Обеспечение информационной безопасности предприятия ОАО ОХК «Уралхим»

Автор работы: Пользователь скрыл имя, 23 Октября 2013 в 11:02, курсовая работа

Краткое описание

Целью курсовой работы является анализ системы информационной безопасности филиала «Азот» ОАО ОХК «Уралхим» и разработка методов по ее улучшению.
Задачи:
1. Провести общий анализ информационной системы и существующей системы безопасности.
2. Провести анализ угроз и оценку рисков информационной безопасности
3. На основе проведенного анализа предложить меры по минимизации рисков.

Содержание

Введение
1. Концепция информационной безопасности
1.1 Основные концептуальные положения системы защиты информации
1.2 Концептуальная модель информационной безопасности
1.3 Угрозы конфиденциальной информации
2. Практическая часть
2.1 Характеристика Филиала «Азот» ОАО ОХК «Уралхим»
2.2 Общий анализ информационной системы предприятия
2.3 Анализ текущего состояния информационной безопаснести
3. Оценка существующих рисков и пути их минимизации
Список используемой литературы

Скачать полностью (554.03 Кб) Сколько стоит заказать работу?

Прикрепленные файлы: 1 файл

Информационная безопасность предприятия.docx

— 565.31 Кб (Скачать документ)

Филиал «Азот» – успешное, динамично развивающееся предприятие в составе группы компаний ОАО «ОХК «УРАЛХИМ», которое отличается стабильностью производства и высоким качеством продукции. С 2005 г. завод выпускает пористую модифицированную аммиачную селитру, которая пользуется большим спросом внутри страны и за рубежом. Благодаря успешной производственной деятельности предприятия, группа компаний ОАО «ОХК «УРАЛХИМ» является российским лидером в производстве аммиачной селитры и занимает второе место в России по объемам производства азотных удобрений.

2.2 Общий анализ информационной системы предприятия.

Информационная система Компании состоит из комплекса ресурсов: кластер серверов баз данных (далее сервер БД) с хранилищем, кластер серверов рабочей среды бизнес-приложений, ферма терминальных серверов, сетевого USB-концентратора и тонких клиентов пользователей, которые работают в пределах одной сетевой инфраструктуры, физически связанны между собой, но логически разделены настроенными списками доступа (Access Lists). На сервере БД расположена основная рабочая бухгалтерская база данных (конфигурация 1С: Клевер) и база данных системы электронного документооборота (конфигурация 1С: Документооборот КОРП). В качестве основного программного обеспечения (бизнес-приложений) используется серверная версия платформы 1С версии 8.2. Терминальная ферма развернута на базе стандартного набора сервисов среды MS Windows Server 2012. Сетевой USB-концентратор используется для размещения и «проброса» через сеть передачи данных ключей аппаратной защиты (HASP) серверных лицензий 1С и ключей аппаратной защиты клиентских лицензий 1С на серверное оборудование. В качестве конечных пользовательских устройств для группы обычных пользователей, применяются тонкие клиенты HP t510 с предустановленной операционной системой (ОС) MS Windows Embeded. В качестве рабочих мест руководителей применяются моноблоки HP TouchSmart, с ОС MS Windows 7.

Права административного доступа на весь перечень серверов имеет группа системных администраторов, состоящая из трех человек. Доступ пользователей к рабочей бухгалтерской базе 1С:Клевер осуществляется путем подключения клиентов в режиме терминальных сессий к терминальному серверу и далее путем запуска клиентского приложения 1С с явно заданными настройками, в режиме тонкого клиента (без возможности внесения изменений в конфигурацию системы).

Ни один из сервисов рабочей среды на прямую не опубликован в публичных сетях, удаленный доступ возможен только авторизовавшись на сервере удаленного доступа (группа привилегированных пользователей).

В рамках настраиваемых в ручном режиме ролей, работники бухгалтерии имеют стандартный набор прав предоставляемых группе обычных пользователей, а руководитель финансового департамента входит в привилегированную группу пользователей с полными правами в системе.

2.3 Анализ текущего состояния информационной безопасности.

