Разработка требований к автоматизированной системе в защищенном исполнении для учета платных дополнительных образовательных услуг

1. Введение в проблематику и актуальность выбранной темы

В России с каждым годом всё больше нарастает потребность в платном дополнительном образовании, как одном из способов социализации подрастающего поколения в современном обществе, ведущей единицей и ценностью которого является информация. Изучается вопрос о создании систем, которые позволили бы автоматизировать процесс учета платных дополнительных образовательных услуг в организациях и способствовали бы ускорению всех процессов, связанных с образованием, без потери качества предоставляемых услуг. В связи с этим, особое внимание обращает на себя проблема разработки требований к создаваемой автоматизированной системе в защищенном исполнении учета платных дополнительных образовательных услуг, для обеспечения защиты обрабатываемых данных с учетом существующих средств защиты информации.

2. Описание объекта защищенной автоматизации

Основными направлениями деятельности отдела ПДОУ являются [5, с. 32]: организация платных дополнительных образовательных услуг в средней школе, руководство и контроль за ходом и совершенствованием этой работы. Специалист по документообороту осуществляет учет платных дополнительных образовательных услуг (занимается приемом заявок на обучение и занесением утвержденных данных в базу данных отдела). Заместитель начальника отдела ПДОУ по УВР составляет расписание занятий, обеспечивает замену отсутствующих преподавателей ПДОУ, контролирует ведение преподавателями ПДОУ различной документации; принимает от Преподавателей ПДОУ информацию о проведенных занятиях, контролирует соблюдение обучающимися и педагогами ПДОУ Правил школы, отчитывается перед Начальником отдела ПДОУ о выполнении учебного плана. Начальник отдела ПДОУ занимается утверждением заявлений на обучение, контролирует деятельность всех работников отдела и является главным связующим звеном отдела с Исполнительным директором, принимающим утвержденные отчеты и распоряжения по организации учебного процесса и передающим их другим сотрудникам отдела, для дальнейшей обработки и занесения в базу данных.

Распределение ответственности и полномочий внутри отдела ПДОУ определяет организационная структура управления, которая представлена на рис. 1.

Рис. 1. Организационная структура управления отдела ПДОУ

3. Описание фрагмента модели защиты информации в ходе процесса учета ПДОУ в средней школе

В ходе исследования предметной области, была разработана модель защиты информации в ходе процесса учета ПДОУ. Её фрагмент представлен на рис. 2. Построение модели выполнялось в инструментальном средстве моделирования Bizagi Modeler [1, с. 8], реализующем индустриальный стандарт моделирования BPMN 2.0 [2, с. 55].

Рис. 2. Фрагмент модели защиты информации в ходе процесса учета ПДОУ

4. Описание недостатков, выявленных в ходе построения модели

На данный момент вся информации организации передаётся в основном в формате бумажного документооборота и по электронной почте, используя приложение Microsoft Outlook. Недостатками такого обмена, хранения и обработки информации являются: легкий доступ к информации в случае несанкционированного доступа; отсутствие резервных копий и многопользовательского доступа с разграничением прав; отсутствие единого стандарта ведения документации и проверки введенных данных.

Аутентификация для входа в ОС каждого пользователя осуществляется путём ввода логина и пароля. К недостаткам однофакторной аутентификации относятся следующие: применение простых паролей пользователями; возможность перехвата логина и пароля в процессе его ввода; отсутствие аутентификации в базе данных.

Хранение данных по деятельности отдела осуществляется в файлах приложения MS Excel. К недостаткам такого хранения относятся: существование загруженных по умолчанию шаблонов с возможностью содержания вредоносных макросов; возможность сбоя при большом объеме информации; низкая производительность; отсутствие целостности данных.

Защита данных в системе выполняется с помощью антивируса AVAST. К недостаткам такой защиты относятся: ложные срабатывания; невозможность «лечения» вредоносного файла; использование для защиты только мощного сканера; большая требовательность к аппаратным ресурсам.

5. Краткие сведения о классификации создаваемой системы

В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 установлено, что уровень защищенности персональных данных в создаваемой ИСПДн – четвертый (в ней ведётся обработка общедоступных категорий ПДн; субъекты – не сотрудники, в количестве менее 100 000; угрозы 1-го и 2-го типа не актуальны). В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, средства вычислительной техники не ниже 6 класса [3, с. 58].

В соответствии с требованиями методического документа ФСТЭК России «Методика оценки угроз безопасности информации», был определен максимально возможный уровень возможностей нарушителя – H3 [4, 6].

В соответствии с приказом ФСБ России от 10 июля 2014 г. № 378, для создаваемой автоматизированной системы соответствует СКЗИ класса КС3 [3, 7].

