Разработка политики информационной безопасности транспортных перевозок. Часть 3

Страницы 1 2 3

---

ГЛАВА 3. РАЗРАБОТКА МЕТОДИКИ КОМПЛЕКСНОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1. Анализ существующих критериев оценки качества системы защиты информационных систем

К свойствам безопасности информации относятся следующие:

– конфиденциальность – информация недоступна третьим лицам;

– целостность – информация не подвергалась искажению;

– доступность – к информации есть непрерывный доступ;

– неотказуемость – авторство информации можно доказать;

– достоверность – информация соответствует эталонному поведению или состоянию;

– подотчётность – состояния и жизненный цикл информации или информационной системы можно достоверно отследить;

– аутентичность – в информацию гарантированно не вносились изменения.

Все меры по защите информации сводятся к тому, чтобы предотвратить нарушение вышеуказанных свойств. Соответственно, именно они выступают в качестве основных критериев оценки качества системы защиты информационных систем.

Подход в данном исследовании к оценке качества системы защиты информационных систем заключается в использовании логических рассуждений для количественной оценки неопределенностей в системах информационной безопасности. В некоторых случаях поведение того, как системы компонентов будут работать вместе, не может быть предсказано.  Логическое обоснование может использоваться, когда конкретные значения вероятности не могут быть назначены возможным результатам поведения системы.  Это означает, что отсутствует представление об относительной вероятности различных результатов событий, и поэтому значения вероятности не могут быть назначены.  Вместо этого могут применяться логические рассуждения, потому что конкретные значения вероятности не являются необходимыми для оценки поведения системы [9].

Методология состоит из трех этапов.

Этап I — На этом этапе собирается информация о аспектах безопасности системы.  Чем больше информации будет собрано, тем лучше будет анализ.

Этап II. На этом этапе количественно оценивается информация, касающуюся проектирования безопасности.  Логический подход к выявлению неопределенностей будет применяться в ситуациях, когда недостаточно исторических данных.

Этап III. На этом этапе решения принимаются на основе собранной информации о безопасности.  Анализ решений очень сложен, потому что системные инженеры и архитекторы должны отвечать требованиям всей системы безопасности информационной системы.

Операционный уровень адресует информацию, относящуюся к физической архитектуре защиты информационной системы.  Управленческий уровень обращается к информации, имеющей отношение к деловым и программным аспектам развития архитектуры. В традиционных методиках обеспечения безопасности информационной системы предприятия существует значительное количество пробелов. Например, безопасность не учитывается с управленческой точки зрения, вопрос обеспечения безопасности рассматривается с точки зрения операции, но не всесторонне.  На основании этого анализа было установлено, что в архитектуре информационной безопасности существуют потенциальные значительные пробелы.

Информация, собранная на этапе 1, будет использована для разработки логической таблицы (таблица 14). Цель этой таблицы – показать, как можно количественно определить информацию о безопасности.  Веса дают числовое значение для процента требований к обслуживанию, которые были определены для наземной станции и системы компонентов испытательного изделия. Эта информация переносится на этап анализа решений.

Таблица 14

Весовые коэффициенты требований безопасности

 

Анализ рисков мероприятий для защиты информационной системы будет достоверным в случае, если выполняются следующие требования, предъявляемые к данным математического моделирования: обязательная полнота входящих данных в набор альтернатив; необходимое и достаточное количество входящих данных в набор альтернатив (таблица 15).

Таблица 15

Качественные показатели и балльное значение рейтинга

 

Итоговый рейтинг R^# получается путем суммирования рейтингов R_ij

R^# = ∑ R_ij                                                    (1)

В соответствии с теорией нечетких множеств, R^# характеризует мощность нечеткого множества. Чем R^# больше, тем выше рейтинг мероприятия по защите информационной системы.

Затем принимается решение о внедрении (отказе от внедрения) на основании значения итогового рейтинга R^#, предварительно рассчитанного в соответствии с выбранной политикой безопасности информационной системы (приложение Б) и концептуальной моделью системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками».

Рейтинг R^#  может принимать несколько базовых значений, которым соответствует определенная схема внедрения;

3.2 Проектирование концептуальной модели

Процесс проектирования концептуальной модели системы защиты информационной системы должен быть разделен на дискретные компоненты информационных технологий, включающие организационные схемы, виды деятельности и потоки процессов функционирования организации.  Эти диаграммы могут быть сконфигурированы в виде организационных циклов, включающих периоды и сроки, соответствующие поставщикам технологического оборудования, программного обеспечения и услуг.

Процесс формирования модели защиты информационной системы включает такие компоненты как:

– определение индивидуальных потребностей безопасности каждого компонента системы;

– расчет рисков и их сопоставление с соответствующим уровнем контроля безопасности;

– выбор решений, отвечающих функциональным требованиям безопасности;

– документирование исключений из процесса;

– оценка позиции реализованного решения.

