Научная статья на тему 'Разработка автоматизированной системы анализа защищенности информационных ресурсов вуза'

Разработка автоматизированной системы анализа защищенности информационных ресурсов вуза Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
381
95
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
INFORMATION SYSTEM / INFORMATION SECURITY / ANALYSIS OF PROTECTION / ИНФОРМАЦИОННАЯ СИСТЕМА / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / АНАЛИЗ ЗАЩИЩЕННОСТИ / ИНФОРМАЦИОННО-ЛОГИЧЕСКАЯ МОДЕЛЬ / WEB-ПРИЛОЖЕНИЕ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Окладникова С. В., Файзулаев Д. Ф., Евдошенко О. И., Морозов Б. Б., Жирнова Т. А.

Анализ степени защищенности вуза является трудоемким и сложным процессом, т.к. необходимо анализировать большой объем данных (в т.ч. персональных). При этом возникает сложность в их обработке, т.к. необходимы значительные затраты времени и человеческих ресурсов. Авторами статьи разработан алгоритм расчета оценки уровня защищенности информационных ресурсов на основе коэффициента мощности мер защиты, позволяющий определить насколько адекватно и эффективно применяются реализуемые механизмы защиты информационной системы. Разработанная информационно-логическая модель информационной системы описана с помощью инструментов UML. Описана архитектура, основные классы системы. Предложенное авторами решение по автоматизации процесса проведения анализа защищенности реализовано в виде Web_сервиса. На примере анализа объекта «1С бухгалтерия» рассмотрено представление разработанной информационной системы.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Creating the automated system of the analysis of protection of information resources of educational institution of higher education

The analysis of protection of institution of higher education is labor-intensive and difficult process since it is necessary to analyze the big data (including employees). At the same time, there is a complexity in their processing, i.e. considerable expenses of time and human resources. The task of automation of this process for the solution of this problem is up to date. Each enterprise adapts the existing methods of the analysis of security on the based on a kind of activity. In this regard, an up to date task is development of new and modernization of the existing methods to a security assessment on the based on functioning of institution. The authors created an algorithm for calculation of assessment of protection of the information resources on the based on power factor of measures of protection. The offered algorithm of an assessment of the general level of security allows to define how effectively all realized methods of protection of an information system on the base various the groups of measures of ensuring information security are used. There are presented dialogical model of a system by means of the UML. The architecture and the classes of system is described. The solution at automation of process of analysis of protection proposed by authors is presented in the type of Web-service. The presentation of the created system is described on the example of the analysis of an object "1C accounts department".

Текст научной работы на тему «Разработка автоматизированной системы анализа защищенности информационных ресурсов вуза»

Разработка автоматизированной системы анализа защищенности

информационных ресурсов вуза

С.В.Окладникова, Д.Ф.Файзулаев, О.И.Евдошенко, Б.Б.Морозов, Т.А.Жирнова

Астраханский государственный университет

Аннотация: Анализ степени защищенности вуза является трудоемким и сложным процессом, т.к. необходимо анализировать большой объем данных (в т.ч. персональных). При этом возникает сложность в их обработке, т.к. необходимы значительные затраты времени и человеческих ресурсов. Авторами статьи разработан алгоритм расчета оценки уровня защищенности информационных ресурсов на основе коэффициента мощности мер защиты, позволяющий определить насколько адекватно и эффективно применяются реализуемые механизмы защиты информационной системы. Разработанная информационно-логическая модель информационной системы описана с помощью инструментов ЦМЬ. Описана архитектура, основные классы системы. Предложенное авторами решение по автоматизации процесса проведения анализа защищенности реализовано в виде Web_сервиса. На примере анализа объекта «1С бухгалтерия» рассмотрено представление разработанной информационной системы. Ключевые слова: информационная система, информационная безопасность, анализ защищенности, информационно-логическая модель, Web-приложение.

Введение

Одной из задач, решаемых вузами в рамках формирования своей информационной политики, является обеспечение безопасности информационных ресурсов. Активное внедрение в образовательную деятельность электронных технологий, а также автоматизация процессов, связанных с организацией научно-исследовательской, проектно-конструкторской и учебной деятельности, приводит к увеличению соответствующих угроз и снижению информационной защищенности вуза, а, следовательно, необходимости управления информационной безопасностью [1].

