Аналіз загроз та розробка пропозицій щодо забезпечення інформаційної безпеки Російської Федерації 2

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Федеральне агентство з освіти РФ

Державна освітня установа вищої професійної освіти

Пензенська ДЕРЖАВНИЙ УНІВЕРСИТЕТ

Кафедра «Інформаційна безпека систем і технологій»

ЗВІТ

Про курсову праців

АНАЛІЗ ЗАГРОЗ ТА РОЗРОБКА ПРОПОЗИЦІЙ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ У ПРАВООХОРОННОЇ І СУДОВОЇ СФЕРАХ

Керівник КР

Виконавець ПЗ

Нормоконтролер

Пенза, 2006

РЕФЕРАТ

Пояснювальна записка містить 52 с., 1 дод., 15 табл., 2 джерела.

ІНФОРМАЦІЙНА БЕЗПЕКА, СФЕРА ОБОРОНИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ, ЗАГРОЗА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ, РИЗИК ІНФОРМАЦІЙНОЇ БЕЗПЕКИ, ЗАХОДИ ОБСПЕЧЕНІЯ, ОЦІНКА РИЗИКУ ВІД РЕАЛІЗАЦІЇ ЗАГРОЗ, РЕКОМЕНДАЦІЇ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Об'єктом дослідження є модель забезпечення інформаційної безпеки у сфері оборони Російської Федерації.

Метою виконання даної роботи є оцінка стану систем захисту інформації в даній сфері, аналіз загроз інформаційної безпеки, проведення оцінки ризиків від реалізації можливих загроз і вироблення рекомендацій щодо забезпечення інформаційної безпеки у сфері оборони.

У результаті виконаної роботи необхідно виявити і ідентифікувати всі елементи моделі загроз, описаної в ДСТУ ISO / IEC 15408, і запропонувати модель забезпечення інформаційної безпеки у сфері оборони.

ЗМІСТ

Реферат 2

Завдання на курсове проектування 4

Нормативні посилання 6

Терміни та визначення 7

Позначення та скорочення 9

Введення 10

1. Ідентифікація загроз, джерел загроз об'єктів забезпечення та заходів забезпечення інформаційної безпеки Російської Федерації 11

2. Визначення відносин елементів моделі інформаційної безпеки Російської Федерації 15

3. Оцінка ризиків реалізації загроз інформаційної безпеки Російської Федерації 22

4. Розробка повного опису загроз на основі моделі ДСТУ ISO / IEC 15408 1936

Висновок 48

Список використаних джерел 49

Додаток А 50

ЗАТВЕРДЖУЮ

Завідувач кафедрою ІБСТ доцент,. "___"__________________ __ _ 2006

ЗАВДАННЯ

на курсову роботу

за темою Особливості забезпечення інформаційної безпеки Російської Федерації в різних сферах суспільного життя

1 Дисципліна - Основи інформаційної безпеки

2 Варіант завдання - сфера оборони

3 Студент. Група

4 Вихідні дані на курсовий проект:

- Повинні бути ідентифіковані загрози, джерела загроз, уразливості, нападу, об'єкти забезпечення ІБ та заходи по забезпеченню для сфери оборони РФ на підставі Доктрини інформаційної безпеки (ІБ) РФ;

- Повинні бути побудовані матриця відносин «джерела загроз» - «загрози», «загрози» - «нападу», «нападу» - «уразливості», «вразливості» - «об'єкти захисту»; «заходи забезпечення ІБ» - «загрози»;

- Повинні бути заповнені матриця поєднань ймовірностей реалізації загроз та можливої ​​шкоди і таблиця оцінки ризиків;

- Повинно бути розроблені повні описи загроз за моделлю ДСТУ ISO / IEC 15408;

- Повинен бути розроблений граф моделі ІБ РФ в заданій сфері суспільного життя.

5 Структура проекту

5.1 Зміст роботи:

- Аналіз і структурування загроз, об'єктів забезпечення та основних напрямів забезпечення інформаційної безпеки у сфері оборони;

- Розробка методики оцінки ризику реалізації загроз ІБ РФ;

- Розробка описів загроз і графа моделі ІБ РФ у сфері оборони.

5.2 Графічна частина

граф моделі забезпечення ІБ РФ у сфері оборони.

6 Календарний план виконання проекту

6.1 Термін виконання за розділами:

затвердження ТЗ 10.03.06 р.;

розробка матриці відносин 31.03.06 р.;

оцінка ризиків, розробка описів загроз і графа 21.04.06 р.;

оформлення та перевірка пояснювальної записки 12.05.06 р.;

захист курсової роботи 26.05.06 р.

Дата захисту проекту "" травня 2006

Керівник проекту В. М. Алексєєв

Завдання отримав "" лютого 2006 р

Студент.

Нормоконтролер

НОРМАТИВНІ ПОСИЛАННЯ

У цьому пояснювальній записці використані посилання на такі стандарти:

ДСТУ ISO / IEC 15408 - 2002 Критерії оцінки безпеки інформаційних технологій.

ТЕРМІНИ І ВИЗНАЧЕННЯ

У цьому пояснювальній записці застосовують такі терміни з відповідними визначеннями:

інформаційна безпека Російської Федерації - стан захищеності її національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особистості, суспільства і держави (Доктрина інформаційної безпеки Російської Федерації).

інформаційна сфера - сукупність інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збір, формування, розповсюдження і використання інформації, а також системи регулювання виникаючих при цьому громадських відносин (Доктрина інформаційної безпеки Російської Федерації).

загроза - це потенційна можливість завдання шкоди.

захист інформації - діяльність, спрямована на запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних дій на захищає інформацію (ГОСТ Р 50-922).

збиток: Нанесення фізичного пошкодження або іншої шкоди здоров'ю людей, або шкоди майну, або навколишньому середовищі (ГОСТ Р 51-898).

ризик - поєднання ймовірності нанесення шкоди і тяжкості цього збитку (ГОСТ Р 51-898).

несанкціонований доступ до інформації - отримання інформації, що захищається зацікавленим суб'єктом з порушенням правових документів або власником власником інформаційних прав або правил доступу до інформації, що захищається (ГОСТ Р 51-898).

цілісність інформації - властивість інформації і АС зберігати незмінність або виявляти факт зміни інформації з забезпеченням неспростовності джерела інформації та неспростовності одержувача інформації.

безпека - відсутність неприпустимого ризику (ГОСТ Р 51-898).

ПОЗНАЧЕННЯ І СКОРОЧЕННЯ

РФ

-

Російська Федерація

ІБ

-

інформаційна безпека

ЗС РФ

-

Збройні сили Російської Федерації

АС

-

автоматизована система;

ІС

-

Інформаційна система

ІТКМ

-

Інформаційно-телекомунікаційна система

ВСТУП

В даний час людина живе в інформаційному суспільстві і бере активну участь в інформаційних процесах. Все життя людського суспільства залежить від інформації. І немає нічого дивного, що на безпеку інформації може хтось посягати. Таким чином, перед суспільством постає завдання забезпечення інформаційної безпеки.

