Применение программной системы Digital Security Office для проведения аудита безопасности информационной системы обработки персональных данных | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: , ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №8 (67) июнь-1 2014 г.

Дата публикации: 04.06.2014

Статья просмотрена: 1515 раз

Библиографическое описание:

Вихляев, С. А. Применение программной системы Digital Security Office для проведения аудита безопасности информационной системы обработки персональных данных / С. А. Вихляев, И. В. Белов, М. А. Кононова. — Текст : непосредственный // Молодой ученый. — 2014. — № 8 (67). — С. 75-78. — URL: https://moluch.ru/archive/67/11201/ (дата обращения: 20.12.2024).

Вданной статье представлены результаты исследования по аудиту безопасности для информационной системы обработки персональных данных бухгалтерии университета. Исследования проводились в экспертной системе информационной безопасности Digital Security Office, на основе ее двух подсистем: Гриф и Кондор.

Ключевые слова: риски, угрозы, политика безопасности, оценка рисков и угроз, экспертная оценка, информационная безопасность.

На современном этапе развития современного общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. С переходом на использование технических средств связи, информация подвергается воздействию случайных процессов (неисправностям и сбоям оборудования, ошибкам операторов и т. д.), которые могут привести к ее разрушению, изменению и уничтожению. Поэтому обеспечение безопасного хранения, обработки данных в организации является одной важнейших задач.

Проблемами оценки угроз в информационной безопасности занимаются многие российские и зарубежные ученые. А. С. Исаев описал автоматизацию процесса формирования модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных на основе теории построения экспертных систем [1]. О. А. Бурдин, А. А. Кононов, И. В. Аникин, А. С. Потапов, О. Ю. Коробулина, Н. В. Иванова, Е. Н. Созинова представили применение разработанных экспертных систем для анализа и оценке информационной безопасности [2, 3, 4, 5]. Экспертную оценку эффективности построения системы безопасности информационно-телекоммуникационных систем высокой доступности разработали С. В., Борохов, И. Н. Синицын, А. С. Рыков [6]. Р. И. Баженов, Д. К. Лопатин, В. А. Векслер описали применение интеллектуальных технологий для построения информационных систем [7, 8, 9, 10]. Структура, базовые функции и возможности специализированной экспертной системы оценки состояния обеспечения безопасности информации в критически важных системах информационной инфраструктуры были предметом исследования Л. А. Шивдякова, И. Н. Бозарного, С. А. Головина, Ю. К. Язова [11]. О. А. Антамошкин, Г. А. Пузанова, В. В. Онтужев определили особенности проектирования автоматизированной системы экспертной оценки информационной безопасности организаций [12]. Оценку относительных весов опасностей рисков информационной безопасности автоматизированных систем провели А. Г. Кащенко, А. Г. Остапенко [13]. Зарубежные ученые также уделяют внимание исследованию систем информационной безопасности [17, 18, 19, 20].

Целью исследования является проанализировать информационную систему обработки персональных данных (ИСПД) в бухгалтерии университета. В подразделениях вуза функционирует несколько программных систем [14, 15], поэтому требуется выяснить, как построена обрабатывающая данные система и какие меры защиты принимаются в ходе работы персонала.

Для исследования информационной системы обработки персональных данных в бухгалтерии вуза было решено использовать программное обеспечение Digital Security Office 2006, имеющие две подсистемы «Гриф» и «Кондор» [16].

Бухгалтерия университета осуществляет сплошное, непрерывное, взаимосвязанное, документальное отражение учебной деятельности данного учреждения. Функции данного отдела возлагаются на соответствующие должностные лица бухгалтеров, которые производят учет, необходимый для характеристики отдельных сторон деятельности университета. Указанные должностные лица несут ответственность за правильное и своевременное оформление документных операций, циркулирующих в процессе осуществления учебной деятельности. В них хранятся персональные данные студентов, фамилия, имя, отчество, дата рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные данные, сведения об образовании, задолженности по общежитию и т. д.

Объектом изучения являются две автономные вычислительные станции. На одной из них хранятся данные о студентах среднего профессионального образования, на другой, данные о студентах высшего профессионального образования. Информационная система обработки персональных данных не превышает определённый порог записей, что позволяет отнести систему ко второй категории информационной безопасности.

