Ім'я файлу: Курсова.docx
Розширення: docx
Розмір: 231кб.
Дата: 23.10.2022
скачати
Пов'язані файли:
bestreferat-213555 (2).docx
ВИЗНАЧЕННЯ ОСВІТЛЕННЯ ПРИМІЩЕНЬ ПРИРОДНИМ СВІТЛОМ.docx
курсова1..docx
биология.docx
Поурочный план.doc
Редкие-ФОРМЫ-косоглазия.pdf
Бажаємо приємного легкого спілкування.docx
Мотивація і особистість.doc
целиакия.docx
Синдром печінкової недостатності.doc
Вітчизняні тренди в розвитку грошових розрахунків.docx
Семінар 3.pdf
копія.docx
Розширення: docx
Розмір: 231кб.
Дата: 23.10.2022
скачати
Пов'язані файли:
bestreferat-213555 (2).docx
ВИЗНАЧЕННЯ ОСВІТЛЕННЯ ПРИМІЩЕНЬ ПРИРОДНИМ СВІТЛОМ.docx
курсова1..docx
биология.docx
Поурочный план.doc
Редкие-ФОРМЫ-косоглазия.pdf
Бажаємо приємного легкого спілкування.docx
Мотивація і особистість.doc
целиакия.docx
Синдром печінкової недостатності.doc
Вітчизняні тренди в розвитку грошових розрахунків.docx
Семінар 3.pdf
копія.docx
Аналіз структури підприємства та інформаційних потоків, ідентифікація загроз
1.1 Структура підприємства
Розглядається середня комерційна організація ЗАТ «PROGRI», основним родом її діяльності є розробка програмного забезпечення (ПЗ). Організації належить кілька приміщень на першому поверсі багатоповерхового офісного центру (рис. 1.1). До приміщень є два входи: для клієнтів та працівників клієнтського відділу, та інших працівників офісу.
Рис.1.1 – Схема приміщення
Організація розташована у місті, в безпосередній близькості від організації знаходяться: автомобільна дорога, супермаркет, пожежна частина, кілька житлових будинків та автостоянка.
У приміщеннях розташовано 14 персональних комп’ютерів, підключених до локальної мережі, та два сервери (один для роботи, інший для зберігання резервних даних). Є постійний вихід до інтернету. Антивірусні бази даних оновлюються окремо для кожного комп'ютера.
Табл.1.1 – Технічний паспорт об’єктів інформаційної безпеки (ІБ) в організації.
| Назва параметра | Значення параметра |
| Загальна характеристика організації | |
| Назва об’єкта | ЗАТ «PROGRI» |
| Кількість будівель | 1 |
| Контрольована зона | 300 м2 |
| Наявність поблизу конкуруючих підприємств | Немає |
| Характеристика будівлі | |
| Загальна площа приміщень | 600м2 |
| Будівельні конструкції | Зовнішні та несучі стіни – керамзитобетонні блоки, завтовшки 50 см. Внутрішні перегородки – гіпсобетонні стіни завтовшки 12 см |
| Кількість поверхів | 1 |
| Кількість вікон | 3 (два в клієнтському відділі, одне в бухгалтерії) |
| Порядок доступу в будівлю | Обмежений |
| Кількість приміщень | 6 приміщень, що захищаються (приміщення розробників ПЗ, приміщення тестувальників ПЗ, серверна та сховище резервних даних, кабінет директора, бухгалтерія, клієнтський відділ) |
| Наявність ліфта | Немає |
| Порядок доступу до приміщень | Для кожного приміщення потрібна відповідна перепустка (магнітна карта) відмінна від перепусток для інших приміщень. Виключення – клієнтський відділ, куди заходять без перепусток. |
Додатково до технічного паспорту зроблені наступні висновки. Вхідні двері в організацію, вхідні двері в клієнтський відділ виконані з алюмінієвого профілю зі склопакетами, оснащені механічними врізаними замками. Двері в секцію директора, головного бухгалтера та відділи розробки та тестування ПЗ – одностулкова протипожежна металева EI260 C5 з магнітним та механічним замками. Інші двері в організації дерев'яні зі вставками зі скла мають механічний врізаний замок. Магнітний замок має максимальне механічне навантаження на відрив понад 500 кг.
Вікна у приміщеннях виготовлені з профілю ПВХ та оснащені подвійними склопакетами. Усередині приміщення на всіх вікнах встановлені вертикальні тканинні жалюзі.