Архитектура защиты информационной системы предприятия:

– обеспечивает стратегическую дорожную карту и долгосрочный взгляд на безопасность в рамках всей организации;

– осуществляет перевод бизнес-целей и процессов в контекст безопасности;

– информирует организацию о рекомендуемой практике и конвенциях;

– предоставляет методы, механизмы и инструменты для оказания помощи аудиторам и владельцам бизнеса в обеспечении надлежащего использования средств контроля за конкретными ресурсами на основе стандартизированных решений о рисках;

– обеспечивает владельцу бизнеса и поставщику услуг безопасности более полную осведомленность о потребностях в информационной безопасности;

– обеспечивает стандартную проектную документацию и перечень рекомендуемых технологий для всего предприятия;

– позволяет организации проводить аудит соответствия установленным базовым показателям и стандартам безопасности в масштабах всего предприятия;

– поддерживает расширение отраслевого стандарта и проверенных лучших практик внутри и за пределами организации;

– переводит условия безопасности в требования безопасности для защиты информации.

Можно выделить следующие требования к архитектуре защиты информационной системы предприятия:

1 Архитектура безопасности должна позволять организации и ее подразделениям осуществлять бизнес-процессы в электронном виде и предоставлять безопасные услуги своим клиентам.

2 Бизнес-требования и политика безопасности, а не сама технология, должны определять выбор средств контроля безопасности.

3 Уровни безопасности, применяемые к данным и ресурсам, должны быть, как минимум, соизмеримы с их деловой ценностью и достаточны для сдерживания риска до приемлемого уровня.

4 Архитектура безопасности должна основываться на общепромышленных, открытых стандартах, где это возможно, и учитывать потребности в различных уровнях безопасности.

5 Безопасность информационных систем будет встроена в системы с момента их создания, а не закреплена после внедрения системы.

6 Для достижения преимуществ архитектуры, основанной на стандартах предприятия, все инвестиции в информационные технологии должны соответствовать установленной EISA, которая предназначена для обеспечения защиты и совместимости информационных технологий в рамках всей организации.

События, сообщения и потоки данных должны учитываться в структуре концептуальной модели системы защиты информационной системы, поскольку они относятся к интерфейсам между приложениями.  Классификации данных, базы данных и вспомогательные модели данных также должны быть разработаны в стратегии, поскольку они относятся к оборудованию, платформам и компонентам хостинга.  Это гарантирует, что организация понимает сложность своих серверов, сетевых компонентов и устройств безопасности и где они хранятся в случае нарушения данных.

Организации всех размеров имеют архитектуру безопасности — независимо от того, намеренно ли они применили к ней дизайн или нет. Наличие любого технологического решения означает необходимость учитывать архитектуру и дизайн системы безопасности.

Общая предлагаемая концептуальная модель системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками» представлена на рисунке 18.

Рисунок 18 –   Схема концептуальной модели системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками»

 

В рамках данной модели предлагаются мероприятий по повышению эффективности системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками», представленные на рисунке 19.

Рисунок 19 –  Мероприятия по повышению эффективности системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками»

 

Сформированная политика защиты информационной системы на платформе «TMS Логистика: Управление перевозками» представлена в приложении Б.

3.3 Разработка методики обеспечения системы защиты информационной системы

Рассмотрим методику обеспечения системы защиты информационной системы в рамках предлагаемой концептуальной модели более подробно.

1 Криптографическая защита. В основу данной политики безопасности положена криптографическая защита. Цель: обеспечить надлежащее и эффективное использование криптографии для защиты конфиденциальности и целостности данных, находящихся в собственности или под управлением предприятия или от его имени.  Конфиденциальная информация должна быть зашифрована с использованием действительных процессов шифрования для данных в покое и в движении, как того требует законодательство. Это включает, но не ограничивается, конфиденциальную информацию, хранящуюся на мобильных устройствах, съемных дисках и ноутбуках.

Криптографический контроль должен основываться на классификации и критичности данных.  При принятии решения о том, какую силу и тип управления следует развернуть, следует учитывать как автономные, так и корпоративные решения для шифрования.  Следует обратить внимание на правила, ограничения (например, экспортный контроль), которые могут применяться к использованию криптографических методов.

Информационные системы должны защищать целостность передаваемой информации, проходящей через внутренние и внешние коммуникации.  Этот контроль применяется к связи через внутренние и внешние сети.

Информационные системы должны использовать механизмы для аутентификации в криптографическом модуле, которые отвечают требованиям нормативных правовых документов и руководств по такой аутентификации. Список используемых криптографических модулей будет сравниваться со списком проверенных криптографических модулей NIST ежеквартально для обеспечения соответствия.

Информационные системы будут получать и выдавать сертификаты открытого ключа и безопасности транспортного уровня (TLS) от утвержденного поставщика услуг.  Этот элемент управления фокусирует сертификаты с видимостью, внешним по отношению к информационной системе, и не включает сертификаты, относящиеся к внутренним системным операциям, например, к службам времени конкретного приложения.  Протокол Secure Socket Layer (SSL) должен быть отключен на всех устройствах.

Должна быть установлена защищенная среда для защиты криптографических ключей, используемых для шифрования и дешифрования информации.  Управление и установление криптографических ключей будет осуществляться с использованием автоматизированных механизмов с поддержкой ручных процедур.  Ключи должны быть надежно распределены и сохранены.  Доступ к ключам должен быть ограничен только лицами, которым бизнес нужен для доступа к ним.  Любой доступ к криптографическим ключам требует авторизации и должен быть задокументирован.  Компрометация криптографического ключа приведет к тому, что вся информация, зашифрованная этим ключом, будет считаться незашифрованной.

