МЕТОДИКА ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРИ РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ХОДЕ ПРОВЕДЕНИЯ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ И ОПЫТНО-КОНСТРУКТОРСКИХ РАБОТ НА ПРЕДПРИЯТИИ АО «ПНИЭИ»
|
Введение 7
1 Анализ проблемы защиты конфиденциальной информации 8
2 Структура автоматизированной системы отделов по разработке
программного обеспечения 15
3 Модель информационных потоков автоматизированной системы
отделов по разработке программного обеспечения 18
4 Идентификация и оценка ценности активов 20
5 Анализ и оценка угроз информационной безопасности 24
6 Модель угроз и модель нарушителя безопасности конфиденциальной
информации при разработке программного обеспечения 33
7 Анализ и оценка уязвимостей активов автоматизированной системы 41
8 Анализ рисков информационной безопасности 45
9 Оценивание рисков информационной безопасности 47
10 Определение способов обработки рисков информационной
безопасности 54
11 Выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно -исследовательских и
опытно-конструкторских работ на предприятии 56
Заключение 61
Список использованных источников 62
Приложение А (обязательное) 63
1 Анализ проблемы защиты конфиденциальной информации 8
2 Структура автоматизированной системы отделов по разработке
программного обеспечения 15
3 Модель информационных потоков автоматизированной системы
отделов по разработке программного обеспечения 18
4 Идентификация и оценка ценности активов 20
5 Анализ и оценка угроз информационной безопасности 24
6 Модель угроз и модель нарушителя безопасности конфиденциальной
информации при разработке программного обеспечения 33
7 Анализ и оценка уязвимостей активов автоматизированной системы 41
8 Анализ рисков информационной безопасности 45
9 Оценивание рисков информационной безопасности 47
10 Определение способов обработки рисков информационной
безопасности 54
11 Выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно -исследовательских и
опытно-конструкторских работ на предприятии 56
Заключение 61
Список использованных источников 62
Приложение А (обязательное) 63
Актуальность защиты конфиденциальной информации связана с ростом возможностей вычислительной техники и возможностями утечки этой информации. Развитие средств, методов обработки информации , массовое применение ЭВМ повышают уязвимость информации.
Целью работы является разработка методики защиты конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно -конструкторских работ на предприятии АО «ПНИЭИ».
Разрабатываемая методика предназначена для использования в отделах предприятия АО «ПНИЭИ» по разработке программного обеспечения.
В ходе выполнения дипломной работы осуществляется:
• анализ проблемы защиты конфиденциальной информации;
• структура автоматизированной системы отделов по разработке программного обеспечения;
• модель информационных потоков автоматизированной системы отделов по разработке программного обеспечения;
• идентификация и оценка ценности активов;
• анализ и оценка угроз информационной безопасности;
• модель угроз и модель нарушителя безопасности конфиденциальной информации при разработке программного обеспечения;
• анализ и оценка уязвимостей активов автоматизированной системы;
• анализ рисков информационной безопасности;
• оценивание рисков информационной безопасности;
• определение способов обработки рисков информационной безопасности;
• выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно-конструкторских работ на предприятии.
1 Анализ проблемы защиты конфиденциальной информации
В настоящее время автоматизированные системы являются основой обеспечения практически любых бизнес-процессов как в коммерческих, так и в государственных организациях. Вместе с тем использование АС для хранения, обработки и передачи информации приводит к проблемам, связанных с их защитой.
Одна из основных проблем обработки конфиденциальных документов - это утрата информационных ресурсов ограниченного доступа, которая может быть осуществлена конкурирующими с организацией учреждениями или фирмами. Среди внутренних угроз безопасности информации можно выделить:
• нарушение конфиденциальности информации;
• искажение информации;
• утрата информации;
• сбои в работе оборудования и информационных систем;
• кража оборудования.
Риск утечки информации определяется ценностью этой информации для организации и вероятности утечки.
Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:
• последствия для бизнеса, включая ущерб неосязаемых активов и потерю конкурентоспособности;
• затрата времени и ресурсов и на восстановление информации;
• юридические последствия, ответственность и иски, штрафы и санкции, отзыв лицензий;
• актуальность информации, влияние времени на ее ценность.
Основными источниками конфиденциальной информации являются:
• персонал предприятия, допущенный к КИ;
• носители конфиденциальной информации (документы, изделия);
• технические средства, предназначенные для хранения и обработки информации;
• передаваемые сообщения, содержащие конфиденциальную информацию.
Способы обмена конфиденциальной информацией в организации могут носить как непосредственный характер, так и характер передачи информационных сообщений с помощью технических средств и систем связи.
Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:
• защищенный документооборот;
• совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;
• совещания (конференции), в ходе проведения которых могут обсуждаются вопросы конфиденциального характера;
• научные исследования, деятельность научно - исследовательские работы;
• передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.
Каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты несанкционированному воздействию со стороны злоумышленников, целью которого будет являться получение и использование этой информации.
Данное воздействие, в свою очередь, приведет к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на предотвращение утечки и несанкционированного распространения
конфиденциальной информации (утраты носителей конфиденциальной информации).
Для предотвращения утечки конфиденциальной информации с помощью СВТ необходима техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите с применением технических, программных и программно-технических средств.
Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:
Программные средства - специальные программы и программные комплексы, предназначенные для защиты информации в ИС, (антивирусы, файрволы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.).
Программно-аппаратные средства - это сервисы безопасности,
встроенные в ОС (маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.)
Аппаратные средства - устройства, встраиваемые непосредственно в ВТ, или устройства, которые сопрягаются с ней по стандартному интерфейсу (устройства обнаружения закладных устройств; сканеры радиоизлучения; генераторы радиопомех и другие.)
Решение проблем защиты конфиденциальной информации на
электронных носителях базируется, в том числе и на использовании криптографических методов. Алгоритм заключается в следующем:
Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование - расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.
Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность. Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.
Несанкционированная модификация информации - внесение в информацию каких-либо изменений в интересах злоумышленника. Несанкционированная модификация информации может нанести ущерб владельцу информации и (или) организации и принести злоумышленнику выгоду. Из несанкционированной модификации информации можно выделить следующую угрозу, такую как создание ложных сообщений. Это означает, что злоумышленник преднамеренно посылает субъекту заведомо ложную информацию, получение и использование которой данным субъектом выгодно злоумышленнику. При этом передаваемая информация полностью соответствует всем атрибутами и реквизитами, которые не позволяют получателю заподозрить, что эта информация ложная.
Блокирование доступа к информации или ресурсам системы может иметь негативные последствия в, случае, когда некоторая информация обладает реальной ценностью только на протяжении короткого отрезка времени. В этом случае блокирование нарушает требование своевременности получения информации. Также блокирование доступа к информации может привести к тому, что субъект не будет обладать всей полнотой сведений, необходимых для принятия решения. Одним из способов блокирования информации может быть отказ в обслуживании, когда система вследствие сбоев в работе или действий злоумышленника не отвечает на запросы санкционированного пользователя....
Целью работы является разработка методики защиты конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно -конструкторских работ на предприятии АО «ПНИЭИ».
Разрабатываемая методика предназначена для использования в отделах предприятия АО «ПНИЭИ» по разработке программного обеспечения.
В ходе выполнения дипломной работы осуществляется:
• анализ проблемы защиты конфиденциальной информации;
• структура автоматизированной системы отделов по разработке программного обеспечения;
• модель информационных потоков автоматизированной системы отделов по разработке программного обеспечения;
• идентификация и оценка ценности активов;
• анализ и оценка угроз информационной безопасности;
• модель угроз и модель нарушителя безопасности конфиденциальной информации при разработке программного обеспечения;
• анализ и оценка уязвимостей активов автоматизированной системы;
• анализ рисков информационной безопасности;
• оценивание рисков информационной безопасности;
• определение способов обработки рисков информационной безопасности;
• выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно-конструкторских работ на предприятии.
1 Анализ проблемы защиты конфиденциальной информации
В настоящее время автоматизированные системы являются основой обеспечения практически любых бизнес-процессов как в коммерческих, так и в государственных организациях. Вместе с тем использование АС для хранения, обработки и передачи информации приводит к проблемам, связанных с их защитой.
Одна из основных проблем обработки конфиденциальных документов - это утрата информационных ресурсов ограниченного доступа, которая может быть осуществлена конкурирующими с организацией учреждениями или фирмами. Среди внутренних угроз безопасности информации можно выделить:
• нарушение конфиденциальности информации;
• искажение информации;
• утрата информации;
• сбои в работе оборудования и информационных систем;
• кража оборудования.
Риск утечки информации определяется ценностью этой информации для организации и вероятности утечки.
Ценность информации, при угрозе её утечки, определяется на основании таких критериев, как:
• последствия для бизнеса, включая ущерб неосязаемых активов и потерю конкурентоспособности;
• затрата времени и ресурсов и на восстановление информации;
• юридические последствия, ответственность и иски, штрафы и санкции, отзыв лицензий;
• актуальность информации, влияние времени на ее ценность.
Основными источниками конфиденциальной информации являются:
• персонал предприятия, допущенный к КИ;
• носители конфиденциальной информации (документы, изделия);
• технические средства, предназначенные для хранения и обработки информации;
• передаваемые сообщения, содержащие конфиденциальную информацию.
Способы обмена конфиденциальной информацией в организации могут носить как непосредственный характер, так и характер передачи информационных сообщений с помощью технических средств и систем связи.
