Система обеспечения целостности и безопасности
В качестве программно-технических средств защиты информации должны выступать средства разграничения доступа, контроля копирования и распространения конфиденциальной информации. Классификацию АИС можно проводить по ряду критериев. Классификация разрабатываемой АИС «АРМ бухгалтера по зарплате» по различным критериям представлена в таблице 5. Преднамеренные угрозы возникают из-за желания персонала… Читать ещё >
Система обеспечения целостности и безопасности (реферат, курсовая, диплом, контрольная)
Тип АИС.
Классификацию АИС можно проводить по ряду критериев. Классификация разрабатываемой АИС «АРМ бухгалтера по зарплате» по различным критериям представлена в таблице 5.
Табл. 5 — Критерии АИС.
Критерий. | Значение. |
Функциональное назначение. | Система информационного обеспечения. |
Вид управляемого процесса. | Автоматизированная система организационного управления. |
Сфера автоматизации. | Автоматизированная система управления. |
Вид объекта управления. | Частная компания. |
Уровень управления. | Отдельный объект. |
Степень автоматизации. | Автоматизированная. |
Уровень автоматизации. | Информационно-управляющая. |
Охват уровней и функций управления. | Информационная система управления. |
Состав КТС.
В состав комплекса технических средств разрабатываемой АИС «АРМ бухгалтера по зарплате» входят:
- — сервер хранения данных;
- — клиентская рабочая станция;
- — рабочая станция бухгалтера.
Пользователи.
В состав пользователей разрабатываемой АИС входят следующие должностные лица:
- — начальник противопожарной службы;
- — работник бухгалтерии.
Системное и прикладное ПО.
Информационная система разработана с применением программы «Фаст» в связи с требованиями заказчика и предпочтениями программиста.
Функционирование данной СУБД и создаваемых с ее помощью прикладных программ осуществляется под управлением операционных систем MS Windows XP.
Анализ и классификация информации по уровням доступа.
Вся информация поступающая, хранящаяся и обрабатывающаяся в системе является коммерческой тайной и является информацией с ограниченным доступом.
Категории пользователей по доступу к информации.
Функционирование объекта автоматизации в рамках разрабатываемой АИС осуществляется таким образом, что каждое должностное лицо имеет право на просмотр всей имеющейся в системе информации.
Бухгалтер обладают правом на редактирование информации.
Администратор использует систему для анализа отчетности и принятия управленческих решений.
Изменение информации в системе должно осуществляться с согласия начальника противопожарной службы.
Модель поведения потенциальных нарушителей.
В роли потенциальных нарушителей могут выступать пользователи. Причиной нарушений могут являться:
- — финансовые махинации;
- — сокрытие недобросовестного выполнения работы;
- — банальная невнимательность.
Следствием данных нарушений может служить искаженная информация, которая не предназначена для редактирования данным пользователем.
Противоправные действия пользователем могут быть совершенны лишь при наличии прав администратора системы. Для пресечения нарушений должен быть регламентирован обоюдный контроль действий со стороны администратора системы и всех категорий пользователей, а так же внимательность администратора системы по сохранению конфиденциальности его пароля.
Вероятные каналы НСД к информации.
В качестве основного канала несанкционированного доступа к информации со стороны пользователей АИС «АРМ бухгалтера по зарплате» является получение ими прав на редактирование информации, запрещенной для них.
Нахождение и обнаружение каналов НСД к информации со стороны третьих лиц является прерогативой службы безопасности предприятия.
Возможные угрозы.
Все возможные угрозы можно разделить на преднамеренные и непреднамеренные.
Непреднамеренные возникают из-за возможных ошибок в работе пользователей и обслуживающего персонала АИС «АРМ бухгалтера по зарплате». Например, возможность случайного наделения пользователя широкими правами или непредумышленное разглашение конфиденциальной информации пользователями.
Преднамеренные угрозы возникают из-за желания персонала или третьих лиц заполучить, исказить конфиденциальную информацию или получить материальную выгоду.
Потенциальный ущерб от нарушения целостности и секретности.
Потенциальный ущерб от противоправных действий напрямую зависит от характера этих действий. Противоправные изменения, внесенные в какой-либо из документов, приведут к нанесению ущерба, который можно определить по формуле:
Потенциальный ущерб = Прямой ущерб от внесенных изменений (денежное выражение изменений) + Косвенный ущерб.
Косвенный ущерб индивидуален в каждом случае и зависит от характера несанкционированных изменений.
Система защиты информации.
Система защиты информации представляет собой комплекс правовых, морально-этических, организационных, программно-технических методов, средств, систем и мероприятий по защите информации.
В качестве морально-этических, правовых и организационных норм должны выступать подписываемые пользователями и обслуживающим персоналом системы документы о неразглашении коммерческой тайны. С работниками должны быть проведены беседы о недопустимости обсуждения конфиденциальной информации с третьими лицами, в присутствии третьих лиц, а также в ее минимальном обсуждения вне рабочего места.
В качестве программно-технических средств защиты информации должны выступать средства разграничения доступа, контроля копирования и распространения конфиденциальной информации.
Основные виды угроз безопасности хранимой информации:
копирование и кража программного обеспечения;
несанкционированный ввод данных;
изменение или уничтожение данных на магнитных носителях;
кража информации;
несанкционированное использование информационных ресурсов;
ошибочное использование информационных ресурсов.