1. Введение в проблематику и актуальность выбранной темы
В России с каждым годом всё больше нарастает потребность в платном дополнительном образовании, как одном из способов социализации подрастающего поколения в современном обществе, ведущей единицей и ценностью которого является информация. Изучается вопрос о создании систем, которые позволили бы автоматизировать процесс учета платных дополнительных образовательных услуг в организациях и способствовали бы ускорению всех процессов, связанных с образованием, без потери качества предоставляемых услуг. В связи с этим, особое внимание обращает на себя проблема разработки требований к создаваемой автоматизированной системе в защищенном исполнении учета платных дополнительных образовательных услуг, для обеспечения защиты обрабатываемых данных с учетом существующих средств защиты информации.
2. Описание объекта защищенной автоматизации
Основными направлениями деятельности отдела ПДОУ являются [5, с. 32]: организация платных дополнительных образовательных услуг в средней школе, руководство и контроль за ходом и совершенствованием этой работы. Специалист по документообороту осуществляет учет платных дополнительных образовательных услуг (занимается приемом заявок на обучение и занесением утвержденных данных в базу данных отдела). Заместитель начальника отдела ПДОУ по УВР составляет расписание занятий, обеспечивает замену отсутствующих преподавателей ПДОУ, контролирует ведение преподавателями ПДОУ различной документации; принимает от Преподавателей ПДОУ информацию о проведенных занятиях, контролирует соблюдение обучающимися и педагогами ПДОУ Правил школы, отчитывается перед Начальником отдела ПДОУ о выполнении учебного плана. Начальник отдела ПДОУ занимается утверждением заявлений на обучение, контролирует деятельность всех работников отдела и является главным связующим звеном отдела с Исполнительным директором, принимающим утвержденные отчеты и распоряжения по организации учебного процесса и передающим их другим сотрудникам отдела, для дальнейшей обработки и занесения в базу данных.
Распределение ответственности и полномочий внутри отдела ПДОУ определяет организационная структура управления, которая представлена на рис. 1.
Рис. 1. Организационная структура управления отдела ПДОУ
3. Описание фрагмента модели защиты информации в ходе процесса учета ПДОУ в средней школе
В ходе исследования предметной области, была разработана модель защиты информации в ходе процесса учета ПДОУ. Её фрагмент представлен на рис. 2. Построение модели выполнялось в инструментальном средстве моделирования Bizagi Modeler [1, с. 8], реализующем индустриальный стандарт моделирования BPMN 2.0 [2, с. 55].
Рис. 2. Фрагмент модели защиты информации в ходе процесса учета ПДОУ
4. Описание недостатков, выявленных в ходе построения модели
На данный момент вся информации организации передаётся в основном в формате бумажного документооборота и по электронной почте, используя приложение Microsoft Outlook. Недостатками такого обмена, хранения и обработки информации являются: легкий доступ к информации в случае несанкционированного доступа; отсутствие резервных копий и многопользовательского доступа с разграничением прав; отсутствие единого стандарта ведения документации и проверки введенных данных.
Аутентификация для входа в ОС каждого пользователя осуществляется путём ввода логина и пароля. К недостаткам однофакторной аутентификации относятся следующие: применение простых паролей пользователями; возможность перехвата логина и пароля в процессе его ввода; отсутствие аутентификации в базе данных.
Хранение данных по деятельности отдела осуществляется в файлах приложения MS Excel. К недостаткам такого хранения относятся: существование загруженных по умолчанию шаблонов с возможностью содержания вредоносных макросов; возможность сбоя при большом объеме информации; низкая производительность; отсутствие целостности данных.
Защита данных в системе выполняется с помощью антивируса AVAST. К недостаткам такой защиты относятся: ложные срабатывания; невозможность «лечения» вредоносного файла; использование для защиты только мощного сканера; большая требовательность к аппаратным ресурсам.
