Дослідження стану інформаційної безпеки філії PayPal. Інші з Менеджмент інформаційної безпеки. Робота № 530808

Перехід до торгівельного партнера Binance

Дослідження стану інформаційної безпеки філії PayPal

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

ІКТА

Факультет:

УІ

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2018

Тип роботи:

Інші

Предмет:

Менеджмент інформаційної безпеки

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА Кафедра «Захист інформації» / Проектна робота з дисципліни «Менеджмент інформаційної безпеки» на тему: «Дослідження стану інформаційної безпеки філії PayPal» Зміст ст. 1.Розділ 1. § 1.1 Місцезнаходження.......................................................................................................3 § 1.2 Опис систем життєзабезпечення................................................................................5 1.2.1. Опис системи електроживлення.............................................................................5 1.2.2. Опис системи пожежного сповіщення...................................................................6 1.2.3. Опис системи вентиляції.........................................................................................7 1.2.4. Опис системи опалення...........................................................................................8 § 1.3 Опис інформаційної системи......................... ............................................................9 1.3.1. Опис LAN…………………………………………………………………………..9 1.3.2. Опис розташування офісного обладнання............................................................11 1.3.3. Опис програмного забезпечення...........................................................................15 § 1.4. Опис бізнес-процесу..................................................................................................17 § 1.5. Функціональні обов’язки працівників.....................................................................18 § 1.6. Реєстр інформаційних активів..................................................................................22 § 1.7. Опис фінансово-господарської діяльності.............................................................23 2.Розділ 2 § 2.1 Методика оцінки ймовірності реалізації загрози......................................................24 2.1.1 Чинники які відносяться до групи К1....................................................................24 2.1.2 Чинники які відносяться до групи К2....................................................................28 2.1.3 Чинники які відносяться до групи К3....................................................................29 § 2.2 Методика оцінки збитку..............................................................................................30 3.Розділ 3 § 3.1 Оцінювання ризиків інформаційної безпеки…........................................................32 Висновки……………………………………………………………………………….....…60 Опис інформаційного об’єкту 1.1. Місцезнаходження Приміщення Філії компанії PayPal, знаходяться на першому поверсі п’яти поверхової будівлі м.Київа, вул.Паторжинського 9 (рис. 1.1) , який для зручності розділемо на п`ять ділянок. На даній території є розміщені кабінет керівника підприємства, службові приміщення та серверні. Підключення до мережі інтернет здійснюється провайдером «IpNet». На усіх інших поверхах приміщення розміщуються інші офіси багатьох компаній. / Рис 1.1. Зображення на карті даного об’єкту / Рис 1.2. Вигдяд з боку філії PayPal / Рис. 1.3. План першого поверху філії PayPal 1.2 Системи життєзабезпечення 1.2.1. Система подачі електроенергії / Рис 1.4 Схема подачі електроенергії у філію До філії PayPal підземними комунікаціями проведена трьох-фазна система електро забезпечення(380В). Переріз кожної жили проводу рівний 4 кв.мм, що у свою чергу має забезпечити потужність рівну 19,8 кВт на кожну з фаз. Кабель проведенний до електричного розподільчого щита який розміщений у підвальному приміщенні філії, доступ до нього можливий тільки з середини філії, в електричному щиті розміщенні запобіжні автомати та лічильник електроенергії. Ключі для доступу до електричного щита розміщені у сейфі охорони. Одна фаза живлення використовується для живлення системи призначеної для побутових пристрої, комп’ютерів та серверів. Друга фаза використовується для забезпечення усіх електроосвітлювальних приладів. Третя фаза на даний момент не використовується, тому вважається резервною. Уразі проблем пов’язаних із подачею електроенергії на будь-якій з перших двох фаз, електрики з місцевого комунального підприємства можуть перекомутувати з’єднання таким чином щоб подати електроенергію з резервної фази живлення. У кожній кімнаті приміщення розміщенні додаткові запобіжні автомати, вони призначені в першу чергу для того, щоб за необхідності можна було відімкнути подачу електроенергії лише у частині приміщення, а не у цілому будинку. Друга причина - це раціональне розподілення навантаження між кімнатами офісу. Усі розетки в офісі