УДК 372.8
ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФОРМИРОВАНИЯ КОРПОРАТИВНОЙ ОТЧЁТНОСТИ
Долгих Е.С.
студент группы БИб16-И1 «Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
Анацкая А.Г.
научный руководитель, канд. пед. наук, доцент кафедры «Информационная безопасность» « ибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
СибАДИВ век информац онных технологий огромными темпами растёт цифровизация бизнеспроцессов компан й. Одн м з основных методов контроля за работой организации в целом и её отдельных направлен й является отчётность. Подавляющее большинство компаний оптимизирует процесс формирования отчётности, полностью переходя с бумажной отчётности на отчётность электронную. Для этого используются различные системы формирования отчётных документов, широко представленные на рынке, примером таких систем могут послужить системы: QlikView, Klipfolio, Tableau, Power BI. В связи с тем, что отчётность зачастую содержит конфиденциальную и коммерческую информацию, обеспечение информационной безопасности таких систем является важнейшей задачей. В рамках исследования были рассмотрены требования и средства обеспечения безопасности для автоматизированной информационной системы формирования корпоративной отчётности QlikView.
Аннотац я. В данном сследовании рассмотрен вопрос защиты информации в
информац онной с стеме формирования корпоративной отчётности. Для примера взята ИС QlikView, являющаяся ярким представителем ниши систем формирования корпоративной отчётности. Произведен краткий обзор системы и её функционала, выделены требован я к защ те информации в системе и возможности реализации этих требований.
Ключевые слова. Информационная система, корпоративная отчётность, конфиденц альная нформац я, защита информации, подсистемы безопасности.
Актуальность данной темы заключается в том, что переход на электронную отчётность подразумевает обработку и хранение информации, имеющей ценность для организации в используемой системе, это приводит к тому, что, данная информация может стать целью для злоумышленников, совершающих атаки. Из этого можно сделать вывод, что данная проблема является важной задачей в области защиты информации компании.
Задачами информационной системы, формирующей корпоративную отчётность, являются:
1. Загрузка обновление информации из различных источников (Базы даных, Excelфайлы, текстовые файлы) в отчётах в установленное администратором системы время;
2. Формирование визуализации данных отчётности на основе загруженных данных; 3. Предоставление доступа сотрудникам к отчетам, согласно установленным в
настройках системы правам.
Назначением таких ИС является предоставление пользователям возможности работы с разнообразной отчётностью компании.
QlikView – аналитическая платформа, реализующая ассоциативную архитектуру с обработкой данных в оперативной памяти. Управление взаимосвязями между данными осуществляется не на прикладном уровне, а на уровне внутренних механизмов платформы. QlikView хранит в оперативной памяти отдельные таблицы данных и ассоциативные связи между ними. Каждое значение каждого поля связано со всеми остальными значениями во всей базе данных. Наборы данных могут состоять из сотен таблиц с тысячами полей.
48
Система QlikView состоит из нескольких основных компонентов (рис. 1):
QlikView Developer;
QlikView Server;
QlikView Publisher.
СибАДИРисунок 1 – рхитектура системы
QlikView Server о еспечивает (рис. 2):
многопользовательскую работу и оптимизацию использования оперативной памяти;безопасное централизованное хранение данных;
централизованное обновление данных во всех приложениях Qlik;
единую точку доступа к приложениям отчётности для всех пользователей;авторизацию аутентификацию пользователей.
Рисунок 2 – Архитектура QlikView Server
49
Расширение для серверного варианта под названием «QlikView Publisher» обеспечивает полный контроль за доставкой документов QlikView пользователям, автоматизируя процесс централизованного обновления данных. Данный модуль также обеспечивает персонализацию приложений для пользователей и своевременную рассылку пользователям отчетов в формате PDF.
QlikView Publisher представляет собой единый центр управления аналитическими документами и отчетами QlikView и дает администраторам системы возможность контролировать доступ к документам и отчетам QlikView, управлять рассылкой отчетов, а
СибАДИзагруженных данных. На рис. 4 представлен пример приложения QlikView [3]:
также настраивать средства безопасности и контролировать доступ пользователей к системе. Использование QlikView Publisher обеспечивает предоставление аналитической информации
и отчетов пользователям, при этом позволяя централизованно обеспечивать
конфиденц альность корпорат вных данных [1].