5. Краткие сведения о классификации создаваемой системы
В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 установлено, что уровень защищенности персональных данных в создаваемой ИСПДн – четвертый (в ней ведётся обработка общедоступных категорий ПДн; субъекты – не сотрудники, в количестве менее 100 000; угрозы 1-го и 2-го типа не актуальны). В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, средства вычислительной техники не ниже 6 класса [3, с. 58].
В соответствии с требованиями методического документа ФСТЭК России «Методика оценки угроз безопасности информации», был определен максимально возможный уровень возможностей нарушителя – H3 [4, 6].
В соответствии с приказом ФСБ России от 10 июля 2014 г. № 378, для создаваемой автоматизированной системы соответствует СКЗИ класса КС3 [3, 7].
6. Требования к создаваемой автоматизированной системе в защищенном исполнении для учета ПДОУ
Нормативные Документы с требованиями по защите информации:
- Федеральный закон № 149-ФЗ.
- Федеральный закон № 152-ФЗ.
- Специальные требования и рекомендации по технической защите конфиденциальной информации.
- Постановление Правительства РФ № 1119.
- Приказ ФСТЭК России № 21.
- Приказ ФСБ России № 378.
- ГОСТы по Информационной безопасности, Проектированию и защите автоматизированных систем: ГОСТ Р 51583-2014; ГОСТ Р ИСО/МЭК 15408-1-2012; ГОСТ Р ИСО/МЭК 15408-2-2013; ГОСТ 34.601-90; ГОСТ 34.602-2020.
В результате исследования предметной области, построения модели защиты информации, в соответствии с применяемыми нормативными документами, описанными выше, были сформулированы требования к создаваемой автоматизированной системе в защищенном исполнении.
Функциональные требования:
- обеспечение автоматизированного учета платных дополнительных образовательных услуг в создаваемой системе;
- возможность ввода, хранения, редактирования и удаления информации о сотрудниках, учениках и учете ПДОУ в единой реляционной базе данных отдела ПДОУ;
- наличие многопользовательского режима работы с данными;
- автоматизация процесса ознакомления доверенных пользователей с информацией, содержащейся в системе учета ПДОУ;
- автоматизация процессов формирования Отчета о выполнении учебного плана отдела ПДОУ;
- адекватность отображения данных предметной области, связанной с обработкой данных в автоматизированной системе учета ПДОУ.
Нефункциональные требования:
- Astra Linux Special Edition 1.7 «Воронеж»;
- СУБД PostgreSQL версия 11.10-astra.se5;
- Пакет Р7-Офис. Редакторы документов 7.0.2.
Требования по информационной безопасности:
- идентификация и аутентификация пользователей для входа в операционные системы автоматизированных рабочих мест с использованием двухфакторной аутентификации;
- идентификация и аутентификация пользователей в СУБД;
- проверка, контроль и защита носителей информации и программного обеспечения и разграничение доступа пользователей к информации с помощью сертифицированного ПАК Secret Net LSP 1.11;
- реализация криптографической защиты данных в СУБД согласно ГОСТ 34.12-2018;
- защита данных в автоматизированной системе с помощью сертифицированного антивируса Kaspersky Endpoint Security 11.1.0 и Kaspersky Security Center 14 Linux;
- технические средства, осуществляющие хранение данных, должны обеспечивать надежность хранения информации и возможность оперативной замены оборудования;
- обеспечение инженерно-технической защиты информации с применением системы контроля и управления доступом;
- регистрация действий пользователей и событий безопасности с помощью сертифицированного ПАК Secret Net LSP 1.11.
7. Заключение
В результате исследования предметной области, построения модели защиты информации в процессе учета ПДОУ, описания выявленных в модели недостатков и изучения классификации создаваемой системы, были разработаны требования к создаваемой системе. Сформулированные требования позволят быстро, правильно и своевременно создать автоматизированную систему в защищенном исполнении для учета платных дополнительных образовательных услуг.
.png&w=640&q=75)
