Автор(-ы):
Трофимович Александр Дмитриевич
Федин Федор Олегович
16 марта 2023
Секция
Информационные технологии
Ключевые слова
Аннотация статьи
Основной целью исследования является разработка требований к автоматизированной системе в защищенном исполнении для учета платных дополнительных образовательных услуг (далее – ПДОУ). Оно проводится с помощью исследования предметной области, моделирования защиты информации в ходе процесса учета ПДОУ, описания недостатков, выявленных в ходе построения модели, изучения кратких сведений о классификации создаваемой системы. В результате сформулированные требования позволят быстро, правильно и своевременно создать автоматизированную систему в защищенном исполнении для учета ПДОУ.
Текст статьи
1. Введение в проблематику и актуальность выбранной темы
В России с каждым годом всё больше нарастает потребность в платном дополнительном образовании, как одном из способов социализации подрастающего поколения в современном обществе, ведущей единицей и ценностью которого является информация. Изучается вопрос о создании систем, которые позволили бы автоматизировать процесс учета платных дополнительных образовательных услуг в организациях и способствовали бы ускорению всех процессов, связанных с образованием, без потери качества предоставляемых услуг. В связи с этим, особое внимание обращает на себя проблема разработки требований к создаваемой автоматизированной системе в защищенном исполнении учета платных дополнительных образовательных услуг, для обеспечения защиты обрабатываемых данных с учетом существующих средств защиты информации.
2. Описание объекта защищенной автоматизации
Основными направлениями деятельности отдела ПДОУ являются [5, с. 32]: организация платных дополнительных образовательных услуг в средней школе, руководство и контроль за ходом и совершенствованием этой работы. Специалист по документообороту осуществляет учет платных дополнительных образовательных услуг (занимается приемом заявок на обучение и занесением утвержденных данных в базу данных отдела). Заместитель начальника отдела ПДОУ по УВР составляет расписание занятий, обеспечивает замену отсутствующих преподавателей ПДОУ, контролирует ведение преподавателями ПДОУ различной документации; принимает от Преподавателей ПДОУ информацию о проведенных занятиях, контролирует соблюдение обучающимися и педагогами ПДОУ Правил школы, отчитывается перед Начальником отдела ПДОУ о выполнении учебного плана. Начальник отдела ПДОУ занимается утверждением заявлений на обучение, контролирует деятельность всех работников отдела и является главным связующим звеном отдела с Исполнительным директором, принимающим утвержденные отчеты и распоряжения по организации учебного процесса и передающим их другим сотрудникам отдела, для дальнейшей обработки и занесения в базу данных.
Распределение ответственности и полномочий внутри отдела ПДОУ определяет организационная структура управления, которая представлена на рис. 1.
Рис. 1. Организационная структура управления отдела ПДОУ
3. Описание фрагмента модели защиты информации в ходе процесса учета ПДОУ в средней школе
В ходе исследования предметной области, была разработана модель защиты информации в ходе процесса учета ПДОУ. Её фрагмент представлен на рис. 2. Построение модели выполнялось в инструментальном средстве моделирования Bizagi Modeler [1, с. 8], реализующем индустриальный стандарт моделирования BPMN 2.0 [2, с. 55].
Рис. 2. Фрагмент модели защиты информации в ходе процесса учета ПДОУ
4. Описание недостатков, выявленных в ходе построения модели
На данный момент вся информации организации передаётся в основном в формате бумажного документооборота и по электронной почте, используя приложение Microsoft Outlook. Недостатками такого обмена, хранения и обработки информации являются: легкий доступ к информации в случае несанкционированного доступа; отсутствие резервных копий и многопользовательского доступа с разграничением прав; отсутствие единого стандарта ведения документации и проверки введенных данных.
Аутентификация для входа в ОС каждого пользователя осуществляется путём ввода логина и пароля. К недостаткам однофакторной аутентификации относятся следующие: применение простых паролей пользователями; возможность перехвата логина и пароля в процессе его ввода; отсутствие аутентификации в базе данных.
Хранение данных по деятельности отдела осуществляется в файлах приложения MS Excel. К недостаткам такого хранения относятся: существование загруженных по умолчанию шаблонов с возможностью содержания вредоносных макросов; возможность сбоя при большом объеме информации; низкая производительность; отсутствие целостности данных.
Защита данных в системе выполняется с помощью антивируса AVAST. К недостаткам такой защиты относятся: ложные срабатывания; невозможность «лечения» вредоносного файла; использование для защиты только мощного сканера; большая требовательность к аппаратным ресурсам.
5. Краткие сведения о классификации создаваемой системы
В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 установлено, что уровень защищенности персональных данных в создаваемой ИСПДн – четвертый (в ней ведётся обработка общедоступных категорий ПДн; субъекты – не сотрудники, в количестве менее 100 000; угрозы 1-го и 2-го типа не актуальны). В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, средства вычислительной техники не ниже 6 класса [3, с. 58].
В соответствии с требованиями методического документа ФСТЭК России «Методика оценки угроз безопасности информации», был определен максимально возможный уровень возможностей нарушителя – H3 [4, 6].
В соответствии с приказом ФСБ России от 10 июля 2014 г. № 378, для создаваемой автоматизированной системы соответствует СКЗИ класса КС3 [3, 7].
6. Требования к создаваемой автоматизированной системе в защищенном исполнении для учета ПДОУ
Нормативные Документы с требованиями по защите информации:
В результате исследования предметной области, построения модели защиты информации, в соответствии с применяемыми нормативными документами, описанными выше, были сформулированы требования к создаваемой автоматизированной системе в защищенном исполнении.
Функциональные требования:
Нефункциональные требования:
Требования по информационной безопасности:
7. Заключение
В результате исследования предметной области, построения модели защиты информации в процессе учета ПДОУ, описания выявленных в модели недостатков и изучения классификации создаваемой системы, были разработаны требования к создаваемой системе. Сформулированные требования позволят быстро, правильно и своевременно создать автоматизированную систему в защищенном исполнении для учета платных дополнительных образовательных услуг.
Список литературы
Поделиться
Трофимович А. Д., Федин Ф. О. Разработка требований к автоматизированной системе в защищенном исполнении для учета платных дополнительных образовательных услуг // Актуальные исследования. 2023. №11 (141). Ч.I.С. 31-34. URL: https://apni.ru/article/5836-razrabotka-trebovanij-k-avtomatizirovannoj