Органом, що займається безпекою держави в цілому в Російській Федерації є Рада безпеки РФ. У нього входить Міжвідомча комісія з інформаційної безпеки. У її штат входять фахівці з інформаційної безпеки, аналітики, що займається розробкою теоретичних і практичних рекомендацій, дотримання яких допоможе забезпечити інформаційну безпеку життєдіяльності держави.

Забезпечення інформаційної безпеки в різних сферах життєдіяльності суспільства має свої особливості, пов'язані зі специфікою об'єктів забезпечення. «Доктрина інформаційної безпеки РФ» - основний нормативний документ, який містить рекомендації щодо забезпечення ІБ РФ. У ньому описані загрози та об'єкти забезпечення ІБ у всіх виділених сферах і загальні положення щодо забезпечення ІБ.

Виконання курсової роботи, викликане необхідністю перегляду, коректування і доповнення існуючих даних, наведених в «Доктрині інформаційної безпеки Російської Федерації».

1. ІДЕНТИФІКАЦІЯ ЗАГРОЗ, ДЖЕРЕЛ ЗАГРОЗ, ОБ'ЄКТІВ ЗАБЕЗПЕЧЕННЯ І ЗАХОДІВ ЗАБЕЗПЕЧЕННЯ ІБ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ У СФЕРІ ОБОРОНИ

Інформаційна безпека РФ, будучи однією із складових національної безпеки в цілому, стала однією з найважливіших завдань держави у світі все більш і більш зростаючу роль інформації в суспільстві. Також, поза сумнівом, інформаційна безпека країни має суттєвий вплив на ступінь захищеності національних інтересів Росії на світовій арені і в різних сферах суспільного життя самої країни.

Забезпечення інформаційної безпеки в різних сферах суспільного життя має свої особливості, пов'язані з особливостями об'єктів забезпечення. У кожній сфері для забезпечення інформаційної безпеки використовуються різні методи її забезпечення, більшою чи меншою мірою ефективні. Перед фахівцями щодо забезпечення ІБ стоїть завдання оцінити ефективність методів захисту, розробити ряд рекомендацій щодо поліпшення захисних заходів. Таким чином проводиться аналіз загроз і оцінка ризику ІБ РФ в окремо взятій сфері суспільного життя.

Процес аналізу починається з визначення основних загроз, їх джерел, об'єктів і методів забезпечення ІБ. На основі тексту «Доктрини ...» у сфері оборони виділені наступні загрози ІБ (Таблиця 1) та їх джерела (Таблиця 2).

Таблиця 1 - Перелік загроз ІБ

загрози

Загроза


1

всі види розвідувальної діяльності зарубіжних держав


2

інформаційно-технічні дії (у тому числі радіоелектронна боротьба, проникнення в комп'ютерні мережі) з боку ймовірних противників


3

диверсійно-підривна діяльність спеціальних служб іноземних держав, здійснювана методами інформаційно-психологічного впливу


4

діяльність іноземних політичних, економічних і військових структур, спрямована проти інтересів Російської Федерації в сфері оборони


5

порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, що у штабах і установах Міністерства оборони Російської Федерації, на підприємствах оборонного комплексу


6

навмисні дії, а також помилки персоналу інформаційних і телекомунікаційних систем спеціального призначення


7

ненадійне функціонування інформаційних і телекомунікаційних систем спеціального призначення


8

можлива інформаційно-пропагандистська діяльність, підриває престиж Збройних Сил Російської Федерації та їх боєготовність


9

невирішеність питань захисту інтелектуальної власності підприємств оборонного комплексу, що призводить до витоку за кордон найцінніших державних інформаційних ресурсів





Таблиця 2 - Перелік джерел загроз ІБ

джерела

Джерело загроз

1

Спеціальні служби іноземних держав

2

Деякі терористичні і радикально налаштовані організації чи політичні структури

3

Персонал інформаційних і телекомунікаційних систем спец призначення

4

Інформаційні та телекомунікаційні системи спец призначення

5

Деякі засоби масової інформації і громадські організації, що здійснюють негативну пропаганду ЗС РФ

На основі ідентифікованих загроз та їх джерел були складені таблиці нападів, можливих у даній сфері, і вразливостей, якими ці напади можуть скористатися. Вони наведені в таблицях 3 і 4

Таблиця 3 - Перелік нападів

нападу

Напад

1

Несанкціонований доступ до інформаційних ресурсів, порушення конфіденційності і цілісності

2

Пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння

3

Поява великої кількості терористичних і радикальних організацій

4

Некоректна робота з конфіденційною інформацією інформаційних баз спеціального призначення і компонентами системи

Таблиця 4 - Перелік вразливостей

уразливості

Уразливість об'єкта забезпечення

1

Можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення

2

Можливість психологічного впливу на громадськість, формування певної думки про ЗС РФ

3

Відмова, вихід з ладу інформаційних і телекомунікаційних систем спеціального призначення

4

Недостатнє фінансування

5

Відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення

Перш за все уразливості притаманні будь-яким об'єктам забезпечення ІБ. Об'єкти забезпечення у сфері оборони вже виділені в «Доктрині ...» і наведені в таблиці 5.

Таблиця 5 - Перелік об'єктів забезпечення ІБ

об'єкта

Об'єкт

1

інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації

2

інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою

3

програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації

4

інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів

Таким же чином в «Доктрині ...» виділені заходи забезпечення інформаційної безпеки РФ у сфері оборони. Наскільки вони ефективні і на які погрози направлені, ми розглянемо пізніше. Перелік заходів забезпечення ІБ наведені в таблиці 6.

Таблиця 6 - Перелік заходів забезпечення ІБ

заходи

Міра забезпечення ІБ у сфері оборони

1

систематичне виявлення загроз і їх джерел, структуризація цілей забезпечення інформаційної безпеки у сфері оборони та визначення відповідних практичних завдань

2

проведення сертифікації загального та спеціального програмного забезпечення, пакетів прикладних програм і засобів захисту інформації в існуючих та створюваних автоматизованих системах управління військового призначення і системах зв'язку, які мають у своєму складі елементи обчислювальної техніки

3

постійне вдосконалення засобів захисту інформації від несанкціонованого доступу, розвиток захищених систем зв'язку та управління військами і зброєю, підвищення надійності спеціального програмного забезпечення

4

вдосконалення структури функціональних органів системи забезпечення інформаційної безпеки у сфері оборони та координація їх взаємодії

5

удосконалення прийомів і способів стратегічної і оперативної маскування, розвідки та радіоелектронної боротьби, методів і засобів активної протидії інформаційно-пропагандистським і психологічним операціям ймовірного супротивника

6

підготовка фахівців в області забезпечення інформаційної безпеки у сфері оборони

Таким чином, на першому етапі виконання аналізу загроз нами були ідентифіковані всі елементи множин загроз, джерел, об'єктів і заходів забезпечення ІБ РФ у сфері оборони.

2. ВИЗНАЧЕННЯ ВІДНОСИНИ ЕЛЕМЕНТІВ МОДЕЛІ ІБ РФ У СФЕРІ ОБОРОНИ

У "Доктрині" не визначаються відносини між різними елементами, хоча саме взаємодія різних факторів, що впливають на безпеку, має істотне значення для оцінки їх кінцевої значущості та, відповідно, для визначення найбільш доцільних і ефективних заходів і засобів підвищення рівня безпеки.