Активы которые оказывают значимое влияние на информационные системы:

Наименование актива	Ценность актива (по 5 бальной шкале)
Обработка бухгалтерских документов в системе электронного документооборота (ПО)	1
Обеспечение непрерывной работы (ПО)	2
Система обмена электронной почтой (ПО)	2
Системы защиты данных (ПО)	3
Управление данными (ПО)	3
Система поточного сканирования первичных документов (ПО)	3
Сеть передачи данных	3
Рабочие места пользователей (компьютеры)	4
Сетевой USB-концентратор	4
Среда бизнес-приложений	5
Серверное оборудование	5
Доступ к информационным ресурсам (бухгалтерская БД)	5

Активы, имеющие наибольшую ценность для компании:

1. Серверное оборудование

2. Доступ к информационным ресурсам (бухгалтерская БД)

3. Среда бизнес-приложений

4. Сетевой USB-концентратор

5. Рабочие места пользователей

Анализ уязвимостей для наиболее ценных активов:

Группа уязвимостей Описание риска	Серверы	Бухгалт. БД	Бизнес-приложения	USB-концентр.	Рабочие места польз.
1. Воздействия окружающей среды и состояния общехозяйственной инфраструктуры
Отсутствие физической защиты зданий, дверей и окон	низкая	низкая	низкая	низкая	низкая
Неправильное или халатное использование физических средств управления доступом в здания, помещения	средняя	низкая	низкая	средняя	высокая
Нестабильная работа электросети	высокая	средняя	средняя	средняя	средняя
Размещение в зонах возможного затопления	низкая	низкая	низкая	низкая	низкая
2. Аппаратное обеспечение
Подверженность колебаниям напряжения	высокая	средняя	средняя	низкая	низкая
Подверженность температурным колебаниям	высокая	низкая	низкая	низкая	низкая
Подверженность воздействию влаги, пыли, загрязнения	высокая	низкая	низкая	низкая	низкая
Чувствительность к воздействию электромагнитного излучения	низкая	средняя	средняя	низкая	низкая
Недостаточное обслуживание/неправильная инсталляция запоминающих сред	низкая	средняя	средняя	низкая	низкая
Отсутствие контроля за эффективным изменением конфигурации	низкая	высокая	средняя	средняя	средняя
3. Программное обеспечение
Неясные или неполные технические требования к разработке средств программного обеспечения	низкая	низкая	средняя	низкая	низкая
Отсутствие тестирования или недостаточное тестирование программного обеспечения	низкая	средняя	средняя	средняя	средняя
Сложный пользовательский интерфейс	низкая	низкая	средняя	низкая	низкая
Отсутствие механизмов идентификации и аутентификации, например аутентификации пользователей	низкая	высокая	высокая	низкая	низкая
Отсутствие аудиторской проверки	низкая	низкая	низкая	низкая	средняя
Хорошо известные дефекты программного обеспечения	низкая	низкая	низкая	низкая	низкая
Незащищенные таблицы паролей	низкая	низкая	низкая	низкая	низкая
Некачественное управление паролями	высокая	высокая	низкая	низкая	низкая
Некорректное присвоение прав доступа	высокая	высокая	высокая	низкая	низкая
Неконтролируемая загрузка и использование программного обеспечения	низкая	низкая	низкая	низкая	средняя
Отсутствие регистрации конца сеанса при выходе с рабочей станции	низкая	низкая	низкая	низкая	низкая
Отсутствие эффективного контроля внесения изменений	низкая	низкая	средняя	средняя	низкая
Отсутствие документации	средняя	средняя	низкая	средняя	низкая
Отсутствие резервных копий	средняя	средняя	низкая	низкая	низкая
Вывод из эксплуатации или повторное использование носителей информации без надлежащего стирания записей	низкая	низкая	низкая	низкая	низкая
4. Коммуникации
Незащищенные линии связи	низкая	низкая	низкая	низкая	низкая
Неудовлетворительная стыковка кабелей	низкая	низкая	низкая	низкая	низкая
Отсутствие идентификации и аутентификации отправителя и получателя	низкая	низкая	низкая	низкая	низкая
Пересылка паролей открытым текстом	низкая	низкая	низкая	низкая	средняя
Отсутствие подтверждений посылки или получения сообщения	низкая	низкая	низкая	средняя	низкая
Коммутируемые линии	низкая	низкая	низкая	низкая	низкая
Некорректное управление сетью	средняя	средняя	средняя	средняя	низкая
Незащищенные подключения к сетям общего пользования	низкая	низкая	низкая	низкая	низкая
5. Документация и конфиденциальные данные
Хранение в незащищенных местах	низкая	низкая	низкая	низкая	низкая
Недостаточная внимательность при уничтожении	низкая	средняя	низкая	низкая	средняя
Бесконтрольное копирование	низкая	высокая	низкая	низкая	низкая
6.Персонал
Отсутствие персонала	низкая	низкая	низкая	низкая	низкая
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	низкая	низкая	низкая	средняя	средняя
Недостаточная подготовка персонала по вопросам обеспечения безопасности	высокая	средняя	средняя	средняя	низкая
Отсутствие необходимых знаний по вопросам безопасности	высокая	средняя	средняя	средняя	низкая
Неправильное использование программно-аппаратного обеспечения	средняя	средняя	средняя	средняя	низкая
Отсутствие механизмов отслеживания	низкая	низкая	низкая	низкая	низкая
Отсутствие политики ограничивающей использование систем для быстрого обмена сообщениями	низкая	низкая	низкая	низкая	низкая
Несоответствующие процедуры набора кадров	низкая	низкая	низкая	низкая	низкая
7. Общие уязвимые места
Отказ системы вследствие отказа одного из элементов	средняя	средняя	средняя	высокая	низкая
Неадекватные результаты проведения технического обслуживания	средняя	низкая	низкая	средняя	низкая