Для защиты данных используют операционную систему Microsoft Windows XP Professional (сертифицированная ФСТЭК версия), которая обеспечивает выполнение основных требований руководящих и нормативных документов по защите конфиденциальной информации и персональных данных. В операционную систему входит программно-аппаратный комплекс усиления функций аутентификации пользователей, включающий сертифицированный электронный USB-ключ ключ eToken 5 и сертифицированную программу eToken Network Logon. Этот ключ меняют один раз в три месяца. В случае увольнения работника ключи меняются автоматически. Проводится инструктаж о неразглашении персональных данных. Постоянно контролируют журнал событий. Раз в год проводится полная проверка ИСПД бухгалтерии. Так же существует список лиц (утвержденный ректором) допущенных к работе за данными станциями и список лиц допущенных к обслуживанию (только администратор). Для работы с персональными данными имеется два USB-носителя, первый используется для переноса данных, а второй используется для резервного копирования. В кабинете установлено система видеонаблюдения, пожарная сигнализация и охранная система.

Существуют инструкции по информационной безопасности бухгалтерии университета:

-     пользовательские;

-     администрирование безопасности;

-     парольная защита;

-     антивирусная защита;

-     резервное копирование.

В подсистеме «Гриф» была создана модель бухгалтерии университета, обозначены рабочие станции и перечислены все угрозы с уязвимостями, способными нанести ущерб информационной системе (рис.1, рис.2).

Рис. 1. Уязвимости ИСПД

Рис. 2. Угрозы ИСПД

Модель была проанализирована и программа показала результат:

-       У — Уровень ущерба 43,1 %,

-       Р — Уровень риска 9,7 %.

В подсистеме «Кондор» по уже созданной модели бухалтерии, было проведено тестирование.

Разделы, по которым проведено тестирование:

1.  Политика безопасности.

Невыполненные требования — 22.2 %, Риск- 24.0 %

2.  Организационные меры.

Невыполненные требования — 38.2 %, Риск- 34.9 %

3.  Управление ресурсами.

Невыполненные требования — 19.0 %, Риск- 13.0 %

4.  Безопасность персонала.

Невыполненные требования — 13.3 %, Риск- 14.6 %

5.  Физическая безопасность.

Невыполненные требования — 26.7 %, Риск- 24.3 %

В результате, по показаниям данных можно сказать что, система защищена набором средств от корпорации Microsoft Windows XP Professional, и существуют показатели риска, которые находятся на высоком уровне. Так средние показатели риска системы находятся на уровне 13 %, самым высоким он оказался в сфере организационной деятельности, что объясняется категорией данных, с которыми они работают. Относительно ущерба, нанесённого системе при осуществлении угроз указанных нами в модели, то уровень этой величины находится в районе 52 %, это говорит о том, что система при каких либо нарушениях равновесия получит ощутимый урон.

Таким образом, была исследована информационная система обработки персональных данных бухгалтерии в сфере аудита информационной безопасности. Полученные результаты были переданы в управление информатизации (сектор информационной безопасности). Данное исследование может быть использование при проектировании других информационных систем обработки персональных данных.

Литература:

1.         Исаев А. С. Автоматизация процесса формирования модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных на основе теории построения экспертных систем // Научно-технический вестник Поволжья. 2014. № 2. С. 133–135.

2.         Бурдин О. А., Кононов А. А. Комплексная экспертная система управления информационной безопасностью «Авангард» // Информационное общество. 2002. № 3. С. 38–44.

3.         Аникин И. В., Потапов А. С. Программный комплекс оценки рисков информационной безопасности на основе продукционно-фреймовой модели // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2010. Т. 5. № 108. С. 98–102.

4.         Коробулина О. Ю., Иванова Н. В. Экспертная система аудита информационной безопасности // Программные продукты и системы. 2010. № 4. С. 21.

5.         Созинова Е. Н. Применение экспертных систем для анализа и оценки информационной безопасности // Молодой ученый. 2011. № 10. С. 64–66.

6.         Борохов С. В., Синицын И. Н., Рыков А. С. Экспертная оценка эффективности построения системы безопасности информационно-телекоммуникационных систем высокой доступности // Наукоемкие технологии. 2006. Т. 7. № 2. С. 5–29.

7.         Баженов Р. И., Лопатин Д. К. О применении современных технологий в разработке интеллектуальных систем // Журнал научных публикаций аспирантов и докторантов. 2014. № 3 (93). С. 263–264.

8.         Баженов Р. И. Интеллектуальные информационные технологии. Биробиджан: ПГУ им. Шолом-Алейхема, 2011. 176 с.

9.         Баженов Р. И., Векслер В. А. Анализ потребительских корзин в 1С: Предприятие на примере АВС-анализа // Информатизация и связь. 2013. № 5. С. 117–123.

10.     Баженов Р. И., Векслер В. А. Реализация XYZ-анализа в программном коде внутреннего языка программирования 1С: Предприятие 8.3 // Информатизация и связь. 2014. № 1. С. 35–40.

11.     Шивдяков Л. А., Бозарный И. Н., Головин С. А., Язов Ю. К. Структура, базовые функции и возможности специализированной экспертной системы оценки состояния обеспечения безопасности информации в критически важных системах информационной инфраструктуры // Информация и безопасность. 2010. Т. 13. № 3. С. 381–386.

12.     Антамошкин О. А., Пузанова Г. А., Онтужев В. В. Особенности проектирования автоматизированной системы экспертной оценки информационной безопасности организаций // Вестник Сибирского государственного аэрокосмического университета им. академика М. Ф. Решетнева. 2013. № 3. С. 4–9.

13.     Кащенко А. Г., Остапенко А. Г. Оценка относительных весов опасностей рисков информационной безопасности автоматизированных систем // Теория и техника радиосвязи. 2005. № 1. С. 90–97.

14.     Баженов Р. И., Гринкруг Л. С. Информационная система абитуриент-деканат ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2013. № 2. С. 97–99.

15.     Баженов Р. И., Гринкруг Л. С. Информационная система по расчету и распределению нагрузки профессорско-преподавательского состава ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2012. № 5. С. 75–78.

16.     Баженов Р. И. Информационная безопасность и защита информации: практикум. Биробиджан: Изд-во ГОУВПО «ДВГСГА», 2011. 140 с.

17.     Summersa R. C., Kurzbanb S. A. Potential applications of knowledge-based methods to computer security // Computers & Security. 1988. № 7. P. 373–385.

18.     Fernández-Alemán J. L., Señor I. C., Lozoya P. Á. O., Toval A. Security and privacy in electronic health records: A systematic literature review // Journal of Biomedical Informatics. 2013. № 46. P. 541–562.

19.     Ghazvini A., Shukur Z. Security Challenges and Success Factors of Electronic Healthcare System // Procedia Technology. 2013. № 11. P. 212–219.

20.     Leitner M., Rinderle-Ma S. A systematic review on security in Process-Aware Information Systems — Constitution, challenges, and future directions // Information and Software Technology. 2014. № 56. P. 273–293.

Основные термины (генерируются автоматически): информационная безопасность, данные, информационная система обработки, система, бухгалтерия университета, операционная система, Политик безопасности, резервное копирование, учебная деятельность, экспертная оценка.


Похожие статьи

Интеграция компонентов системы мониторинга, контроля и управления производством

В статье предложен подход к интеграции компонентов системы мониторинга, контроля и управления производством на предприятия автомобильной промышленности. Сформулированы ее назначение, цели проектирования и функции, которые она должна выполнять для дос...

Внедрение CRM-систем в управленческие процессы салона красоты

В данной статье рассмотрено внедрение CRM-систем в управленческие процессы салона красоты. Актуальность исследования связана с тем, что сегодня технологии играют ведущую роль в управленческих процессах. Выявлены процессы, которые можно автоматизирова...

Анализ требований к Автоматизированной Информационной Системе оценивания знаний обучающихся

В настоящее время одной из приоритетных задач Западно-Казахстанского аграр-но-технического университета в сфере информатизации является разработка АИС для оценивания знаний обучающихся, как одного из важных компонентов корпоративной АИС. В статье рас...

