Исследование модели угроз информационной системе для учебно-методического управления вуза в Digital Security Office | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Авторы: , ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №6 (65) май-1 2014 г.

Дата публикации: 30.04.2014

Статья просмотрена: 617 раз

Библиографическое описание:

Фендрикова, Е. И. Исследование модели угроз информационной системе для учебно-методического управления вуза в Digital Security Office / Е. И. Фендрикова, И. В. Белов, В. В. Моисеев. — Текст : непосредственный // Молодой ученый. — 2014. — № 6 (65). — С. 122-125. — URL: https://moluch.ru/archive/65/10687/ (дата обращения: 19.11.2024).

В работе исследована модель угроз информационной системы для учебно-методического управления вуза. Исследования проводились в экспертной системе аудита информационной безопасности Digital Security Office, в составе которой две подсистемы: «Гриф», «Кондор».

Ключевые слова: информационная система персональных данных, система защиты информации, риски, угрозы.

В последние время вопросы защиты персональных данных стали едва ли не самыми актуальными в области информационной безопасности. В мире действует большое количество мошенников и аферистов, которые пользуются имеющимися сведениями о гражданах. В Российской Федерации операторами персональных данных являются буквально все организации. С 1 января 2010 года федеральный закон № 152 ФЗ «О персональных данных» [10] перешел из статуса «для ознакомления» в статус «обязательного к исполнению». Поэтому исследование модели угроз для информационных систем в учебно-методическом управлении Приамурского государственного университета имени Шолом-Алейхема является актуальным.

Исследованная информационная система персональных данных (ИСПД) находится в учебно-методическом управлении вуза, в котором используются различные программные продукты [1, 2], она располагается на компьютере, не подключенным к сети интернет и локальной сети. Данная информационная система имеет второй класс защиты (персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к первой категории). Объем записей в базе данных (БД) рассмотренной системы более 1000. В ней хранятся персональные данные студентов, такие как фамилия, имя, отчество, дата рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные данные и сведения об образовании. К данной ИСПД имеют доступ два равноправных пользователя, а так же два человека обслуживающие компьютер: ответственные за поддержку программного обеспечения и аппаратную часть. Рассматриваемая ИСПД находится под защитой программно-аппаратного средства Secret Net 5.1, который реализует требования руководящих документов и государственному стандарту по защите информации, не ограничивая возможности операционной системы и прикладного программного обеспечения.

Вопросами оценки и управления рисками защиты информации занимались различные ученые. Например, А. Г. Кащенко [4] в своей статье о многокритериальной модели выбора варианта системы защиты информации для распределенной вычислительной сети предприятия для решения задачи выбора системы защиты информации математически формализованной в виде многокритериальной задачи оптимизации разработал алгоритм и программу на основе метода вектора спада. В. И. Харитонов и А. В. Поповкин [6] рассматривают вопросы обеспечения компьютерной безопасности при интерактивном обучении. Технологии компьютерной безопасности изучали И. В. Котенко, Р. М. Юсупов [5]. Р. И. Баженов [3] исследовал вопросы разработки экспертных систем в контексте рассматриваемой проблемы. М. Гуан и др. разработали метод оценки рисков в системе, основанной на знаниях [7]. М. Лейттер, С. Риндерле-Ма провели обзор исследований по защите информационных систем [8]. Вопросы применения методов основанных на знаниях в компьютерной безопасности изучали Р. С. Саммерса, С. А. Курзбанб [9].

Для разработки модели угроз была использована экспертная система аудита информационной безопасности Digital Security Office, в составе которой две подсистемы: «Гриф», «Кондор».

В подсистеме «Гриф» была создана модель учебно-методического управления, обозначен рабочий компьютер и причислены все угрозы (рис 1) с уязвимостями (рис 2) способными нанести ущерб информационной системе.

Рис. 1. Угрозы ИСПД

Рис 2. Уязвимости ИСПД

После чего модель была проанализирована и программа показала результат (рис. 3): У — Уровень ущерба 42,3 %, Р — Уровень риска 9,6 %.

Рис. 3. Уровень ущерба и риска информационной системы

В системе «Кондор» созданная модель была проанализирована с помощью заранее созданного в программе теста. (рис. 4).

Рис 4. Анализ созданной модели

После чего мы получили следующий результат (рис 5)

Рис 5. Уровень ущерба и риска информационной системы

1.   Политика безопасности: Невыполненные требования-21,1 %, Риск-23 %

2.   Организационные меры: Невыполненные требования-37,5 %, Риск-35 %

3.   Управление ресурсами: Невыполненные требования-18,2 %, Риск-12,7 %

4.   Безопасность персонала: Невыполненные требования-13,3 %, Риск-12,6 %

5.   Физическая безопасность: Невыполненные требования-26 %, Риск-23 %

В результате, по показаниям данных графиков можно сказать, что защита системы находится на высоком уровне. Так средние показатели риска системы 9,6 %, самым высоким он оказался в сфере организационной деятельности средств безопасности, тогда как безопасность персонала в данном отделе организации находится на высоком уровне. Относительно ущерба, нанесённого системе при осуществлении угроз указанных нами в модели, то уровень этой величины находится в районе 42 %, это говорит о том, что система при каких-либо нарушениях равновесия получит ощутимый урон.

Была исследована информационная система учебно-методического отдела, из этого можно извлечь опыт при обучении будущих специалистов и решении проблем безопасности в подобных системах.

Литература:

1.      Баженов Р. И., Гринкруг Л. С. Информационная система абитуриент-деканат ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2013. № 2. С. 97–99.

2.      Баженов Р. И., Гринкруг Л. С. Информационная система по расчету и распределению нагрузки профессорско-преподавательского состава ФГБОУ ВПО «Приамурский государственный университет им. Шолом-Алейхема» // Информатизация и связь. 2012. № 5. С. 75–78.

3.      Баженов Р. И., Лопатин Д. К. О применении современных технологий в разработке интеллектуальных систем // Журнал научных публикаций аспирантов и докторантов. 2014. № 3 (93). С. 263–264.

4.      Кащенко А. Г. Многокритериальная модель выбора варианта системы защиты информации для распределенной вычислительной сети предприятия // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. 2010. № 2. С. 46–49.

5.      Котенко И. В., Юсупов Р. М. Технологии компьютерной безопасности // Вестник российской академии наук. 2007. № 4. С. 323–333.

6.      Харитонов В. И., Поповкин А. В. Защита информации в сети системы интерактивного обучения // Педагогическая информатика. 2011. № 1. С. 70–79.

7.      Guan J.-Z., Lei M.-T., Zhu X.-Lu, Liu J.-Y. Knowledge-based information security risk assessment method // The Journal of China Universities of Posts and Telecommunications. 2013. № 20 (2). P. 60–63.

8.      Leitner M., Rinderle-Ma S. A systematic review on security in Process-Aware Information Systems — Constitution, challenges, and future directions // Information and Software Technology. 2014. № 56. P. 273–293.

9.      Summersa R. C., Kurzbanb S. A. Potential applications of knowledge-based methods to computer security // Computers & Security. 1988. № 7. P. 373–385.

10.  Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) «О персональных данных» URL: http://www.consultant.ru/document/cons_doc_LAW_149747/

Основные термины (генерируются автоматически): информационная система, данные, информационная безопасность, компьютерная безопасность, система, уровень ущерба, высокий уровень, учебно-методическое управление, учебно-методическое управление вуза, экспертная система аудита.


Похожие статьи

Роль бизнес-информатики в Центре инженерно-технического обеспечения и вооружения УФСИН России: эффективность, инновации и безопасность

В статье автор рассмотрел ключевую роль бизнес-информатики в ЦИТОВ УФСИН, подчеркнув ее влияние на эффективность, инновации и безопасность в исполнении наказаний

Проблемы системы управления производственной компании по разработке программного обеспечения на основе поддержки и принятия решений

В настоящей работе с помощью информационных технологий представлено исследование системы управления поддержки и принятия решений, представлен собственный мониторинг, а также проанализированы существующие мониторинги и методологии исследования других ...

Анализ средств службы информационной безопасности в дистанционном обучении

В статье анализируются угрозы средств информационной безопасности в дистанционном обучении, а также фрагмент дерева отказов для угроз установки привилегий.

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Информационная система «Оценка рисков проекта»

В статье рассматривается разработанная информационная система «Оценка рисков проекта», которая позволит автоматизировать процесс аналитика по информационной безопасности.

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Разработка программного модуля аутентификации внешних пользователей компьютерной системы

Данная работа направлена на программную реализацию по защите компьютерных данных семейства операционных систем Windows, она подразумевает разработку модуля аутентификации локальных пользователей, что является важной задачей в области обеспечения инфо...

Систематизация практики российских банков по использованию методов интеллектуального анализа данных для инструмента снижения риска и информационной безопасности кредитных организаций

В статье рассматриваются технологии использования обработки больших данных в банковской сфере, которые помогают совершенствовать возможности в оценке финансовых рисков и помогают сократить расходы клиентов кредитных организаций. Статья посвящена анал...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Похожие статьи

Роль бизнес-информатики в Центре инженерно-технического обеспечения и вооружения УФСИН России: эффективность, инновации и безопасность

В статье автор рассмотрел ключевую роль бизнес-информатики в ЦИТОВ УФСИН, подчеркнув ее влияние на эффективность, инновации и безопасность в исполнении наказаний

Проблемы системы управления производственной компании по разработке программного обеспечения на основе поддержки и принятия решений

В настоящей работе с помощью информационных технологий представлено исследование системы управления поддержки и принятия решений, представлен собственный мониторинг, а также проанализированы существующие мониторинги и методологии исследования других ...

Анализ средств службы информационной безопасности в дистанционном обучении

В статье анализируются угрозы средств информационной безопасности в дистанционном обучении, а также фрагмент дерева отказов для угроз установки привилегий.

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Информационная система «Оценка рисков проекта»

В статье рассматривается разработанная информационная система «Оценка рисков проекта», которая позволит автоматизировать процесс аналитика по информационной безопасности.

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы

Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Разработка программного модуля аутентификации внешних пользователей компьютерной системы

Данная работа направлена на программную реализацию по защите компьютерных данных семейства операционных систем Windows, она подразумевает разработку модуля аутентификации локальных пользователей, что является важной задачей в области обеспечения инфо...

Систематизация практики российских банков по использованию методов интеллектуального анализа данных для инструмента снижения риска и информационной безопасности кредитных организаций

В статье рассматриваются технологии использования обработки больших данных в банковской сфере, которые помогают совершенствовать возможности в оценке финансовых рисков и помогают сократить расходы клиентов кредитных организаций. Статья посвящена анал...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Задать вопрос