Тому на даному етапі роботи необхідно експертним методом встановити відносини між наступними видами елементів:

«Джерела загроз» - «загрози», тобто встановити який джерело які загрози породжує;

«Загрози» - «нападу», тобто встановити яка загроза через які нападу реалізується;

«Нападу» - «уразливості», тобто встановити яке напад які уразливості використовує;

«Вразливості» - «об'єкти захисту», тобто встановити яка вразливість якого об'єкту захисту належить;

«Заходи забезпечення ІБ» - «загрози», тобто встановити яка захисна міра який загрозу протистоїть.

Результати такого аналізу представлені в матричній формі на основі припущення, що між елементами безлічі можна встановити якесь бінарне відношення «є причиною». У таблиці 7 наведено матриця відносин «джерела загроз - загрози». «1» відповідає припущення, що дане джерело породжує дану загрози - «0» - відсутність відносин між цими елементами множин. Порядкові номери елементів наведені вище в таблицях 1 і 2.

Таблиця 7 - Матриця відносин «джерела загроз» - «загрози»



Загрози



1

2

3

4

5

6

7

8

9

Джерела загроз

1

1

1

1

0

0

0

0

0

0


2

0

0

0

1

0

0

0

0

1


3

0

0

0

0

1

1

1

0

0


4

0

0

0

0

0

0

1

0

0


5

0

0

0

0

0

0

0

1

0

На даному етапі необхідно пояснити, яким чином здійснюється аналіз визначення відносин між елементами даних множин. Джерело загроз 1 - спеціальні служби іноземних держав - незалежно від відносин з РФ мають пряму зацікавленість як в отриманні конфіденційної інформації про розробки оборонного комплексу РФ, так і у впливі на неї, що приводить до утруднення діяльності з подальшим розробок і досліджень в даній сфері. Таким чином, джерело 1 має відносини з першими трьома погрозами, відповідно, розвідувальною діяльністю іноземних спецслужб, інформаційно технічними та інформаційно-психологічними впливами з боку ймовірних (можливо неявних) противників. Джерело загроз 2 - деякий терористичні і радикально налаштовані політичні та громадські організації - безсумнівно здійснюють деяку діяльність по відношенню до РФ, можливо через будь-які іноземні політичні та військові структури - загроза 2. Також громадські політичні організації, можливо, ненавмисно ігнорують рішення питань захисту інтелектуальної власності, що призводить до витоку розробок та цінних інформаційних ресурсів за кордон, що породжує загрозу 9. Джерело загроз 3 породжує загрози 5, 6 і 7 тому, що персонал і користувачі інформаційних і телекомунікаційних систем спеціального призначення, взаємодіючи з ними, випадково або навмисно порушують встановлені порядок збору, обробки, зберігання та передачі інформації, викликають відмови і збої систем. Взагалі кажучи, помилки користувачів і персоналу в 80% випадків є причинами порушення таких властивостей інформації як цілісність, доступність і, іноді, конфіденційність. Джерелом загроз також є і самі ІТКМ спеціального призначення. Їх збої і відмови можуть бути викликані та їх недостатньою надійністю і просто якимись суб'єктивними чинниками. Тому джерело загроз 4 пов'язаний із загрозою 7.

І нарешті, джерело загроз 5 породжує загрози 8 і 9. Деякі засоби масової інформації і громадські організації всередині країни здійснюють пропагандистську діяльність, що знижує авторитет ЗС РФ.

У таблиці 8 наведено матриця відносин погроз і нападів. Для зручності розташування матриця переорієнтована. Номери елементів множин взяті з таблиць 1 і 3

Таблиця 8 - Матриця відносин «загрози» - «нападу»



Загрози



1

2

3

4

5

6

7

8

9

Напади

1

1

1

0

0

0

1

0

0

0


2

0

0

1

1

0

0

0

1

1


3

0

1

0

0

0

0

0

0

0


4

0

0

0

0

1

1

1

0

0

Розглянемо цю матрицю. Через напад 1 - несанкціонований доступ до інформаційних ресурсів та порушення їх цілісності - реалізуються загрози 1, 2 і 6. Загроза розвідувальної діяльності з боку іноземних спецслужб реалізується в несанкціонований доступ, який може здійснюватися як віддаленим противником, що знаходяться поза контрольованої зони, так і безпосередньо противником, що знаходяться в контрольованій зоні, наприклад, агентом або з допомогою закладок. Також цілком можливо знищення частини інформації або всієї інформації методом інформаційно-технічних впливів. Також навмисні дії персоналу, метою яких може бути або самоствердження, або злий умисел, можуть призвести до несанкціонованого доступу та порушення цілісності. Напад 2 має відношення з погрозами 3,4,8 і 9. Це можна обгрунтувати наступним чином: абсолютно очевидно, що диверсійно-підривна діяльність іноземних держав і діяльність іноземних політичних і військових структур спрямована на примусовий відмову від озброєння і пониження авторитету ЗС РФ на світовій арені. Загроза можливої ​​пропагандистської діяльності, що знижує престиж ЗС РФ і невирішеність питань захисту інтелектуальної власності, що призводить до витоку інформаційних ресурсів за кордон реалізується через пропаганду негативного ставлення до процесу постійного озброєння, що підриває боєздатність ЗС РФ.

Через напад 3 - поява великого числа терористичних і радикальних організацій - реалізується загроза інформаційно-технічних впливів, здійснюваних різними методами і з різними цілями. Напад 4 має відношення з погрозами 5, 6 і 7 тому, що всі ці загрози пов'язані з некоректною роботою з інформаційними ресурсами спеціальних ІТКМ або їх компонентами. Випадкові чи навмисні дії, порушення встановленого регламенту взаємодії з інформацією і, як підсумок, ненадійне функціонування компонентів системи реалізується через це напад.

У таблиці 9 наведено матриця відносин «нападу» - «уразливості», що ілюструє результати аналізу, яке напад, яку вразливість використовує. Номери елементів безлічі взяті з таблиць 3 і 4.

