![]() |
|
сделать стартовой | добавить в избранное |
![]() |
Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации |
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Федеральное Агентство по образованию РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИННОВАЦИОННЫХ ТЕХНОЛОГИЙ И ПРЕДПРИНИМАТЕЛЬСТВА Пензенский филиал Курсовая работа по дисциплине: «Информационная безопасность» На тему: «АНАЛИЗ УГРОЗ И РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТДЕЛЕНИЯ ПЕНСИОННОГО ФОНДА Российской Федерации» Выполнил: ст. гр. 02и1 Логунова В.В. Принял: к.т.н., доцент Зефиров С.Л. Пенза 2005 СодержаниеВведение 1. Описание деятельности госоргана 1.1 Разработка структурной и инфологической моделей информационной системы госучреждения 2. Перечень и анализ угроз 3. Квалификация угроз актуальных для информационной системы 4. Разработка политики безопасности Заключение Литература Приложение А Введение Настоящее время характеризуется стремительной компьютеризацией, которая охватила практически все сферы человеческой жизни. Очень трудно в настоящее время найти отрасль, которая бы не ощутила на себе влияние этого глобального процесса. С каждым годом увеличивается объем информации и поэтому намного удобнее осуществлять работу с ней в электронном виде. Тем не менее, наряду с огромным количеством достоинств компьютерных технологий появляются проблемы в области информатизации, например, защиты информации. Организации, предприятия либо государственные органы, работающие в информационной сфере, должны, надлежащим образом, следить за получением, формированием, хранением, распределением и использованием сведений, поступающих к ним. Потеря конфиденциальной информации может привести к неблагоприятным последствиям в деятельности учреждения. В избежание подобных случаев, необходимо осуществлять контроль за информационной системой. В рамках данной курсовой работы проведем анализ угроз и разработаем политику безопасности для информационной системы отделения Пенсионного Фонда РФ. 1. Описание деятельности госоргана В г. Пензе существуют немало важные государственные учреждения, которые занимаются деятельностью в различных сферах жизни общества. В данном курсовом проекте будет уделено внимание отделению Пенсионного Фонда Российской Федерации. Целями (бизнес - цели) деятельности государственного органа являются: - назначение на пенсию граждан РФ (работа с персональными данными); - ведение лицевых счетов граждан РФ; - распределение информации в банк. Функции госучреждения следующие: - сбор и получение информации; - внесение ее в базы данных; - выявление несоответствий; - обеспечение конфиденциальности информации; - хранение и обработка данных; - передача сведений в банк; - работа с Интернет. Информационная система госучреждения должна иметь базы данных, хранящие конфиденциальную информацию о гражданине РФ: фамилию, имя, отчество, дату рождения, его доход, сведения о стаже и номер лицевого счета, а также выявлять несоответствия о полученных данных. Базы данных могут иметь наименования, такие как «БД Пенсионеров», «БД Работодателей», «БД Наемных лиц», «БД Льготников», «БД Ветеран». Информация поступает в орган двумя способами: индивидуально от каждого человека в виде бумажных документов, заверенных подписью и печатью, и через Интернет.
Документы регистрируется. Электронный документ должен содержать электронно-цифровую подпись, т.е. входящая информация шифруется системами криптозащиты. Сведения заносятся в базу данных с автоматизированных рабочих мест операторов. Все изменения, внесенный в БД, периодически должны сохраняться, делаться копии на случай утери информации. По схеме «запрос - ответ» может осуществляться обмен информации между регионами. Пенсионный фонд, получив запрос, анализирует актуальность, проверяет наличие прав на этот запрос, так как доступ к информации ограничен определенным кругом лиц, после чего извлекает из БД запись одного лица и отправляет ответ. Все запросы должны фиксироваться в специальном журнале. За этими действиями должен следить администратор по информационной безопасности. Информацию о назначении на пенсию граждан РФ отправляют в банк, где хранится их лицевой счет и происходит ежемесячная выдача определенной суммы денег. Передается информация в зашифрованном виде, что обеспечивает ее уникальность. Госучреждение должно взаимодействовать по отдельным защищенным каналам связи с г. Москвой (корпоративная сеть) для того, чтобы там хранить копии БД. В случае непредвиденных обстоятельств, сведения можно восстановить. Информационная система (ИС) госоргана должна достаточно надежно обеспечивать многофункциональную систему защиты собственных баз данных с