мають заземлення та номінальний струм навантаження у розмірі 16А. / / Рис 1.5. Зображення електричної мережі філії 1.2.3 Пожежна система та сповіщення У кожній кімнаті офісу встановлено один інфрачервоний датчик вогню та один датчик задимленності. Кожний датчик під’єднаний кабелем до центрального блоку управління пожежнею безпекою, який у випадку отримання тривожного сигналу від одного з датчиків вмикає пожежну сигналізацію та зв’язується з найближчою пожежною частиною тим самим повідомляючи про пожежу. Оскільки будівля в якій розміщена філія це офісна будівля у ній відсутнє газопостачання. / / Рис 1.6. Схема підключення протипожежних датчиків Під час спрацювання пожежної сигналізації охоронець повинен повністю відкрити вхідні двері для як найшвидшого евакуювання людей з будівлі і не допускати щоб люди почали заходити у будівлю. Усі робітники під час пожежної сигналізації повинні негайно вимкнути свої комп’ютери та покинути робоче місця і організованим чином почати евакуацію. 1.2.3 Система вентилювання Системі вентилювання приділяється особливу увагу, оскільки у приміщенні працюють багато людей. Система вентиляції повинна забезпечити достатній рівень свіжого, додатково очищеного повітря. До завдань вентиляції також входить підтримка нормативного рівня відносної вологості у повітрі. Нормативною документацією передбачені чіткі величини витрат повітря в житлових приміщеннях або робочих преміщеннях на одну людину. Зокрема, на одного співробітника необхідно подавати 60 м3/год свіжого повітря, а на одного відвідувача -30 м3/год. 1.2.4 Система опалення. Філія компанії PayPal опалюється від загальної мережі теплопостачання міста Києва. У кожній кімнаті під кожним вікном знаходиться радіатор опалення з двотрубною системою подачі носія тепла. Самі поліпропіленові труби знаходяться в середині стіни. / / Рис 1.7. Схема тепломережі У системі опалення використовуються звичайні алюмінієві секційні радіатори. Кількість секцій радіаторів розраховано з урахування того що одна секція радіатора може обігріти 1.7 м2 при висоті стелі до трьох метрів. Це означає що ми загальну площу кімнати ділимо на 1.7 і заокругляємо до більшого цілого. У кожній кімнаті, крім серверної стоїть кондиціонер - це пристрій для охолоджування повітря в житлових або виробничих приміщеннях. Кондиціонер звичайно аналогічний за принципом дії і пристроєм побутовому холодильнику. В офісі кондиціонери, котрі добре справляються з доведенням приміщення до комфорту в літній період, використовуючи невелику кількість електроенергії завдяки принципу роботи теплової помпи. Багато таких пристроїв мають режим зворотної дії – нагрівання. І вигодою такого режиму є те, що таке обігрівання значно дешевше від традиційного електричного, хоча має певні особливості. Моделі кондиціонерів, котрі мають додаткову функцію обігрівання, дозволяють отримувати до 3 кВт теплової енергії з 1 кВт електричної. А традиційні електричні конвектори чи електричні котли не видають більше 0,98 кВт тепла з 1 кВт електроенергії. Обігрівання кондиціонерами використовується переважно в осінній період, коли в приміщеннях вже холодно, а до початку опалювального сезону ще далеко. 1.3. Опис інформаційної системи Інформаційна система PayPal складається з 11 серверів, 30 стаціонарних комп’ютерів та 7 ноутбуків, 6 комутаторів, 4 маршрутизаторів, 3 принтери та інші периферійні пристрої такі як веб-камери, USB-hub, динаміки та інші. Сервери компанії поділені за таким принципом: один сервер призначений для балансування навантаження між всіма іншими серверами, один сервер для збереження log-файлів, два CDN сервери на яких зберігається всі статичні файли, три сервери призначенні для баз даних, а ще чотири сервери опрацьовують транзакції. Кожен сервер це однотипний комп’ютер який має наступні характеристики: 16/32 потоки центрального процесора, 256 Гбайт оперативної пам’яті та 100 Тбайт корисного дискового простору, який забезпечується за допомогою апаратного контролера зі схемою роботи RAID-10; В офісі компанії у якості системного блоку використовується Dell OptiPlex 3050 Micro, а у якості монітора AOC Q2778VQE Black та USB динаміки YX-013Q. 1.3.1. Опис локальних мереж До офісу компанії підводяться три незалежні оптоволоконні лінії, дві з них пропускною здатністю 10Gbit/s і одна на 1Gbit/s, цей доступ до мережі інтернет надає провайдер «IpNet». Перша лінія призначена для робочих комп’ютерів персоналу, друга лінія використовується тільки для серверів, третя лінія використовується на всі інші потреби. Мережа офісу PayPal складається з шести локальних мереж. Перша локальна мережа з можливістю виходу в інтернет призначена для усіх основних робочих комп’ютерів офісу. Друга локальна мережа без можливості виходу в інтернет, призначена для бухгалтерського відділу та відділу кадрів. Третя локальна мережа з доступом до мережі інтернет призначена для усіх серверів. Четверта мережа призначена для підключення двох WI-FI роутерів. П’ята мережа призначена для надання бездротового доступу до мережі інтернет іншим пристроям офісу. Шоста