Кожне приміщення організації обладнане підвісною стелею, на якій встановлено димовий оптико-електронний сповіщувач протипожежної безпеки. У клієнтському відділі встановлено 2 сповіщувачі протипожежної сигналізації, у всіх інших по одному. У всіх приміщеннях встановлено пасивний датчик руху. У бухгалтерії встановлено датчик розбиття скла. Шлейфи сигналізації від охоронних та пожежних датчиків йдуть на приймально-контрольний прилад, який з'єднаний з обладнанням централізованого управління охоронно-пожежною сигналізацією офісного центру.
Розетки електроживлення з напругою 380/220В підведені до щитків однофазної мережі, що є частиною трифазної мережі.
У кожному приміщенні є алюмінієвий радіатор централізованого опалення. У клієнтському відділі встановлено 2 радіатори.
У кабінеті директора та головного бухгалтера встановлено сейфи Valberg ASK-25. Сейфи призначені для зберігання цінних паперів та документів.
1.2 Штат працівників
Чисельність співробітників організації складає 14 осіб, серед них:
Директор
Бухгалтер
3 менеджери по роботі з клієнтами
3 співробітники відділу тестування розробок
4 співробітників відділу розробок
Системний адміністратор (розташовується в відділі тестування)
Робота офісу організації розпочинається о 10:00. Ключі від клієнтського відділу знаходяться у менеджерів по роботі з клієнтами, від кабінетів директора та бухгалтера – у директора та бухгалтера. Працівники відділів розробок та тестування мають свої ключі від своїх приміщень. Можливість відкрити вхід у технічну частину має лише директор та бухгалтер.
Прибиранням приміщень займається клінінгова компанія. Прибирання фахівцем клінінгової компанії здійснюється лише у присутності персоналу організації наприкінці кожного робочого дня.
Охорону об'єкта та моніторинг протипожежної обстановки виконує охоронна компанія, яка обслуговує увесь офісний центр.
1.3 Характеристика інформаційної системи організації, як об'єкта ІБ
Дані, з якими працюють співробітники цієї компанії в інформаційній системі (ІС) відносяться до конфіденційних, оскільки несуть дійсну комерційну цінність через те, що вони є інтелектуальною власністю. Нижче перераховані всі дані, що обробляються, зберігаються та розробляються в ІС:
1. Програмні коди програм, що у розробці (ІА1);
2. Вже розроблені програми, які постійно доопрацьовуються та тестуються (ІА2);
3. Фінансова звітність організації (ІА3);
4. Архіви з програмним кодом програм, які з тих чи інших причин перестали розробляти (ІА4);
5. Архіви із застарілими програмами, які більше не доопрацьовуються та не продаються компанією (ІА5).
6. Бази даних клієнтів (як поточні (ІА6), так і тих, що були в минулому (ІА7)).
Табл. 1.2 – Класифікація інформаційних активів (ІА)
| Цілісність | Доступність | Конфіденційність | | |||||||||
| Ц0 | | ІА1, ІА2 | Д0 | ІА1, ІА2 | К0 | ІА1, ІА2 | | |||||
| Ц1 | ІА3 | Д1 | ІА3 | К1 | ІА3 | | ||||||
| | ||||||||||||
| | ||||||||||||
| Ц2 | | ІА6 | Д2 | ІА6 | К2 | ІА6 | | |||||
| Ц3 | | ІА4, ІА5, ІА7 | Д3 | ІА4, ІА5, ІА7 | К3 | ІА4, ІА5, ІА7 | | |||||
| Ц4 | | | Д4 | | К4 | | | |||||
Умовні позначення:
Ц0, Д0, К0 – Критична
Ц1, Д1, К1 – Дуже важлива
Ц2, Д2, К2 – Важлива
Ц3, Д3, К3 – Значима
Ц4, Д4, К4 – Не значна
ІС в організації побудовано за топологією «активна зірка» (рис. 1.2).
Рис. 1.2. – Топологія ІС організації
Умовні скорочення:
М1-М3 – комп’ютери працівників клієнтського відділу;
П1-П4 – комп'ютери програмістів;
Т1-Т3 – комп’ютери тестувальників;
СА – комп’ютер системного адміністратора;
РД - сервер з резервними даними;
Б - комп'ютер бухгалтера;
Д - комп'ютер директора.
Особливості функціонування ІС організації:
1. З комп'ютерів програмістів та тестувальників не можна зняти інформацію з допомогою фізичних носіїв;
2. Сервер знаходиться в окремому приміщенні, він підтримує всі інші комп'ютери мережі, за ним працює системний адміністратор. На нього можуть надсилати дані програмісти зі своїх комп'ютерів, але не можуть читати, змінювати, копіювати, видаляти дані з нього. Повний доступ до сервера мають лише системний адміністратор та директор.
