Министерство образования и науки РФ
Государственное бюджетное образовательное учреждение
высшего профессионального образования
«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра «Информационная безопасность систем и технологий»
ОТЧЕТ
о выполнении практической работы по теме:
«Оценка защищенности информационной системы
районного отдела вневедомственной охраны»
|
|
Дисциплина: |
Экспертиза безопасности защищенных автоматизированных систем |
|
|
Выполнил: |
Бителев А.О. |
|
|
Группа |
08ПК1 |
|
|
Проверил: |
Алексеев В.М. |
Пенза 2012
1 Анализ угроз для информационной системы районного отдела вневедомственной охраны
1.1 Разработка информационно-логической модели информационной системы организации
Главной целью деятельности районного отдела вневедомственной охраны является достижение более высокого уровня имущественной безопасности и обеспечение наиболее полного удовлетворения потребностей собственников в надежной защите имущества.
Исходя из определенной цели деятельности организации, можно идентифицировать следующие функции, позволяющие организации добиться выполнения данной цели:
- предоставление услуг новому клиенту;
- охрана имущества клиентов.
Данные функции могут быть автоматизированы с помощью информационной системы, следовательно, они потребляют некоторую входную информацию, накапливают, хранят, обрабатывают ее, и выдают результаты обработки в виде некоторой выходной информации. Таким образом, все идентифицированные функции являются информационными процессам. Функции описаны в таблицах 1 и 2.
Для выделенных процессов необходимо определить входную информацию, описать ее фактическую обработку и результат обработки.
Далее была определена структура информационной системы, осуществляющая вышеперечисленные процессы, которая включает в себя следующие аппаратные ресурсы:
- файловый сервер, на котором хранится вся информация для процессов
- АРМ системного администратора;
- АРМ администратора информационной безопасности;
- АРМ руководителя отдела вневедомственной охраны;
- АРМ руководителя технического отдела;
- АРМ сотрудников технического отдела;
- АРМ бухгалтера;
- АРМ дежурного;
- принтер;
- маршрутизатор;
- коммутаторы.
Исходя из разработанных описаний процессов составлено графическое изображение конфигурации системы, представленное на рисунке 1, на котором отображены аппаратные компоненты ИС и физические связи между ними.
Таблица 1 – Описание функции «Предоставление услуг новому клиенту»
Процесс |
Входные данные |
Обработка |
Результат |
Предоставление услуг новому клиенту
Ответственный: руководитель отделения вневедомственной охраны
Исполнитель: руководитель и сотрудники технического отдела, бухгалтер
|
Заявление с требованиями к системе охраны, паспортные данные и документы о праве собственности или владения на имущество
Источник: клиент
Форма представления: бумажный носитель
Получатель: руководитель отделения вневедомственной охраны
|
Составление распоряжения о проектировании системы охраны в письменном или электронном виде для руководителя технического отдела, формирование технического задания на проектирование системы охраны в письменном или электронном виде для сотрудников технического отдела, проектирование системы защиты и оценка её стоимости для бухгалтерии, формирование договора в письменном или электронном виде, внесение информации о клиенте в базу данных Ресурсы: АРМ руководителя отделения вневедомственной охраны, АРМ руководителя и сотрудников технического отдела, файловый сервер, принтеры, бумага
Доступ к информации: руководитель отделения вневедомственной охраны, руководитель технического отдела, сотрудники технического отдела, бухгалтер |
Договор об оказании услуг охраны
Источник: руководитель отделения вневедомственной охраны
Форма представления: бумажная
Получатель: клиент
|
Таблица 2 – Описание функции «Охрана имущества клиентов»
Процесс |
Входные данные |
Обработка |
Результат |
Охрана имущества клиентов
Ответственный: руководитель отделения вневедомственной охраны
Исполнитель: руководитель и сотрудники технического отдела, сотрудники службы охраны
|
Данные о состоянии оборудования систем охраны
Источник: системы охраны
Форма представления: электронная
Получатель: сотрудники технического отдела
|
Приём информации с систем охраны сервером мониторинга, автоматическая отправка сигнала тревоги на АРМ дежурного либо передача данных на АРМ сотрудников технического отдела, передача сигнала тревоги с АРМ сотрудников технического отдела на АРМ дежурного. Ресурсы: АРМ сотрудников технического отдела, АРМ дежурного, файловый сервер
Доступ к информации: руководитель технического отдела, сотрудники технического отдела, дежурный |
Решения об отправке на место группы оперативного реагирования
Источник: дежурный
Форма представления: устная
Получатель: группа оперативного реагирования
|
Рисунок 1 – Графическое изображение конфигурации системы
Далее были идентифицированы аппаратные ресурсы, то есть назначены ответственные за аппаратные ресурсы и определено кто является пользователем аппаратных ресурсов. Результаты приведены в таблице 3.
Таблица 3 – Определение и классификация аппаратных ресурсов
Аппаратные ресурсы |
Ответственный |
Права ответственного |
Пользователи |
Права пользователей |
Файловый сервер |
Системный администратор, администратор информационной безопасности |
Изменение настроек и конфигурации оборудования, включение/ выключение, возможность подключения съемных носителей информации |
Руководитель отдела вневедомственной охраны, Руководитель и сотрудники технического отдела, бухгалтер |
Просмотр хранящейся на сервере информации и данных |
АРМ руководителя отдела вневедомственной охраны |
Системный администратор |
Изменение настроек и конфигурации оборудования, включение/ выключение, возможность подключения съемных носителей информации |
Руководитель отдела вневедомственной охраны |
Включение/ выключение, возможность подключения съемных носителей информации |
АРМ руководителя технического отдела |
Системный администратор |
Изменение настроек и конфигурации оборудования, использование, включение/ выключение, возможность подключения съемных носителей информации |
Руководитель технического отдела |
Включение/ выключение, возможность подключения съемных носителей информации |
АРМ сотрудников технического отдела |
Системный администратор |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Сотрудники технического отдела |
Включение/ выключение, возможность подключения съемных носителей информации |
АРМ бухгалтера |
Системный администратор |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Бухгалтер |
Включение/ выключение, возможность подключения съемных носителей информации |
Продолжение таблицы 3
Аппаратные ресурсы |
Ответственный |
Права ответственного |
Пользователи |
Права пользователей |
АРМ дежурного |
Системный администратор, администратор информационной безопасности |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Дежурный |
Включение/ выключение, возможность подключения съемных носителей информации |
АРМ системного администратора |
Системный администратор, администратор информационной безопасности |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Системный администратор |
Включение/ выключение, возможность подключения съемных носителей информации |
АРМ администратора информационной безопасности |
Администратор информационной безопасности |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Администратор информационной безопасности |
Включение/ выключение, возможность подключения съемных носителей информации |
Принтер |
Системный администратор |
Изменение настроек и конфигурации оборудования, возможность подключения съемных носителей информации |
Руководитель отделения охраны, руководитель и сотрудники технического отдела, бухгалтер |
Включение/ выключение, возможность подключения съемных носителей информации |
В информационной системе отдела вневедомственной охраны осуществляется сбор, обработка, хранение различной информации. В рамках идентифицированных информационных процессов были выделены следующие информационные ресурсы:
заявление с требованиями к системе охраны;
паспортные данные и документы о праве собственности или владения на имущество;
распоряжения о проектировании системы охраны;
технические задания на проектирование системы охраны;
оценка стоимости спроектированной системы охраны;
договор об оказании услуг охраны;
запись базы данных;
данные о состоянии оборудования систем охраны;
сигнал тревоги;
решения об отправке на место группы оперативного реагирования.
Аналогичным образом была проведена классификация информационных ресурсов по степени критичности относительно целостности и доступности, результаты которой приведены в таблице 4.
Таблица 4 – Определение и классификация информационных ресурсов
Вид информации |
Степени критичности относительно доступности |
Степени критичности относительно конфиденциальности |
Условное обозначение |
Кто создает |
Кто уничтожает |
Заявление с требованиями к системе охраны |
Несущественная |
Незначимая |
ЗН1 |
Сотрудники |
Сотрудники |
Паспортные данные и документы о праве собственности или владения на имущество |
Несущественная |
Незначимая |
ЗН2 |
Сотрудники |
Сотрудники |
Распоряжения о проектировании системы охраны |
Полезная |
Незначимая |
ЗН3 |
Руководитель отдела |
Руководитель отдела |
Технические задания на проектирование системы охраны |
Важная |
Очень важная |
ОВ1 |
Сотрудники |
Сотрудники |
Оценка стоимости спроектированной системы охраны |
Полезная |
Важная |
В1 |
Бухгалтер |
Бухгалтер |
Договор об оказании услуг охраны |
Несущественная |
Важная |
В2 |
Руководитель отдела |
Руководитель отдела |
Запись базы данных |
Важная |
Значимая |
В3 |
Сотрудники |
Сотрудники |
Данные о состоянии оборудования систем охраны |
Критическая |
Критическая |
К1 |
Руководитель отдела |
Руководитель отдела |
Решения об отправке на место группы оперативного реагирования |
Критическая |
Очень важная |
К3 |
Дежурный |
Дежурный |
В итоге, на основании структуры ИС районного отдела вневедомственной охраны, а именно определенных аппаратных ресурсов, используемых в основных процессах, и информационных ресурсов была разработана и построена информационно-логическая модель ИС районного отдела вневедомственной охраны, представленная на рисунке 2.
Рисунок 2 – Информационно-логическая схема организации