мережа призначена для надання бездротового доступу до мережі інтернет відвідувачам офісу. Використовується діапазон Intranet Ip – адрес класу С. Перша локальна мережа володіє пропускною здатністю – 10Gbit/s. Друга локальна мережа володіє пропускною здатністю – 100Mbit/s. Третя локальна мережа володіє пропускною здатністю – 10Gbit/s. Четверта локальна мережа володіє пропускною здатністю – – 1Gbit/s. П’ята і шоста локальні мережі володіють пропускною здатністю – 100Mbit/s Мережі, яка призначені для надання доступу в інтернет усім відвідувачів офісу та усім іншим пристроям філії побудовані на основі двох WI-FI роутерів, який працюють на частоті 5 GHz, а зони їхнього покриття достатня щоб покрити усі приміщення офісу з достатньо сильним рівнем сигналу. У даних роутерів використовується найновій протокол шифрування WPA3, у цьому стандарті посилено безпеку навіть якщо користувачі обирають «слабкий» пароль мережі, а також буде спрощено налаштування приладів без дисплеїв. Усі комутатори та маршрутизатори які використовуються в офісі від компанії CISCO. Які вже давно зарекомендували себе з найкращого боку, як рішення для корпоративних високонавантажених мереж. Перевагою техніки від від компанії CISCO є надійність, висока продуктивність, відмінна технічна підтримка та легкість обслуговування. Проведення усіх налаштувань мережі, підключення нових пристроїв, а також встановлення програмного забезпечення на комп’ютери відповідальність несе штатний системний адміністратор. У цілях безпеки, пароль не повинен бути меншим за 10 символі, повинен містити літери різних регістрів латинського алфавіту та цифри ці паролі для бездротового доступу міняються кожні три місяці, не пізніше 10-го числа конкретного місяця. 1.3.2. Опис розташування електроних приладів Стаціонарні комп’ютери розміщенні у робочих приміщеннях, по два комп’ютери на один робочий стіл, монітори розташовані навпроти один одного тильною стороною. Розташування столів таке щоб неможливо було зчитати візуальну інформацію з моніторів. Біля кожного стаціонарного комп’ютера є встановлений UPS(Uninterruptable Power Supply) - джерело безперебійного живлення, яке призначене для того щоб забезпечити комп’ютер резервним живленням у випадку поломки основної лінії електропередач. Принтери роставлені таким чином , щоб ніхто з посторонніх осіб не мав до нього прямого доступу. Також усі принтери під’єднані до конкретного комп’ютера за допомогою usb-кабеля, а не через локальну мережу. Це зроблено для того щоб тільки вузьке коло персоналу мало до нього доступ і могло друкувати усі необхідні документи .Принтери розташовані у відділі кадрів(1 шт) та у бухгалтерському відділі(1 шт) та у кабінеті першого заступника директора офісу. Доступ до кожного комп’ютера можливий тільки за наявності необхідного логіну та паролю, який видається системним адміністратором на 6 місяців. Доступ до серверів здійснюється за допомогою протоколів FTP та SSH. FTP використовується для передачі даних між клієнтом та сервером, а протокол SSH для системного адміністрування. Кожному працівнику не дозволено працювати на своєму комп’ютері, він обов’язково повинен працювати на штатній робочій станції. Працівники можуть підлючити свої смартфони до спеціальної WI-FI мережі. Головний електро-щит філії знаходиться за межами приміщення на зовнішній його стіні, він закривається на замок ключі від якого має охоронець філії. На вікнах філії не встановлено гратів чи будь-яких інших периметральних датчиків. / Рис 1.8. Зображеня службового преміження та кабінетів директора та заступника директора / Рис 1.9. Службова кімната Усі сервери розміщенні у серверній, це кімната яка спеціально облаштована для перебування в ній великої кількості потужних комп’ютерів. У серверній також розміщенні основні комутатори та маршрутизатори. / / Рис 1.10. Серверні приміщення 1.3.3 Опис програмного забезпечення У якості операційної системи, яка встановлена на усіх комп’ютерах персоналу відділу кадрів та бухгалтерського відділу встановлена ліцензійна Windows 10 Professional 64-bit, а на усіх інших комп’ютерах використовується дистрибутив операційної системи Linux Ubuntu 16.04 LTS для персональних комп’ютерів та Ubuntu Server 16.04 LTS для серверів. Ubuntu 16.04 LTS призначена для корпоративних користувачів. Ubuntu - це безкоштовний дистрибутив операційної системи Linux, він є одним з найпопулярніших в світі. У якості графічної оболонки у нього виступає Unity, але як я вже і сказав це дуже популярний дистрибутив, тому у нього багато похідних дистрибутивів з іншими графічними оболонками, наприклад: Kubuntu з середовищем робочого столу KDE, Lubuntu з LXDE, Ubuntu MATE, Xubuntu з оточенням Xfce, а також Ubuntu з класичним GNOME. Крім перерахованих дистрибутивів, які офіційно підтримуються спільнотою, на Ubuntu засновано величезну кількість інших дистрибутивів, найвідомішим і популярним серед яких є Linux Mint. На комп’ютерах з встановленою Windows 10 Pro не встановлено будь-яких сторонніх програм від інших розробників. Це означає, що у якості