Таблиця 9 - Матриця відносин «нападу» - «вразливості»



Уразливості



1

2

3

4

5

Напади

1

1

0

0

0

1


2

0

1

0

1

0


3

0

1

0

0

0


4

1

0

1

0

1

Розглянемо тепер цю матрицю. Аналіз ставлення нападів і вразливостей особливо важливий, тому що ілюструє відносини об'єкта забезпечення з ворожим середовищем, показуючи, які недоліки - вразливості, можуть використовувати реалізації загроз. Напад 1 - несанкціонований доступ до інформаційних ресурсів спеціальних ІТКМ і порушення їх цілісності - використовує уразливості 1 і 5. Сама можливість несанкціонованого доступу до ресурсів породжує ризик несанкціонованого доступу. Також відставання вітчизняного оборонного комплексу і низький рівень розвитку засобів підвищення захищеності дозволяють порушнику або ймовірного противника докладати менше зусиль для здійснення несанкціонованого доступу. Напад 2 має відносини з уразливими 2 і 4, так як пропаганда негативного ставлення до ЗС РФ не може здійснюватися безпідставно. Можливість впливу на громадську думку і формування певного ставлення є вразливістю, якою можуть скористатися при здійсненні пропагандистської діяльності. Також недостатнє фінансування оборонного комплексу країни знижує його престиж в очах громадськості і може стати приводом для пропаганди. Вразливістю 2 користується і напад 3 - поява великого числа терористичних і радикальних організацій. Метою дії терористичних організацій є саме вплив на громадську думку і на суспільство взагалі. Можливість такого впливу є «лазівкою», якою легко скористатися. Напад 4 використовує уразливості 1,3 і 5. Хибна, або навмисно неправильна робота з конфіденційною інформацією має можливість здійснюватися через можливість несанкціонованого доступу або відмов і збоїв у роботі компонентів ІТКМ. У деяких випадках подібний напад можливо з-за низького рівня розвитку захисних засобів у системах.

У таблиці 10 приведено матриця відносин «вразливості» - «об'єкти забезпечення». Номери елементів множин відповідають номерам у таблицях 4 і 5.

Таблиця 10 - Матриця відносин «вразливості» - «об'єкти забезпечення ІБ»



Об'єкт захисту



1

2

3

4

Уразливість

1

1

1

0

1


2

1

0

0

0


3

0

0

1

1


4

0

0

1

0


5


0

1

1

У даній матриці визначається, якому об'єкту належить яка вразливість. Таким чином відслідковується, яке напад на який об'єкт направлено.

Об'єкту 1 притаманні уразливості 1 і 2. Інформаційна інфраструктура центральних органів військового управління незахищена від несанкціонованого доступу до її інформаційних ресурсів і від впливу на громадську думку, яке пов'язане безпосередньо з діяльністю органів управління видами і родами військ. Інформаційні ресурси підприємств оборонного комплексу і науково-дослідних центрів мають в якості вразливостей можливість несанкціонованого доступу до них. Для об'єкта 3 - програмно-технічних засобів і автоматичних засобів управління військами і озброєнням - уразливими є уразливості 3,4 та 5. Відмови і збої в роботі систем спеціального призначення, недолік фінансування, і як наслідок - відставання вітчизняного оборонного комплексу і низький рівень розвитку засобів захисту призводять до збільшення ризику для даного об'єкта забезпечення ІБ. І нарешті, для об'єкта 4 характерні уразливості 1,3 і 5. для інформаційних ресурсів та систем зв'язку військ вразливістю є можливість несанкціонованого доступу до них, відмова і виходи з ладу компонентів ІТКМ і відставання вітчизняного оборонного комплексу.

Таблиця 11 містить матрицю відносин «заходи забезпечення ІБ» - «загрози». Номери елементів множин відповідають номерам елементів таблиць 1 і 6.

Таблиця 11 - Матриця відносин «заходи забезпечення ІБ» - «загрози»



Загрози



1

2

3

4

5

6

7

8

9

Міра забезпечення ІБ

1

1

1

1

1

1

1

1

1

1


2

0

0

0

0

0

0

1

0

0


3

1

1

0

0

0

1

0

0

0


4

0

0

0

0

0

1

1

0

0


5

1

1

1

0

0

0

0

1

0


6

0

0

0

0

0

0

0

0

1

Міра забезпечення 1 - систематичне виявлення загроз та їх джерел - спрямовані на виявлення всіх можливих небезпек у даній сфері суспільного життя. Отже, вона спрямована на нейтралізацію всіх загроз. Міра забезпечення 2 спрямована тільки на загрозу 7. Проведення сертифікації програмного та технічного забезпечення направлено на перевірку виконання компонентами систем покладених на них завдань у певних умовах, тобто на перевірку і підвищення надійності. Міра забезпечення 3 - постійне вдосконалення засобів захисту інформації від несанкціонованого доступу - протистоїть загрозам 1,2 і 6. Розвиток захищених систем і підвищення рівня засобів захисту від несанкціонованого доступу спрямовані на захист від усіх видів розвідувальної діяльності та інформаційно-технічних впливі з боку ймовірних противників. Також постійне вдосконалення у сфері захисту від несанкціонованого доступу дозволяє знизити збитки від помилок і навмисних дій персоналу і користувачів. Міра забезпечення 4 спрямована на нейтралізацію загроз 6 і 7. Удосконалення структури органів системи забезпечення інформаційної безпеки знижує можливість здійснення помилок користувачів і персоналу та підвищує надійність ІТКМ та її компонентів. Так як вдосконалення прийомів і методів протидії інформаційним, диверсійних і психологічним впливам противника і розвідці безпосередньо спрямоване на нейтралізацію загроз розвідувальної діяльності, інформаційно-пропагандистської діяльності ймовірного супротивника з числа іноземних держав і міжнародних організацій та пропаганди негативного ставлення до ЗС РФ всередині країни, міра забезпечення ІБ 5 має відношення з погрозами 1,2,3 і 8. І нарешті, міра забезпечення 6 - підготовка кваліфікованих фахівців в області забезпечення ІБ у сфері оборони - спрямована на вирішення загрози 9, пов'язаної з витоком цінних інформаційних ресурсів за кордон. Підготовлювані фахівці повинні заповнити пробіл, який залишається після такого роду витоку.

3. ОЦІНКА РИЗИКІВ РЕАЛІЗАЦІЇ ЗАГРОЗ У СФЕРІ ОБОРОНИ

Після аналізу відносин між елементами множин, виділених у процесі ідентифікації, була проведена оцінка ризиків. Цей процес дозволяє мінімізувати витрати ресурсів на захист. У процесі аналізу можливих і виявлення актуальних для активів організації загроз оцінювався ризик, що виникає внаслідок потенційного впливу певної загрози.

Відомо безліч різних методик аналізу та оцінки ризиків (переважно закордонних). Всі вони дозволяють отримати лише якісну їх оцінку на основі експертних методів. Для даної курсової роботи використовувалася методика, розроблена на основі викладеної в технічному звіті ISO TR 13569 [2].

Вона полягає в наступному. Оцінка ризику здійснюється за допомогою оцінки можливості реалізації загроз безпеці, пов'язаних з уразливими, властивими тим чи іншим об'єктам захисту. На основі аналізу впливу загроз, їм приписується високий, середній або низький рівень ризику по кожній зоні локалізації вразливостей.

Оцінювалися всі загрози, вразливості та ризики для забезпечення впевненості в тому, що процес оцінки ризиків в організації є повним. У таблиці 12 наведені компоненти оцінки ризику.

