Аналіз захищеності комп'ютера як об’єкта зберігання інформації (стр. 4 из 5)

· важливі елементи системи безпеки, кодів і процедур доступу до інформаційних мереж і центрів

· принципи організації захисту комерційної таємниці

У багатьох країнах існують закони, що регламентують банківську діяльність. У них визначне поняття «банківської таємниці». Під банківською таємницею мається на увазі обов’язок кредитної установи зберігати таємницю операції клієнтів, убезпечення банківських операцій від ознайомлення з ними сторонніх осіб, насамперед конкурентів того чи іншого клієнта, таємницю щодо рахунків. У підсумку комерційна таємниця банку включає таємницю самого банку та його вкладника. В Україні подібного закону поки що не має.

2. Дослідження об’єкта захисту інформації

Об‘єктом захисту інформації являється комп‘ютер у бухгалтерії кредитної спілки «MikeLarssonEncorporated».

Кредитна спілка – це юридична форма кооперування фізичних осіб з метою більш ефективного використання вільних грошових засобів учасників на основі взаємного кредитування, тобто шляхом видачі споживацьких та комерційних кредитів.

Кредитні спілки створюються на кооперативній основі з метою залучення особистих заощаджень громадян для взаємного кредитування. Кредитні спілки спеціалізуються, в основному, на обслуговуванні малозабезпечених верств населення. Пасивні операції їх формуються за рахунок пайових внесків у формі купівлі особистих акцій, за якими виплачуються відсотки, а також кредитів банків. Активні операції – 90 % усіх активів складають короткострокові позики, а інша частина формується за рахунок вкладів у цінні папери як приватні, так і державні.

2.1 Опис інформації, яка захищається, її властивості, особливості інформації, як об’єкта права власності, джерела походження інформації

Форма кредитування не нова на сучасному банківському ринку. Але в політиці, яку проводять банки, існують певні недоліки: нерозвинені механізми кредитування приватних осіб, малого бізнесу тощо. До сьогоднішнього часу ця сфера поповнюється із приватних позичок і заповнюється далеко не на 100 відсотків. Виділяються такі етапи діяльності кредитних союзів:1) залучення капіталів учасників;2) аналіз і вибір об’єктів інвестування;3) надання кредиту;4) повернення кредиту.

Розпорядження Про затвердження Змін до Положенняпро внесення інформації про кредитні спілкидо Державного реєстру фінансових установ

Керівник та головний бухгалтер кредитної спілки повинні відповідати Професійним вимогам до керівників та головних бухгалтерів фінансових установ, затверджених розпорядженням

Держфінпослуг від 13.07.2004 N 1590 ( z0955-04 ), зареєстрованим у Міністерстві юстиції України 02.08.2004 за N 955/9554 (із змінами).

Програмне забезпечення та спеціальне технічне обладнання кредитних спілок, пов'язане з наданням фінансових послуг, повинні відповідати Вимогам до програмного забезпечення та спеціального технічного обладнання кредитних спілок, пов'язаного з наданням фінансових послуг, затвердженим розпорядженням Держфінпослуг від 03.06.2005 N 4122 ( z0707-05 ), зареєстрованим у Міністерстві юстиції України 04.07.2005 за N 707/10987 (із змінами).

Кредитна спілка зобов'язана мати окреме приміщення з обмеженим доступом та сейф для зберігання грошей (грошових коштів) і документів, що унеможливлює їх викрадення (пошкодження)".

2.2 Визначення інформаційної системи досліджуваного об’єкта. Інформаційні ресурси, інформаційні потоки. Структурна схема інформаційної системи

Інформаційна система - це організаційно впорядкована сукупність інформаційних ресурсів, технічних засобів, технологій, що реалізують інформаційні процеси в традиційному або автоматизованому режимі для задоволення інформаційних потреб користувачів. Інформаційна система досліджуваного об'єкта має певну структуру, склад та порядок функціонування.

Сруктура інформаційної системи:

- Користувачі: працівники фірми, керівництво.

- Інформаційні ресурси: документи, база даних фірми, база знань фахівців організації, розміщена на сервері фірми.

- Носії інформації: фізична пам’ять комп'ютерів працівників та серверу фірми, зовнішні накопичувачі, документи, деяке обладнання мережі.

- Засоби передачі інформації: все обладнання мережі, а саме: Ethernet карти, комутатори, концентратори, кабелі (вита пара, волоконно оптичні), ipтелефонія, маршрутизатори.