В вузе хранится служебная, коммерческая, конфиденциальная информация, персональные данные студентов и сотрудников и т.п. Специфика обеспечения безопасности информационных ресурсов обусловлена тем, что вуз - это открытое «предприятие» с большой и непостоянной аудиторией студентов, а также сотрудников, которые могут получать доступ к информационным ресурсам с различным уровнем. При

этом информационные ресурсы могут быть случайно или умышленно подвергнуты негативным воздействиям, что в свою очередь приведет к нарушению информационной безопасности вуза и нанесет ущерб всем участникам образовательного процесса [2].

Управление информационной безопасностью в вузе в т.ч. предполагает разработку мероприятий, направленных на предотвращение негативных воздействия различного вида. Объем и виды данных мероприятий определяются ФСТЭК России, ФСБ России, Роскомнадзором и др.

При создании эффективных механизмов управления информационной безопасностью в вузе, в первую очередь, необходимо провести анализ степени защищенности информационных ресурсов, который позволяет определить адекватность реализованных механизмов безопасности существующим рискам, способность обрабатывать (хранить, передавать) конфиденциальную информацию, уровень защищенности и его достаточность в данной среде функционирования, выявить уязвимости и т.п.

Существующие подходы к автоматизированному анализу защищенности

информационных ресурсов

Проведенный авторами статьи обзор существующих подходов анализа защищенности [3,4] показал, что реализуемые методики анализа защищенности включают в себя расчет системы различных метрик защищенности и комплекса правил (формул), используемых для их расчета.

Проведение анализа может выполняться самостоятельно сотрудниками предприятия, специалистами по информационной безопасности, или с привлечением независимых экспертов, т.е. в основе процесса анализа защищенности лежит экспертный опрос и оценка полученных результатов

[5].

В процессе проведения анализа защищенности выделяют следующие типовые этапы: определение объекта анализа; сбор сведений об объекте

анализа; классификация объекта анализа; определение требований к определенному классу; определение исходной защищенности объекта анализа; выявление актуальных угроз информационной безопасности; определение реализованных механизмов защиты информации; выработка рекомендаций, предложение механизмов защиты; формирование отчетов.

В качестве объекта анализа, как правило, выступают информационные системы (ИС), в т.ч. обрабатывающие конфиденциальную информацию и персональные данные; различные информационные активы. Сбор сведений об объекте анализа подразумевает составление анкет, опросов для экспертов, в качестве которых выступают специалисты по информационной безопасности. На основе собранных сведений проводится классификация объекта, т.е. определяется уровень защищенности, составляется перечень требований, которые необходимо выполнить. На завершающем этапе результаты анализа структурируются, и предоставляются специалистам в сфере информационной безопасности в виде отчетов в интерактивном режиме или иной документированной форме.

Отличительной особенностью существующих методов анализа защищенности является использование различных математических методов, положенных в основу процедур оценивания рисков. В зависимости от этого они обладают разными возможностями адекватного учета реальных факторов, что в свою очередь, предопределяет точность и надежность полученных оценок риска [6-9].

Процесс анализа защищённости носит циклический характер, т.к. требует проведение периодического мониторинга информационной безопасности: регулярного обновления баз знаний и значений оценки рисков, проверки компетенции персонала, планирования проведения повторных оценок рисков, разработки мер по обеспечению безопасности и т.п.

Рассмотренный подход анализа защищенности, реализуемый на основе существующих методик не предусматривает группировку механизмов защиты, определение применимости реализованных мер защиты и расчет уровня защищенности объекта анализа, которые необходимы для проведения автоматизированного анализа защищенности.

Современный рынок информационных систем в области анализа защищенности широко представлен системами, автоматизирующими решение следующих задач: анализ рисков, оценка соответствия информационной безопасности организации требованиям определенных стандартов и руководящих документов, формирование комплексных решений, обладающих функционалом сканера безопасности с возможностью анализа полученных результатов.

Проведенный анализ показал, что около 20 % программных продуктов ориентированы для использования в банковской сфере, остальные имеют универсальное назначение и применимы в различных областях экономики. Тип лицензии у большинства систем проприетарный (включают демоверсии). Бесплатно распространяются такие системы как Microsoft Security Assessment Tool 4.0, Microsoft Corporation, США и Practical Threat Analysis (PTA), PTA Technologies, Израиль. Не все зарубежные системы анализа защищенности могут использоваться российскими компаниями, т.к. не обеспечивают требования законодательной и нормативной базы в области информационной безопасности РФ. В отечественных программных продуктах реализована возможность проверки соответствия системы защиты организации стандартам.