Компоненты ERP-системы вуза и их роль в системе управления

В статье ставится задача определения характеристик и составных частей информационной системы управления ресурсами высшего учебного заведения. Приводится описание типовой структуры хранимых данных в базах данных университета. Определяются направления ...

Возможности информационных систем аудита на примере программы Audit Expert

В данной статье автор описывает возможности аналитической системы нового поколения. Система функционирует под названием Audit Expert и предназначена для диагностики, оценки и мониторинга финансового состояния предприятия на основе данных финансовой и...

Информационная безопасность для бизнес-организаций

В статье рассмотрены методы решения, виды угроз, способы защиты и оптимизации безопасности. Особое внимание уделено методу комплексной информационной защиты.

Риски систем управления и контроля доступа

В статье рассмотрена проблема нарушения безопасности, такого элемента подсистемы инженерно-технической защиты информации на предприятии, как системы управления и контроля доступа. Проанализирована типовая структурная схема организации системы управле...

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Методы оценки качества передачи речевых пакетов при исследовании надежности сети NGN

В статье рассмотрены различные методы оценки качества передачи речевых пакетов, которые используются при исследовании надежности сети NGN. Данные методы позволят правильно оценить основные параметры качества работы сети NGN. Получены временные характ...

Разработка DLP-системы с использованием алгоритмов глубокого анализа трафика

В ходе научной работы рассмотрены основные лидеры рынка Data Leak Protection — систем, предназначенных для корпоративных сетей малого и среднего бизнеса. Проведен сравнительный анализ рассмотренных систем по каналам утечки информации и выявлены сущес...

Похожие статьи

Интеграция компонентов системы мониторинга, контроля и управления производством

В статье предложен подход к интеграции компонентов системы мониторинга, контроля и управления производством на предприятия автомобильной промышленности. Сформулированы ее назначение, цели проектирования и функции, которые она должна выполнять для дос...

Внедрение CRM-систем в управленческие процессы салона красоты

В данной статье рассмотрено внедрение CRM-систем в управленческие процессы салона красоты. Актуальность исследования связана с тем, что сегодня технологии играют ведущую роль в управленческих процессах. Выявлены процессы, которые можно автоматизирова...

Анализ требований к Автоматизированной Информационной Системе оценивания знаний обучающихся

В настоящее время одной из приоритетных задач Западно-Казахстанского аграр-но-технического университета в сфере информатизации является разработка АИС для оценивания знаний обучающихся, как одного из важных компонентов корпоративной АИС. В статье рас...

Компоненты ERP-системы вуза и их роль в системе управления

В статье ставится задача определения характеристик и составных частей информационной системы управления ресурсами высшего учебного заведения. Приводится описание типовой структуры хранимых данных в базах данных университета. Определяются направления ...

Возможности информационных систем аудита на примере программы Audit Expert

В данной статье автор описывает возможности аналитической системы нового поколения. Система функционирует под названием Audit Expert и предназначена для диагностики, оценки и мониторинга финансового состояния предприятия на основе данных финансовой и...

Информационная безопасность для бизнес-организаций

В статье рассмотрены методы решения, виды угроз, способы защиты и оптимизации безопасности. Особое внимание уделено методу комплексной информационной защиты.

Риски систем управления и контроля доступа

В статье рассмотрена проблема нарушения безопасности, такого элемента подсистемы инженерно-технической защиты информации на предприятии, как системы управления и контроля доступа. Проанализирована типовая структурная схема организации системы управле...

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Методы оценки качества передачи речевых пакетов при исследовании надежности сети NGN

В статье рассмотрены различные методы оценки качества передачи речевых пакетов, которые используются при исследовании надежности сети NGN. Данные методы позволят правильно оценить основные параметры качества работы сети NGN. Получены временные характ...

Разработка DLP-системы с использованием алгоритмов глубокого анализа трафика

В ходе научной работы рассмотрены основные лидеры рынка Data Leak Protection — систем, предназначенных для корпоративных сетей малого и среднего бизнеса. Проведен сравнительный анализ рассмотренных систем по каналам утечки информации и выявлены сущес...

Задать вопрос