текстового редактора використовується повний пакет Microsoft Office 2016, а у якості веб-переглядача використовується браузер Edge. Захист операційної системи забезпечує вбудований антивірус Windows Defender. Основні переваги Ubuntu 16.04 LTS: високий рівень надійності та захищеності. майже повна відсутність вірусів та шляхів для в злому. економічне використання ресурсів комп`ютера. швидкодія. безкоштовність самої операційної системи та майже всіх її програм. неможливість втрутитися у системний код операційної системи, чи замінити, видалити чи скопіювати будь-які файли з комп'ютера без дозволу «Супер Користувача». швидка файлова система, яка не потребує дифрагментації розділів диска. можливість цілодобової роботи, без перерв та перезавантажень. регулярні оновлення. довгий термін підтримки. немає необхідності в класичному антивірусі. Основні недоліки Ubuntu 16.04 LTS: Підходить тільки для досвідчених користувачі. Мала кількість професійного програмного забезпечення. Постійна необхідність звертатися до терміналу. Мала кількість драйверів Основні переваги Windows 10 Professional: 1. Регулярні оновлення. В ОС включена функція автоматичного завантаження та встановлення оновлень. Це дозволить завжди тримати вашу систему актуальною, з останніми версіями драйверів та оновленнями безпеки. 2. Звичний інтерфейс. Функції і нововведення можуть змінюватися в залежності від вимог користувача. Кожен користувач може налаштувати систему під свої потреби. Але з іншого боку можливості кастомізації інтерфейсу трохи обмежені порівняно з дистрибутивами Linux. 3. Стабільна робота. ОС працює набагато швидше відносно попередніх операційних систем від Microsoft, збільшилася кількість драйверів за замовчуванням та інструментів діагностики, налаштування системи. 4. Продуктивність. Новий підхід до побудови ядра операційної системи, дозволяє Windows 10 працювати в оптимальному режимі, зберігаючи баланс між споживанням енергією та швидкодією усієї системи, зокрема плавністю анімації та інші. 5. Новий браузер. Microsoft Edge - новий, універсальний і інтелектуальний браузер, створений спеціально для ОС Windows 10. Він був повністю переписаний тому вже не володіє основними недоліками свого старшого брата. 6. Інтелектуальні функції. Cortana - віртуальний помічник, який розрізняє ваші вимоги "на слух". Однак українську мову на даний момент в перелік особистого секретаря поки що не включений. 7. Безпека. Сканування відбитка пальця, оболонки ока і розпізнавання особи - це новий спосіб для входу в Windows 10. Основні недоліки Windows 10 Professional: Наявність багатьох уразливостей, тобто шляхів для взлому. Наявності величезної кількості вірусів та іншого шпигунського софту. Уявна конфеденційність. Слабке розмежування прав доступу до файлу. Застаріла файлова система. Надмірне споживання ресурсів комп’ютера. Неконтрольовані оновлення. Необхідність в дорогому антивірусі. 1.4 Опис бізнес процесу діяльності PayPal PayPal (укр. ПейПал) — міжнародна електронна платіжна система, заснована 1998 року підприємцем Ілоном Маском. Це найпоширеніший у світі спосіб розрахунків в Інтернеті. Нині PayPal використовують понад 230 мільйонів людей у 190 країнах світу. PayPal виступає посередником між продавцем і покупцем, забезпечуючи найвищу надійність оплати платіжними картками VISA, MasterCard, American Express та інших платіжних систем. У київській філії PayPal, працівники займаються розробкою, підтримкою та впровадження в маси(поширення) нових програмних рішень від компанії. Також директор підприємства веде активні перемовини з директорами усіх зацікавлених українських банків для розширення списку підтримуваних банків. Офіс працює з 9 ранку до 17 години вечора з Пн по Пт. Також інснує мождивість для понад нормовою роботою працівників, якщо у цьому є гостра необхідність. Якщо у філію компанії приходить відвідувач, який зацікавлений у співпраці, його спочатку зустрічає на ккп охоронець, він записує особисті данні відвідувача та спрямовує його у приймальне відділення до секретаря. Секретар вже повідомляє директору, що до нього прийшов потенційний клієнт з певною бізнес ідеєю. Далі клієнт очікую у приймальному відділені і коли директор звільниться секретар проводить відвідувача до кабінету директора. Далі вже відбувається розмова відвідувача та директора за зачиненими дверима. Директор з відвідувачем обговорюють всі деталі майбутньої взаємодії та майбутній договір. Після декількох зустрічей та консультацій підписується договір за участі уповноважених осіб з двох сторін. Та починається повна взаємодія і вирішення поставлених задач та цілей. У договорі конкретно вказано мету співпраці та цілі, які необхідно досягнути завдяки цій співпраці, вказуются всі необхідні ресурси і час виконання для досягнення успіху. Також враховуються усі ризики та компенсації у відповідних пунктах меню. Допоміжні функції бере на себе заступник директора його обов’язків входить постійне спілкування з керівниками відділів філії та доповідання директору про стан речей у конкретний момент часу. Складання