Библиографическое описание:

Фендрикова Е. И., Белов И. В., Моисеев В. В. Исследование модели угроз информационной системе для учебно-методического управления вуза в Digital Security Office // Молодой ученый. — 2014. — №6. — С. 122-125.

В работе исследована модель угроз информационной системы для учебно-методического управления вуза. Исследования проводились в экспертной системе аудита информационной безопасности Digital Security Office, в составе которой две подсистемы: «Гриф», «Кондор».

Ключевые слова: информационная система персональных данных, система защиты информации, риски, угрозы.

В последние время вопросы защиты персональных данных стали едва ли не самыми актуальными в области информационной безопасности. В мире действует большое количество мошенников и аферистов, которые пользуются имеющимися сведениями о гражданах. В Российской Федерации операторами персональных данных являются буквально все организации. С 1 января 2010 года федеральный закон № 152 ФЗ «О персональных данных» [10] перешел из статуса «для ознакомления» в статус «обязательного к исполнению». Поэтому исследование модели угроз для информационных систем в учебно-методическом управлении Приамурского государственного университета имени Шолом-Алейхема является актуальным.

Исследованная информационная система персональных данных (ИСПД) находится в учебно-методическом управлении вуза, в котором используются различные программные продукты [1, 2], она располагается на компьютере, не подключенным к сети интернет и локальной сети. Данная информационная система имеет второй класс защиты (персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к первой категории). Объем записей в базе данных (БД) рассмотренной системы более 1000. В ней хранятся персональные данные студентов, такие как фамилия, имя, отчество, дата рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные данные и сведения об образовании. К данной ИСПД имеют доступ два равноправных пользователя, а так же два человека обслуживающие компьютер: ответственные за поддержку программного обеспечения и аппаратную часть. Рассматриваемая ИСПД находится под защитой программно-аппаратного средства Secret Net 5.1, который реализует требования руководящих документов и государственному стандарту по защите информации, не ограничивая возможности операционной системы и прикладного программного обеспечения.

Вопросами оценки и управления рисками защиты информации занимались различные ученые. Например, А. Г. Кащенко [4] в своей статье о многокритериальной модели выбора варианта системы защиты информации для распределенной вычислительной сети предприятия для решения задачи выбора системы защиты информации математически формализованной в виде многокритериальной задачи оптимизации разработал алгоритм и программу на основе метода вектора спада. В. И. Харитонов и А. В. Поповкин [6] рассматривают вопросы обеспечения компьютерной безопасности при интерактивном обучении. Технологии компьютерной безопасности изучали И. В. Котенко, Р. М. Юсупов [5]. Р. И. Баженов [3] исследовал вопросы разработки экспертных систем в контексте рассматриваемой проблемы. М. Гуан и др. разработали метод оценки рисков в системе, основанной на знаниях [7]. М. Лейттер, С. Риндерле-Ма провели обзор исследований по защите информационных систем [8]. Вопросы применения методов основанных на знаниях в компьютерной безопасности изучали Р. С. Саммерса, С. А. Курзбанб [9].

Для разработки модели угроз была использована экспертная система аудита информационной безопасности Digital Security Office, в составе которой две подсистемы: «Гриф», «Кондор».

В подсистеме «Гриф» была создана модель учебно-методического управления, обозначен рабочий компьютер и причислены все угрозы (рис 1) с уязвимостями (рис 2) способными нанести ущерб информационной системе.

Рис. 1. Угрозы ИСПД

Рис 2. Уязвимости ИСПД

После чего модель была проанализирована и программа показала результат (рис. 3): У — Уровень ущерба 42,3 %, Р — Уровень риска 9,6 %.

Рис. 3. Уровень ущерба и риска информационной системы

В системе «Кондор» созданная модель была проанализирована с помощью заранее созданного в программе теста. (рис. 4).

Рис 4. Анализ созданной модели

После чего мы получили следующий результат (рис 5)

Рис 5. Уровень ущерба и риска информационной системы

1.   Политика безопасности: Невыполненные требования-21,1 %, Риск-23 %

2.   Организационные меры: Невыполненные требования-37,5 %, Риск-35 %

3.   Управление ресурсами: Невыполненные требования-18,2 %, Риск-12,7 %

4.   Безопасность персонала: Невыполненные требования-13,3 %, Риск-12,6 %

5.   Физическая безопасность: Невыполненные требования-26 %, Риск-23 %

В результате, по показаниям данных графиков можно сказать, что защита системы находится на высоком уровне. Так средние показатели риска системы 9,6 %, самым высоким он оказался в сфере организационной деятельности средств безопасности, тогда как безопасность персонала в данном отделе организации находится на высоком уровне. Относительно ущерба, нанесённого системе при осуществлении угроз указанных нами в модели, то уровень этой величины находится в районе 42 %, это говорит о том, что система при каких-либо нарушениях равновесия получит ощутимый урон.

Была исследована информационная система учебно-методического отдела, из этого можно извлечь опыт при обучении будущих специалистов и решении проблем безопасности в подобных системах.

Литература:

1.      Баженов Р. И., Гринкруг Л. С. Информационная система абитуриент-деканат ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2013. № 2. С. 97–99.

2.      Баженов Р. И., Гринкруг Л. С. Информационная система по расчету и распределению нагрузки профессорско-преподавательского состава ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2012. № 5. С. 75–78.

3.      Баженов Р. И., Лопатин Д. К. О применении современных технологий в разработке интеллектуальных систем // Журнал научных публикаций аспирантов и докторантов. 2014. № 3 (93). С. 263–264.

4.      Кащенко А. Г. Многокритериальная модель выбора варианта системы защиты информации для распределенной вычислительной сети предприятия // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. 2010. № 2. С. 46–49.

5.      Котенко И. В., Юсупов Р. М. Технологии компьютерной безопасности // Вестник российской академии наук. 2007. № 4. С. 323–333.

6.      Харитонов В. И., Поповкин А. В. Защита информации в сети системы интерактивного обучения // Педагогическая информатика. 2011. № 1. С. 70–79.

7.      Guan J.-Z., Lei M.-T., Zhu X.-Lu, Liu J.-Y. Knowledge-based information security risk assessment method // The Journal of China Universities of Posts and Telecommunications. 2013. № 20 (2). P. 60–63.

8.      Leitner M., Rinderle-Ma S. A systematic review on security in Process-Aware Information Systems — Constitution, challenges, and future directions // Information and Software Technology. 2014. № 56. P. 273–293.

9.      Summersa R. C., Kurzbanb S. A. Potential applications of knowledge-based methods to computer security // Computers & Security. 1988. № 7. P. 373–385.

10.  Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) «О персональных данных» URL: http://www.consultant.ru/document/cons_doc_LAW_149747/

Основные термины: персональных данных, Digital Security Office, информационная система, защиты информации, информационная система персональных, информационной системы, информационной системе, системы защиты информации, система персональных данных, информационной безопасности, информационной безопасности digital, безопасности digital security, аудита информационной безопасности, и риска информационной системы, ущерба и риска информационной, модели угроз, «О персональных данных», варианта системы защиты, Уровень ущерба и риска, угроз информационной

Обсуждение

Социальные комментарии Cackle