Структурна схема інформаційної системи

2.3 Місце розташування об’єкту захисту інформації, схема приміщення, де розташовується об’єкт

Об‘єктом захисту інформації являється комп‘ютер у бухгалтерії кредитної спілки «MikeLarssonEncorporated».

Схема приміщення кредитної спілки «MiLE»

3 Проведення аналізу захищеності об’єкта

Вимога 1. Політика безпеки.

Система повинна підтримувати точно визначену політику безпеки. Можливість здійснення суб'єктами доступу до об'єктів повинна визначатися на підставі їхньої ідентифікації і набору правил керування доступом. Там, де це необхідно, повинна використовуватися політика мандатного керування доступом, що дозволяє ефективно реалізувати розмежування доступу до інформації різного рівня конфіденційності.

Вимога 2. Мітки.

З об'єктами повинні бути асоційовані мітки безпеки, що використовуються як вихідна інформація для процедур контролю доступу. Для реалізації мандатного керування доступом система повинна забезпечувати можливість присвоювати кожному об'єкту мітку чи набір атрибутів, що визначають ступінь конфіденційності (гриф таємності) об'єкта і режими доступу до цього об'єкта.

Вимога 3. Ідентифікація й автентифікація.

Усі суб'єкти повинні мати унікальні ідентифікатори. Контроль доступу повинен здійснюватися на підставі результатів ідентифікації суб'єкта й об'єкта доступу, підтвердження дійсності їхніх ідентифікаторів (автентифікації) і правил розмежування доступу. Дані, що використовуються для ідентифікації й автентифікації, повинні бути захищені від несанкціонованого доступу, модифікації і знищення і повинні бути асоційовані з всіма активними компонентами комп'ютерної системи, функціонування яких критично з погляду безпеки.

Вимога 4. Реєстрація й облік.

Для визначення ступеня відповідальності користувачів за дії в системі всі події, які відбуваються в ній, що мають значення з погляду безпеки, повинні відслідковуватися і реєструватися в захищеному протоколі. Система реєстрації повинна здійснювати аналіз загального потоку подій і виділяти з нього тільки ті події, що впливають на безпеку, для скорочення обсягу протоколу і підвищення ефективності його аналізу. Протокол подій повинен бути надійно захищеним від несанкціонованого доступу, модифікації і знищення.

Вимога 5. Безперервність захисту.

Усі засоби захисту (у т.ч. і ті, що реалізують дану вимогу) повинні бути захищені від несанкціонованого втручання і/чи відключення, причому цей захист повинний бути постійним і безупинним у будь-якому режимі функціонування системи захисту і КС у цілому. Дана вимога поширюється на весь життєвий цикл комп'ютерної системи. Крім того, його виконання є однією з ключових аксіом, що використовуються для формального доказу безпеки системи.

Вимога 6. Місце збереження.

Усі дані, що стосуються даної організації мають зберігатися в певних місцях, доступ до яких мають лише ті користувачі, які відповідають за зберігання, цілісність, розповсюдження, видачу цих даних. Тут можна прослідкувати певну ієрархію, тобто доступ до даних збільшується із підняттям по «кар’єрній драбині».

3.1 Види можливих погроз. Характер походження погроз

Комп‘ютеру у бухгалтерії кредитної спілки «MiLE» найбільше можуть загрожувати наступні погрози:

· Стихійні лиха і аварії(може привести до повної втрати бази данних членів кредитної спілки «MiLE», тому бажано всі бази записати на носій пам‘яті та сховати у внутрішньому сейфі)

· Збої і відмови устаткування(може привести до помилок розрахунків у програмі обробки рахунків вкладників та кредиторів)

· Наслідки помилок проектування і розробки компонентів АС(може привести до помилок розрахунків у програмі обробки рахунків вкладників та кредиторів)

· Помилки експлуатації(проведення інструктажів з техніки безпеки, інакше наслідки можуть бути такі ж, як і у вище описаних загрозах)

· Навмисні дії зловмисників і порушників(зловмисники можуть заволодіти цінною інформацією, такою, як – реквізити вкладників, номери рахунків кредитної спілки «MiLE» у банках, логін та пароль користувача – володіючи такою інформацією зловмисники можуть наважитися на пограбування як самих вкладників(адже будуть знати їх імена, суми вкладів та дату закінчення договору), так і кредитної спілки «MiLE» шляхом входу в систему через відомий логін-пароль та зміни даних договору(суми внеску, наприклад)

За природою виникнення:

· Природні загрози (загрози, що викликані впливами на АС та її компоненти об’єктивних фізичних процесів або стихійних природних явищ, що не залежать від людини).