6. Требования к создаваемой автоматизированной системе в защищенном исполнении для учета ПДОУ

Нормативные Документы с требованиями по защите информации:

• Федеральный закон № 149-ФЗ.
• Федеральный закон № 152-ФЗ.
• Специальные требования и рекомендации по технической защите конфиденциальной информации.
• Постановление Правительства РФ № 1119.
• Приказ ФСТЭК России № 21.
• Приказ ФСБ России № 378.
• ГОСТы по Информационной безопасности, Проектированию и защите автоматизированных систем: ГОСТ Р 51583-2014; ГОСТ Р ИСО/МЭК 15408-1-2012; ГОСТ Р ИСО/МЭК 15408-2-2013; ГОСТ 34.601-90; ГОСТ 34.602-2020.

В результате исследования предметной области, построения модели защиты информации, в соответствии с применяемыми нормативными документами, описанными выше, были сформулированы требования к создаваемой автоматизированной системе в защищенном исполнении.

Функциональные требования:

• обеспечение автоматизированного учета платных дополнительных образовательных услуг в создаваемой системе;
• возможность ввода, хранения, редактирования и удаления информации о сотрудниках, учениках и учете ПДОУ в единой реляционной базе данных отдела ПДОУ;
• наличие многопользовательского режима работы с данными;
• автоматизация процесса ознакомления доверенных пользователей с информацией, содержащейся в системе учета ПДОУ;
• автоматизация процессов формирования Отчета о выполнении учебного плана отдела ПДОУ;
• адекватность отображения данных предметной области, связанной с обработкой данных в автоматизированной системе учета ПДОУ.

Нефункциональные требования:

• Astra Linux Special Edition 1.7 «Воронеж»;
• СУБД PostgreSQL версия 11.10-astra.se5;
• Пакет Р7-Офис. Редакторы документов 7.0.2.

Требования по информационной безопасности:

• идентификация и аутентификация пользователей для входа в операционные системы автоматизированных рабочих мест с использованием двухфакторной аутентификации;
• идентификация и аутентификация пользователей в СУБД;
• проверка, контроль и защита носителей информации и программного обеспечения и разграничение доступа пользователей к информации с помощью сертифицированного ПАК Secret Net LSP 1.11;
• реализация криптографической защиты данных в СУБД согласно ГОСТ 34.12-2018;
• защита данных в автоматизированной системе с помощью сертифицированного антивируса Kaspersky Endpoint Security 11.1.0 и Kaspersky Security Center 14 Linux;
• технические средства, осуществляющие хранение данных, должны обеспечивать надежность хранения информации и возможность оперативной замены оборудования;
• обеспечение инженерно-технической защиты информации с применением системы контроля и управления доступом;
• регистрация действий пользователей и событий безопасности с помощью сертифицированного ПАК Secret Net LSP 1.11.

7. Заключение

В результате исследования предметной области, построения модели защиты информации в процессе учета ПДОУ, описания выявленных в модели недостатков и изучения классификации создаваемой системы, были разработаны требования к создаваемой системе. Сформулированные требования позволят быстро, правильно и своевременно создать автоматизированную систему в защищенном исполнении для учета платных дополнительных образовательных услуг.

1. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. IV. – М.: МГПУ, 2022. – 96 с.
2. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно­методическое пособие. – Ч. V. – М.: МГПУ, 2022. – 136 с.
3. Шлома А.В., Федин Ф.О., Коданев В.Л. Модель выявления ассоциативных правил в результатах изучения дисциплин учебного плана. «Наука и бизнес: пути развития» №9(135) 2022. С. 16-20.
4. Коданев В.Л., Федин Ф.О. Карты самоорганизации в обеспечении безопасности информации автоматизированных систем предприятия. Автоматизация в промышленности // Автоматизация в промышленности. 2022, №10. – С. 51-55.
5. Захаров Я.В., Федин Ф.О., Ромашкова О.Н. Разработка требований к автоматизированной системе оценивания результатов инновационной деятельности образовательной организации. Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2021. № 6. С. 96-101.
6. Fedin F.O., Trubienko O.V., Chiskidov S.V. Machine learning model of an intelligent decision support system in the information security sphere. В сборнике: Proceedings – 2020 International Russian Automation Conference, RusAutoCon 2020. С. 215-219.
7. Fedin F.O., Trubienko O.V., Chiskidov S.V. Assessment of intelligent decision support systems effectiveness in technological processes of big data processing. В сборнике: Proceedings – 2019 International Russian Automation Conference, RusAutoCon 2019. 2019. С. 8867640.