НАЦИОНАЛЬНЫЙ ИССЛЕДВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
Отчет о выполнении курсового проекта
«Автоматизация службы такси в городе Санкт-Петербург»
Исполнители:
Пехов И., группа Б9-01,
Шестаков Д.В., группа Б9-02,
Белимова А.К., группа Б9-03,
Сидоров С.И., группа Б9-04
Москва, 2011
Оглавление
Общие сведения. 3
Схема бизнес-процесса. 3
Перечень конфиденциальных данных 5
Схема сети 6
Карта информационных потоков 7
Программно-аппаратные средства и комплексы обеспечения безопасности информации 8
Организационные меры обеспечения безопасности информации 8
Модель нарушителя 9
Перечень угроз безопасности информации 11
Сценарии проведения испытаний стойкости бизнес-модели к злонамеренному воздействию 18
Сценарии проверки корректности и достаточности систем и средств обеспечения информационной безопасности 18
Выводы 21
Общие сведения.
Компания предоставляет услуги пассажирских перевозок по городу Санкт-Петербург и ближайшему пригороду по индивидуальным заказам. Офис компании расположен в городе Санкт-Петербург, в охраняемом бизнес-центре. Штат компании состоит из руководителя, системного администратора, бухгалтера и 20-30 водителей. В распоряжении каджого водителя находится личный легковой автомобиль, мобильное устройство с GPRS-доступом в интернет и портативный кассовый аппарат. Руководитель, системный администратор и бухгалтер работают в офисе компании. Для регистрации заказов используются услуги внешнего Call-центра, а также веб-сайт компании.
Схема бизнес-процесса.
Р
ис.
1 — Схема бизнес-процесса
Компания предоставляет возможность совершать заказ на перевозку по телефону или через сайт (также требует наличия телефона). Связь с клиентом осуществляется Call-центром, затем заказ регистрируется на сервере компании, водителям отсылается оповещение о нем. Процесс предоставления услуг производится согласно схеме на рис.1.
Перечень конфиденциальных данных
В рассматриваемой системе хранятся и обрабатываются следующие данные:
учредительные документы;
договоры компании;
личные данные водителей и других сотрудников;
архив заказов и статусов водителей;
бухгалтерская отчетность;
текущие заказы;
логины и пароли.
Личные данные сотрудников и бухгалтерская отчетность относятся к категории персональных данных. Таким образом, система обеспечения безопасности информации должна удовлетворять требованиям о защите персональных данных.
Персональные данные, обрабатываемые в системе, позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, но не содержат данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, т.е. относятся к категории 2. Объем - персональные данные субъектов персональных данных в пределах конкретной организации или менее чем 1000 субъектов. Таким образом, информационная система относится к классу 3 и нарушение заданных характеристик безопасности обрабатываемых персональных данных может привести к незначительным негативным последствиям для субъектов персональных данных.
Информация о заказах и архивы, не содержащие персональных данных, относятся к конфиденциальной информации, ценной для ведения бизнеса компании и обеспечения его безопасности. Для такой информации также требуется обеспечение целостности, доступности и конфиденциальности.
Схема сети
Рис.2 – Схема сети
Для автоматизации функционирования компании, в частности, процесса получения, обработки и выполнения заказов предлагается система, реализуемая вычислительной сетью, схема которой приведена на рис.2. Локальная сеть, принадлежащая компании соединена с Интернет через межсетевой экран. Интернет используется как средство связи между участниками информационного обмена в рамках рассматриваемого бизнес-процесса и иных информационных сообщений, исполняемых компанией. Локальная сеть подразделяется на внутреннюю сеть, доступ в которую извне запрещен межсетевым экраном, и демилитаризованную зону, включающую функциональные элементы, наличие доступа к которым извне необходимо.