різного роду графіків та діаграм, які наочно демонструють курс розвитку компанії чи конкретних проектів. Він також має найвищий рівень доступу у філії, який йому необхідний для виконання ним його службових обов’язків. Основним його завданням є забезпечити контроль над виконання стратегії та тактики відповідно до настанов директора. Для того щоб працівники успішно виконували свої персональні обов’язки необхідно правильно налаштувати все обладнання: мережу, комп’ютери, принтери та інше, цим власне займається системний адміністратор. Саме на ньому є дуже велика відповідальність за комфорт роботи працівників та їхню загальну продуктивність праці. Коли директор взяв на себе відповідальність за виконання проекту у гру вступає архітектор він створює архітектуру нового програмного рішення на основі вимого замовники, реалій ринку та прогнозованого навантаження на конкретний продукт. Саме на ньому лежить колосальна відповідальність за кінцевий продукт в якому використані його підходи до вирішення конкретних проблем. Далі архітектор передає детально розписану архітектуру програмного рішення у відділ розробки. Він також консультує голову відділу розробки у всіх нюансах майбутньої реалізації. А той вже у свою чергу керує всіма програмістами, щоб ті чітко слідували архітектурі, та учпішно виконати проект. Деякі свої обов’язки голова відділу з розробки делегує TeamLead-у який вже тісніше співпрацює з програмістами і вирішує більш конкретніші завдання. Перед виходом на ринок продукт компанії детально тестується qa - програмістами, які підзвітні голові відділу з розробки програмного забезпечення, власне він отримує звіт від qa – програмістамів і керує подальшою розробкою проекту. Весь валютний оббіг є під контролем штатного бухгалтера, який відповідальний за всі фінансові операції у середині філії, це може бути заробітня плата, оплата комунальних послуг, нарахування додаткової фінансової винагороди тим працівникам, які перевиконали план або працювали понаднормово заради досягнення цілей компанії, збирання та аналіз фінансової інформацієї для підготовки фінансових звітів. Оскільки PayPal - це міжнародна електронна платіжна система, очевидно що всі свої доходи вони отримують з комісійних зборів, які стягуються з кожної транзакції. Комісійні збори в системі PayPal залежать не тільки від типу рахунку клієнта, а й від країни його проживання. Наприклад, операції з бізнес рахунком, зареєстрованим у США та Канаді обійдуться дешевше, ніж ті ж переклади з бізнес-рахунки, зареєстрованого в Європі. В цілому, рівень комісії бізнес акаунта становить від 1,9 до 3,4% + $ 0,3 або $ 0,55 за кожну транзакцію. Докладніше з тарифами на різні рахунки різних країн можна ознайомитися на офіційному сайті. Також, PayPal пропонує партнерську програму, правда, без особливих переваг. Система оплачує не рефералів, а їх транзакції, причому в досить скромних масштабах - за перші 12 місяців фінансової діяльності рефералу ви отримаєте 0,5% з суми його платежів. Реферал - учасник партнерської програми, що реєструється за рекомендацією іншого учасника. Більше того, активність рефералу в межах eBay оплачуватися не буде, тому що в залученні клієнтів на цьому аукціоні PayPal не настільки зацікавлена. Ще одним додатковим джерелом надходження валюти у компанію є те, що компанія активно розвивається в бік торгівлі своїми акціями. Крім того компанія активно випускає програми для смартфонів у PlayStore та App Store, що у свою чергу також приносить досить непоганий прибуток. Усі внутрішні комунікації та листування проводяться тільки через корпоративну пошту, ця пошта є загальною для усієї компанії PayPal. У середньому компанія за один день заробляє близько 117 000 доларів, що становить 42 705 000 доларів у рік. І це вже власне чистий прибуток, бо тут вже врахований розхід на отримання персоналу, оренду офісів та обладнання. Вартість усього комп’ютерного та мережевого обладнання рівна 60 000 доларів. Вартість робочої станції системного адміністратора рівна 3 тисячі доларів. На закупівлю нового обладнаня та його налаштування потрібно 3 дні. 1.5 Функціональні обов’язки працівників Директор: головна особа в офісі. До його обов’язків відносяться: керівництво усіма співробітниками офісу, підписування усіх критично важливих документів, складання довгострокової стратегії розвитку філії, складання тактичних планів терміном на один тиждень, відслідковування виконання перебігу справ та оперативне втручання в них у разі необхідності та корекцію стратегії чи тактики. Директор має найвищий рівень доступу у філії. Він безпосередньо проводить фінальне затвердження кандидатів на певну посаду у його філії. Розпоряджається усіма фінансами які надходять у компанію. Директор знаходиться в офісі повний робочий тиждень, але інколи може бути відсутній у зв’язку з робочими відрядженнями та різного роду зустрічами чи конференціями. Під час його відсутності керування філією на тимчасовій підставі надається його заступнику. Заступник директора: безпосередньо підпорядковується директору філії. До