Тема дипломной работы: Разработка подсистемы защиты баз данных банковского учреждения с использованием AstraLinux

     Содержание

Введение…………………………………………………………………………...6

Глава 1. Анализ операционных систем семейства Linux. 8

1.1 Анализ ALT Linux на предмет соответствия требованиям для работы с защищаемой информацией. 8

1.2 Анализ Astra Linux SE на предмет соответствия требованиям для работы с защищаемой информацией. 10

1.3 Сравнительный анализ дистрибутивов. 13

1.4 Выводы. 15

Глава 2. Анализ работы приложения баз данных в условиях мандатного контроля доступа. 17

2.1 Определение требуемого уровня защищенности информационной системы. 17

2.2 Реализация системы управления доступом в Astra Linux. 18

2.3 Установка и тестирование приложения баз данных. 21

2.4 Выводы. 33

Глава 3. Формирование набора мер по обеспечению безопасности информации в базах данных банковского учреждения. 36

3.1 Модели угроз и нарушителей информационной безопасности организаций банковской
системы Российской Федерации. 36

3.2 Определение набора мер по защите баз данных банковского учреждения. 39

3.3 Разработка методики предназначенной для обработки информации содержащей
банковскую тайну. 41

3.5 Оценка защищённости продукта при использовании предложенного набора мер  44

3.6 Выводы. 62

Глава 4. Безопасность и экологичность проекта. 63

4.1 Анализ опасных и вредных производственных факторов. 63

4.2 Возможные аварийные или чрезвычайные ситуации. 71

4.3 Выводы. 74

Глава 5. Расчет технико-экономической эффективности проекта. 75

5.1 Расчёт затрат на проектирование подсистемы защиты. 75

5.2 Расчёт стоимости экономических потерь в случае реализации информационных угроз 76

5.4 Выводы. 77

Заключение. 79

Список используемых источников. 81

Приложение 1. 83

Приложение 2. 89

Приложение 3. 94

                                                                               Введение

Информационная сфера активно развивается настоящее время. Увеличивается количество и ценность
обрабатываемой информации. Совершенствуется программное обеспечение для работы с информацией в электронном виде. Одновременно увеличивается вероятность утраты данных в следствии некомпетентных либо умышленных действий пользователя ЭВМ (электронной вычислительной машины). Практически во всех случаях, искажение или утрата информации несет за собой определенный экономический ущерб.

В результате возникает необходимость при разработке автоматизированных систем обеспечивать
соответствие требованиям по защите информации. Таким образом, представляется актуальным разработать подсистему защиты баз данных с учетом требований к информационной безопасности, которую возможно применять при разработке информационных систем.

Требования к обеспечению безопасности зависят от конфиденциальности информации и характера доступа к ней пользователей и приведены в руководящих документах Банка России.

Цель дипломной  работы –  разработка подсистемы защиты баз данных банковского учреждения с использованием AstraLinux, путем создания методики, позволяющей разрабатывать программное обеспечение, которое будет удовлетворять соответствующим требованиям. Объект – базы данных банковского учреждения.

Предмет – разработка подсистемы защиты баз данных банковского учреждения с использованием AstraLinux.

Задачи работы:

−   оценить возможность применения операционной системы AstraLinux в подсистеме защиты;

−   провести анализ существующих компонентов, пригодных к использованию в подсистеме защиты
баз данных;

−   разработать набор мер и методик, из которых должна состоять подсистема защиты баз данных;

−   оценить степень соответствия подсистемы требованиям нормативных документов по
обеспечению информационной безопасности.

В первой главе дипломной работы проведен анализ требований, предъявляемых к средствам вычислительной техники, предназначенных для работы с информацией, содержащей банковскую тайну.

Сделан обзор существующих операционных систем, походящих для использования в таких средствах
вычислительной техники. Проведен анализ соответствия ОС поставленным требованиям и сделан вывод о правомерности использования каждой системы.

Во второй главе произведен анализ интегрированных компонентов, поставляемых в составе операционной системы Astra Linux SE, изучена реализация системы мандатного управления доступом и
мандатного контроля в сетевом взаимодействии. Описан выбор приложений для проведения тестирования и анализа особенностей работы веб-приложений. Приведены результаты тестирования и их анализ.

В третьей главе рассмотрена модель угроз банковского учреждения, предложен набор мер по
обеспечению безопасности информации со способами реализации, сформулированы основные положения методики разработки, позволяющей разрабатывать приложения, включая подсистему безопасности баз данных. Произведена оценка разработанного набора мер на соответствии требованиям Банка России по защите информации.

В четвертой главе произведен расчет безопасности и экологичности, проанализированы вредные и опасные производственные факторы, действующие на пользователей ЭВМ.

