена другая классификация. Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес - цели организации.
По степени критичности относительно доступности виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ, находящиеся в БД.
При отсутствии такой информации работа остановится.
- Очень важная: Информация, поступающая от почтового сервера, системные пароли, номера персональных счетов.
Доступ к сведениям о гражданах РФ должен быть ограничен. За этим следит администратор ИБ. Администратор сервера несет ответственность за целостность, конфиденциальность, доступность, подотчетность и подлинность БД.
- Важная: Сведения, которые должны быть переданы в банк.
- Полезная: Применение электронных таблиц Excel, использование Интернет, факса, телефонных книг – это значительно экономит временные ресурсы.
- Несущественная: сведения, хранящиеся более 75 лет.
По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.
По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:
- Критическая: Сведения о гражданах РФ и методах связи с Г. Москва.
- Очень важная: пароли АРМ, номера персонифицированных счетов.
- Важная: Сведения, которые должны быть переданы в банк.
- Незначимая: метод обмена информации между регионами количество индивидуальных, способ хранения информации и т.д.
Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о гражданах РФ, хранящиеся в БД. БД должны хранится на администраторском сервере, а их дубликаты на АРМ администратора ИБ и в г. Москве. Главный администратор должен контролировать СУБД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями Пенсионного Фонда и поступающая с почтового сервера. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.
Таблица 2 - Информационный ресурс - пользователь
| Информационныйресурс | Ответственный | Пользователь | Обязанностипользователя | СтепеньКритичности(чувствительности) | Фазажизненногоцикла | Местохранения | |
| Персональные данные клиентов | Администратор и администратор по ИБ | Работники отделения (АРМ), администратор, администратор ИБ и администратор сервера в г. Москве | Сбор данных, обработка, хранение, следить за доступом к ним | Критическая | Получениеобработкахранение | БД | |
| Системные пароли | Администратор ИБ | Администратор, администратор ИБ | Следить за правом доступа | Очень важная | Хранение | АРМАдминистратора ИБ | |
| Сетевые данные | Администратор | Администратор | Передача данных на АРМ (3,4), размещение объявлений на сайте и др. | Чувствительная | Передача | Почтовый сервер | |
| Обработанная информация | АРМ (5,б) | АРМ (5,б) | Передача информации, выявление несоответствий | Важной | Передача | БД | |
| Регистрация документов, должностные инструкции, телефонные книги | Руководитель организации | Работники отделения | Использование этих сведений непосредственно на рабочем месте | Внутренняя | Хранение | АРМ работников, АРМ руководителя | |
| Незасекреченная информация о деятельности отделения (способ хранения информации) | Руководитель | Граждане РФ | Использование по необходимости | Открытая | Обработка | АРМ руководителя | |
| Информационныйресурс | Ответственный | Пользователь | Обязанностипользователя | СтепеньКритичности(чувствительности) | Фазажизненногоцикла | Местохранения | |
| Устаревшие данные | Администраторпо ИБ | Администратор иадминистратор ИБ | Хранение и удаление | Несущественная | Удаление | АРМАдминистратора ИБ | |
Программное обеспечение
Программное обеспечение (ПО) – это совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ. Основные функции ПО:
- автоматическое управление вычислительным процессом работы компьютера при минимальном вмешательстве оператора;
- повышение эффективности функционирования ЭВМ;
- обеспечение взаимодействия пользователь и компьютера;
- обеспечение контроля и надежности функционирования ЭВМ.
ПО дополняет компьютеры теми возможностями, которые трудно или экономически нецелесообразно реализовать аппаратными средствами. Информационные системы на основе компьютерных сетей выполняют функции хранение и обработки данных, организации доступа к данным, передачу данных и результатов обработки пользователем. Функциональное назначение любой компьютерной сети состоит в том, чтобы предоставлять информационные и вычислительные ресурсы пользователям, которые имеют подключение к сети. Локальная сеть включает: сервер, рабочие станции (АРМ), среду передачи (линии связи или пространство, в котором распространяются электрические сигналы и аппаратуру передачи данных), сетевое программное обеспечение, почтовый сервер. Помимо локальной сети в госоргане существует и глобальная сеть. В нее включаются еще АРМ банка и сервер в г. Москва. По определенным протоколам в сети происходит обмен информации. Протокол – это стандарт (набор правил), определяющий способ преобразования информации для ее передачи по сетям. Для подключения к Интернет и получения набора услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) – TransmissionControlProtocol / InternetProtocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.
В TCP/IP для проверки правильности пакета использует контрольную сумму. Контрольная сумма - это число, помещаемое в дейтаграмму и вычисляемое по специальному алгоритму.
Протокол POP3 (PostOfficeProtocol) предназначен для организации динамического доступа рабочих станций к почтовому серверу. Протокол POP3 на транспортном уровне использует TCP-соединение. Уязвимостью протокола POP3 считается - невозможность выборочного приема клиентом сообщения с почтового сервера.
Чтобы обеспечить безопасность передачи данных необходимо защищать каналы связи следующими способами: защита сообщений от несанкционированного доступа и подтверждение целостности полученных по каналам связи. Уязвимость – при огромном количестве передачи сообщений, снижается скорость передачи данных.
Передача данных осуществляется по каналам и линиям связи. С помощью информационно – логической модели ИС (Приложение А) можно наблюдать распределение данных.
Таблица 3 - Информационно-технологическая инфраструктура | № | Объект защиты | Уровень | Уязвимости |
| 1. | Линии связиАппаратные средства | физический | Незащищенность от помех |
| 2. | Шлюз | Сетевой | Медленная передача |
| Маршрутизаторы | Зависят от использу-емого протокола | ||
| Концентраторы | При попытке одновременной передачи данных из двух узлов логического сегмента возникает коллизия. | ||
| 3. | Почтовыепрограммные средства | Сетевыхприложений | Прием и передача сообщений Протокол POP3 может только считывать либо доставлять почту, обработка данных происходит на АРМ. |
| 4. | ОС | Операционных система | Система ввода вывода |
| 5. | БД | Систем управления базами данных (СУБД) | Пароли, данные, нарушение конфиденциальности |
| 6. | Процесс назначения на пенсию | Бизнес-процессоворганизации | Чувствительнойинформация |
2. Перечень и анализ угроз
Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IECPDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности госоргана. Описание каждой угрозы анализируем с помощью модели угроз, включающую: