Рекомендуемая категория для самостоятельной подготовки:
Курсовая работа*
| Код |
340153 |
| Дата создания |
07 июля 2013 |
| Страниц |
57
|
Мы сможем обработать ваш заказ (!) 19 апреля в 12:00 [мск] Файлы будут доступны для скачивания только после обработки заказа.
|
Содержание
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ГЛАВА I. ОПИСАНИЕ ДЕЯТЕЛЬНОСТИ КОММЕРЧЕСКОГО БАНКА.
1.1 Цели и функции филиала коммерческого банка
1.2 Анализ рабочих процессов в каждой бизнес – функции
ГЛАВА II АНАЛИЗ ВОЗМОЖНЫХ УГРОЗ БЕЗОПАСНОСТИ
СИСТЕМЫ
2.1. Возможные нападения автоматизированной банковской системы
2.1.1 Возможные нападения на уровне СУБД
2.1.2 Возможные нападения на уровне ОС
2.1.3. Возможные нападения на уровне сети
ГЛАВА III. СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕТОДОВ ОЦЕНКИ УЩЕРБА ОТ РЕАЛИЗАЦИИ УГРОЗ
3.2.1 Алгоритм анализа информационных рисков ГРИФ
3.2.2 CRAMM
3.2.3 RiskWatch
3.2.4 Семантическая модель угрозы
ГЛАВА VI. РАЗРАБОТКА СЕМАНТИЧЕСКОЙ МОДЕЛИ УГРОЗ ДЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ
4.3 Разработка семантической модели для оценки ущерба от реализации угроз ресурсам информационной системы
4.3.1 Графическое представление
4.3.1 Пример реализации
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ 1: КОД ПРОГРАММЫ НА JAVA
Введение
Создание семантической модели угроз.
Фрагмент работы для ознакомления
очень важная - информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации необратимы;
важная - информация, несанкционированное изменение которой приведет к неправильной работе субъекта через некоторое время, если не будут предприняты некоторые действия; последствия модификации обратимы;
значимая - информация, несанкционированное изменение которой скажется через некоторое время, но не приведет к сбою в работе субъекта; последствия модификации обратимы;
незначимая: информация, несанкционированное изменение которой не скажется на работе системы.
По степени критичности относительно конфиденциальности виды информации могут быть следующие:
критическая - информация, разглашение которой приведет к невозможности реализации целей системы или к значительному ущербу;
очень важная - информация, разглашение которой приведет к значительному ущербу, если не будут предприняты некоторые действия;
важная - информация, разглашение которой приведет к незначительному ущербу, если не будут предприняты некоторые действия;
значимая - информация, разглашение которой приведет только к моральному ущербу;
незначимая - информация, разглашение которой не влияет на работу системы.
Таблица 2 - Идентификация информационных ресурсов.
Информационный ресурс
Ответствен
ный за информационный ресурс
Пользователь
Полномочия пользова
теля по отношению к ресурсу
Степень чувствительности ресурса
Степень критичности информации
Информация о выплатах
администра-тор ИБ
Операторы,
руководство, бухгалтер
занесение/удаление, чтение
Высоко чувстви-тельная
Существен-ная
Информация о приёме платежей
администра-тор ИБ
оператор
руководство, бухгалтер
Занесение/удаление, чтение
Высоко чувствитель-ная
Существен-ная
Информация по вкладам
Администра-торы БД и ИБ,
Операторы,
руководство, бухгалтер
Дополнение и ознакомление
Высоко чувствитель-ная
Существенная
Информация по ведению бух-ии
бухгалтер,
администратор ИБ
бухгалтер
занесение/удаление, чтение
внутренняя
важная
Информация по управле
нию системой безопасности
Администра-тор ИБ
Администра
тор ИБ
Занесение/удаление, ознакомлени, изменение
Чувствитель-ная
Важная
информация об управлении БД
администра-тор БД
администра-тор БД
Поддерживает работу всей организации на основе последнего анализа организации
Чувствитель-ная
существенная
Информация о сотрудниках
Администра-
тор БД,
Руководство, отдел кадров,
бухгалтер
Ознакомле-ие, дополнение и анализ
Внутренняя
Важная
Информация о выплатах и информация о приёме платежей получили статус высокочувствительной и существенной, потому что неправильное обращение или потеря её может нанести серьезный или непоправимый ущерб организации. Восстановить эти данные очень сложно.
Информация по вкладам признана высоко чувствительной и важной, так как неправильное обращение с ней может привести к материальному ущербу и приостановке деятельности организации, речь идёт о неразглашение конфиденциальной информации.
Информация по ведению бухгалтерии определена как внутренняя и важная, т.к. неправильное обращение и потеря ее, может привести к приостановке деятельности и материальному ущербу. В случае потери или несанкционированной модификации данную информацию можно восстановить.
Информации по управлению системой безопасности и информация об управлении БД назначена степень чувствительности - чувствительная, так как неправильное обращение с ней может нанести ущерб учреждению.
Информация о сотрудниках является внутренней, так как ее потеря может привести к некоторому ущербу учреждению.
Ответственным за сохранность информации является каждый пользователь в соответствии со своими служебными полномочиями.
На основе результатов анализа на базе структурной модели разрабатывается информационно – логическая модель ИС организации. На ней с привязкой к компонентам структуры и конфигурации среды ИС и среды организации показываются локализация объектов защиты, циркуляция ИР, подлежащих защите, сфера действия протоколов информационных технологии в ИС и операционных системах (ОС).
На основе определенных полномочий пользователя и степени критичности и чувствительности информации строится информационно – логическая (инфологическая) модель ИС.
Исходя из предыдущего анализа, ясно, что защите подлежат следующие информационные ресурсы:
1. Информация по вкладам
2.Информация о выплатах
3. Информация о приёме платежей
4. Информация по ведению бухгалтерии
5. Информация по управлению системой безопасности
6. Информация о сотрудниках
7. Информация по управлению БД
4.2 Разработка архитектуры программного комплекса построения семантической модели угроз
При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 3.
Таблица 3 – Категории возможных потерь
Категории возможных потерь
Описание
Денежная потеря
Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса.
Потеря производительности
Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов
Затруднения для организаций
Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность
Составим матрицу оценки рисков.
Уровни риска подразделяются на:
Высокий (В): значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
Средний (С): номинальная денежная потеря, потеря производительности или случающиеся затруднения.
Низкий (Н): минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.
Таблица 4 – Матрица оценки рисков
Зона
уязвимости
Угроза
Риск денежной
потери
Риск потери
производ-ти
Риск
затрудне ния
Физический
уровень
Неавторизованное раскрытие защищаемой информации
С
С
Н
Ухудшение обслуживания
Н
Н
Н
Сетевой
уровень
Неавторизованное раскрытие защищаемой информации
С
С
С
Ухудшение обслуживания
Н
Н
Н
Уровень сетевых
приложений
Неавторизованное раскрытие защищаемой информации
С
Н
Н
Ухудшение обслуживания
Н
С
Н
Уровень ОС
Неавторизованное раскрытие защищаемой информации
С
В
В
Ухудшение обслуживания
Н
С
С
Уровень СУБД
Неавторизованное раскрытие защищаемой информации
С
С
Н
Ухудшение обслуживания
Н
С
С
Уровень приложений,
необходимых
для реализации
основных
функций ИС
Неавторизованное раскрытие защищаемой информации
В
В
В
Ухудшение обслуживания
С
В
С
Уровень бизнес-процессов
организации
Неавторизованное раскрытие, защищаемой инф-ции
В
В
В
Ухудшение обслуживания
С
С
С
Таблица 5 – Оценка риска
Категория потерь
Зона уязвимости
Денежная
потеря
Потеря
производительности
Затруднения
Общий риск
Физический
уровень
Н
С
Н
Н
Сетевой
уровень
С
С
Н
Н
Уровень сетевых
приложений
С
С
С
С
Уровень ОС
В
С
С
В
Уровень СУБД
С
С
С
С
Уровень приложений,
необходимых
для реализации
основных
функций ИС
В
С
В
В
Уровень бизнес-процессов
организации
В
С
В
В
Как видно из таблицы 5 и 4 актуальными угрозами, объектом нападения которых является чувствительная либо высоко чувствительная информация, для организации являются:
угроза неавторизованного раскрытия информации на уровне операционных систем, на уровне СУБД, на уровне приложений, необходимых для реализации основных функций ИС и на уровне бизнес – процессов;
угроза ухудшения обслуживания на уровне приложений, необходимых для реализации основных функций ИС и бизнес - процессов;
Таблица 6 - Политика безопасности организации
Правила ИБ
Ответственные
Виды защитных мер
В организации должны проводиться проверки выполняемых действий персонала
Администратор ИБ
Организационные и технические
В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности
Администратор ИБ
Организационные
Обеспечение защиты СУБД и хранение информации
Персонал (операторы АРМ, администраторы)
Организационные и технические
Обеспечение защиты бизнес-процессов филиала коммерческого банка
Персонал (операторы АРМ, администраторы)
Организационные и технические
Управление доступом
Персонал (операторы АРМ, администраторы)
Организационные и технические
Защита от вредоносного ПО
Администраторы ИБ и СУБД
Организационные и технические
4.3 Разработка семантической модели для оценки ущерба от реализации угроз ресурсам информационной системы
Семантическая модель для оценки ущерба от реализации угроз - структура данных, состоящая из узлов, соответствующих понятиям, и связей, указывающих на взаимосвязи между узлами. Наиболее важными связями являются связи "Это-есть" (Is-a), позволяющие построить в семантической сети иерархию понятий, в которой узлы низких уровней наследуют свойства узлов более высоких уровней.
4.3.1 Графическое представление
Основной формой представления семантической модели является граф. Понятия семантической модели записываются в овалах или прямоугольниках и соединяются стрелками с подписями — дугами (см. рис.). Это наиболее удобно воспринимаемая человеком форма. Её недостатки проявляются, когда мы начинаем строить более сложные сети или пытаемся учесть особенности естественного языка, поэтому данной курсовой работы мы будем ограничить количество дуг до 7.
На картах знаний указываются направления отношений, что позволяет многим понятиям найти своё место относительно других понятий.
Модель представляет собой иерархическую неоднородную семантическою сеть Мт = {{От}, НК, РТ, S, Т, RfТ}, где: {От} - множество информационных единиц, в качестве которых рассматриваются ресурсы ИС, поддерживаемые ей бизнес-процессы и угрозы, НК, РТ, S, Т - типы связен, RfТ - матрица отношений.
Множество информационных единиц представляет собой множество {От}={A,B, C, D, E, F, G }, где: A - бизнес-процессы, B - подсети, C- помещения в которых находятся элементы ИС, D - внешние электронные носители информации (CD/DVD -диски, flash - карты, дискеты, ZIP и пр.), E - отчуждаемые электронные носители информации (HDD), F - бумажные носители информации, G - сетевое оборудование.
Отношение RfT задающее связи между информационными единицами входящими в сеть представлено в виде квадратной матрицы:
RfT={rijT}
где rijT - отображает наличие и тип связи между i-ой и j-ой информационными единицами. При этом, i,j Є{ОT}, rijT Є {0, НК, РТ, S,T}, где: 0 - отсутствие связи между i-ой и j-ой информационными единицами, НК, РТ, S, Т - наличие связи типа определенного типа между i-ой и j-ой информационными единицами
Также учитывается, что отношения между ресурсами могуг быть неоднозначными, в том случае если отношение связывает исходный ресурс только с частью зависимого ресурса. Например, прикладная программа при работе с таблицами баз данных может получать полностью таблицу или только её представление.
Для представления подобной неоднозначности всем связям сети назначаются веса Dij Є [0,1] отображающие степень отношения зависимого ресурса с исходным. Ноль, в данном случае обозначает отсутствие отношения между ресурсами, единица, что отношение полностью затрагивает зависимый ресурс. Причем, значение веса отличное от единицы существует , только при j Є{D}.
4.3.1 Пример реализации
Программа была реализованы на языке программирования JAVA .
При запуске программы появляется такое окно Рис. 1
Рисунок 1 Главное окно программы
Run –Запуск программы
Clear- Очитсить граф чтобы рисовать новый
Reset- Сброс значения явный LossThRi и потенциальный RelatePotThRi ущерб
Step -Шаговые расчеты ущерб
Draw node -Рисование граф дуги
DOCUMENTATION ИНФОРМАЦИЯ
Choose Example - Выбор шаблонов графов
Список литературы
"СПИСОК ЛИТЕРАТУРЫ
1.Абрамова М. А., Александрова Л. С. Финансы, денежное обращение и кредит: Учеб. пособие. - М.: Институт международного права и эконо¬мики, 2006.
2.Адаме Р. Основы аудита.- М.: Аудит, ЮНИТИ, 2005.
3.Алексеев В.М. Анализ угроз и разработка политики безопасности информацион-ной системы организации: Методические указания к курсовой работе по дисциплине «Информационная безопасность».- Пенза 2007.- 30 с.: ил., табл., библиогр. Назв.
4..рифонов С.Е., Трифонова Л.И.. Методы и средства защиты информации.- Пенза 2006г.
5.Безруков Н.Н.. Вирусы и методы защиты от них. - Москва 2008 год.
6. «Банковский операции». Москва, «Инфра», 2007 г.
7.«Банковское дело» под редакцией Лаврушкина О.И. Москва, «Финансы и статистика», 2008 г.
8.Банки и банковские операции: Учебник /Под ред.Е. Ф. Жукова. -М.: ЮНИТИ. Банки и биржи, 2007.
9.Банковские операции: Учеб. пособие. Части I-IV. /Под общ. ред. О. И. Лаврушина. - М.: Инфра-М, 2009.
10.Банковское дело: Учебник /Под ред. проф. О. А. Лаврушина. - М.: Банковский и биржевой научно- консультативный центр, 2008
11.Банковское дело: Учебник /Под ред. проф. В. И. Колесникова, проф. Л. П. Кроливецкой. — М.: Финансы и статистика,2006.
12.Бекренев В.Л. Внутренний контроль банка и его информационно-аналитическая система// Бизнес и банки, 2008, №44.
13.Белов В. Когда кругом одни контролеры …// Бизнес и банки, 1997, №48.
14.Белов В. Сколько стоят «услуги» Банка России?// Бизнес и банки, 2006, №10.
15.Бурцев В.В. Организация системы внутреннего контроля коммерческой ор-ганизации. – М.: ЭКЗАМЕН, 2008.
16.Гражданский кодекс, ч.1-2.
17.Голикова Ю.С.. Хохленкова М.А. Банк России: организация деятельности. В 2-х кн. – М.: ДеКА, 2009, кн. 1.
18.Долан Э. Дж., Кэмпбелл К. Д., Кэмпбелт Р. Дж. Деньги, банковское дело и денежно-Хайкин С.
19.Нейронные сети: полный курс. 2-е изд. [Текст] - У.: Издательский дом «Вильяме», 2006;
20 .Рассел С., Норвиг П. Искусственный интеллект: современный подход. 2-е изд. [Текст] - М.: Издательский дом «Вильяме», 2006;
21 .Смолин Д.В. Введение в искусственный интеллект: конспект лекций [Текст] - М.: ФИЗМАТЛИТ, 2004;
22. Тей А., Грибомон П., Луи Ж., Снийерс Д., Водон II., Гоше П., Грегуар Э., Санчес Э., Дельсарт Ф. Логический подход к искусственному интеллект: от классической логики к логическому программированию [Текст] - М.: Мир, 1990;
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00524