Анализ возможных угроз для наиболее ценных активов

В соответствии с ГОСТ Р 50922-2006 – угрозой безопасности информации называется совокупность условий и факторов, способных создать опасность нарушения информационной безопасности. Атакой на информационные системы называется воздействие, приводящее к утрате, уничтожению, либо к сбою функционирования информационного ресурса, носителя информации или средства управления программно-аппаратным комплексом системы.

Таким образом, атака – это реализация угрозы безопасности. Существует классификация угроз по следующим признакам:

- природа возникновения;

- цель воздействия на АС;

- степень преднамеренности возникновения;

- источник угрозы;

- этапы доступа пользователей или программного обеспечения к ресурсам систем и т.д.

Для оценки вероятности реализации угроз может использоваться трехуровневая шкала:

Н – низкая вероятность - маловероятно, что угроза осуществится, не существует событий, инцидентов, статистики, мотивов и т.п., которые указывают на то, что угроза может возникнуть. Вероятностная частота реализации угрозы не превышает 1 раза в 5–10 лет.

С – средняя вероятность – существует риск возникновения угрозы (уже происходили инциденты), существует накопленная статистика, либо иная информация, указывающая на то, что подобные угрозы возникали ранее, существуют признаки ряда причин, для реализации подобных действий. Вероятностная частота реализации угрозы – не более одного раза в год.

В – высокая вероятность – угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, существуют серьезные причины или мотивы для атаки. Вероятностная частота реализации угрозы – еженедельно или чаще.

Такой трехуровневой шкалы достаточно для проведения высокоуровневой оценки угроз. В случае нехватки данных ее можно расширить, добавив еще несколько промежуточных уровней.

Угрозы нарушения информационной безопасности во время работы операционной системы направлены на получение несанкционированного доступа к информации. С целью получения доступа в операционную систему либо в среду бизнес-приложений, нарушитель может воспользоваться как стандартными функциями так и специально с6озданными для выполнения несанкционированного доступа программами:

- программами просмотра и модификации реестра;

- программами поиска ключевых слов или фраз в текстовых файлах;

- специальными программами просмотра и копирования записей в базах данных;

- программами быстрого просмотра графических файлов, их редактирования или копирования;

- программами с функционалом внесения изменений в конфигурацию программных сред (например настройка прав в системах в интересах нарушителя);

Перечень угроз для активов указан в таблице 7, составленной в рамках требований Стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С). В данном Стандарте классифицированы следующие угрозы:

- обусловленные преднамеренными действиями, обозначены буквой D;

- обусловленные случайными действиями, обозначены буквой A;

- обусловленные естественными причинами, обозначены буквой E.

Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A — все совершаемые людьми действия, которые могут случайно нанести вред активам информационных технологий, буквой E — инциденты, не основанные на действиях, совершаемых людьми.

Реестр возможных угроз, с классификацией:

Наименование возможных и вероятных угроз	Классы угроз
Землетрясение	Е
Затопление	D, A, E
Ураган	Е
Попадание молнии	Е
Забастовка	D, A
Пожар	D, A
Намеренное повреждение	D
Неисправности в системе электроснабжения	A
Неисправности в системе водоснабжения	A
Неисправности в системе кондиционирования воздуха	D, A
Аппаратные отказы	A
Колебания напряжения	A, E
Экстремальные величины температуры и влажности	D, A, E
Воздействие пыли	E
Электромагнитное излучение	D, A, E
Статическое электричество	E
Кража	D
Несанкционированное использование носителей информации	D
Ухудшение состояния носителей данных	E
Ошибка обслуживающего персонала	D, A
Ошибка при обслуживании	D, A
Программные сбои	D, A
Несанкционированное использование программного обеспечения пользователями	D, A
Вредоносное программное обеспечение	D, A
Незаконный импорт/экспорт программного обеспечения	D
Ошибка операторов	D, A
Ошибка при обслуживании	D, A
Несанкционированный доступ пользователей к сети	D
Технические неисправности сетевых компонентов	A
Ошибки передачи данных	A
Повреждение линий	D, A
Несанкционированное проникновение к средствам связи	D
Анализ трафика	D
Направление сообщений электронной почты по ошибочному адресу	A
Изменение маршрута направления сообщений электронной почты	D
Изменение смысла передаваемой информации	D
Сбои в функционировании услуг связи (например, сети передачи данных)	D, A
Недостаточная численность персонала	A
Ошибки пользователей	D, A
Ненадлежащее использование ресурсов предприятия	D, A

