Анализ моделей нарушителей информационной безопасности объекта BridgeQuest”
Заказать уникальную дипломную работу- 64 64 страницы
- 31 + 31 источник
- Добавлена 22.06.2021
- Содержание
- Часть работы
- Список литературы
- Вопросы/Ответы
ВВЕДЕНИЕ………………………………………………………………………..3
1. ПОНЯТИЕ И ИСТОЧНИКИ РИСКОВ……………………………………….5
1.1 Информационная безопасность……………………………………………...5
1.2 Модели угроз………………………………………..……………………….15
1.3 Нормативно-методическое обеспечение…………………………….……..20
2. АНАЛИЗ ПРЕДПРИЯТИЯ И МОДЕЛЬ НАРУШИТЕЛЕЙ………………..23
2.1 Характеристика BridgeQuest……………………………………………......23
2.2 Анализ информационной системы (ИС) …………………………….….....26
2.3 Расчёт расходов на разработку моделей нарушителей в организации…..28
3. СОСТАВЛЕНИЕ МОДЕЛИ НАРУШИТЕЛЯ ИС ………………………….30
3.1 Анализ рисков информационной безопасности использования ИС …….30
3.2 Построение модели нарушителя……………………………………………46
ЗАКЛЮЧЕНИЕ…………………………………………………………….……61
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ..……………..…………...63
Далее представлена модель нарушителя, оценена защищенность объекта организации BridgeQuest от противоправных действий потенциального нарушителя, определены вероятные цели нарушителя. Нарушитель, может быть как физическим, так и юридическим лицом. Данные нарушители могут внешними и внутренними. Приведены виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации, данные о потенциале нарушителей. Представлены угрозы безопасности информации, которые могут быть реализованы нарушителями.Тип нарушителя определяется отношением к охраняемому объекту и вероятности преодоления охранных систем.Например, к «специалист» относятся люди, профессионально занимающиеся текущим видом деятельности и имеющие специализированную подготовку. Они имеют возможность функционировать с государственными интересами или преследуя собственные цели. Категория «любитель», это наемники или люди, которые нуждаются в средствах (например, безработные), которые сознательно совершают противоправные действия.К следующей категории «дилетант» относятся хулиганы, наркоманы, алкоголики, которые совершают проникновение не имеющие при этом предварительную подготовку. Преследуют обычно, корыстные цели или мелкое вредительство. «Сотрудник» является человек, который работает на самом объекте защиты, его целью является обогащение.Готовность нарушителя характеризуется рядом параметров, основные параметры, это психологическая особенность личности, физическая подготовленность, техническое оснащение и осведомленность об объекте и системе охраны. Данные характеристики взаимодействуют друг с другом, усиливая или ослабляя.Внешний тип модели нарушителя категории специалист относится к высокой психофизической, технической составляющими, а так же в большой степени осведомленности о предприятии.Внешний тип модели нарушителя категории любитель относится к средней психофизической, технической составляющими, а так же в средней степени осведомленности о предприятии.Внешний тип модели нарушителя категории дилетант обладает низкой психофизической, технической составляющими, а так же в низкой степени осведомленности о предприятии.Внутренний тип модели нарушителя категории сотрудник обладает средними психофизической и технической составляющими, но высокой степени осведомленности о предприятии.Нарушения могут быть в том числе от работников компании, в данном случае статистика показывает финансовые потери в размере примерно 70%, остальные 30% приходятся на злоумышленников вне предприятия.При безответственном подходе к работе сотрудник компании может совершить нарушения специально, либо случайно. Подобное как следствие некомпетентности работников предприятия. Достаточно сложно предупредить все возможные ситуации.Под моделью нарушителя понимается совокупность качественных и количественных характеристик нарушителя, с учетом которых определяют требования к комплексу, либо составным частям, инженерно-технических средств по охране. По результатам работы видно, что внешний нарушитель с хорошей подготовкой представляет наибольшую опасность для функционирования информационной системы коммерческой организации. Модель класса 1-й (неподготовленный нарушитель) является распространенной. Им может быть один человек, или же группа людей, которые хотят пробраться на охраняемый объект. У неподготовленного нарушителя нет специальных инструментов для проникновения на территорию. Что бы защититься от такого нарушителя, можно просто оснастить территорию оградительным барьером (забор), средством охранной сигнализации, подключить систему видеонаблюдения и службу охраны.
1. Безопасность технических средств и технологических процессов. Ссылка [https://vuzlit.ru/127054/bezopasnost_tehnicheskih_sredstv_i_tehnologicheskih_protsessov]. Дата обращения [27.01.2021]
2. Стандарт безопасности "Руководство". Часть 1. Модель и процессы ("Guide of quality". Part 1. Process cost model.) - М.: НТК "Трек", 2019. - 28 с.
3. Давид Марка, Клемент Мак Гоуэн. Методология проектирования. М.: Мета Технология, 2013. - 240 с.
4. Эксперт. Руководство пользователя. Copyright. 1997. - 352 с.
5. "Этапы развития технических средств". Архивирован с оригинала 12 августа 2017 года.