В большинстве информационных систем формируются рекомендации по повышению защищенности, которые в различных системах отличаются обоснованностью и качеством. Обоснование может быть экономическим или количественно подтверждать эффективность контрмер. Результаты анализа

представляются в виде отчетов, в т.ч. в графическом виде. В некоторых системах используется построение карты сети. В ИС, предусматривающих сбор информации (угроз, уязвимостей, контрмер и т.п.) посредством опросов сотрудников организации, аудиторов, с последующим ее хранением в базе знаний, отсутствует функционал, обеспечивающий сканирование сети для получения необходимой информации. Отсутствует возможность проведения анализа защищенности ИС на этапах их проектирования и дальнейшей эксплуатации.

Алгоритм оценки уровня защищенности информационных ресурсов вуза

Одним из этапов, реализуемых на основании сведений об объекте анализа и группировки реализованных мер защиты, является расчет общего уровня защищенности. Согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для классификации информационных систем, обрабатывающих персональные данные, применяются 4 уровня защищенности.

При расчете общего уровня защищенности авторами статьи предлагается ввести коэффициент значимости мер, определенный для каждого из уровня защищенности:

К1 = 1 для мер, применимых для 1-го уровня защищенности;

К2 = 0,75 для мер, применимых для 2-го уровня защищенности;

К3 = 0,5 для мер, применимых для 3-го уровня защищенности;

К4 = 0,25 для мер, применимых для 4-го уровня защищенности;

К5 = 0,25 для компенсирующих мер защиты.

Для расчета общего уровня защищенности вычисляется коэффициент мощности мер защиты (М). Например, если после классификации информационной системы определен 4-ый уровень защищенности, то коэффициент мощности рассчитывается по формуле (1):

1К1 Инженерный вестник Дона, №3 (2017) Н| ivdon.ru/ru/magazine/arcliive/n3y2017/4264

м =

К п1 + К2 п2 + К3 п3 + К5 п

2'П ' ' V 5

т

(1)

где И - коэффициенты значимости мер защиты, ш - число мер каждой из групп,

т - количество коэффициентов значимости, зависящее от оправленного уровня защищенности (1 ^ т ^ 4).

Для каждого последующего уровня защищенности на уровень выше коэффициент для уровня защищенности на уровень ниже и текущего уровня защищенности не вычисляется, кроме коэффициента компенсирующих мер, то есть для 3-го уровня защищенности рассматриваются коэффициенты К1, К2 и К5, 2-го - К1 и К5, 1-го - К5 (рис. 1).

Рис. 1. Блок-схема алгоритма расчета оценки уровня защищенности информационных ресурсов вуза

Iljfl Инженерный вестник Дона, №3 (2017) Н| ivdon.ru/ru/magazine/arcliive/n3y2017/4264

На заключительном этапе вычисления общего уровня защищенности полученный коэффициент мощности M умножается на процент применяемых мер защиты для определенного «уровня защищенности». Полученная оценка общего уровня защищенности (ОУЗ) носит количественный характер, поэтому необходимо ввести систему ранжирования рассчитанной величины, для перевода в качественную оценку:

если ОУЗ - 55%, ОУЗ считается низким; если 55%< ОУЗ - 85%, ОУЗ считается средним; если ОУЗ > 85%, ОУЗ считается высоким.

Рассмотренный алгоритм оценки общего уровня защищенности определяет насколько адекватно и эффективно применяются все реализуемые механизмы защиты информационной системы, учитывая различные группы мер обеспечения информационной безопасности.

Информационно-логическая модель информационной системы анализа

защищенности

Предлагаемое авторами статьи решение по автоматизации процесса проведения анализа защищенности реализовано в виде Web_сервиса. На рисунке 2 с помощью инструментов UML описаны компоненты ИС [10].

Web-сервер {server = WildFLy}

CI a s s I S_wa г_exp loded. wa r my sql -co n n ecto r-ja va- 5 Л. 3 5-b¡ n .ja r

J PA

СI assl S_wa r_exp lod ed. wa r#cl ass I nf Sy s

EJB контейнер

UsersEJB QrgEJB

Ap p I icatio n- се p ве p

ClasslS:war exploded [Synchronized]

Servlet

Faces Servlet (*.xhtml)

->

БД MySQL

localhost808[yLan

http://lntemet

I

Remote browser.exe

Web-браузер

Local browser.exe

Web-браузер

Рис. 2. Диаграмма развертывания

IH Инженерный вестник Дона, №3 (2017) Н| ivdon.ru/ru/magazine/arcliive/n3y2017/4264

Разработанная ИС развернута на виртуальном сервере приложений «WildFly» версии 10.1.0. Достоинством WildFly является наличие поддержки одиночного отказоустойчивого развёртывания приложения («singleton deployment»), при котором в случае использования группы кластеризованных серверов развёртывание будет произведено только на одном узле, но в случае выхода этого узла из строя, приложение будет автоматически перенесено на другой узел. Реализованные функции настройки внешних подключений позволяют осуществить настройку сервера, таким образом, чтобы пользователи локальной сети могли подключаться к нему с любого автоматизированного рабочего места, в том числе с мобильных устройств, подключенных к сети.

База данных реализована на MySQL. Для быстрого соединения с базой данных и её модификации использована технология «JPA», которая предоставляет возможность сохранять в удобном виде Java-объекты в БД. Информационная система состоит из 7 классов (рис. 3).

Рис. 3. Диаграмма классов

Класс «Organization» обрабатывает данные об организации, в которой проводится анализ защищенности различных (ИС), в том числе обрабатывающих персональные данные. Работа с сущностью ИС осуществляется с помощью класса «IS», содержащий сведения о ней. Далее данные об ИС получает класс «ClassIS», который классифицирует ее и отправляет сведения в класс «Analizator». Последний указанный класс производит анализ собранных данных, передает информацию классу «UserInteface» для отображения результатов выполнения своей работы. «DBManager» и «Data» позволяют взаимодействовать с базой данных, производя поиск, сохранение и модификацию полученных в ходе анализа сведений. В ИС предусмотрены три группы пользователей:

- администратор системы имеет все права и доступ ко всем страницам и ресурсам системы, обеспечивает управление и мониторинг базы данных;

- пользователь заполняет опросные листы, знакомится с отчетами;

- эксперт (специалист по информационной безопасности) создает формы для проведения опроса, обеспечивает выполнение рекомендаций и т.д.

Для взаимодействия пользователя с ИС анализа защищенности вуза был создан Web-интерфейс, основанный на фреймворке «JSF», а также «PrimeFaces». Данные, полученные системой от пользователя анализируются классами, реализующими основную логику системы, благодаря подходу «EJB» (спецификация технологии написания и поддержки серверных компонентов, содержащих бизнес-логику).

Описание разработанной информационной системы

Информационная система представляет собой набор различных взаимосвязанных модулей, которые после выполнения своей работы передают обработанные данные друг другу.

Модуль формирования и назначения опросных листов позволяет пользователю системы создать новый опросник, заполнить необходимыми

вопросами и ответам, а также направить его для прохождения всем отделам и сотрудникам, выбранным отделам или выбранным сотрудникам организации.

Модуль категорирования вопросов в опросном листе предусмотрен для разбиения вопросов на подгруппы (категории) с целью простого и ясного отображения сформированного опросника для пользователя.

Модуль записи в журнал результатов прохождения опросных листов необходим для просмотра информации о том, кто является автором опросника, когда и кому он направлен, когда и кто его заполнил и отправил. Также данный модуль позволяет ознакомиться с содержимым заполненного опросного листа, то есть с ответами.

Модуль анализа данных обрабатывает полученную информацию, затем выдает результат, в который входят сведения об анализируемой информационной системе, список требований, перечень актуальных угроз информационной безопасности, оценка общего уровня защищенности, рекомендации для повышения полученной оценки.

Модуль формирования отчетов на основе сведений, полученных от вышеописанного модуля, создает документ, в который записывается более подробная информация об анализируемой ИС.

Модуль работы с базой данных позволяет выполнять все манипуляции с записями в базе, добавлять новые записи, а также хранит данные о вопросах для опросных листов, сотрудниках, отделах, пользователях, группах пользователей, анализируемых информационных системах, мерах защиты и угрозах информационной безопасности.

Благодаря такому подходу архитектура системы становится более гибкой, расширяемой и надежной в случае сбоя в работе оного из модулей.

Главное меню ИС содержит следующие пункты: Операции, Анализ данных, База данных, Отчеты. Пункт меню «Операции» реализует функции управления модулями формирования и назначения опросных листов и

1К1 Инженерный вестник Дона, №3 (2017) Н| ivdon.ru/ru/magazine/arcliive/n3y2017/4264

категорирования вопросов. Пункт «Базы данных» обеспечивает контроль работы с базой данных.

Рассмотрим работу информационной системы проведем на примере интерфейса пользователя. На рисунке 4 изображена главная страница пользователя, содержащая информацию о назначенных и отправленных (пройденных) опросных листах.

= Операции * О. Сканирование сети Однализ донных ^База данных» Ь01четы & Иванов 11ван (1) 1+ Выход

Длты нмиймеим. опросы, «.сто»

1-5 Н» 5 Q ют

П номер направления. 47 дата назначения 07.06201719.10 (назначено. 1 опрос, лист.) Ц номер направления: 44 дата назначения 05.04.201714:37(назначено: 1 опрос, лист) S »BtMt'p 14ЛГ1]Ы11ЛГ'М111Г '<ti д.н.11Ы ш.тчшн Ori J|Oi7û3'25 (ii>i dim'iici 1 опрос: лис î ) fâ номер направления: 44 дата назначения 04.04-2017 02:39 (назначена : 0 опрос, лист.) S шшнр 1ыг1|1а111лг'Н1Ш' ЗН да r>i k.i inJ4i4imr ОЬ ТОТ / 1 A 'î'J (ii.i пы'нч ici ■ (1 сшрпс лист )

1-3 mi 5 Q ю *

Список отправленных опросных листов

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1-2 из 2 Q ют

R| Характеристика 1 !СПДн i ll<ni-HT.-|pil V1I|M п * дата прохощ&ени*: 0406.201702:49 номер направление: 44 Р* дата назначение. 04.0i.50J7 02:39 э Амлд проиимйннл» 250$ 2ÙÎ716 43 ллмгр иАпрпплтил 33 g дата иЛшпчснип 250$ 2ÙJ 716 42

1-2 иа 2 Q ю *

Г Ни Ал10817:09-45 С5Т »01? 17:09;49

Рис. 4. Главная страница пользователя Опросный лист содержит 178 вопросов, сгруппированных по категориям: сведения об информационной системе; уровень исходной защищенности; вероятность реализации угрозы; реализация мер защиты информации; определение опасности угроз безопасности защищаемой информации.

Для удобства работы пользователя предусмотрена возможность сохранения промежуточных результатов опроса. Отправление опроса для анализа системе выполняется после того, как пользователь изменит статус опросного листа на «Готов». Результаты анализа защищенности объекта анализа содержат: основные сведения об объекте анализа, требования, актуальные угрозы информационной безопасности, оценку уровня

In Инженерный вестник Дона, №3 (2017) Н| ivdon.ru/ru/magazine/arcliive/n3y2017/4264

защищенности, а также рекомендации для повышения определенного уровня (рис. 5).

=Операции - Q,i'kj

ii'ci'iit

й ► Глланлл > Елэп ппофрмлцпоиг

стел. » Реэультлты at

i* (}Ог«МЫ A IнимаиIЬьи!(J) 1*Йеи*од

Я ИС 1С БУХГАЛТЕРИЯ

Р»1</ЛкглтлмЛми дшмыж собранных 03 06 3017 31

Категормпперсомальных данных. слеиналвные категорн!1 персональных данных Обработка персональных данных сотрудников да

Тип актуарной угроз» угроз» 3-ГО типа актуальны для информационной системы. «Ли для не«актуален» угрозы, не связанные С нмгмбм недокументированных 1недеклар*«роынных| Ш1Ш1Ш11Книше псН-ынам и Прии/ыднаи Программном обоспечимм нСПопЫуОмОми информационна н он ii-mi' Колнч'С ten cyítinnгаи otipjfj.iгьним-мых I К' Сюгнч? '*'М 100ООО