информацией о людях и их счетах, подобрать специальное программное обеспечение, а также доступ к информации должен быть ограничен определенным кругом лиц. 1.1 Разработка структурной и инфологической моделей информационной системы госучреждения Функционирование информационной системы осуществляется следующим образом. Сведения заносятся в базу данных с автоматизированных рабочих мест (АРМ) операторов, два из которых будут соединены с почтовым сервером. Некоторые АРМ будут взаимосвязаны друг с другом. Базы данных (БД), система управления базами данных (СУБД) располагаются на администраторском сервере, взаимосвязанном с АРМ и с главным сервером в г. Москве, хранящий копию БД. Обработка данных осуществляется на главном (администраторском) сервере. Администратор имеет доступа к сети Интернет, но не сам сервер. АРМ администратора информационной безопасности (ИБ) обеспечивает защиту БД. Каждый компьютер имеет пароль, с помощью которого администратор ИБ проверяет наличие прав доступ персонала к БД (пароли) и фиксирует запросы на информацию. Только он имеет право удалять устаревшую информацию и хранить копии БД. АРМ банка получает сведения, поступившие из БД, от квалифицированных работников по средствам связи (телефон, факс, компьютер и т.д.). Составим структурную модель ИС, состоящую из таких элементов как: - автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД, поступающую в индивидуальном порядке от физического лица либо от почтового сервера, и которые отправляют сведения в банк; - почтовый сервер, на который информация поступает через Интернет; - администраторский сервер, хранящий БД, он же сервер обработки, на котором установлена система управления базами данных; - автоматизированное рабочее место администратора информа-ционной безопасности; - главный сервер г.
Москвы, хранящий копии БД: Функции ИС: Способствует быстрому и своевременному внесению новых сведений, изменению уже имеющихся, а также удалению устарелых данных; Структурирует и облегчает поиск информации в БД; Показывает доступ к информационным ресурсам; Обеспечивает надежное хранение данных (их безопасность); Позволяет вести учет о назначения на пенсию граждан РФ; Своевременная передача информации в банк. Таблица 1 - Аппаратный компонент - пользователь Аппаратный ресурс Пользователь Права пользователя Ответственный персонал Обязанности ответственного персонала АРМ Работники отделения Возможность доступа к БД. Работники отделения (сотрудник несет ответственность за свои действия) Обязанности распределяются в соответствии с работой, которую они выполняют (внесение новых сведений в БД, полученных от почтового сервера, по средствам связи и лично от граждан РФ, передача сведений в банк) АРМ администратора ИБ Администратор ИБ Доступ к главному серверу, к БД Администратор ИБ Проверять наличие прав доступа к БД, фиксирует запросы, удаляет информацию, хранить копии БД Почтовый сервер Администратор Доступ к Интернету Администратор Контролировать функционирование автоматизированной информационной системы, обрабатывать информацию в БД, хранить и создавать копий БД, осуществлять работу с почтой и с Интернетом, взаимодействовать с АРМ, с сервером г. Москвы и с АРМ администратора ИБ Администраторский сервер Рабочий персонал, администратор, администратор ИБ и администратор сервера в г. Москве Доступ и пользование БД АРМ банка АРМ Пенсионного Фонда РФ Передача информации в банк по средствам связи. Отсутствие прав пользования рабочего персонала отделения Пенсионного Фонда РФ информационными ресурсами банка Аппаратный ресурс Пользователь Права пользователя Ответственный персонал Обязанности ответственного персонала Сервер г.Москвы Администратор Доступ к хранилищу копий БД Информация в отделении Пенсионного Фонда РФ может классифицироваться на критическую и чувствительную. Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации. На основе этого информация по степени критичности может быть следующей: - Существенная: Персональные данные о гражданах РФ (например, заработанная плата, лицевой счет и др.), хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее потери отделения Пенсионного Фонда РФ понесет значительный ущерб в деятельности. Существует возможность временное прекращение деятельности учреждения, пока БД не будут восполнены. - Важная: Информация, поступившая на почтовый сервер или на АРМ (1,2). Потеря такой информации нанесет средний, но поправимый ущерб деятельности госоргана. - Нормальная: Устаревшие сведения. Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней. По степени чувствительности могут быть выделены следующие виды информации: - Высоко чувствительная: Раскрытие персональных данных граждан РФ.