Таблиця 12 - Компоненти процесу оцінки ризиків

Якщо хто-небудь захоче простежити загрози

Через зони вразливостей

То вони приведуть в результаті до якого-небудь з наступних ризиків

Всі види розвідувальної діяльності зарубіжних держав; інформаційно-технічні дії (у тому числі радіоелектронна боротьба, проникнення в комп'ютерні мережі) з боку ймовірних противників; Диверсійно-підривну діяльність спеціальних служб іноземних держав, здійснювана методами інформаційно-психологічного впливу; Діяльність іноземних політичних, економічних і військових структур, спрямована проти інтересів Російської Федерації в сфері оборони. Порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, що у штабах і установах Міністерства оборони Російської Федерації, на підприємствах оборонного комплексу; Умисні дії, а також помилки персоналу інформаційних і телекомунікаційних систем спеціального призначення; Ненадійне функціонування інформаційних і телекомунікаційних систем спеціального призначення; Можлива інформаційно-пропагандистська діяльність, підриває престиж Збройних Сил Російської Федерації та їх боєготовність; Невирішеність питань захисту інтелектуальної власності підприємств оборонного комплексу, що призводить до витоку за кордон найцінніших державних інформаційних ресурсів

Інформаційна інфраструктура центральних органів військового управління; Інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ; Програмно-технічні засоби автоматизованих і автоматичних систем управління військами і зброєю; Інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Грошова втрата. Втрата продуктивності. Труднощі в діяльності

При проведенні оцінки ризиків розглядаються три основні категорії втрат. Вони самі і їх опис наведено в таблиці 13

Таблиця 13

Категорії можливих втрат

Опис

Грошова втрата

Грошова втрата визначається як втрата цінностей або збільшення вартості або витрат. У сумнівних випадках необхідно класифікувати більш високий ризик грошової втрати або вище можливе значення втрати, більш високий ризик функціонування діяльності.

Втрата продуктивності

Втрата продуктивності відбувається тоді, коли персонал не здатний продовжувати виконання своїх обов'язків або коли необхідно повторювати службові обов'язки. Переривання роботи або дублювання зусилля можуть призводити до недоступності робочих функцій або до некоректності результатів

Труднощі діяльності

Ця категорія стосується ситуацій, що впливають на встановлення суспільної довіри. Слід враховувати також конфіденційність, точність і узгодженість

Матриця оцінки ризиків розділена на зони локалізації вразливостей. В рамках кожної уразливості перераховуються потенційні загрози. Праворуч від кожної загрози наводяться рівні в рамках категорій втрат.

Матриця заповнюється доданням рівня ризику-високого (В), середнього (С) або низького (Н) - щоб показувати залежність кожної загрози від кожної із зон локалізації уразливості з урахуванням заповнення раніше матриці «загрози» - «об'єкт забезпечення ІБ».

Опис рівнів ризику:

Високий: значна грошова втрата, втрата продуктивності або труднощі, є результатом загрози, внаслідок відповідної уразливості.

Середній: номінальна грошова втрата, втрата продуктивності або трапляються труднощі.

Низький: або мінімальна можливість грошової втрати, втрати продуктивності, які труднощі, або взагалі нічого.

Матриця оцінки ризиків наведена в таблиці 14.

Таблиця 14 - Матриця оцінки ризиків

ЗОНА ВРАЗЛИВОСТІ інформаційна інфраструктура центральних органів військового управління ...

Ризик грошової втрати

Ризик втрати продуктивності

Ризик ускладнення діяльності

всі види розвідувальної діяльності зарубіжних держав



Н


З


У



інформаційно-технічні впливу з боку ймовірних противників


З


У





Н

диверсійно-підривна діяльність спеціальних служб іноземних держав


З




Н

У



діяльність іноземних структур проти інтересів Російської Федерації



Н



Н


З


порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу


З


У




З


навмисні дії, а також помилки персоналу


З


У



У



ненадійне функціонування систем спеціального призначення


З


У





Н

можлива інформаційно-пропагандистська діяльність, підриває престиж ВСРФ



З


З


У



... Витік за кордон найцінніших державних інформаційних ресурсів

У




З




Н

всі види розвідувальної діяльності зарубіжних держав



Н

У




З


інформаційно-технічні впливу з боку ймовірних противників



Н


З



З


порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу


З


У




З


навмисні дії, а також помилки персоналу


З


У




З


ненадійне функціонування систем спеціального призначення


З


У



У



диверсійно-підривна діяльність спеціальних служб іноземних держав



Н


З


У



діяльність іноземних структур проти інтересів Російської Федерації



Н



Н


З


порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу


З


У





Н

навмисні дії, а також помилки персоналу


З


У





Н

ненадійне функціонування систем спеціального призначення

У



У




З


можлива інформаційно-пропагандистська діяльність, підриває престиж ВСРФ


З




Н

У



... Витік за кордон найцінніших державних інформаційних ресурсів

У




З



З


всі види розвідувальної діяльності зарубіжних держав


З



З




Н

інформаційно-технічні впливу з боку ймовірних противників


З


У




З


диверсійно-підривна діяльність спеціальних служб іноземних держав


З



З



З


діяльність іноземних структур проти інтересів Російської Федерації



Н


З



З


порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу


З



З



З


навмисні дії, а також помилки персоналу


З


У




З


ненадійне функціонування систем спеціального призначення

У



У





Н

можлива інформаційно-пропагандистська діяльність, підриває престиж ВСРФ



Н


З


У



... Витік за кордон найцінніших державних інформаційних ресурсів

У




З



З


Для першої зони вразливості - інформаційна інфраструктура центральних органів військового управління - виділені всі наявні загрози. Розвідувальна діяльність іноземних держав може призвести до високого ризику труднощі діяльності. Ризик втрати продуктивності номінальний, тому що залежить від того, чи буде порушена цілісність і доступність інформації. Ризик грошової втрати низький. Інформаційно-технічні впливу з боку ймовірного супротивника можуть призвести до високого ризику втрати продуктивності, тому що можуть вивести з ладу будь-які компоненти системи. У зв'язку з цим середнім є ризик грошової втрати. Ризик ускладнення діяльності мінімальний. Диверсійно-підривна діяльність іноземних спецслужб методом інформаційного впливу призведе до високого ризику труднощі діяльності. Ризик грошової втрати середній, втрати продуктивності - низький для даної зони. Діяльність іноземних структур, спрямованих проти інтересів РФ у сфері оборони призведе до середнього ризику труднощі діяльності, тому що іноземні військові та політичні структури можуть чинити психологічний тиск на РФ. Ризик грошової втрати і втрати продуктивності мінімальний. Порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу може призвести до високого ризику втрати продуктивності, тому що це може призвести до блокування подальшої роботи з інформацією до з'ясування обставин порушення. Ризик грошової втрати в цьому випадку відносний, також як і ризик труднощі діяльності. Умисні дії і помилки персоналу ІТКМ спеціального призначення можуть призвести до високого ризику втрати продуктивності з тих же причин, що і згадане вище загроза, і до високого ризику труднощі діяльності, так як це може дискредитувати користувачів і персонал ІТКМ. Ризик грошової втрати середній. Через ненадійного функціонування компонентів систем ризик втрати продуктивності також є високим. Ризик ускладнення діяльності низький і ризик грошової втрати середній. Можлива інформаційно-пропагандистська діяльність, підриває престиж ЗС РФ призведе до високого ризику труднощі діяльності. Ризик грошової втрати і ризик втрати продуктивності середній. І нарешті, витік за кордон найцінніших інформаційних ресурсів призводить до високого ризику грошової втрати. Ризик втрати продуктивності середній і ризик труднощі діяльності мінімальний.