В ходе .«М.1ПН ui с 1и»д|-нним Ob информационной Cue In*»» Оыл ап|И'Д1"Л«и И-ы is ураш'мв Ыщнщпннш ш информационной с не пчды isi'pc сжапьныя дан ныл

— 1 рейолакипдли данноЮтрлПни цшЩ1Ц1-ннп1 in

Контроль и выполнением настоящих требований организуется и проводите.« оператором (уполномоченным лицом! самостоятельно и Гили) с привлечение и на договорном основ« кчмднчмкихлии и индивиду альны.«; предпринимателей, имеющих лицензию неосуществление деятельности по технической защите конфиденциальном информации Указанны й контроль Прополи 'с tmr ргжг 1 рай К 3 года игроки определяемых оп«чыгором (уполномоченным лицам 1

1 CJpr.iHji uutm ММммл и(мч rn"ii-'niin tir жиые нос ш помещении It ко Iоры* |hi илещена ннфарм>|цнпмман с* ■ ic згма премии tnyraiiero пппмо наше tu некой гролирутчлог п Проникнррения или пребывани я в этик помещениях лиц. не имеющих права доступа в эти помечен»*

2. Обеспечен: ie сохранности носителей персональных данных

3. Утверждение руководителем оператора документа определившего перечень л«ц доступ которых к персональным данным обрабатываемым в информационной системе, необходим для Выполнения ими с луншйныл (I рудйвых) aóftunHocHni

I k riontiEinaioie с редс ш шцн i ы ин<|м)рм.и inn прошедшнж Процедур1/ Оц(»«и г по tnei с 1ния ¡[иЧюп.шнш ингишдлп'Лг>£ i lU Россингнгн i Федерации И nfjnjr iHobét печ-нии tu» югьаснос ш информации, в случае когда применение таких средств необходимо дм нейтрализации актуальны* угроз

Б Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе

Рис. 5. Форма отчета Результатом анализа является определение оценки общего уровня защищенности. На рисунке 6 показано, что оценка общего уровня защищенности измеряется в процентах и равна 90 для информационной системы «1С бухгалтерия» на конкретный период времени, то есть общий уровень защищенности рассматриваемой системы является высоким.

~ Выявленные актуальные угрозы

► Угрозы НСД к защищаемой информации

► Угрозы утечки информации потехничео

► Угрозы антропогенного и стихийного характер;

~ Общий уровень защищенности информационной системы

Реализованно 66.0% необходимыхтребований для 3-го уровня защищенности Реализованно 27.0% необходимыхтребований для2-го уровня защищенности Реализованно 3.0% необходимых требований для 1-го уровня защищенности Реализованно 50.0%компенсирующихмер защиты Общий уровень защищенности 90% (высокий)

Необходимо реализовать следующие меры

1. Управление изменениями конфигурации информационной системы и системы защиты персональных данных

2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, втом числе внутри виртуальных машин

3. Разбиение виртуальной инфраструктуры насегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой

lepe даче между

организации для рем

4. Контроль со става технических средств, программного обеспечения и средств защиты информации

5. Уничтожение (стирание) или обезличивание персональных данных на машинных носителях утилизации, а также контроль уничтожения (стирания) или обезличивания

6. Регистрация событий безопасности в виртуальной инфраструктуре

7. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования а также впомещения и сооружения в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствамзащиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

Рис. 6. Итоговый отчет Согласно постановлению Правительства №1119 необходимо выполнения всех требуемых мер для 3-го уровня защищенности, поэтому

далее система вносит рекомендации, которые нужно применить. Также результаты анализа можно сформировать в отчет и скачать его с сервера в виде документа MS Word.

Заключение

Авторами статьи рассмотрены вопросы актуальности и особенности процесса автоматизации анализа защищенности вуза. Проведен сравнительный анализ существующих аналогов, сформулированы их основные недостатки и предложено решение по автоматизации процесса анализа защищенности, разработан алгоритм расчета оценки уровня защищенности информационных ресурсов на основе коэффициента мощности мер защиты. Предложенный алгоритм оценки общего уровня защищенности позволяет определить насколько адекватно и эффективно применяются все реализуемые механизмы защиты информационной системы, учитывая различные группы мер обеспечения информационной безопасности. Разработанная информационно-логическая модель информационной системы описана с помощью инструментов UML. Описана архитектура и основные классы системы. Предложенное авторами решение по автоматизации процесса проведения анализа защищенности реализовано в виде Web_сервиса. На примере анализа объекта «1С бухгалтерия» рассмотрено представление разработанной информационной системы. В целом, использование информационной системы позволит повысит эффективность проведение анализа защищенности вуза.