Для обеспечен я отказоустойчивости и быстродействия, система развёртывается на кластере серверов. Объед нен е серверов в кластер позволяет распределить задачи по
обновлению данных |
предоставлению пользователям |
доступа к |
приложению |
между |
серверами, что сн з т нагрузку, повысит отказоустойчивость и увеличит быстродействие. На |
||||
рис.3 [2] представлена тополог я системы: |
|
|
|
|
|
Рисунок 3 – Топология системы |
|
|
|
Основной рабочей единицей в системе являются приложения (отчёты). Приложения |
||||
QlikView позволяют |
строить визуализации (таблицы, |
диаграммы |
т.п.) на |
основе |
50
СибАДИР сунок 4 – Пример приложения QlikView
Цикл работы пр ложен я основан на методиках ETL (аббревиатура от Extract, Transform, Load – извлечен е, прео разование, загрузка) [4].
Основываясь на основных этапах ETL [5], можно выделить следующий цикл работы приложения:
загрузка данных из источников;поиск, очистка/исправление оши ок в данных;
приведение к единим метрикам/размерностям/справочникам;агрегация до нео ходимой детализации;выгрузка в целевую систему/хранилище;построение визуализаций.
Исходя из особенностей архитектуры системы, а также специфики её работы, можно сделать вывод, что основными объектами защиты в данной информационной системе являются:
ПО QlikView;
кластер серверов, на которых развёрнута система;данные обрабатываемые и хранящиеся в системе;подключения к источникам данных системы.
Основываясь на руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [6] системе QlikView был установлен класс защищенности 1 в связи с тем, что система является многопользовательской, в которой одновременно обрабатывается или хранится информация разных уровней конфиденциальности. А также не все пользователи имеют одинаковые права доступа к информации.
Исходя из содержания вышеуказанного документа, были выделены требования к защите информации для подсистем управления доступа, подсистеме регистрации и учёта, а также подсистеме обеспечения целостности, предложены возможности реализации требований:
51
Таблица 1 – Требования по защите информации и возможность их реализации в рамках информационной системы QlikView
|
|
|
|
Требования |
|
|
|
|
Возможности реализации |
|
|||||||
|
|
|
|
|
|
Подсистема управления доступом |
|
|
|
|
|
||||||
|
Должна осуществляться идентификация и |
1. Политика |
|
|
информационной |
|
|||||||||||
|
проверка подлинности субъектов доступа |
безопасности компании. |
|
|
|
|
|||||||||||
|
при входе в систему по идентификатору |
2. Настройка доступа к системе через |
|
||||||||||||||
|
(коду) и паролю условно-постоянного |
Windows-аутентификацию |
и |
группы |
|
||||||||||||
|
СибАДИ |
|
|||||||||||||||
|
действия, длиной не менее шести |
ActiveDirectory. |
|
|
|
|
|
||||||||||
|
буквенно-цифровых символов |
|
|
|
3. Ограничение доступа к приложениям с |
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
помощью |
встроенных |
функций |
системы |
|
|||
|
|
|
|
|
|
|
|
|
|
QlikView. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4. Ограничение доступа к приложениям с |
|
||||||
|
|
|
|
|
|
|
|
|
|
помощью функции SectionAccess |
скриптов |
|
|||||
|
|
|
|
|
|
|
|
|
|
приложений. |
|
|
|
|
|
|
|
|
|
|
|
|
Подсистема регистрации и учёта |
|
|
|
|
|
|||||||
|
Должна осуществляться рег страция входа |
1. Журналы |
событий |
операционной |
|
||||||||||||
|
(выхода) субъектов доступа в систему (из |
системы сервера, на котором развернут |
|
||||||||||||||
|
системы), л бо рег страц я загрузки и |
QlikView. |
|
|
|
|
|
|
|
||||||||
|
инициализац |
операц онной |
системы |
и |
2. Журналы |
логов |
работы |
системы |
|
||||||||
|
ее программного останова. Регистрация |
QlikView. |
|
|
|
|
|
|
|
||||||||
|
выхода |
з |
с стемы |
ли |
останова |
|
не |
|
|
|
|
|
|
|
|
||
|
проводится |
в |
моменты |
аппаратурного |
|
|
|
|
|
|
|
|
|||||
|
отключения АС. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Должен |
|
проводиться |
|
учет |
всех |
1. Учет |
|
«доверенных» |
|
носителей |
|
|||||
|
защищаемых носителей информации |
|
|
информации |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Подсистема о еспечения целостности |
|
|
|
|
|
|||||||
|
Должна |
быть |
обеспечена |
целостность |
1. Cоздание backup’ов системы, файлов |
|
|||||||||||
|
программных |
средств, |
обрабатываемой |
приложений, средств защиты информации. |
|
||||||||||||
|
информации, а также неизменность |
|
|
|
|
|
|
|
|
||||||||
|
программной среды. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Должна осуществляться физическая охрана |
1. Осуществление |
физической |
охраны |
|
||||||||||||
|
СВТ устройств и носителей информации, |
помещений АС |
|
|
|
|
|
||||||||||
|
предусматривающая контроль |
доступа |
в |
|
|
|
|
|
|
|
|
||||||
|
помещения АС посторонних лиц, наличие |
|
|
|
|
|
|
|
|
||||||||
|
надежных |
|
|
препятствий |
|
для |
|
|
|
|
|
|
|
|
|||
|
несанкционированного |
проникновения |
в |
|
|
|
|
|
|
|
|
||||||
|
помещения |
АС |
хранилище |
носителей |
|
|
|
|
|
|
|
|
|||||
|
информации, особенно в нерабочее время |
|
|
|
|
|
|
|
|
||||||||
|
Должно |
|
проводиться |
периодическое |
1. Ежедневное |
тестирование |
функций |
|
|||||||||
|
тестирование функций |
при |
изменении |
системы |
для |
обеспечения |
бесперебойной |
|
|||||||||
|
программной среды и персонала АС с |
работоспособности. |
|
|
|
|
|||||||||||
|
помощью тест – программ. |
|
|
|
|
|
|
|
|
|
|
|
|
||||
На основе требований, представленных в таблице, можно заключить, что при исполнении всех этих требований по защите информации в рамках информационной системы, можно свести риск возникновения инцидентов информационной безопасности к минимуму.
Таким образом, можно сделать вывод, что защита информационных систем формирования корпоративной отчётности является важнейшей задачей компаний, использующих такие системы. Это связано с тем, что, вместе с техническим прогрессом в мир бизнеса пришла цифровизация бизнес-процессов компаний, конфиденциальные данные стали в большинстве
52
своём храниться в электронном виде, а значит, стали целью различных видов злоумышленников. Как было выяснено в данном исследовании, защита таких систем должна осуществляться как минимум на трёх контурах: подсистема управления доступа, подсистемы регистрации и учета, а также подсистемы обеспечения целостности. Реализовав защиту на минимально требуемом уровне, а также добавив к этому дополнительные меры защиты (основывающиеся на специфике работы организации), риск возникновения инцидентов информационной безопасности будет сведён к нулю.
СибАДИ |
||
|
|
Библиографический список |
1. |
Архитектура системы QlikView [Электронный ресурс] – Режим доступа: |
|
https://biconsult.ru/products/qlikview/architecture |
||
2. |
айзинг |
масштаб рован е серверов QlikView [Электронный ресурс] – Режим доступа: |
http://qlikview.v-grade.ru/about-hosting/qlikview-scalability-and-sizing.html |
||
3. |
Практ ка |
б знес-анал за на QlikView [Электронный ресурс] – Режим доступа: |
https://biadvice.ru/business-analysis/kogda-qlikview-stalkivaetsya-s-blokbasterom.html 4.Методы ETL в анал зе промышленных данных [Электронный ресурс] – Режим доступа:
http://statistica.ru/local-portals/quality-control/metody-etl-v-analize-promyshlennykh-dannykh/
5. |
5 советов по ETL в QlikView [Электронный ресурс] – Режим доступа: |
|
http://blog.atkcg.ru/5-sovetov-po-etl-v-qlikview/ |
||
6. |
Руководящ й документ. |
Автоматизированные системы. Защита от |
несанкцион рованного доступа |
к информации. Классификация автоматизированных |
|
систем требован я к защ те информации. [Электронный ресурс] – Режим доступа: https://fstec.ru/component/attachments/download/296/
53