Из существующих способов обмена конфиденциальной информацией необходимо выделить организационные каналы передачи и обмена информацией:
• защищенный документооборот;
• совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;
• совещания (конференции), в ходе проведения которых могут обсуждаются вопросы конфиденциального характера;
• научные исследования, деятельность научно - исследовательские работы;
• передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.
Каналы передачи и обмена конфиденциальной информацией в ходе их функционирования могут быть подвергнуты несанкционированному воздействию со стороны злоумышленников, целью которого будет являться получение и использование этой информации.
Данное воздействие, в свою очередь, приведет к возникновению каналов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на предотвращение утечки и несанкционированного распространения
конфиденциальной информации (утраты носителей конфиденциальной информации).
Для предотвращения утечки конфиденциальной информации с помощью СВТ необходима техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите с применением технических, программных и программно-технических средств.
Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:
Программные средства - специальные программы и программные комплексы, предназначенные для защиты информации в ИС, (антивирусы, файрволы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.).
Программно-аппаратные средства - это сервисы безопасности,
встроенные в ОС (маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.)
Аппаратные средства - устройства, встраиваемые непосредственно в ВТ, или устройства, которые сопрягаются с ней по стандартному интерфейсу (устройства обнаружения закладных устройств; сканеры радиоизлучения; генераторы радиопомех и другие.)
Решение проблем защиты конфиденциальной информации на
электронных носителях базируется, в том числе и на использовании криптографических методов. Алгоритм заключается в следующем:
Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование - расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.
Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность. Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.
Несанкционированная модификация информации - внесение в информацию каких-либо изменений в интересах злоумышленника. Несанкционированная модификация информации может нанести ущерб владельцу информации и (или) организации и принести злоумышленнику выгоду. Из несанкционированной модификации информации можно выделить следующую угрозу, такую как создание ложных сообщений. Это означает, что злоумышленник преднамеренно посылает субъекту заведомо ложную информацию, получение и использование которой данным субъектом выгодно злоумышленнику. При этом передаваемая информация полностью соответствует всем атрибутами и реквизитами, которые не позволяют получателю заподозрить, что эта информация ложная.
Блокирование доступа к информации или ресурсам системы может иметь негативные последствия в, случае, когда некоторая информация обладает реальной ценностью только на протяжении короткого отрезка времени. В этом случае блокирование нарушает требование своевременности получения информации. Также блокирование доступа к информации может привести к тому, что субъект не будет обладать всей полнотой сведений, необходимых для принятия решения. Одним из способов блокирования информации может быть отказ в обслуживании, когда система вследствие сбоев в работе или действий злоумышленника не отвечает на запросы санкционированного пользователя....
В процессе дипломной работы выполнены следующие задачи:
• проведен анализ проблемы защиты конфиденциальной информации;
• разработана структура автоматизированной системы отделов по разработке программного обеспечения;
• разработана модель информационных потоков автоматизированной системы отделов по разработке программного обеспечения;
• проведена идентификация и оценка ценности активов;
• осуществлен анализ и оценка угроз информационной безопасности;
• разработана модель угроз и модель нарушителя безопасности конфиденциальной информации при разработке программного обеспечения;
• осуществлен анализ и оценка уязвимостей активов автоматизированной системы;
• проведен анализ рисков информационной безопасности;
• проведено оценивание рисков информационной безопасности;
• определены способы обработки рисков информационной безопасности;
• осуществлен выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно - исследовательских и опытно-конструкторских работ на предприятии.
В результате дипломной работы разработана методика защиты конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно-конструкторских работ на предприятии АО «ПНИЭИ».
Таким образом, цель дипломной работы достигнута, требования технического задания на выпускную квалификационную работу выполнены в полном объеме.
• проведен анализ проблемы защиты конфиденциальной информации;
• разработана структура автоматизированной системы отделов по разработке программного обеспечения;
• разработана модель информационных потоков автоматизированной системы отделов по разработке программного обеспечения;
• проведена идентификация и оценка ценности активов;
• осуществлен анализ и оценка угроз информационной безопасности;
• разработана модель угроз и модель нарушителя безопасности конфиденциальной информации при разработке программного обеспечения;
• осуществлен анализ и оценка уязвимостей активов автоматизированной системы;
• проведен анализ рисков информационной безопасности;
• проведено оценивание рисков информационной безопасности;
• определены способы обработки рисков информационной безопасности;
• осуществлен выбор мер по защите конфиденциальной информации при разработке программного обеспечения в ходе проведения научно - исследовательских и опытно-конструкторских работ на предприятии.
В результате дипломной работы разработана методика защиты конфиденциальной информации при разработке программного обеспечения в ходе проведения научно-исследовательских и опытно-конструкторских работ на предприятии АО «ПНИЭИ».
Таким образом, цель дипломной работы достигнута, требования технического задания на выпускную квалификационную работу выполнены в полном объеме.