Для інформаційних ресурсів підприємств оборонного комплексу визначено п'ять загроз. З іншими загрозами даний об'єкт не пов'язаний відносинами. До такого висновки ми прийшли після дослідження ланцюжка відносин «загроза» - «нападу» - «вразливість» - «об'єкт». Таким чином до другої зони уразливості відносяться п'ять загроз. Ризик розвідувальної діяльності іноземних спецслужб може призвести до високого ризику втрати продуктивності, тому що ресурси, після порушення конфіденційності, можуть бути знищені. Такого роду невизначеність може бути розцінена як середній рівень ризику, проте, в системі оцінки ризику передбачено вибирати найгірший випадок розвитку подій. Ризик грошової втрати низький і ризик труднощі діяльності середній. Інформаційно-технічні впливу з боку ймовірного супротивника можуть призвести до середнього рівня ризику втрати продуктивності через можливих порушень доступності ресурсів та середньому рівню ризику труднощі діяльності. Рівень грошової втрати низький. Порушення регламенту взаємодії з інформацією також як і для попередніх зони має високий рівень втрати продуктивності та середні рівні ризиків грошової втрати і труднощі діяльності. Навмисні або випадкові помилки і дії персоналу можуть призвести до високого ризику втрати продуктивності для даної зони уразливості, тому що може бути порушена цілісність і доступність інформаційних ресурсів. Ризик ускладнення діяльності та грошової втрати середній. Погане функціонування ІТКМ спеціального призначення може привести до високого ризику втрати продуктивності і труднощі діяльності, так як низька надійність систем, що відповідають за нормальне функціонування оборонного комплексу країни ніяк не сприяє зростанню суспільної довіри до таких систем. Ризик грошової втрати номінальний і в принципі відносний. У даній зоні він визначений як середній.

Для програмно-технічних засобів автоматизованих і автоматичних систем управління військами визначено сім загроз. Диверсійно-підривна діяльність з боку ймовірного супротивника може призвести до високого ризику труднощі діяльності, так як вона здійснюється інформаційно-психологічними методами. Ризик втрати продуктивності в даній зоні середній, так як немає повної впевненості, що ця діяльність ніяк не відбитися на працездатності програмно-технічних засобів. Ризик грошової втрати мінімальний. Діяльність іноземних військових і політичних структур може призвести до середнього ризику труднощі діяльності та низького ризику грошової втрати і втрати продуктивності. Порушення встановленого регламенту збору, зберігання і обробки інформації для даної зони може призвести до середнього ризику втрати продуктивності, тому що можлива негативна реакція програмно-апаратних засобів систем спеціального призначення. Однак такої реакції може і не бути. Ризик грошової втрати в цьому випадку також середній. Ризик ускладнення діяльності мінімальний. У випадку навмисних або випадкових дій персоналу ІТКМ може виникнути високий ризик втрати продуктивності, тому що персонал має великими правами доступу, ніж користувач або порушник, що здійснює несанкціонований доступ, відповідно великими можливостями по реалізації того або дії з програмно-апаратної середовищем системи. Ризик грошової втрати середній, ризик труднощі діяльності низький. У той час як ненадійне функціонування систем спеціального призначення може привести до високого ризику грошової втрати і високому ризику втрати продуктивності. Так як програмно-технічні засоби систем спеціального призначення мають важливе стратегічне значення, вони не можуть тривалий час функціонувати ненадійно і підлягають негайній заміні. У найгіршому випадку ми припускаємо, що дані програмно-апаратні засоби дорогі і вимагають серйозних досліджень, тому ризик грошової втрати високий. З тієї ж причини стратегічного значення даних коштів, використовувати їх, знаючи про їх низької надійності, неприпустимо. Ризик ускладнення діяльності середній. Природно, що пропагандистська діяльність, знижує престиж ЗС РФ, призведе до високого ризику труднощі діяльності, так як знижується суспільну довіру до діяльності ЗС РФ. Ризик грошової втрати середній, ризик втрати продуктивності низький, так як ця діяльність ніяк не впливає на безпосередньо продуктивність. Невирішеність питань захисту інтелектуальної власності, що призводить до витоку за кордон найцінніших ресурсів може призвести до високого ризику грошової втрати, так як серйозні і дорогі розробки і дослідження можуть «піти» за кордон, іноді, безперешкодно. Ризик втрати продуктивності і труднощі діяльності, відповідно середній.

Нарешті, для систем зв'язку та інформаційної інфраструктури інших військ виділено всі загрози. Даному об'єкту загрожують всі можливі в даній сфері потенційні можливості нападів. Всі види розвідувальної діяльності іноземних спецслужб можуть призвести до середнього ризику грошової втрати, через наступне необхідності вдосконалення систем захисту систем зв'язку, як наслідок, середньому ризику втрати продуктивності і низького ризику труднощі діяльності. Інформаційно-технічні впливу з боку супротивника можуть призвести до високого ризику втрати продуктивності. Це пов'язано з тим, що технічними впливами можна вивести з ладу системи зв'язку, і як підсумок, суттєво знизити продуктивність. Ризик грошової втрати і ризик труднощі діяльності в цьому випадку середній. Для диверсійно-підривної діяльності іноземних спецслужб, яка здійснюється методами інформаційно-психологічного впливу, визначити рівень ризиків у даній зоні досить складно. Психологічні методи не роблять істотного впливу на системи зв'язку. Проте рівень ризику відносний і може в різних ситуаціях виявлятися по-різному. Тому рівень ризику всіх втрат визначений як середній. Діяльність іноземних військових і політичних структур може призвести до середнього ризику втрати продуктивності та середньому ризику труднощі діяльності. Ризик грошової втрати для цієї зони мінімальний. Порушення встановленого регламенту роботи з інформацією для систем зв'язку в найгіршому випадку може привести до номінальної грошової втрати, аналогічним втрати продуктивності і утруднення діяльності. Тому для даної загрози всі втрати мають середній рівень ризику. Умисні дії і помилки персоналу можуть призвести до високого ризику втрати продуктивності, так як робота з системами зв'язку в цьому випадку може бути припинена. Ризик грошової втрати і труднощі діяльності середній. Погане функціонування систем зв'язку та елементів інформаційної інфраструктури, також як і в попередній зоні уразливості, може призвести до високого ризику грошової втрати і втрати продуктивності. Ризик ускладнення діяльності в цьому випадку мінімальний. Також для даного об'єкта пропаганда, що знижує престиж ЗС РФ може призвести до високого ризику труднощі діяльності. Ризик втрати продуктивності середній, так як функціонування систем і компонентів інфраструктури може бути порушене через зниження суспільної довіри серед персоналу ІТКМ спеціального призначення. І, також як і для попередніх зони, витік за кордон найцінніших інформаційних ресурсів може призвести до високого ризику грошової втрати та середньому ризику втрати продуктивності і труднощі діяльності.

Після заповнення матриці оцінки ризиків стає зрозумілою картина розподілу загроз і втрат від їх можливої ​​реалізації по всіх об'єктах забезпечення інформаційної безпеки РФ у сфері оборони. Подальшим етапом оцінки ризиків є своєрідне підбиття підсумку - складання таблиці оцінки ризиків.

Таблиця оцінки ризиків заповнюється за допомогою додання об'єднаного рівня ризику кожної із зон уразливості. Об'єднаний рівень ризику слід отримувати з усіх загроз, попередньо ідентифікованих, виходячи з матриці оцінки ризиків.

Таблиця оцінки ризиків наведена в таблиці 15.

Таблиця 15 - Таблиця оцінки ризиків


Категорія втрат

Зона уразливості

Грошова втрата

Втрата продуктивності

Труднощі

Загальний ризик

Інформаційна інфраструктура центральних органів військового управління ...

Середній

Високий

Високий

Високий

Інформаційні ресурси підприємств оборонного комплексу

Середній

Високий

Середній

Середній

Програмно-технічні засоби автоматизованих і автоматичних систем управління військами

Середній

Середній

Середній

Середній

Системи зв'язку та інформаційна інфраструктура інших військ

Середній

Середній

Середній

Середній

Таким чином, виходячи з аналізу загроз та оцінки ризиків, стає ясно основний напрямок вдосконалення забезпечення інформаційної безпеки у сфері оборони.

Забезпечення ІБ РФ у сфері оборони в першу чергу необхідно здійснювати в напрямку вдосконалення засобів захисту інформаційних ресурсів підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою. Загальний рівень ризику тут найвищий. Це пов'язано ймовірно з тим, що інформаційні ресурси - обов'язкова, невід'ємна та одна з основних одиниць будь-якої інформаційної системи, ІТКМ, системи забезпечення та управління і т. д., а засобів реалізації загроз у цьому напрямі більше всього. Однак, при проведенні комплексних заходів щодо забезпечення інформаційної безпеки у сфері оборони РФ не варто забувати або нехтувати й іншими об'єктами забезпечення ІБ. Ризик тут номінальний, але він може перерости у високий, якщо ігнорувати вразливість цих об'єктів для різноманітних інформаційних впливів.

Таким чином, для зниження ймовірності реалізації загроз ІБ у сфері оборони необхідно приймати такі захисні заходи.

Перш за все, це систематичне виявлення загроз і їх джерел, структуризація цілей забезпечення інформаційної безпеки у сфері оборони та визначення відповідних практичних завдань.

По-друге, проведення сертифікації загального та спеціального програмного забезпечення, пакетів прикладних програм і засобів захисту інформації в існуючих та створюваних автоматизованих системах управління військового призначення і системах зв'язку, які мають у своєму складі елементи обчислювальної техніки.

По-третє, необхідно постійне вдосконалення засобів захисту інформації від несанкціонованого доступу, розвиток захищених систем зв'язку та управління військами і зброєю, підвищення надійності спеціального програмного забезпечення.

По-четверте, вдосконалення структури функціональних органів системи забезпечення інформаційної безпеки у сфері оборони та координація їх взаємодії.

По-п'яте, удосконалення прийомів і способів стратегічної і оперативної маскування, розвідки та радіоелектронної боротьби, методів і засобів активної протидії інформаційно-пропагандистським і психологічним операціям ймовірного супротивника.

І безсумнівно, для мінімізації втрат від постійної витоку фахівців та інформаційних ресурсів за кордон і запуску і розробки всіх захисних заходів, підготовка фахівців в області забезпечення інформаційної безпеки у сфері оборони.

Виконання цих заходів є мінімальним умовою для зниження ризику до припустимого рівня, але навіть вона, в умовах сучасної дійсності, є лише ідеальним. Ризик завжди буде присутній на увазі далеко не повномасштабної реалізації заходів забезпечення ІБ РФ у сфері оборони.

4. РОЗРОБКА ПОВНОГО ОПИСУ ЗАГРОЗ НА ОСНОВІ МОДЕЛІ ДСТУ ISO / IEC 15408

На попередніх етапах виконання роботи ми повністю ідентифікували загрози ІБ, їх джерела, нападу, якими вони реалізуються, уразливості, якими користуються, об'єкти, яким притаманні ці уразливості і захисні заходи, які повинні ці загрози нейтралізувати.

Таким чином нами були отримані вага компоненти моделі загроз ГОСТ ISO / IEC 15408, яка включає в себе:

  • нападу придатні для реалізації загрози (можливість, методи, уразливості);

  • об'єкти нападів (об'єкти захисту);

  • тип втрати;

  • масштаб збитку;

  • джерела загрози. Для джерел загроз - людей модель порушника має включати:

вказівку їх досвіду,

вказівку знань,

вказівку доступних ресурсів, необхідних для реалізації загрози,

можливу мотивацію їх дій.

Нижче наведено повний опис всіх дев'яти загроз, виділених у таблиці 1.

Загроза 1. Всі види розвідувальної діяльності зарубіжних держав

Уразливість: Можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення, Відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення.

Джерело загрози: Спеціальні служби іноземних держав.

Метод нападу: Несанкціонований доступ до інформаційних ресурсів, порушення конфіденційності і цілісності.

Об'єкт нападу інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: утруднення діяльності, втрата продуктивності.

Масштаб збитку: середній

Знання знання систем забезпечення ІБ, знання принципів захисту від несанкціонованого доступу, високий рівень знань про об'єкт розвідки та методи її ведення.

Досвід: високий

Доступні ресурси: спеціальна апаратура, агентурний метод ведення розвідувальної діяльності.

Мотивація: корисливі цілі, зовнішньополітичні цілі.

Загроза 2. Інформаційно-технічні дії (у тому числі радіоелектронна боротьба, проникнення в комп'ютерні мережі) з боку ймовірних противників.

Уразливість: можливість психологічного впливу на громадськість, можливість несанкціонованого доступу.

Джерело загрози: спецслужби іноземних держав.

Метод нападу: несанкціонований доступ до інформаційних ресурсів ІТКМ спеціального призначення, поява великої кількості терористичних і радикальних організацій

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: втрати продуктивності, грошова втрата, утруднення діяльності.

Масштаб збитку: високий

Знання: знання методів і засобів ведення радіоелектронної боротьби, знання принципів забезпечення ІБ об'єкта впливу.

Досвід: високий

Доступні ресурси: технічні засоби ведення інформаційних радіоелектронних впливів.

Мотивація: корисливі цілі, зовнішньополітичні цілі.

Загроза 3. Диверсійно-підривна діяльність спеціальних служб іноземних держав, здійснювана методами інформаційно-психологічного впливу.

Уразливість: можливість психологічного впливу на громадськість, формування думки про ЗС РФ, недостатнє фінансування.

Джерело загрози: спецслужби іноземних держав.

Метод нападу: пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння.

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: утруднення діяльності.

Масштаб збитку: високий.

Знання: знання принципів впливу на думку мас, знання не виявлених та виявлених недоліків об'єкта.

Досвід: середній

Доступні ресурси: засоби ведення пропагандистської діяльності та психологічного впливу.

Мотивація: злий умисел, цілі зовнішньої політики.

Загроза 4. Діяльність іноземних політичних, економічних і військових структур, спрямована проти інтересів Російської Федерації в сфері оборони.