6. Андрейчиков А.В., Андрейчикова О.Н. Технологические процессы - М.: Программирование, 2020. - 368 с.
7. Мирошников В.В. Информационные технологии // Средства и процессы. - 2019, №2, - С. 23-28
8. Белов Е.Б. Основы информационной безопасности.
9. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2006. – 544 с
10. Галатенко В.А. Стандарты информационной безопасности, 2019. - 264 с.
11. Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2026.- 264 с
12. Долженко А.И. Управление информационными системами, 2018.-125 с
13. Калашников А. Формирование корпоративной политики внутренней информационной безопасности
14. Паршуткин А.В., Левин Д.В., Зайцев С.А., Эджин А.В.: Применение структурных помех для защиты данных от утечки информации в канале паразитных электромагнитных излучений, 2018 г., с. 181 (2018)
15. Бузов Г.А., Калинин С.В., Кондретьев А.В., Защища информации от утечек по техническому каналу. Телефом, Москва, 2005 г.
16. Кух Г., Компрометирующие излучения: риски перехвата компьютерных дисплеев. http://www.cl.cam.ас.uk/techreports.
17. Син М.Г.: Риски электромагнитного перехвата, 2010г, с. 107
18. Син М.Г.: Риски оптического прослушивания, 2012г., с.
19. Ленков С.В., Перегудов В.А., Хорошко В.А.,
20. Lenkov, S.V., Peregudov, D.А., Horoshko, V.А.: Методы и средства защиты информации, 2018г., с. 210
21. Коробийчук И., Добржанский О., Качниар М., Дистанционное управление, 2017 г., с. 667
22. Чиу Д., Ли Х., Чжао С., Измерения для безопасности и приватность данных, 2019г., 300 с.
23. Информационные технологии. Техники безопасности. Системы управления информационной безопасностью. Требования [ISO/IEC 27001:2013].
24. Хорошко В.О, Хоклачева Ю.Е., Самодиагностика сложных систем с программно-конфигурируемой структурой, 2018г., с 410
25. Нято Д., Хьюстон Е., Теоретико-массовая и оптимизационная модель, г. 2016, с. 473
26. Мамарев В., Кашняр М., Классификация кибератак и диагностика процессов 2017г., с. 402
27. Ивановский Р.И., Теория проблем и матемарическая статистика, 2008г, с. 315.
28. Исаков В.Н., Радио инженерные системы, 2007г., стр 115
29. Коулет Р., Деббах М., Методы случайных матриц для беспроводной связи, 2011г., с. 539
30. Ли М., Нейфелд М.А., Ашок А., Электромагнитная связь в оптике, 2016г., с. 342.
31. Бураченко Д.Л., Заварин Х.Д., Клюев Н.Ю., Теория коммуникаций, 1970 г., с. 633
Вопрос-ответ:
Какие конкретно модели угроз были проанализированы для объекта BridgeQuest 3?
Для объекта BridgeQuest 3 были проанализированы следующие модели угроз: модель угрозы «Атакующая прецедент» и модель угрозы «Уязвимость».
Какое нормативно-методическое обеспечение используется при анализе моделей нарушителей информационной безопасности?
При анализе моделей нарушителей информационной безопасности объекта BridgeQuest 3 используется следующее нормативно-методическое обеспечение: Федеральный закон "Об информации, информационных технологиях и о защите информации", ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Методы обеспечения информационной безопасности. Эталонная модель управления информационной безопасностью", ГОСТ Р ИСО/МЭК 15408-2015 "Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий".
Какую информационную систему (ИС) проанализировали в рамках анализа предприятия BridgeQuest?
В рамках анализа предприятия BridgeQuest была проанализирована их информационная система (ИС), которая включает в себя различные программные продукты и аппаратное обеспечение, используемые в компании для обработки, хранения и передачи информации.
Какие расходы были рассчитаны при анализе предприятия BridgeQuest и модели нарушителей?
При анализе предприятия BridgeQuest и модели нарушителей были рассчитаны следующие расходы: расходы на обеспечение информационной безопасности, расходы на реализацию мер по снижению рисков информационной безопасности, расходы на восстановление системы после нарушения безопасности, расходы на компенсацию ущерба, причиненного нарушителями.
Какую характеристику имеет предприятие BridgeQuest?
Предприятие BridgeQuest имеет следующую характеристику: это крупная компания, занимающаяся разработкой программного обеспечения для авиационной отрасли. Они предоставляют услуги по разработке и внедрению ПО для авиакомпаний и созданию авиационных симуляторов.
Что такое информационная безопасность?
Информационная безопасность - это состояние, при котором информационная система и данные, которые она содержит, защищены от несанкционированного доступа, разрушения, изменения или утечки. Она включает в себя различные меры и методы, используемые для защиты информации и обеспечения надежности системы.
Что такое модели угроз и для чего они используются?
Модели угроз - это метод, который используется для анализа и оценки потенциальных угроз информационной безопасности. Они помогают определить различные сценарии атак и уязвимости, которые могут быть использованы злоумышленниками, и позволяют принять меры по усилению защиты системы.