його обов’язків входить постійне спілкування з керівниками відділів філії та доповідання директору про стан речей у конкретний момент часу. Складання різного роду графіків та діаграм, які наочно демонструють курс розвитку компанії. Він також має найвищий рівень доступу у філії, який йому необхідний для виконання ним його службових обов’язків. Основним його завданням є забезпечити контроль над виконання стратегії та тактики відповідно до настанов директора. Системний адміністратор: займається налаштуванням та підтримко цілої інформаційної системи. Відповідає за встановлення та налаштування програмного забезпечення на комп’ютерах, а також на серверах. Він також відповідальний за встановлення та своєчасну заміну паролів до бездротової мережі, до комп’ютерів та серверів. В його обов’язки також входить створення резервних копій даних та щотижневе звітування директору філії про стан інформаційної системи в цілому та конкретних її ланок. Саме він створює рекомендації по закупівлі того чи іншого обладнання, а також планові технічні роботи вузлів інформаційної системи. Системний адміністратор забов’язаний передати усі ключі безпеки у цифровому форматі(будь-який зовнішні цифровий носій даних, бажано usb-флешка) директору, а той у свою чергу повинен зберігати їх у сейфі і систематично перевіряти актуальність цих ключів. Архітектор програмних продуктів: створює архітектуру нового програмного рішення на основі вимого замовники, реалій ринку та прогнозованого навантаження на конкретний продукт. Саме на ньому лежить колосальна відповідальність за кінцевий продукт в якому використані його підходи до вирішення конкретних проблем. Архітектор програмного забезпечення працює у Пн-Пт з 09:00 до 17:00. Він також повинен часто спілкуватися з головою відділу з розробки програмного забезпечення про перебіг виконання завдання і методи впровадження нового функціоналу в уже сформовану архітектуру. Архітектор детально описує структуру, основні принципи взаємодії різних модулів та описує основні нюанси на які необхідно звернути увагу розробникам та ключові аспекти реалізації. Це все архітектор заносить в спеціальні графіки таблиці та формує документацію до свого архітектурного рішення. Вже коли створення архітектури завершено, архітектор особисто відносить всі необхідні документи до директора для затвердження. Директор у свою чергу переглядає структуру майбутнього проекту та затверджує її. Після цього архітектор скликає нараду на якій перед головою відділу з розробки програмного забезпечення та провідними розробниками презентую свою архітектуру та пояснює усі тонкощі майбутньої реалізації Голова відділу з розробки програмного забезпечення: повинен складати план розробки та контролювати реалізацію конкретного програмного рішення. В його обов’язки також входить: вирішення критично важливих моментів, які наступають під час розробки певного програмного рішення, наставляти своїх молодших колег та агітувати їх до швидшого та якіснішого підходу до виконання ними своїх професійних обов’язків. Він також відповідальний за перетворення архітектури, яку прийняв від програмного архітектора в кінцевий продукт. За успішне виконання і своєчасну здачу продукту, голова відділу отримує премію, у іншому випадку з нього стягуються грошові стягнення розмір яких є прописаний у контракті із замовником певного програмного рішення у такому співвідношенні (30% покладається на нього і ще 70% на фірму виконавця договору, у даному випадку наPayPal ). Голова відділу з розробки програмного забезпечення працює у Пн-Пт з 09:00 до 17:00. Він також повинен тісно спілкуватися з програмним-архітектором про перебіг виконання завдання і методи впровадження нового функціоналу в уже сформовану архітектуру. Також він повинен регулярно звітувати директору про стадію готовності продукту і якщо необхідно попросити у директора більше ресурсів на виконання завдання. До додаткових ресурсів можна віднести: збільшення штату відділу у зв’язку з зростаючим навантаженням на кожного окремого співробітника, збільшення відведеного часу необхідного для розробки, наймання сторонніх розробників на по-проектну роботу та інше. Team Lead: це в першу чергу фахівець, який керує своєю командою розробників, переважно це 5-10 осіб, володіє технічною стороною питання, за необхідності може брати участь в роботі над архітектурою проекту, займається рев'ю коду, а також розробкою дуже складних завдань на проекті. Team Lead бере участь в написанні технічної документації, вибір технологій для проекту, моніторинг ситуації в цілому, проведення технічних співбесід, грамотне залучення нових членів команди в робочий процес, несе відповідальність за технічну частину проекту. У його команді всі співробітники поділені на чотири типи: junior, middle, senior та qa. Відповідно до рівня технічних знать та специфіки роботи. Він організовує роботу таким чином, щоб максимально раціонально використати людські ресурси і час, за потреби може організувати позапланову роботу своєї команди. Програміст: має виконувати завдання які йому