Главная
АИ #12 (142)
Статьи журнала АИ #12 (142)
Модель защиты информации в ходе деятельности по проведению аттестации сотруднико...

Модель защиты информации в ходе деятельности по проведению аттестации сотрудников в ГУ МВД России

Автор(-ы):

Цой Виктория Александровна

Федин Федор Олегович

25 марта 2023

Секция

Информационные технологии

Ключевые слова

информационная безопасность
система защиты информации
конфиденциальная информация
персональные данные

Аннотация статьи

В статье представлена схема информационных потоков процесса обработки информации по проведению аттестации сотрудников и модель анализа защиты информации в ходе проведения аттестации сотрудников ГУ МВД по Московской области. Модель построена с точки зрения инженера по информационной безопасности. В результате анализа были выявлены недостатки в системе защиты информации. В конце статьи сделан вывод об уровне защиты персональных данных сотрудников ГУ МВД России по Московской области.

Текст статьи

 Вводная часть

Министерство внутренних дел Российской Федерации (МВД России) – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, в сфере миграции, а также правоприменительные функции по федеральному государственному контролю (надзору) в сфере внутренних дел.

Применение автоматизированной системы в защищенном исполнении позволит существенно улучшить процесс аттестации сотрудников ГУ МВД России по Московской области и обеспечит конфиденциальность, целостность и доступность хранимых и обрабатываемых данных.

В ГУ МВД России по Московской области ежегодно проходят аттестацию большое количество сотрудников, соответственно, количество хранимой и обрабатываемой конфиденциальной информации достаточно велико. В то же время, в современных условиях возможности нарушителей информационной безопасности существенно возросли (использование усовершенствованных средств, методов и знаний для осуществления атак). В связи с этим, необходимо проанализировать, как в настоящее время осуществляется защита информации в ГУ МВД России по Московской области и выявить пути для устранения выявленных недостатков.

Основная часть

Для понимания структуры работы ГУ МВД России по Московской области была построена схема информационного обмена в Центре Информационных Технологий (ЦИТ) ГУ МВД России (рис. 1).

Рис. 1. Схема информационного обмена в ЦИТ ГУ МВД России по Московской области

Проведенный анализ информационных потоков внутри ГУ МВД России показывает, что практически вся информация, за небольшим исключением, нуждается в соответствующей защите. Это обусловлено следующим:

  • ГУ МВД России является социально-значимой организацией, деятельность и устойчивость которой связана с жизненными интересами значительного числа людей (как юридических, так и физических лиц);
  • в процессе деятельности ГУ МВД России становится доступна конфиденциальная информация: сведения о персональных данных сотрудников ГУ МВД России по Московской области, сведения об аттестационной комиссии (персональные данные), сведения о содержании самой аттестации для сотрудников.

В связи с этим организация реализует меры по защите значимой информации в соответствии с действующими на территории Российской Федерации Законами, нормативными документами, установленными требованиями руководящих документов и норм эффективности защиты информации.

Одним из наиболее значимых процессов в ходе функционирования ГУ МВД России по Московской области является процесс «Защита информации в ходе проведении аттестации сотрудников ГУ МВД России по Московской области». Модель защиты данного процесса представлена на рис. 2. Для построения модели было использовано инструментальное средство ERWin Process Modeler.

Модель показывает, что для подготовки данных для проведения аттестации, непосредственного проведения аттестации, получения результатов и формирования отчета необходимо выполнить аутентификацию в операционной системе своего рабочего места. Такая аутентификация является однофакторной парольной, имеющей следующие основные недостатки: пользователи, благодаря собственной беспечности, могут применять пароли, которые можно легко угадать или подобрать; логин и пароль могут быть перехвачены или подсмотрены в процессе его ввода; пароль легко взломать перебором (брутом); получение доступа к паролю с помощью фишинга.

Рис. 2. Модель защиты информации в ходе проведения аттестации сотрудников ГУ МВД по Московской области

После входа в операционную систему защита данных осуществляется с использованием встроенного антивирусного ПО «Защитник Windows». Защита поступающих посредством электронной почты данных выполняется с помощью встроенного в систему межсетевого экрана «Брандмауэр Защитник Windows».