3. На сервер з резервними даними (РД) копіюються всі важливі дані з сервера, до них проведений односторонній кабель, так що дані можна лише копіювати на сервер, а зняти з нього не можна. Сервер з РД розташовується в тому ж приміщенні, що і звичайний сервер. Фізичний доступ до нього мають лише системний адміністратор та директор.
5. Комп'ютер бухгалтера має доступ лише до фінансових баз даних на сервері.
1.4 Аналіз загроз інформаційним ресурсам
Таблиця 1.3 – Аналіз загроз
| Загроза | Джерело загрози | Реалізація загрози |
| Землетрус | Стихійне явище | Стихійне явище |
| Паводок | Стихійне явище | Стихійне явище |
| Ураган | Стихійне явище | Стихійне явище |
| Вимкнення/ перебої в електропостачанні | Збої у роботі електростанції | Вимкнення електроживлення; короткочасне включення та вимикання електроживлення; |
| Ненавмисний запуск шкідливих програм | Персонал організації | Запуск співробітником шкідливого ПЗ |
| Модифікація, видалення або блокування інформації внаслідок ненавмисних дій | Персонал організації | Ненавмисні дії співробітників |
| Апаратний або програмний збій внаслідок ненавмисних дій | Персонал організації | Ненавмисні дії співробітників |
Таблиця 1.3 – Аналіз загроз (продовження)
| Загроза | Джерело загрози | Реалізація загрози |
| Ненавмисне розголошення інформації обмеженого доступу в результаті розмови з персоналом фірми | Персонал організації | Ведення розмов співробітниками організації у присутності сторонніх осіб |
| Ненавмисна втрата або псування документованої / електронної інформації | Персонал організації | Недбале ставлення персоналу до своїх обов'язків |
| Некоректне знищення паперових носіїв/ електронної інформації | Персонал організації | Недбале ставлення персоналу до своїх обов'язків; незнання про можливу втрату інформації |
| Розкрадання або копіювання інформації на паперовому чи електронному носії | Персонал організації | Зловмисні дії персоналу під час роботи з електронними чи паперовими документами |
| Несанкціонований доступ до серверів, локальної мережі, робочих станцій | Персонал організації | Зловмисні дії персоналу. |
Таблиця 1.3 – Аналіз загроз (продовження)
| Загроза | Джерело загрози | Реалізація загрози |
| Змова зі зловмисником та допомога йому | Персонал організації | Зловмисні дії персоналу |
| Використання програмних та апаратних закладок для розкрадання інформації | Персонал організації | Зловмисні дії персоналу |
| Фото та відеозйомка документів | Персонал організації | Зловмисні дії персоналу |
| Фізичне розкрадання чи руйнування засобів обчислювальної техніки | Зловмисник | Проникнення до організації; порушення штатного режиму функціонування |
| Несанкціонований доступ до серверів, локальної мережі, робочих станцій | Зловмисник | Атака на сервери організації, комутаційне обладнання та робочі станції |
| Отримання інформації по акустичному та віброакустичному каналу витоку інформації | Зловмисник | Підслуховування; використання спрямованих мікрофонів; пристрої звукозапису; стетоскопи; |
Таблиця 1.3 – Аналіз загроз (продовження)
| Загроза | Джерело загрози | Реалізація загрози |
| Отримання інформації з допомогою тех. засобів оптичної та оптико-електронної розвідки; | Зловмисник | Використання біноклів, підзорних труб; лазерні мікрофони |
| Отримання інформації через підключення до ліній зв'язку | Зловмисник | Підключення спец.апаратури або закладок до ліній зв'язку |
| Отримання інформації за допомогою високочастотного нав'язування | Зловмисник | Використання спец.апаратури |
| Підкуп, змова з персоналом (агентурні методи) | Зловмисник | Змова, підкуп співробітника організації |
1.5 Реалізація матриці розмежування доступу
Матриця доступу визначатиме порядок доступу з відповідними правами на запис (W), читання (R ), та модифікацію даних (U) до загальнодоступної та закритої інформації різним ролям у ІС.
Табл. 1.4 – Матриця доступу до ресурсів
| Працівники | Ресурси | ||||||
| ІА1 | ІА2 | ІА3 | ІА4 | ІА5 | ІА6 | ІА7 | |
| П | RWU | R | - | R | - | - | - |
| Т | R | RWU | - | R | - | - | - |
| СА | RWU | RWU | RWU | RWU | RWU | RWU | RWU |
| Д | RWU | RWU | RWU | RWU | RWU | RWU | RWU |
| Б | - | - | RWU | - | - | R | R |
| М | - | - | - | - | - | RWU | R |
1 2 3 4