Индивидуальный учет в системе обязательного пенсионного страхования должен базироваться на принципах: 1)Pединства обязательного пенсионного страхования в Российской Федерации (на всех уровнях структуры власти); 2)Pвсеобщности и обязательности уплаты страховых взносов в Пенсионный фонд Российской Федерации; 3)Pдоступности для каждого застрахованного лица информации о правилах расчета пенсий и другой информации; 4)Pсоответствия сведений о суммах страховых взносов, представляемых каждым страхователем, в том числе физическим лицом, самостоятельно уплачивающим страховые взносы. Одновременно Налоговый кодекс претерпевал изменения, касающиеся размеров ставок налога, распределяемого по фондам. На основании Федерального закона от 31.12.2001Pг. P198-ФЗ «О внесении дополнений и изменений в Налоговый кодекс Российской Федерации и в некоторые законодательные акты Российской Федерации о налогах и сборах» произошли изменения в самой структуре социального налога. Из состава ЕСН были выведены процентные доли, зачисляемые в Пенсионный фонд
1. Безнравственность как угроза национальной безопасности
2. Глобальные угрозы, системы безопасности
3. Наркотизация в России как угроза национальной безопасности
5. Угрозы территориальной безопасности в Восточной Азии
9. Разработка алгоритма работы интеллектуальной информационной системы "Расчет меню"
11. Разработка политики товародвижения в маркетинговой деятельности
12. Проблемы безопасности структурного подразделения ОАО "Газпром" в работе с персоналом
13. Разработка политики управления оборотным капиталом
14. Разработка политики формирования собственных финансовых ресурсов ЗАО "Племзавод "Воля"
15. Организация и информационное обеспечение анализа
18. Анализ процесса социализации учащихся средней школы: особенности и основные тенденции развития
19. Анализ показателей прибыльности и безубыточной работы предприятия
21. Анализ показателей прибыльности и безубыточности работы предприятия
25. Вирусные угрозы и проблемы информационной безопасности
26. Основные угрозы безопасности информации и нормального функционирования информационных систем
27. Политика информационной безопасности для системы "Учет ремонта и ТО автотранспорта"
28. Космический мусор – угроза безопасности космических полетов
29. Информационные технологии в экономике. Информационная безопасность в сетях ЭВМ
30. Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования
31. Информационная безопасность в бизнесе
32. Международная безопасность и глобальные угрозы
33. Новые приоритеты в информационной безопасности США
34. Двадцать первый век и проблемы информационной безопасности в России
35. Информационно-психологическая безопасность личности
36. Информационная безопасность
37. Анализ риска - основа для решения проблем безопасности населения и окружающей среды
41. Информационная безопасность как процесс управления рисками
43. Информационная безопасность
44. Политика безопасности при работе в Интернете
45. Информационная безопасность и борьба с вирусом
46. Анализ и разработка информационных ресурсов Internet
48. Разработка рекомендаций для безопасного размещения рабочего места
51. Анализ информационной политики Российского государства
52. Информационно-коммерческая безопасность предпринимательской деятельности
53. Правовые основы обеспечения информационной безопасности в Российской Федерации
57. Информационная безопасность
59. Основы информационной безопасности в органах внутренних дел
60. Проектирование системы информационной безопасности
61. Разработка подсистемы морфологического анализа информационной системы
62. Доктрина информационной безопасности Российской Федерации
63. Информационная безопасность в сетях Wi-Fi
64. Китай и США в сфере обеспечения информационной безопасности
65. Политика администрации Дж. Буша–младшего в отношении национальной безопасности
66. Современный этап развития российско-французских отношений в сфере политики и безопасности
67. Разработка структуры службы безопасности объекта
68. Информационная безопасность Российской Федерации
69. Информационные аспекты безопасности и устойчивости развития общества
74. Безопасность жизнедеятельности (конспект лекций)
75. Демографический взрыв и безопасность жизнедеятельности
76. Федеральная резервная система и политика НацБанка РБ: сравнительный анализ
78. Эволюция системы европейской безопасности от СБСЕ к ОБСЕ
79. Безопасность жизнедеятельности
80. Региональные проблемы экологической безопасности на полуострове Ямал
83. Проектирование и разработка сетевых броузеров на основе теоретико-графовых моделей
84. Разработка верхнего уровня Информационной Системы Университета
85. Разработка информационно-справочной системы "Сводка погоды" /Prolog/
89. Разработка фрагмента информационной системы "АБОНЕНТЫ ГТС"
90. Разработка информационно-справочной системы
91. Информационные технологии в экономике. Разработка информационных технологий.
92. Разработка информационно-справочной системы
93. Разработка информационно-справочной системы "Зарплата по НИР"
94. Вопросы компьютерной безопасности (антивирусы)
95. Разработка автоматизированной информационной системы учёта товародвижения в торговле
97. Исследование уровня безопасности операционной системы Linux
98. Расчёт статистических и вероятностных показателей безопасности полётов
99. Инфекционная безопасность пациента и медработников. Инфекционный контроль