 Дальнейший анализ построенной модели позволяет сделать вывод о том, что хранение данных по сотрудникам и членам аттестационной комиссии осуществляется исключительно в файлах табличного процессора MS Excel. К недостаткам хранения в файлах MS Excel относятся следующие: часто пользователи, закрывая доступ к редактированию файла паролем, снимают защиту с его открытия (в целях облегчения работы сотрудникам, которые в последующем будут работать с таблицами); существуют документы-шаблоны, загружаемые приложением по умолчанию, эти документы могут содержать макросы, запускаемые вместе с приложением, такая техника может быть использована для закрепления вредоносного программного обеспечения в системе; невысокие возможности с точки зрения производительности, особенно при необходимости реализовать в клиенте ресурсоемкие операции по обработке данных; отсутствие разграничения доступа; у пользователя есть доступ сразу ко всей таблице.

Чтобы избежать неудобств, нужно, чтобы у ГУ МВД России были не Excel-файлы, а единая база данных по работе с аттестуемыми и аттестационной комиссией.

Если приказ о проведении аттестации сотрудников поступил в организацию, то специалист по организации аттестации получает информацию об аттестуемых сотрудниках, составляет график аттестации и список аттестационной комиссии. Далее отправляет информацию для проведения аттестации специалисту по проведению аттестации. После ее проведения старший специалист проводит анализ результатов и формирует список сотрудников, прошедших аттестацию. Начальник отделения и старший специалист запускают свои компьютеры и выполняют аутентификацию в операционной системе, она также является однофакторной парольной. Схема подпроцесса «Выполнить авторизацию в ОС» представлен на рис. 3.

Рис. 3. Получение доступа к операционной системе

Процесс авторизации в ОС начинается с ввода идентификатора (логина) пользователя ОС. После чего выполняется идентификация пользователя ОС. Затем пользователь вводит пароль для входа в ОС. Далее выполняется аутентификация пользователя в ОС. Если она пройдена, то пользователь авторизуется и уведомляется о входе в ОС. Если аутентификация не пройдена, проверяется допустимое число попыток. Если число попыток допустимое, пользователь уведомляется об ошибке, и может осуществить еще одну попытку авторизации, в обратном случае ОС сигнализирует о НСД.

Начальник отделения проверяет документы и формирует отчет о прошедшей аттестации.

Таким образом, в результате проделанной работы были выявлены следующие недостатки: однофакторная парольная аутентификация; хранение данных в файлах офисных приложений.

Выводы по работе

Таким образом, в результате проделанной работы был выявлен ряд недостатков в системе защиты информации в процессе аттестации сотрудников ГУ МВД России по Московской области. Это создает угрозу утечки конфиденциальных данных сотрудников и членов аттестационной комиссии и создает необходимость применения новых подходов к автоматизации процесса аттестации сотрудников ГУ МВД России по Московской области.

Список литературы

  1. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. IV. – М.: МГПУ, 2022. – 96 с.
  2. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно­методическое пособие. – Ч. V. – М.: МГПУ, 2022. – 136 с.
  3. Шлома А.В., Федин Ф.О., Коданев В.Л. Модель выявления ассоциативных правил в результатах изучения дисциплин учебного плана. «Наука и бизнес: пути развития» №9(135) 2022. С. 16-20.
  4. Коданев В.Л., Федин Ф.О. Карты самоорганизации в обеспечении безопасности информации автоматизированных систем предприятия. Автоматизация в промышленности // Автоматизация в промышленности. 2022, №10. – С. 51-55.
  5. Захаров Я.В., Федин Ф.О., Ромашкова О.Н. Разработка требований к автоматизированной системе оценивания результатов инновационной деятельности образовательной организации. Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2021. № 6. С. 96-101.
  6. Fedin F.O., Trubienko O.V., Chiskidov S.V. Machine learning model of an intelligent decision support system in the information security sphere. В сборнике: Proceedings - 2020 International Russian Automation Conference, RusAutoCon 2020. С. 215-219.
  7. Fedin F.O., Trubienko O.V., Chiskidov S.V. Assessment of intelligent decision support systems effectiveness in technological processes of big data processing. Всборнике: Proceedings - 2019 International Russian Automation Conference, RusAutoCon 2019. 2019. С. 8867640.

Поделиться

418

Цой В. А., Федин Ф. О. Модель защиты информации в ходе деятельности по проведению аттестации сотрудников в ГУ МВД России // Актуальные исследования. 2023. №12 (142). Ч.I.С. 29-33. URL: https://apni.ru/article/5890-model-zashchiti-informatsii-v-khode-deyatelno

Похожие статьи

Другие статьи из раздела «Информационные технологии»

Все статьи выпуска
Актуальные исследования

#24 (206)

Прием материалов

8 июня - 14 июня

Остался последний день

Размещение PDF-версии журнала

19 июня

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

28 июня