«Анализ и аудит защищенности информации, циркулирующей в системе документооборота на предприятии фку «Налог-Сервис» фнс россии в Тюменской области»

Скачать 0.67 Mb.

Название	«Анализ и аудит защищенности информации, циркулирующей в системе документооборота на предприятии фку «Налог-Сервис» фнс россии в Тюменской области»
страница	7/14
Тип	Дипломная работа

rykovodstvo.ru > Руководство эксплуатация > Дипломная работа

1 2 3 4 5 6 7 8 9 10 ... 14

Анализ предполагаемой квалификации нарушителя

Анализ предполагаемой квалификации потенциального нарушителя проводится по классификационным признакам. Кто бы ни был источником нарушения, какое бы оно не было, все нарушители имеют одну общую черту - доступ к объекту информатизации.

Применительно к конкретным условиям функционирования объекта информатизации уровень технической подготовки потенциального нарушителя, его квалификацию необходимо ранжировать следующим образом:

не является специалистом в области вычислительной техники;
самый низкий уровень возможностей – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции при обработке информации;
возможности создания и запуска собственных программ с новыми функциями по обработке информации;
возможность управления функционированием автоматизированной системы, т.е. воздействием на базовое программное обеспечение системы, на конфигурацию ее оборудования;
включает весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав АС собственных технических средств с новыми функциями по обработке информации.

Внешний нарушитель не имеет непосредственного доступа к штатным средствам объекта информатизации, зачастую действует в сговоре с внутренним нарушителем. Нарушитель может использовать пассивные и/или активные методы вторжения в АС.

При пассивном вторжении нарушитель использует каналы утечки информации, не нарушая информационный поток и не влияет на содержание информации. Он наблюдает за прохождением информации по информационно-телекоммуникационной сети. Пассивное вторжение опасно при несоблюдении специальных требований и рекомендаций по защите конфиденциальной информации. Пассивное вторжение всегда связано только с нарушением конфиденциальности информации, т.к. при этом никаких действий с объектами доступа не производится.

При активном вторжении нарушитель стремится подменить, исказить или уничтожить информацию, передаваемую по информационно-телекоммуникационной сети, получить удаленный доступ к информационным ресурсам АС, преодолев систему разграничения доступа, оказывает воздействие на персонал объекта информатизации. По каналам передачи данных он может выборочно модифицировать, удалить, задержать или изменить порядок следования сообщений, пытаться подобрать пароли. Активное вторжение осуществляется с использованием методов несанкционированного доступа (НСД).

В качестве внутреннего нарушителя на объекте информатизации рассматривается субъект, имеющий доступ к работе со штатными средствами объекта. Внутренний нарушитель имеет возможность непосредственного доступа к материальным носителям информации, к средствам автоматизированной обработки данных. Внутренние нарушители характеризуются по уровню возможностей, предоставляемых им штатными средствами.

Применительно к объекту информатизации, внутренних нарушителей можно разделить на группы:

пользователи информационных ресурсов (госналогинспектора, бухгалтеры, сотрудники кадровых аппаратов и другие пользователи, работающие с узким кругом прикладного программного обеспечения);
обслуживающий персонал (администраторы АС, ЛВС, ТКУ, администраторы безопасности СКЗИ, сотрудники отдела безопасности осуществляющие настройку и эксплуатацию средств защиты информации, в том числе криптографической);
сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение, администраторы баз данных;
другие работники подразделений объекта информатизации, имеющие санкционированный доступ на объект, где расположено оборудование передачи и обработки информации АС.

Первые две группы по уровню возможностей относятся к пользователям, допущенным к обработке информации в АС, последние две относятся к работникам наделенными полномочиями по администрированию и обслуживанию АС. Однако не исключается возможность, что внутренний нарушитель, воспользовавшись недекларированными возможностями установленного программного обеспечения, может повысить свои полномочия.

1 2 3 4 5 6 7 8 9 10 ... 14

Похожие:

	Регламент эксплуатации подсистемы "Личный кабинет налогоплательщика... О вводе в промышленную эксплуатацию подсистемы "Личный кабинет налогоплательщика индивидуального предпринимателя"		Частное техническое задание на систему защиты персональных данных... Целью сзпдн ца фнс россии является предотвращение возможного ущерба и других негативных последствий в результате реализации угроз...
	Инструкция по подписанию электронных документов в системе электронного... Данная Инструкция по подписанию электронных документов в системе электронного документооборота сбиС++ распространяется на документы,...		Порядок подключения новых организаций (пользователей) к межведомственной... Для первичного подключения организации к Межведомственной системе электронного документооборота Московской области (далее – мсэд)...
	Документация о проведении электронного аукциона № эа-38/16 на поставку... ...		Программа дополнительного образования детей «Кадетская школа» «Об утверждении общевоинских уставов вс рф», законом Тюменской области от 06. 02. 1997г. №72 «О молодежной политике в Тюменской области»,...
	Постановление от 13 февраля 2012 г. N 44-п об утверждении порядка... В соответствии со статьей 8 Закона Российской Федерации от 14. 05. 1993 n 4979-1 "О ветеринарии", руководствуясь статьей 5 Закона...		«Разработка единой политики обеспечения безопасности персональных... Целью работы является разработка типовой политики обеспечения информационной безопасности и организационно-распорядительной документации...
	Инструкция по заполнению заявки на участие в электронном аукционе.... Фку «ЦХисо умвд россии по Белгородской области» государственного контракта на поставку автомобильных шин для нужд фку «ЦХисо умвд...		Учебно-методический комплекс дисциплины деловой английский язык Специальность... Специальность 080109. 65 «Бухгалтерский учет, анализ и аудит» Форма подготовки (заочная)
	Инструкция по работе в системе электронного документооборота для... Ркк – Регистрационно-контрольная карточка. В зависимости от контекста может применятся для обозначения записей любого справочника,...		Перечень информации, запрашиваемой исполнительными органами государственной... Перечень информации, запрашиваемой органами исполнительной власти Тюменской области от органов местного самоуправления
	Перечень информации, запрашиваемой исполнительными органами государственной... Перечень информации, запрашиваемой органами исполнительной власти Тюменской области от органов местного самоуправления		Программа реализация алгоритма распознавания 41 Анализ электронных датчиков и средств отображения информации в торговом предприятии 15
	Решение по делу №178 о нарушении законодательства о контрактной системе... Комиссия Управления Федеральной антимонопольной службы по Тюменской области по контролю в сфере закупок товаров, работ, услуг для...		Курсовая работа по предмету: "Бухгалтерский учет" Тема "Учет расчетов с бюджетом по прочим налогам (земельный налог, налог на имущество, налог на транспорт)"

Руководство, инструкция по применению