С увеличением числа устройств, принадлежащих сотрудникам предприятия, возрастает также риск случайной утечки данных через приложения и службы, такие как электронная почта, социальные сети и публичное облако, которые находятся вне контроля предприятия. Например, когда сотрудник отправляет последние инженерные фотографии из своей личной учетной записи электронной почты, копирует и вставляет информацию о продукте в социальные сети или сохраняет отчет о продажах в публичном облачном хранилище.

Windows Information Protection (WIP), ранее известная как enterprise data protection (EDP), помогает защитить от этой потенциальной утечки данных, не вмешиваясь в работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной утечки данных на корпоративных устройствах и персональных устройствах, которые сотрудники приносят на работу, не требуя изменений в вашей среде или других приложениях. Наконец, другая технология защиты данных, Azure Rights Management, также работает вместе с WIP, чтобы расширить защиту данных для данных, которые покидают устройство, например, когда вложения электронной почты отправляются из корпоративной версии почтового клиента управления правами.

WIP-это механизм управления мобильными приложениями (MAM) в Windows 10. WIP предоставляет вам новый способ управления принудительным применением Политики данных для приложений и документов в настольных операционных системах Windows 10, а также возможность удалять доступ к корпоративным данным как с корпоративных, так и с персональных устройств (после регистрации в решении для управления предприятием, например Intune).

Измените свое представление о применении политики данных. Как администратор предприятия, вы должны поддерживать соответствие в политике данных и доступе к данным. WIP помогает защитить предприятие как на корпоративных, так и на принадлежащих сотрудникам устройствах, даже если сотрудник не использует это устройство. Когда сотрудники создают контент на защищенном корпоративном устройстве, они могут сохранить его в качестве рабочего документа. Если это рабочий документ, он становится локально поддерживаемым как корпоративные данные.

Копирование или загрузка корпоративных данных. Когда сотрудник или приложение загружает контент из такого расположения, как SharePoint, сетевой ресурс или корпоративный веб-узел, используя защищенное WIP устройство, WIP шифрует данные на устройстве.

Использование защищенных приложений. Управляемые приложения (приложения, включенные в список защищенных приложений в политике НЗП) имеют доступ к корпоративным данным и будут взаимодействовать по-разному при использовании с несанкционированными, не связанными с предприятием или персональными приложениями. Например, если управление WIP настроено на блокировку, ваши сотрудники могут копировать и вставлять данные из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. Представьте себе, что сотрудник отдела кадров хочет скопировать описание работы из защищенного приложения на внутренний сайт карьеры, защищенное местоположение предприятия, но вместо этого пытается вставить его в личное приложение. Действие вставить завершается ошибкой, и появляется уведомление о том, что приложение не может вставить из-за ограничения политики. Затем кадровик правильно вставляет на сайт карьеры без проблем.

Управляемые приложения и ограничения. С помощью WIP можно контролировать, какие приложения могут получать доступ и использовать ваши корпоративные данные. После добавления приложения в список защищенных приложений ему доверяются корпоративные данные. Все приложения, не включенные в этот список, не имеют доступа к корпоративным данным в зависимости от режима управления WIP.

Определение уровня доступа к данным. WIP позволяет блокировать, разрешать переопределения или проверять действия сотрудников по обмену данными. Скрытие переопределений немедленно останавливает действие. Разрешение переопределений позволяет сотруднику знать, что существует риск, но позволяет ему или ей продолжать делиться данными во время записи и аудита действия. Silent просто регистрирует действие, не останавливая ничего, что сотрудник мог бы переопределить при использовании этой настройки; сбор информации, которая может помочь вам увидеть шаблоны неправильного обмена, чтобы вы могли предпринять обучающие действия или найти приложения, которые должны быть добавлены в список защищенных приложений. Дополнительные сведения о сборе файлов журнала аудита см. В разделе сбор журналов событий аудита Windows Information Protection (WIP).

Шифрование данных в состоянии покоя. WIP помогает защитить корпоративные данные на локальных файлах и съемных носителях.

Такие приложения, как Microsoft Word, работают с WIP, чтобы помочь продолжить защиту данных через локальные файлы и съемные носители. Эти приложения называются, enterprise aware. Например, если сотрудник открывает WIP-зашифрованное содержимое из Word, редактирует содержимое, а затем пытается сохранить отредактированную версию с другим именем, Word автоматически применяет WIP к новому документу.

Помогает предотвратить случайное раскрытие данных в общественных местах. WIP помогает защитить ваши корпоративные данные от случайного доступа к общим пространствам, таким как публичное облачное хранилище. Например, если Dropbox отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы со своим персональным облачным хранилищем. Вместо этого, если сотрудник хранит содержимое в приложении из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с бизнес-облаком, сохраняя шифрование локально.

Помогает предотвратить случайное раскрытие данных на съемных носителях. WIP помогает предотвратить утечку корпоративных данных при их копировании или передаче На съемный носитель. Например, если сотрудник помещает корпоративные данные на диск универсальной последовательной шины (USB), который также содержит персональные данные, корпоративные данные остаются зашифрованными, а персональные данные-нет.

Удалите доступ к корпоративным данным с защищенных устройств. WIP дает администраторам возможность отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных в MDM, оставляя личные данные в покое. Это преимущество, когда сотрудник покидает вашу компанию, или в случае кражи устройства. После определения того, что доступ к данным должен быть удален, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при подключении к сети ключ шифрования пользователя для устройства был отозван и корпоративные данные стали нечитаемыми.

Описание модулей программы представлено в таблице 16.

Таблица 16

Основные модули WIP

 

2 Сервер на RAID-5. RAID-это технология, которая используется для повышения производительности и / или надежности хранения данных. Аббревиатура означает либо резервный массив недорогих дисков, либо резервный массив независимых дисков. RAID-система состоит из двух или более дисков, работающих параллельно. Это могут быть жесткие диски, но есть тенденция также использовать технологию SSD (Solid State Drive). Существуют различные уровни RAID, каждый из которых оптимизирован для конкретной ситуации. Они не стандартизированы отраслевой группой или комитетом по стандартизации. Это объясняет, почему компании иногда придумывают свои собственные уникальные номера и реализации.

Чередование с четностью между драйверами при использовании RAID-5 представлено на рисунке 20.

Рисунок 20 – Чередование с четностью между драйверами при использовании RAID-5

 

Рассмотрим вариант настройки Сервер 1C:TMS + PostgreSQL 9.4.2 + Debian 8.6. Система будет устанавливаться на бюджетный резервный сервер от компании Supermicro: 32ГБ оперативной памяти, 1 процессор Intel Xeon 2.4 Ghz, и 2 Toshiba Server HDD по 1TB.

Список дистрибутивов, которые понадобятся для установки всех компонентов системы: Debian 8.6. Будет использоваться «netinst» версия, чтобы не было ничего лишнего. Скачать можно по этой ссылке. Архитектура — amd64. Сервер 1C:TMS.9.1818. Postgresql-9.4.2-1.1C_amd64.

Схема настройки RAID и установки системы представлена на рисунке 21.

 

Рисунок 21 – Схема настройки RAID и установки системы

В процессе установки вводим свои параметры языков, имени сервера, рабочей группы, пользователя и пароля, а также настраиваем сетевую карту по DHCP, потом мы ее перенастроим. Настраивать будем только разметку HDD. Режим работы HDD в BIOS выставляется — AHCI. RAID будет программным.

В ручном режиме создать разметку дисков. Если их несколько, то для каждого:

первичный 10Gb физический том для RAID

первичный 990Gb физический том для RAID (Рис. 1 приложение В).

Настройка программного RAID и разметки дисков.

2.1. Создать новое MD (составное) устройство

Выбираем RAID1 (Зеркалирование)

Активных устройств: 2

Резервных устройств: 0 (рисунки 2-4 Приложение В).

2.2. Объединить одинаковые разделы на разных HDD.

Первый блок 10Gb;

Второй блок 990Gb (рисунок 5 приложение В).

2.3. Из MD устройства 10Gb сделать файл подкачки (рисунок 6 приложение В).

2.4. Из MD устройства 990Gb сделать файловую систему Ext4:

– точка монтирования – корневая;

– параметры монтирования – default;

– метка – отсутствует;

– зарезервированные блоки — 5%;

– обычное использование – стандарт (рисунок 7 приложение В).

3 Завершение установки представлено на рисунках 8-11 приложения В.

3 Comodo Firewall обеспечивает высокий уровень защиты от входящих и исходящих угроз. Firewall проверяет, что весь сетевой трафик, входящий и исходящий с компьютера. Программа скрывает порты компьютера от незаконного проникновения и блокирует вредоносное программное обеспечение от передачи конфиденциальных данных через интернет.

Comodo Firewal также позволяет точно указать, какие приложения разрешено подключать к интернету, и немедленно предупреждает о подозрительной активности.

Система Endpoint security гарантирует, что информация защищена от утечки данных. В соответствии с этими соображениями, элемент под названием Data Loss Prevention (DLP) удерживает конечных клиентов от обмена важными фрагментами данных за пределами корпоративной системы.

Одним из примеров возможностей DLP является то, что он не может обмениваться существенными записями через открытое облако, электронную почту или даже через бесплатные сайты обмена документами. В момент, когда такие упражнения происходят, продуктивно работающий DLP завершит процедуру, как только она будет выделена, или просто не будет учитывать процедуру, которая должна произойти.

Функция для управления системой жизненно важна, поскольку она ограничивает обмен файлами и процедуры эксфильтрации. Поскольку эта функция ограничивает конечных клиентов в получении или внедрении определенных гаджетов, они могут быть ограничены как компонент защиты информации, сохраненной в обрабатывающей машине. Само устройство также может быть изменено таким образом, что порты и центры будут повреждены там, где внешние накопители емкости могут быть связаны для обмена записями.

Шифрование хранилища является также творческим и жизнеспособным механизмом защиты информации, в котором безопасность повышается за счет использования шифрования и декодирования.

Помимо программирования или проектов endpoint security, некоторые ИТ-супервизоры дополнительно требуют других процедур предотвращения вредоносных программ, например, получения пограничной безопасности системы, реализации сложных политик паролей, убедительных инструкций для конечных пользователей, ведения журнала доступа к данным, а также решений и готовности к восстановлению системы.

Доступны следующие варианты:

Блокировать все. Брандмауэр блокирует весь трафик на ваш компьютер и вне его независимо от какой-либо пользовательской конфигурации и правил.  Брандмауэр не пытается узнать поведение какого-либо приложения и не создает автоматически правила трафика для каких-либо приложений.  Выбор этого параметра эффективно предотвращает доступ компьютера к любым сетям, включая Интернет.

Можно выбрать тип новой сети, к которой подключены, чтобы конфигурация брандмауэра была оптимизирована для типа подключения.  Comodo рекомендует пользователям оставить этот параметр по умолчанию включенным (значение по умолчанию включено).

Можно включить оповещения Trustconnect — если подключаетесь к Интернету в общественном месте, например в аэропорту или кафе, то потенциально подвергаете себя опасности.  Незащищенные общедоступные сети могут позволить другим людям легко подслушивать ваши сообщения или даже получать доступ к компьютеру для кражи конфиденциальной информации. Для защиты от таких попыток Comodo рекомендует шифровать соединение в общедоступных точках доступа с помощью TrustConnect — безопасного интернет-прокси  служба.

Если выбран этот параметр, Comodo Firewall будет отображать предупреждение, если подключены к Интернету через незащищенную сеть (по умолчанию = включено). Параметры раскрывающегося списка позволяют выбрать условия, при которых вы хотите, чтобы оповещения отображались:

Только для незащищенных беспроводных сетей (по умолчанию) — оповещения TrustConnect отображаются только при подключении к незашифрованной беспроводной сети.

Только для общедоступных и незащищенных беспроводных сетей — оповещения TrustConnect отображаются при подключении к общедоступной беспроводной сети независимо от того, зашифровано ли соединение

Если движение исходящее, можно видеть зеленые стрелки, движущиеся вверх по правой стороне щита.  Аналогично, для входящего трафика можно видеть желтые стрелки, движущиеся вниз по левой стороне.  Это обеспечивает очень полезный индикатор перемещения данных в реальном времени на ваш компьютер (по умолчанию = включено).

Задать уровень частоты оповещений. Включение этого параметра позволяет настроить количество оповещений, которые генерирует Comodo Firewall, из раскрывающегося списка.  Следует отметить, что это не влияет на вашу безопасность, что определяется настроенными вами правилами (например, в «Правилах применения» и «Глобальных правилах»).  Для большинства пользователей настройка по умолчанию «Низкий» — это идеальный уровень, гарантирующий, что вы будете информированы о попытках подключения и подозрительных действиях, при этом не подавляя вас предупреждающими сообщениями.  (По умолчанию = Отключено).

Comodo Firewall имеет расширенные настройки обнаружения, которые помогают защитить компьютер от распространенных атак типа «отказ в обслуживании» (DoS).  Запуская атаку типа «отказ в обслуживании» или «флуд», злоумышленник бомбардирует целевую машину таким количеством запросов на соединение, что ваш компьютер не может принимать допустимые соединения, эффективно отключая ваш веб, почтовый сервер, сервер FTP или VPN.

Фильтровать трафик IP v6 — если этот параметр включен, CIS будет фильтровать сетевой трафик IPv6 в дополнение к трафику IPv4 (по умолчанию = отключено).

Рассчитаем уровень безопасности информационной системы после реализации данных мероприятий, согласно концептуальной модели.

До внедрения мероприятий показатели для системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками» представлены в таблице 17. После внедрения мероприятий будут получены данные, представленные в таблице 18.

Таблица 17

Качественные показатели и балльное значение рейтинга защиты информационной системы на платформе «TMS Логистика: Управление перевозками»

Итоговый рейтинг R^#  составит 1,25.

Таблица 18

Качественные показатели и балльное значение рейтинга мероприятий для системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками»

 

Итоговый рейтинг R^#  составит 2,5. Таким образом, рейтинг системы безопасности информационной системы значительно вырос в итоге внедрения мероприятий.

В главе реализовано проектирование концептуальной модели системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками» на основе сочетания криптографической защиты, сервера на базе RAID5 и Comodo Firewall. Показан рост уровня защищенности информационной системы после внедрения данной модели.

 

ЗАКЛЮЧЕНИЕ

 

На основании результатов исследования были получены следующие выводы:

Анализ актуальных угроз безопасности информационных систем при транспортных перевозках показал, что основными направлениями являются несанкционированный доступ к информации в связи с недостатками аутентификации пользователей, нарушение целостности и сохранности данных из-за низкой отказоустойчивости сервера, угроза компьютеру, локальной сети или отдельным узлам от внешних атак, вредоносного программного обеспечения.

Анализ потенциальных угроз безопасности информационной системы на платформе «TMS Логистика: Управление перевозками» показал, что в качестве потенциальных угроз безопасности информационной системы на платформе «TMS Логистика: Управление перевозками» специалистами выделяются такие как копирование и взлом базы данных 1С; несанкционированный доступ к серверному оборудованию; низкая отказоустойчивости системы, низкий уровень защиты сервера 1С от сбоев; низкий уровень сетевой безопасности и организация защиты 1С конфигураций 7.7, 8.2, 8.3.

В ходе обзора методов обеспечения безопасности информационных систем были выделены такие как защита биометрических данных, криптографическая защита, создание отказоустойчивого сервера, трехступенчатая система авторизации (БИОС, локальная станция, клиент-станция), использование файерволлов и пр.

Особенности построения и функционирования информационной системы на платформе «TMS Логистика: Управление перевозками» включают широкое использование прикладных решений; низкий уровень возможности изменения данных, введенных в систему; рабочие процессы могут функционировать на одном или нескольких компьютерах; TMS Логистика: Управление перевозками может работать под управлением ОС Linux. Система TMS Логистика: Управление перевозками.1 теперь работает с базой данных PostgreSQL, которая работает как под ОС Windows, так и под ОС Linux.

Анализ существующих стратегий и методов обеспечения безопасности информационных систем на платформе «TMS Логистика: Управление перевозками» показал, что в настоящее время на платформе «TMS Логистика: Управление перевозками» реализованы такие стратегии и методы обеспечения безопасности как механизм блокировки управляемых данных; реализован скрипт объекта DataLock; реализован новый режим работы менеджеров накопительного и учетного регистров — с разделителем итогов, что позволяет обеспечить большую согласованность записи в регистры; можно отлаживать любые модули 1С: Предприятие (включая сессии на сервере, во внешних соединениях и Web-сервисах); реализован механизм технологического логирования; имеется механизм блокировки установочных соединений с информационной базой;

Анализ существующих критериев оценки качества системы защиты информационных систем позволил выделить такие как  конфиденциальность;  целостность; доступность; неотказуемость; достоверность; подотчётность; аутентичность. Также предложены собственная методология оценки качества системы защиты информационных систем из трех этапов. Расчет итоговых показателей осуществляется экспертным методом на основе расчета рейтинга.

Обзор нормативно-правовой базы по вопросу обеспечения безопасности информационных систем показал, что на государственном уровне требования к обеспечению информационной безопасности отражены в нормативно-правовых актах ФСБ России и ФСТЭК России. Кроме того, защита персональных данных регулируется Федеральным законом №152-ФЗ «О персональных данных» действующими стандартами.

Разработка методики обеспечения системы защиты информационной системы с использованием CASE-средства AllFusion Process Modeler (BPwin) включила такие основные компоненты как:

1 Обеспечение конфиденциальности данных за счет криптографической защиты.

2 Обеспечение целостности данных путем внедрения сервера RAID-5.

3 Обеспечение аутентификации за счет Comodo FW.

Процесс проектирования концептуальной модели системы защиты информационной системы был разделен на дискретные компоненты информационных технологий, включающие организационные схемы, виды деятельности и потоки процессов функционирования организации.  Эти диаграммы могут быть сконфигурированы в виде организационных циклов, включающих периоды и сроки, соответствующие поставщикам технологического оборудования, программного обеспечения и услуг.

Итоговый рейтинг R^#  уровня защиты информационной системы по итогам внедрения методики составит 2,5, что более чем на 1 уровень выше первоначального рассчитанного показателя для «TMS Логистика: Управление перевозками».

Таким образом, цель работы – разработка методики комплексного обеспечения безопасности информационных систем на платформе «TMS Логистика: Управление перевозками»–  достигнута, задачи исследования провести анализ проблемы обеспечения безопасности информационных систем; проанализировать существующие стратегии и методы обеспечения безопасности информационных систем на платформе 1С: Предприятие; разработать методику комплексного обеспечения безопасности информационных систем; провести проектирование концептуальной модели системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками» решены.

Применялись современные  методы и модели теории управления, экспертного, статистического и сравнительного анализа, системного подхода к изучению экономических явлений и процессов, методы экспертных оценок, анкетирование, табличные и графические приемы визуализации данных: для подтверждения значимости факторов было проведено моделирование на основе IDEFO диаграмм процессов.

Проведена разработка методики обеспечения системы защиты информационной системы с использованием CASE-средства AllFusion Process Modeler (BPwin) и осуществлено формирование концептуальной модели системы защиты информационной системы на платформе «TMS Логистика: Управление перевозками»  как эффективного механизма по повышению эффективности зашиты информационной системы. Данные результаты имеют практическую значимость и могут быть использованы в деятельности организаций малого и среднего бизнеса.

 

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

 

1. Баранов А.Н. Разработка и исследование метода защиты информационных ресурсов в автоматизированной системе управления производственным процессом предприятия / А.Н. Баранов, Е.М. Баранова, Д.М. Федорович, М.Е. Ференс // Известия Тульского государственного университета. Технические науки. – 2019. – № 10. – С. 238-248.
2. Бардаев Э.А. Принципы и модели построения системы защиты информации в робототехнических комплексах от внешних деструктивно-информационных воздействий / Э.А. Бардаев, А.В. Винокуров, А.А. Задвижкин, А.В. Колованов, В.В. Лисицын // Вопросы кибербезопасности. – 2019. – № 6 (34). – С. 49-58.
3. Борисов, М.Л. Автоматизация договорной деятельности в многофилиальной компании / М.Л. Борисов, Б.Э. Дадашев, В.С. Плаунов, Ф.Х. Тиморшина // Современные наукоемкие технологии. –  – № 12-2. – С. 213-218.
4. Васильев Н.Г. Система передачи данных, защита информации при обмене информации / Н.Г. Васильев // Научен вектор на Балканите. – 2019. – Т. 3. – № 2 (4). – С. 104-107.
5. Витенбург Е.А. Архитектура программного комплекса интеллектуальной поддержки принятия решений при проектировании системы защиты информационной системы предприятия / Е.А. Витенбург // Вестник кибернетики. – 2019. – № 4 (36). – С. 46-51.
6. Гагарина, Л. Г. Технология разработки программного обеспечения [Электронный ресурс]: учебное пособие для студентов вузов, обучающихся по направлению 230100 «Информатика и вычислительная техника», специальности 230105 «Программное обеспечение вычислительной техники и автоматизированных систем» / Л. Г. Гагарина, Б. Д. Виснадул, Е. В. Кокорева ; под ред. Л. Г. Гагариной. — Москва : ФОРУМ: ИНФРА-М, 2013. — 400 с. http: //znanium.com/go .php?id=389963
7. Говорин Е.Б. Модель имитации информационных систем для защиты вычислительных сетей специального назначения в условях действия злоумышленника / Е.Б. Говорин // Профессиональное образование и наука. – 2019. – № 4 (9). – С. 98-101.
8. Голдобина А.С. Оценка эффективности средств защиты государственных информационных систем / А.С. Голдобина, В.В. Селифанов // Интерэкспо Гео-Сибирь. – 2019. – Т. 6. – № 1. – С. 115-121.
9. Голдобина А.С. Преимущества моделирования процессов управления защитой информации государственной информационной системы / А.С. Голдобина, И.Н. Карманов, П.А. Звягинцева // Интерэкспо Гео-Сибирь. – 2019. – Т. 9. – С. 19-24.
10. Голицына, О. Л. Программное обеспечение [Текст]: учебное пособие для студентов учреждений среднего профессионального образования, обучающихся по группе специальностей «Информатика и вычислительная техника» / О. Л. Голицына, Т. Л. Партыка, И. И. Попов. — 4-е изд., перераб. и доп. — Москва : Форум, 2013. — 447 с. 11экз.
11. Драчев В.О. Информационное обеспечение систем защиты информации / В.О. Драчев, В.Ю. Батов, Д.В. Муковоз // Наука и военная безопасность. – 2019. – № 1 (16). – С. 46-52.
12. Дюднев, А.Ю. Автоматизация договорной деятельности ООО «ПАНДА» / А.Ю. Дюднев, Н.А. Чеботарев // В сборнике: Прикладная информатика (в экономике) : аннотированный сборник дипломных работ студентов специальности 080801 Остринская Л.И. [Электронный ресурс]. Министерство образования и науки Российской Федерации. Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Сибирская государственная автомобильно-дорожная академия (СибАДИ)»; сост. Л.И. Остринская. – Омск, 2014. – С. 35-38.
13. Емельянова, Н. З. Проектирование информационных систем [Электронный ресурс]: учебное пособие для студентов образовательных учреждений среднего профессионального образования, обучающихся по группе специальностей «Информатика и вычислительная техника» / Н. З. Емельянова, И. И. Попов, Т. Л. Партыка. — Москва : ФОРУМ: ИНФРА-М, 2014. — 432 с. http://znanium.com/go.php?id=419815
14. Жумаева А.П. О выборе средств защиты информации для государственных информационных систем / А.П. Жумаева, В.А. Ялбаева, П.А. Звягинцева, В.В. Селифанов // Интерэкспо Гео-Сибирь. – 2019. – Т. 9. – С. 54-60.
15. Заботина, Н. Н. Проектирование информационных систем [Электронный ресурс]: учебное пособие для студентов вузов, обучающихся по специальности 09.03.03 «Прикладная информатика (по областям)» и другим экономическим специальностям / Н. Н. Заботина. — Москва : ИНФРА- М, 2016. — 331 с. http://znanium.com/go.php?id=542810
16. Заботина, Н. Н. Проектирование информационных систем [Электронный ресурс]: учебное пособие для студентов вузов, обучающихся по специальности 080801 «Прикладная информатика (по областям)» и другим экономическим специальностям / Н. Н. Заботина. — Москва : ИНФРА-М, 2014. — 331 с. http://znanium.com/go.php?id=454282
17. Касенов А.А. Построение эффективной системы защиты информации автоматизированных и информационных систем / А.А. Касенов, П.А. Данильченко, М.А. Батов, М.С. Седина // Modern Science. – 2019. – № 12-5. – С. 153-156.
18. Коваленко, В. В. Проектирование информационных систем [Электронный ресурс]: учебное пособие для студентов (бакалавров и специалистов) вузов, обучающихся по направлению 230700 Прикладная информатика (профили: экономика, социально-культурная сфера) и специальности 080801 «Прикладная информатика (по областям применения)» / В. В. Коваленко. — Москва : ФОРУМ: ИНФРА-М, 2014. — 320 с. http://znanium.com/go.php?id=473097
19. Кузьмина Т.А. Автоматизация учета средств защиты с применением информационных систем / Т.А. Кузьмина, С.В. Ильницкий, А.Е. Гайдукевич, А.И. Бобров // Современные технологии обеспечения гражданской обороны и ликвидации последствий чрезвычайных ситуаций. – 2019. – № 1 (10). – С. 214-217.
20. Кульмамиров С.А. Риски защиты ресурсов информационной системы типового предприятия / С.А. Кульмамиров, В.И. Карюкин // Актуальные научные исследования в современном мире. – 2019. – № 5-7 (49). – С. 26-35.
21. Куринных Д.Ю. Методы обеспечения защиты средств информационных и коммуникационных систем / Д.Ю. Куринных, В.В. Сахно // Вестник Науки и Творчества. – 2019. – № 5 (41). – С. 44-46.
22. Павликов С.Н. Разработка многопараметрической последовательно-параллельной матричной системы защиты информационной сети / С.Е. Павликов, Е.И. Убанкин, В.Ю. Коломеец, М.Д. Пленник // Наукоемкие технологии в космических исследованиях Земли. – 2019. – Т. 11. – № 5. – С. 39-47.
23. Паттерны проектирования [Текст]: производственно-практическое издание / Эрик Фримен, Элизабет Фримен при участии Кэтти Сьерра и Берта Бейтса; [пер. с англ. Е. Матвеева]. — Санкт-Петербург [и др.]: Питер, 2015. — 645 с. 5экз.
24. Рытов М.Ю. Автоматизированная система оценки уровня защиты информации на малом предприятии / М.Ю. Рытов, И.В. Луценко, П.С. Цвинкайло // Информационные технологии и системы: управление, экономика, транспорт, право. – 2019. – № 2 (34). – С. 123-128.
25. Селифанов В.В. Особенности выбора средств защиты информации в государственных информационных системах / В.В. Селтфанов, С.В. Степанова, Н.А. Стрихарь // Интерэкспо Гео-Сибирь. – 2019. – Т. 9. – С. 35-38.
26. Семенова А.В. Механизмы защиты корпоративных информационных систем / А.В. Семенова, В.В. Агафонова // Известия Института систем управления СГЭУ. – 2019. – № 2 (20). – С. 169-172.
27. Федорова Г. Н. Разработка, внедрение и адаптация программного обеспечения отраслевой направленности [Электронный ресурс]: учебное пособие (09.02.05 Приклад. информатика (по отр.), ПМ «Разработка, адаптация и внедрение програм. обеспечения отр. направленности) для профессиональных образовательных организаций / Г. Н. Федорова. — Москва : КУРС: ИНФРА-М, 2016. — 336 с. http://znanium.com/go.php?id=544732
28. Филиппов, А.М. Автоматизация и ее применение в учете и управлении договорным процессом / А.М. Филиппов // Управление экономическими системами: электронный научный журнал. – 2013. – № 2 (50). – С. 1.
29. Фирюлин, М.Е. Система мониторинга и управления событиями информационной безопасности как часть комплексной системы защиты информации / М.Е. Фирюлин, Е.А. Родионов // Охрана, безопасность, связь. – 2019. – Т. 1. – № 4 (4). – С. 206-212.
30. Чернодаров А.В. Контроль и адаптивно-робастная защита информационной целостности инерциально-спутниковых навигационных систем / А.В. Чернодаров, А.П. Патрикеев, Ю.Н. Коробков // Инновационные, информационные и коммуникационные технологии. – 2019. – № 1. – С. 342-346.
31. Штерензон, В.А. Автоматизация учета договорной деятельности предприятия / В.А. Штерензон, А.В. Климова // Аллея науки. – 2018. – Т. 1. – № 6 (22). – С. 628-637.
32. Davenport, T.: Putting the Enterprise into the Enterprise System. Harvard Business Review 76(4), 121-131 (1998)
33. Sherr, I.: Sony Faces Lawsuit Over PlayStation Network Breach (April 28, 2011), http://online.wsj.com/article/BT-CO-20110428-720452.html (дата обращения 03.2021)
34. Barret, D.: NASDAQ Acknowledges Security Breach (February 6, 2011), http://online.wsj.com/article/SB1000142405274870484330457612 6370179332758.html (дата обращения 03.2021)
35. Cyber-Ark Snooping Survey (April 2011), http://www.cyber-ark.com/ downloads/pdf/2 011-Snooping-Survey-data.pdf (дата обращения 03.2021)
36. Kalish, B.: Security Breach of Employee Data at GSA (November 8, 2011), http://techinsider.nextgov.com/2010/11/work_at_gsa_your_ social_has_been_e-mailed.php (дата обращения 03.2021)
37. Sumner, M.: Information Security Threats: A Comparative Analysis of Impact, Probability, and Preparedness. Information Systems Management 26(1), 2-12 (2009)
38. Walsh, K.: The ERP Security Challenge (January 8, 2008), http://www.cio.com/article/216940/The_ERP_Security_Challenge (дата обращения 20.03.2021).

---

Страницы 1 2 3