Результаты оценки угроз активам

Уязвимый ресурс Описание угрозы	Серверы	Бухгалт. БД	Бизнес-приложения	USB-концентр.	Рабочие места польз.
1. Угрозы, обусловленные преднамеренными действиями
Затопление	низкая	низкая	низкая	низкая	низкая
Забастовка	низкая	низкая	низкая	низкая	низкая
Применение оружия	низкая	низкая	низкая	низкая	низкая
Пожар	низкая	низкая	низкая	низкая	низкая
Намеренное повреждение	низкая	низкая	средняя	средняя	средняя
Неисправности в системе кондиционирования воздуха	низкая	низкая	низкая	низкая	низкая
Экстремальные величины температуры и влажности	низкая	низкая	низкая	низкая	низкая
Электромагнитное излучение	низкая	средняя	средняя	средняя	низкая
Кража	низкая	средняя	низкая	средняя	низкая
Несанкционированное использование носителей данных	низкая	средняя	низкая	низкая	низкая
Ошибки обслуживающего персонала	низкая	низкая	средняя	низкая	низкая
Ошибки при обслуживании	низкая	низкая	низкая	низкая	низкая
Программные сбои	низкая	средняя	низкая	низкая	низкая
Несанкционированное использование программного обеспечения пользователями	низкая	средняя	низкая	низкая	низкая
Проникновение злоумышленников под видом санкционированных пользователей	низкая	низкая	низкая	низкая	низкая
Незаконное использование программного обеспечения	низкая	низкая	низкая	низкая	Низкая
Вредоносное программное обеспечение	низкая	низкая	низкая	низкая	низкая
Незаконный импорт/экспорт программного обеспечения	низкая	средняя	низкая	низкая	низкая
Ошибки операторов	низкая	низкая	высокая	высокая	низкая
Ошибки при обслуживании	низкая	низкая	низкая	низкая	низкая
Доступ несанкционированных пользователей к сети	низкая	низкая	низкая	средняя	низкая
Использование сетевых средств несанкционированным способом	низкая	низкая	низкая	низкая	низкая
Повреждение линий	средняя	низкая	низкая	средняя	низкая
Перегрузка каналов связи трафиком	средняя	высокая	средняя	высокая	низкая
Перехват информации	низкая	средняя	низкая	средняя	низкая
Несанкционированное проникновение к средствам связи	низкая	низкая	низкая	низкая	низкая
Анализ трафика	низкая	низкая	низкая	средний	низкая
Изменение маршрута направления сообщений	низкая	низкая	низкая	низкая	низкая
Изменение смысла переданной информации	низкая	низкая	средняя	средняя	низкая
Сбои в функционировании услуг связи (например сетевых услуг)	низкая	средняя	средняя	средняя	низкая
Ошибки пользователей	низкая	низкая	высокая	высокая	низкая
Ненадлежащая эксплуатация ресурсов	низкая	высокая	высокая	высокая	низкая
2. Угрозы, обусловленные случайными действиями
Затопление	низкая	низкая	низкая	низкая	низкая
Забастовка	низкая	низкая	низкая	низкая	низкая
Применение оружия	низкая	низкая	низкая	низкая	низкая
Пожар	низкая	низкая	низкая	низкая	низкая
Неисправности в системе электроснабжения	низкая	низкая	низкая	низкая	низкая
Неисправности в системе водоснабжения	низкая	низкая	низкая	низкая	низкая
Неисправности в системе кондиционирования воздуха	низкая	низкая	низкая	низкая	низкая
Отказы аппаратного обеспечения	низкая	низкая	низкая	низкая	низкая
Колебания напряжения питания	низкая	средняя	средняя	средняя	низкая
Экстремальные величины температуры и влажности	низкая	низкая	низкая	низкая	низкая
Электромагнитное излучение	низкая	низкая	низкая	низкая	низкая
Ошибка обслуживающего персонала	низкая	низкая	средняя	низкая	низкая
Ошибка при обслуживании	низкая	низкая	средняя	низкая	низкая
Программные сбои	низкая	низкая	низкая	низкая	низкая
Несанкционированное использование программного обеспечения пользователями	низкая	низкая	низкая	низкая	низкая
Незаконное использование программного обеспечения	низкая	низкая	низкая	низкая	низкая
Вредоносное программное обеспечение	низкая	низкая	низкая	низкая	низкая
Ошибка операторов	низкая	низкая	средняя	средняя	низкая
Ошибка при обслуживании	низкая	низкая	низкая	низкая	низкая
Технические неисправности сетевых компонентов	низкая	низкая	низкая	низкая	средняя
Ошибки передачи данных	низкая	низкая	низкая	средняя	низкая
Повреждение линий связи	низкая	низкая	низкая	низкая	низкая
Перегруженный сетевой трафик	средняя	средняя	низкая	низкая	низкая
Направление сообщений по ошибочному адресу	низкая	низкая	низкая	средняя	низкая
Сбои в функционировании услуг связи (например сетевых услуг)	низкая	низкая	низкая	низкая	низкая
Недостаточная численность персонала	низкая	низкая	низкая	низкая	низкая
Ошибки пользователей	низкая	низкая	средняя	средняя	низкая
Ненадлежащее использование ресурсов	низкая	низкая	низкая	низкая	низкая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Землетрясение	низкая	низкая	низкая	низкая	низкая
Затопление	низкая	низкая	низкая	низкая	низкая
Ураган	низкая	низкая	низкая	низкая	низкая
Попадание молнии	низкая	низкая	низкая	низкая	низкая
Колебания напряжения	низкая	низкая	низкая	низкая	низкая
Экстремальные величины температуры и влажности	средняя	низкая	низкая	низкая	средняя
Воздействие пыли	средняя	низкая	низкая	низкая	средняя
Электромагнитное излучение	низкая	низкая	низкая	низкая	низкая
Статическое электричество	низкая	низкая	низкая	низкая	низкая

Информация о работе Обеспечение информационной безопасности предприятия ОАО ОХК «Уралхим»