Уразливість: можливість психологічного впливу на громадськість, формування думки про ЗС РФ, недостатнє фінансування.

Джерело загрози: деякі терористичні і радикально налаштовані організації чи політичні структури.

Метод нападу: пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння.

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: утруднення діяльності.

Масштаб збитку: середній.

Знання: немає

Досвід: немає

Доступні ресурси: можливість оприлюднити всі недосконалості ЗС РФ і закликати до публічного осуду діяльності ЗС РФ. Можливість політичними методами впливати на ЗС РФ.

Мотивація: цілі зовнішньої політики.

Загроза 5. Порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, що у штабах і установах Міністерства оборони Російської Федерації, на підприємствах оборонного комплексу.

Уразливість: можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення; відмову, вихід з ладу інформаційних і телекомунікаційних систем спеціального призначення; відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення.

Джерело загрози: персонал інформаційних і телекомунікаційних систем спеціального призначення.

Метод нападу: некоректна робота з конфіденційною інформацією інформаційних баз спеціального призначення і компонентами системи

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: втрата продуктивності, грошова втрата, утруднення діяльності.

Масштаб збитку: середній.

Знання: навички роботи з комп'ютерними системами та мережами.

Досвід: будь-хто.

Доступні ресурси: доступ до систем спеціального призначення.

Мотивація: ненавмисні дії.

Загроза 6. Умисні дії, а також помилки персоналу інформаційних і телекомунікаційних систем спеціального призначення.

Уразливість: можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення; відмову, вихід з ладу інформаційних і телекомунікаційних систем спеціального призначення; відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення.

Джерело загрози: персонал інформаційних і телекомунікаційних систем спеціального призначення

Метод нападу: некоректна робота з конфіденційною інформацією інформаційних баз спеціального призначення і компонентами системи.

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: втрата продуктивності, утруднення діяльності.

Масштаб збитку: високий.

Знання: навички роботи з комп'ютерними системами та мережами.

Досвід: будь-хто.

Доступні ресурси: доступ до систем спеціального призначення.

Мотивація: ненавмисні дії, корисливий намір, самоствердження.

Загроза 7. Погане функціонування інформаційних і телекомунікаційних систем спеціального призначення.

Уразливість: можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення; відмову, вихід з ладу інформаційних і телекомунікаційних систем спеціального призначення; відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення.

Джерело загрози: персонал інформаційних і телекомунікаційних систем спеціального призначення; інформаційні та телекомунікаційні системи спеціального призначення.

Метод нападу: некоректна робота з конфіденційною інформацією інформаційних баз спеціального призначення і компонентами системи.

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: грошова втрата, втрата продуктивності.

Масштаб збитку: високий.

Знання: немає.

Досвід: ні.

Доступні ресурси: системи спеціального призначення, комп'ютерні мережі міністерства оборони і підприємств оборонного комплексу.

Мотивація: ні.

Загроза 8. Можлива інформаційно-пропагандистська діяльність, підриває престиж Збройних Сил Російської Федерації та їх боєготовність.

Уразливість: можливість психологічного впливу на громадськість, формування думки про ЗС РФ, недостатнє фінансування.

Джерело загрози: деякі засоби масової інформації і громадські організації, що здійснюють негативну пропаганду ЗС РФ

Метод нападу: пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: утруднення діяльності.

Масштаб збитку: високий

Знання: знання прийомів і методів вплив на громадську думку.

Досвід: будь-хто.

Доступні ресурси: можливість звернутися до суспільства, вплинути на маси.

Мотивація: злий умисел.

Загроза 9. Невирішеність питань захисту інтелектуальної власності підприємств оборонного комплексу, що призводить до витоку за кордон найцінніших державних інформаційних ресурсів

Уразливість: можливість психологічного впливу на громадськість, формування думки про ЗС РФ, недостатнє фінансування.

Джерело загрози: деякі терористичні і радикально налаштовані організації чи політичні структури.

Метод нападу: пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння

Об'єкт нападу: інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації; програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації; інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів.

Втрати: грошова втрата, утруднення діяльності.

Масштаб збитку: високий

Знання: немає

Досвід: немає

Доступні ресурси: громадська думка в даному випадку формується без впливу на нього, політичні структури просто залишають дану загрозу без уваги.

Мотивація: немає

Після цього всі елементи моделі ІБ РФ в заданій сфері були взаємопов'язані в єдиний комплекс у вигляді спрямованого графа з наступних елементів:

  • джерела загроз;

  • загрози;

  • нападу;

  • об'єкти захисту зі своїми уразливими;

  • заходи забезпечення ІБ.

Таким чином, граф повністю ілюструє модель інформаційної безпеки у сфері оборони і повністю відображає проведений аналіз.

У наведеному в додатку А графі використані наступні скорочення:

І - джерело загрози

У - загроза ІБ

Н - напад

Ув - уразливість

М - міра забезпечення ІБ

О - об'єкт забезпечення ІБ

Номери елементів множин відповідають номерам, наведеним у таблиці 1 - 6.

ВИСНОВОК

У ході виконання курсової роботи був проведений аналіз загроз інформаційної безпеки, комплексна оцінка ризиків та вироблено ряд рекомендацій щодо забезпечення інформаційної безпеки РФ у сфері оборони.

У результаті проведеного дослідження були розглянуті та виявлено загрози ІБ у сфері оборони, об'єкти, інформаційну безпеку яких необхідно забезпечувати, їхню уразливість. Була проведено аналіз відносин між погрозами, уразливими, об'єктами, реалізаціями загроз і їх джерелами. Була заповнена таблиця ймовірностей ризиків від можливої ​​реалізації загроз для кожного об'єкта. Також були розроблені повні описи всіх загроз і граф моделі забезпечення ІБ РФ у сфері економіки.

Таким чином, завдання на курсову роботу виконано в повному обсязі.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

2 Доктрина інформаційної безпеки Російської Федерації. Http://www.scrf.gov.ru/Documents/Decree/09-09.html

2 ISO TR 13569 Banking and related financial services - Information security guidelines

ДОДАТОК А

Граф моделі забезпечення ІБ РФ у сфері оборони

52


Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Курсова
212.6кб. | скачати

Схожі роботи:
Аналіз загроз та розробка пропозицій щодо забезпечення інформаційної безпеки Російської Федерації
Аналіз загроз і розробка політики безпеки інформаційної системи відділення Пенсійного фонду
Правові основи забезпечення інформаційної безпеки Російської Федерації
Правові основи забезпечення інформаційної безпеки в Російській Федерації
Доктрина інформаційної безпеки Російської Федерації
Аналіз діяльності ДОГО машстрой та розробка пропозицій щодо поліпшення його роботи
Аналіз діяльності ДОГО машстрой та розробка пропозицій щодо поліпшення його роботи 2
Аналіз діяльності установи та розробка пропозицій щодо поліпшення його роботи на прикладі МУК ВЦ 2
Аналіз діяльності установи та розробка пропозицій щодо поліпшення його роботи на прикладі МУК ВЦ
© Усі права захищені
написати до нас