- •7. Защита персональных данных 31
- •Введение
- •1 Региональная специфика
- •2 Описание бизнес-процесса
- •3 Перечень конфиденциальных данных
- •4 Топологическая схема сети
- •5 Описание технологического процесса
- •5.1 Модули и компоненты, составляющие технологический процесс
- •5.2 Карта информационных потоков
- •6 Разработка системы обеспечения информационной безопасности для рассматриваемого технологического процесса
- •6.1 Модель нарушителя информационной безопасности
- •6.2 Угрозы и уязвимости для функционирования технологического и бизнес-процесса
- •6.3 Классы атак на рассматриваемую систему
- •6.4 Программно-аппаратные средства и комплексы обеспечения безопасности информации
- •6.5 Сравнительная характеристика элементов технологического процесса и их аналогов
- •6.6 Подсистема обеспечения информационной безопасности
- •7. Защита персональных данных
_ ____________________________________________________________________________________
Факультет
«Кибернетика и информационная безопасность»
____________________________________________________________________________________
ОТЧЕТ
о выполнении курсового проекта
«Работа сети цветочных магазинов в Салехарде с центральным офисом в Лабытнанги»
Исполнители:
Харченков Артем, Б9-03 Митюшкина Татьяна, Б9-02
Хворов Дмитрий, Б9-04
Мишин Александр, Б9-01
Москва 2012
Оглавление
Введение 5
1 Региональная специфика 6
2 Описание бизнес-процесса 7
3 Перечень конфиденциальных данных 9
4 Топологическая схема сети 9
5 Описание технологического процесса 10
5.1 Модули и компоненты, составляющие технологический процесс 10
5.2 Карта информационных потоков 12
6 Разработка системы обеспечения информационной безопасности для рассматриваемого технологического процесса 14
6.1 Модель нарушителя информационной безопасности 14
6.2 Угрозы и уязвимости для функционирования технологического и бизнес-процесса 16
6.3 Классы атак на рассматриваемую систему 18
6.4 Программно-аппаратные средства и комплексы обеспечения безопасности информации 19
6.5 Сравнительная характеристика элементов технологического процесса и их аналогов 20
6.6 Подсистема обеспечения информационной безопасности 28
7. Защита персональных данных 31
Термины и определения
POS-терминал ― программно-аппаратный комплекс, которые позволяет осуществлять торговые операции как это делает обычный кассовый аппарат. Может содержать монитор, системный блок, дисплей покупателя, POS-клавиатуру, считыватель карт, печатающее устройство, фискальную часть, программное обеспечение.
Атака ― событие (момент), при котором злоумышленник проникает внутрь системы или совершает по отношению к ней какое-либо несанкционированное действие.
Аудит ― получение информации о системе, касающейся ее внутренней работы и поведения.
Безопасность информации ― состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внешних или внутренних угроз: от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения доступности информации, а также ее незаконного тиражирования, которые приводят к материальному или моральному ущербу для владельца или пользователя информации.
Виртуальная частная вычислительная сеть ― выделенная сеть на базе общедоступной сети, которая поддерживает конфиденциальность за счет использования туннелирования и других процедур защиты.
Вредоносные программы ― специально созданные программы для воздействия на вычислительную систему.
Вторжение ― процесс попытки несанкционированного проникновения в какую-либо систему.
Вычислительные системы ― отдельные средства вычислительной техники в составе СОД.
Голосовой шлюз ― устройство, которео преобразует аналоговый сигнал в цифровые IP-пакеты. Может иметь встроенный маршрутизатор, может подключаться к маршрутизатору.
Интернет-эквайринг ― прием платежей по пластиковым картам через Интернет.
Информационная (компьютерная) система ― сложная система, включающая всю совокупность аппаратного, системного и прикладного ПО и методов их организации, которая обеспечивает информационную деятельность предприятия.
Информационное обеспечение деятельности организации ― создания, организация и обеспечение функционирования такой системы сбора, хранения, обработки и выдачи информации, которая предоставляла бы всем подразделениям и должностным лицам организации всю необходимую им информацию в требуемое время, требуемого качества и при соблюдении всех устанавливаемых правил обращения с информацией.
МСЭ ― локальное (однокомпонентное или функционально распределенное) средство (комплекс), которое реализует контроль информации, поступающей в АС и/или выходящей из нее, и обеспечивает защиту АС посредством фильтрации информации, то есть анализа по совокупности критериев и принятия решения о ее распространении из/в АС.
Обнаружение вторжений ― процесс обнаружения несоответствующих, неправильных или аномальных действий или событий в сетях.
Риск нарушения ИБ ― фактор, отражающий возможный ущерб в результате реализации угрозы ИБ.
Система обработки данных (информации) (СОД) ― сложная система, включающая технические средства преобразования, хранения и передачи информации (аппаратное и системное ПО) и методы их организации, которая обеспечивает поддержку прикладных программ (приложений) пользователя.
Среда ― конкретное воплощение ИС или ее части со всей совокупностью присущих ей качеств, особенностей, образуемых всеми используемыми методами и средствами обработки данных, и условий, в которых протекает процесс обработки информации.
Угроза ― потенциально возможное событие, действие или процесс, которые посредством воздействия на компоненты системы могут привести к нанесению ущерба.
Удаленная атака ― несанкционированное информационное воздействие на распределенную вычислительную сеть, программно осуществляемое по каналам связи.
Уязвимость ― любая характеристика или свойство системы, использование которой нарушителем может привести к реализации угрозы.
Хост ― компьютер с уникальным IP.
Эквайринг — вид деятельности кредитной организации (банка), включающий в себя осуществление расчетов с POS-терминалов по операциям, совершаемым с помощью банковских карт.