В пятой главе проведен расчет риска информационной безопасности, проанализированы
технико-экономические показатели, проведен расчет оценочной стоимости проекта.

Глава 5. Расчет технико-экономической эффективности проекта

5.1 Расчёт затрат на проектирование подсистемы защиты
Подсистема защиты представляет собой часть общей системы защиты информации, при этом она использует как имеющиеся средства защиты информации, так и требует закупки, установки и настройки новых средств.
Подсистема защиты строится с целью защиты от актуальных угроз информационной безопасности, которые в случае реализации могут нанести экономический ущерб предприятию.
Для оценки эффективности разработанной подсистемы необходимо:
рассчитать величину экономического ущерба от реализации угроз;
рассчитать стоимость на закупку, установку и настройку необходимых технических средств и программного обеспечения;
рассчитать капитальные затраты по разработке проекта подсистемы защиты;
рассчитать экономический эффект от внедрения подсистемы защиты.
Капитальные затраты на проектирование подсистемы защиты определяются по следующей формуле
K=K_пр+K_по+K_ус (5.1)
где: K_пр – затраты на проектирование подсистемы;
K_по – затраты на программное обеспечение;
K_ус – затраты на установку и настройку программного обеспечения. Затраты, связанные с проектированием системы определяются через заработную плату сотрудников, привлекаемых к разработке системы
Прочие расходы складываются из стоимости оборудования и программного обеспечения, которые используются для разработки проекта. Для разработки проекта требуется один ПК с установленным программным обеспечением для выполнения проектирования и один принтер. Оценочная стоимость использованного оборудования для проектирования равняется 45 000 р.
Для разработки подсистемы защиты привлекались работники следующих категорий:
программист;
администратор;
специалист по защите информации.
Стоимость работ каждого из специалистов оценивается в 20 000 р в месяц. Время разработки заняло месяц работы каждого сотрудника.
Итого 60 000.00р.
Проектом предусматривается покупка следующего программного обеспечения: «Astra Linux Special Edition» РУСБ.10015-01 версии 1.4 формат поставки BOX (ФСТЭК) – 24900,00 р. Примем затраты на установку и настройку равными 10% от стоимости программного обеспечения.
Итого капитальные затраты: 132 390.00р.

5.2 Расчёт стоимости экономических потерь в случае реализации информационных угроз
В ходе разработки проектирования анализ информационных угроз показал, что существует целый ряд актуальных угроз для защищаемой информационной системы. Для оценки стоимости экономических потерь воспользуемся следующими понятиями:
фактические убытки – это средняя стоимость оборудования или ПО, которое было уничтожено или повреждено, а также общая стоимость работ по восстановлению рабочего состояния информационной системы;
затраты на снижение убытков – это стоимость потраченная на средства защиты и применение организационных мер защиты;
затраты на возмещение убытков – это фактические убытки умноженные на 25%, такой коэффициент определяется из принципа того, что восстановление состояния информационной системы будет производиться штатными сотрудниками, которым будет необходимо выполнить дополнительную оплату труда за исправление нештатной ситуации.
Реализация одновременно всех угроз маловероятна, но реализация одной из угроз, как правило, дает предпосылки для реализации других угроз, что неизменно приводит к увеличению ущерба наносимого предприятию. Итоговая сумма величины потерь, а также коэффициент ущерба являются весьма условными, т.к. суммарная зависимость потерь от последовательной реализации угроз не является линейной зависимостью, но, тем не менее, данные величины дают представление о том, что ущерб от реализации угроз информационной безопасности может быть катастрофичным для предприятия. Выявлено, что суммарная стоимость средств защиты ниже, чем величина потерь от реализации угроз информационной безопасности, так как для банковского учреждения минимальная действительная величина потерь в случае реализации одной из угроз начинается от 500 000 р (учитываются как прямые потери денежных средств кредитной организации, так и косвенные репутационные убытки).
Общая сумма затрат на приобретение, настройку и установку средств защиты информации составляет 132 390.00 р

5.4 Выводы
Анализ технико-экономических показателей позволяет утверждать:
для реализации проекта было привлечено три специалиста, суммарная заработная плата которых составит 60 000 р.;
на разработку проекта было потрачено 30 рабочих дней;
применение средств защиты информации предусмотренных проектом является экономически эффективным, т.к. суммарная стоимость применённых средств защиты меньше чем нанесённый ущерб в случае реализации угрозы.
Таким образом, данная подсистема является экономически оправданной, так как затраты на ее разработку составляют не более 27.8% от возможных потерь, и для реализации не требуется специального программно-аппаратного обеспечения, пригодного только в рамках данной подсистемы, так как приобретаемая операционная система имеет широкий спектр применения.