дає Team Lead. Усі програмісти поділяються на чотири типи: junior, middle, senior. Цей ранг у компанії залежить від досвіду роботи. Наприклад за світовими критеріями junior – це молодший програміст якому посилу тільки найпростіші завдання його досвід роботи по конкретному напрямку розробки чи тестуваня до 2 років, middle – програміст середнього рівня, який вже може брати на себе більшу відповідальності та складніші задачі, досвід роботи від 2 до 5 років, senior- програміст з величезнимим запасом знань та досвіду, береться за найскладніші задачі, досвід роботи від 5 років. Усі програмісти у офісі працюють командами по 5-10 осіб, в залежності від необхідності та конкретно поставлених задач. Програмісти працюють Пн-Пт з 09:00 до 17:00. У його обов’язки входить розробка, підтримка та впровадження додаткового функціоналу сервісів, які надає компанія PayPal. Вони обов’язково повинні документувати свій код за допомогою коментарів та окремої документації куди заносять усі моменти реалізації конкретного програмного рішення. QA(Quality Assurance): тестувальник програмного забезпечення. Після завершення реалізації програми, вона не відразу потрапляє в кінцевий продукт компанії, а Team Lead переправляє його у відділ тестування. Відділ тестування повністю перевіряє програмний код на наявність багів. Баг (англ. bug — жук) — жаргонізм, що означає помилку, ваду або дефект в програмі або системі, що викликає в ній неправильний або неочікуваний результат або неочікувану поведінку. Після завершення перевірки програмного рішення, відділ тестування віддає Team Lead-ду результат своєї перевірки у електронному вигляді шляхом надсилання йому на його робочу поштову скриньку. У свою чергу Team Lead переглядаючи результати роботи відділу тестування виносить висновок, за якого програма або відправляється на доопрацювання програмістам, або додається як частина певного функціоналу сервісів PayPal. У першому випадку, після завершення усіх доопрацювань програма знову відправляється у відділ тестування і т.д. Охоронець: усього у офісі працює 5 охоронців. У конкретний момент часу на зміні перебуває тільки один охоронець. Його спостережний пункт розміщений біля головного входу в офіс, він забов’язаний перевірити перепустки у працівників які заходять в офіс. Якщо в офіс заходить стороння особа, охоронець повинен перевірити особу металодетектором на наявність холодної чи вогнепальної зброї, записати у спеціальний журнал відвідування його особисті данні такі як: ім’я, прізвище та рік народження і тільки після цього дозволити йому пройти у приймальне відділення. Охоронець зранку о 08:45 повинен відкрити всі основні робочі приміщення та головний вхід. Після завершення робочого дня коли вже відсутні всі працівники, в офіс приходить прибиральниця для того щоб прибирати у приміщенні, у цей момент вхідні двері повинні бути зачиненими, а охоронець має бути особисто присутній в кожній кімнаті під час її прибирання. Це робиться для того щоб прибиральниця не мала доступу до важливих документів та не мала змоги щось викрасти з офісу. Після закінчення прибирання, охоронець закриває усі робочі приміщення, випускає прибиральницю з офісу і закриває вхідні двері. Після цього він заходить до свого пункту спостереження активує сигналізацію, та протягом усієї зміни дивиться на екран монітору споглядаючи на відео з камер спостереження яке транслюється у реальному часі. Бухгалтер: відповідальний за всі фінансові операції у середині філії, це може бути заробітня плата, оплата комунальних послуг, нарахування додаткової фінансової винагороди тим працівникам, які перевиконали план або працювали понаднормово заради досягнення цілей компанії, збирання та аналіз фінансової інформацієї для підготовки звітів, які показуються директору та відправляється по електронній пошті у головний офіс компанії PayPal. Усі свою діяльність бухгалтер здійснює на наданому компанією ноутбукові. Саме на ньому вона зберігає усі необхідну для неї інформацію, а також формує звіти. Будь-які матеріальні документи бухгалтер зберігає у своєму сейфі. Секретарка: займається прийомом відвідувачів та записування їх на зустріч з директором. За необхідності може робити директору та заступнику директора чашку кави. Кожного ранку секретарка підготовляє для директора у друкованому вигляді весь перелік справ на поточний день, це може бути список нарад та зустрічей з обов’язково вказаною годиною та місцем проведення. Також секретарка роздруковує усі необхідні електронні документи та особисто відносить їх на підпис до директора чи заступника директора, в залежності від рівня важливості документу. Має на своєму робочому комп’ютері журнал з номерами телефонів усіх клієнтів, які обслуговується конкретно цією філією, може телефонувати до них за потреби. Реєстр інформаційних активів Номер Назва ІА Власник Категорія 1 Дані банківських операцій банк Дані клієнтів та партнерів 2 Персональні дані клієнтів Клієнт Дані клієнтів та партнерів 3 Персональні данні працівників Клієнт Дані клієнтів та партнерів 4 Величина податків