Литература

1. Бородина Н.А., Богданова И.Б., Особенности осуществления государственной политики в области информатизации образования в современной России // Инженерный вестник Дона, 2012, №1 URL: ivdon.ru/magazine/archive/n1y2012/635.

2. Проталинский О. М., Ажмухамедов И. М., Информационная безопасность вуза // Вестник Астраханского государственного технического университета. - 2009. - №1. - С. 18-23.

3. Оладько В.С., Микова С.Ю., Нестеренко М.А., Технологии защиты интернет- технологий и web-приложений // Международный научный журнал. - 2015. - №8. - С. 81-85.

4. Жукова М.Н., Коромыслов Н.А., Модель оценки защищенности автоматизированной системы с применением аппарата нечеткой логики // Известия ЮФУ. - 2013. - №12. - С. 63-69.

5. Avneet Pannu, M. Survey on Expert System and its Research Areas // International Journal of Engineering and Innovative Technology (IJEIT) // Volume 4, Issue 10, April 2015. - pp. 104 - 108. URL: ijeit.com/Vol%204/Issue%2010/IJEIT1412201504_20.pdf.

6. Пятков А.Г., Лубкин И.А. Оценка уровня защищенности компьютерных сетей при помощи метрик безопасности на основе общего графа // Актуальные проблемы авиации и космонавтики. - 2010. - №6. - С. 396-

7. Ажмухамедов И.М., Выборнова О.Н., Формализация понятий приемлемого и толерантного риска // Инженерный вестник Дона, 2015,

ivdon.ru/uploads/article/pdf/IVD_177_azhmuhamedov_vybornova.pdf_4eae 1c0752.pdf.

8. Созинова Е.Н. Применение экспертных систем для анализа и оценки информационной безопасности // Молодой ученый. - 2011. - №10. - С.

9. Чусавитин М.О. Использование метода анализа иерархий при оценке рисков информационной безопасности образовательного учреждения. // Фундаментальные исследования. - 2013. - №10. - С. 2080-2084.

397.

№3,

URL:

64-66.

10.Documents Associated With Unified Modeling Language (UML) // Object Management Group, Inc. - URL: omg.org/spec/UML/2.4.1/

References

1. Borodina N.A., Bogdanova I.B. Inzenernyj vestnik Dona (Rus), 2012, №1 URL: ivdon.ru/magazine/archive/n1y2012/635.

2. Protalinskiy O. M. Vestnik Astrakhanskogo gosudarstvennogo tekhnicheskogo universiteta. 2009. №1. pp. 18-23. URL: ivdon.ru/magazine/archive/n1y2012/635.

3. Olad'ko V.S., Mikova S.Yu., Nesterenko M.A. Mezhdunarodnyy nauchnyy zhurnal. 2015. №8.

4. Zhukova M.N., Koromyslov N.A. Izvestiya YuFU. 2013. №12. P. 63-69.

5. Avneet Pannu, M. International Journal of Engineering and Innovative Technology (IJEIT). Volume 4, Issue 10, April 2015. pp. 104 - 108. URL: ijeit.com/Vol%204/Issue%2010/IJEIT1412201504_20.pdf.

6. Pyatkov A.G., Lubkin I.A. Aktual'nye problemy aviatsii i kosmonavtiki. 2010. №6. pp. 396-397.

7. Azhmukhamedov I.M., Vybornova O.N. Inzenernyj vestnik Dona (Rus), 2015, №3 URL: ivdon.ru/uploads/article/pdf/IVD_177_azhmuhamedov_vybornova.pdf_4eae 1c0752.pdf.

8. Sozinova E.N. Molodoy uchenyy. 2011. №10. pp. 64-66.

9. Chusavitin M.O. Fundamental'nye issledovaniya. 2013. №10. pp. 20802084.

10.Documents Associated with Unified Modeling Language (UML) [Electronic resource]. Object Management Group, Inc. UML: omg.org/spec/UML/2.4.1 (free access).

i Надоели баннеры? Вы всегда можете отключить рекламу.