бухгалтер Бухгалтерська документація 5 Корпоративний сайт організації IT-маркетинг Веб-сайти 6 Витрати на отримання IT- інфраструктури Компанія PayPal Проектна документація 7 Електронне повідомлення Усі Дані клієнтів та партнерів 8 Корпоративний потовий сервер Компанія PayPal Електронний пристрій Фінансово господарська діяльність Компанія PayPal – приватна організація, з чітко побудованою системою керування персоналом та валютними надходженнями. Всі критичні рішення приймаються кабінетом директорів на чолі з генеральним-директором, що гарантує зважині та обдумані рішення. За всіма показниками ВВП компанії PayPal за 2017 рік виріс на 7.9%. З кожним роком все більше і більше людей починають довіряти компанії PayPal, та здійснювати через неї свої банківські операції. У компанії відсутність заборгованості з виплати заробітної плати, що є надзвичайно хорошим показником. Темпи зміни середньомісячної заробітної плати штатних працівників (порівняно з відповідним періодом минулого року) щороку росте на 1-2%. Компанія PayPal дясять років поспіль виконує фінансовий план за показниками: чистого доходу (виручки) від реалізації продукції (товарів, робіт, послуг), чистого прибутку (збитку), капітальних інвестицій, коефіцієнт фінансової стійкості та платоспроможності. З вище вказаного, компанії пророкують подальший ріст фінассових надходжень та капіталізацію ринку. 2.1. Методика оцінки ймовірності реалізації загрози. 2.1.1. Чинники які відносяться до групи К1 Антропогенні чинники Табл. 2.1 Характеристика міри доступності об'єкта Міра доступності X Характеристика Висока ступінь доступності 5 Антропогенне джерело загроз має повний доступ до робочих станцій працівників, програмного забезпечення яке на них встановлено, а також до усіх даних які зберігаються, передаються чи обробляються у межах конкретної робочої станції, до щита керування функціонування мереж життєзабезпечення, та до мережевого та серверного обладнання (роутер, комутатор, свіча, сервер) за рахунок виконання своїх посадових обов’язків. Ступінь доступності вище середньої 4 Антропогенне джерело загроз має можливість опосередкованого доступу, не визначеного функціональними обов’язками до робочих станцій працівників програмного забезпечення яке на них встановлено, а також до усіх даних які зберігаються, передаються чи обробляються у межах конкретної робочої станції, до щита керування функціонування мереж життєзабезпечення, та до мережевого та серверного обладнання (роутер, комутатор, свіча, сервер) за рахунок несанкціонованого доступу до привілейованих робочих місць. Середня ступніть доступності 3 Антропогенне джерело загроз має обмежену можливість доступу до робочих станцій програмного забезпечення яке на них встановлено, а також до усіх даних які зберігаються, передаються чи обробляються у межах конкретної робочої станції, до щита керування функціонування мереж життєзабезпечення, та до мережевого та серверного обладнання. Низька ступінь доступності 2 Антропогенне джерело має дуже обмежену доступу до робочих станцій програмного забезпечення яке на них встановлено, а також до усіх даних які зберігаються, передаються чи обробляються у межах конкретної робочої станції, до щита керування функціонування мереж життєзабезпечення, та до мережевого та серверного обладнання. Відсутність доступності 1 Антропогенне джерело загроз не має доступу до робочих станцій програмного забезпечення яке на них встановлено, а також до усіх даних які зберігаються, передаються чи обробляються у межах конкретної робочої станції, до щита керування функціонування мереж життєзабезпечення, та до мережевого та серверного обладнання. Техногенні чинники Табл. 2.2 Характеристика міри віддаленості об'єкта від можливого техногенного чинника Міра віддаленості X Характеристика Співпадаючі об'єкти* 5 Робочі станції працівників чи сервери, які містять інформацією, що підлягає захисту, мережеве та серверне обладнання самі містять джерела техногенних загроз і їхній територіальний поділ неможливий. Близько розташовані об'єкти(в межах 1 км від епіцентру техногенного лиха) 4 Робочі станції працівників чи сервери, які містять інформацією, що підлягає захисту, мережеве та серверне обладнання знаходяться в безпосередній близькості від техногенних джерел загроз, прояв яких може суттєво вплинути на ці об'єкти захисту. Середньовіддалені об'єкти(в межах від 1 до 5 км від епіцентру техногенного лиха ) 3 Робочі станції працівників чи сервери, які містять інформацією, що підлягає захисту, мережеве та серверне обладнання знаходяться на віддаленні від джерел техногенних загроз при якому їх прояв спричиняє лише несуттєвий вплив. Віддалено розташовані об'єкти (від 5 до 10 км від епіцентру техногенного лиха) 2 Робочі станції працівників чи сервери, які містять інформацією, що підлягає захисту, мережеве та серверне обладнання знаходяться на віддаленні від джерел техногенних загроз яке виключає його прямий в...

Інші Менеджмент інформаційної безпеки

AndryxaUa

21.03.2019 00:03-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись