Модель защиты информации в ходе процесса обработки заказов на оказание каршеринговых услуг

В статье представлена схема информационных потоков в отделе учета клиентов каршеринговой компании и модель защиты информации в процессе обработки заказов. Модель построена с точки зрения инженера по информационной безопасности. В результате анализа были выявлены недостатки в системе защиты информации. В конце статьи сделан вывод об уровне защиты персональных данных клиентов каршеринговой компании.

Текст статьи

Вводная часть

Применение автоматизированной системы в защищенном исполнении позволит существенно улучшить информационное обеспечение сотрудников каршеринговой компании с обеспечением конфиденциальности, целостности и доступности хранимых и обрабатываемых ими данных.

Количество клиентов, которые хотят пользоваться услугами каршеринга постоянно растет, соответственно, увеличивается количество хранимой и обрабатываемой конфиденциальной информации. В то же время, в современных условиях возможности нарушителей информационной безопасности существенно возросли (использование усовершенствованных средств, методов и знаний для осуществления атак). В связи с этим, необходимо проанализировать, как в настоящее время осуществляется защита информации в отделе учета клиентов и выявить пути для устранения выявленных недостатков.

Основная часть

Для понимания структуры работы отдела учета клиентов в каршеринговой компании была построена схема информационных потоков в отделе учета клиентов (рис. 1).

Рис. 1. Схема информационных потоков в отделе учета клиентов в каршеринговой компании

Анализ данной схемы позволяет сделать вывод о том, что система содержит конфиденциальную информацию, которая подлежит защите. Такая информация включает в себя как персональные данные, так и коммерческую тайну.

Одним из основных процессов в работе отдела учета клиентов является процесс обработки заказов. Модель защиты данного процесса представлена на рис. 2. Для построения модели было использовано инструментальное средство Bizagi Modeler, реализующее язык индустриального моделирования BPMN 2.0.

Из модели видно, что от клиента поступает заказ, после чего дежурный специалист выполняет аутентификацию в операционной системе своего рабочего места. Такая аутентификация является однофакторной парольной, имеющей следующие основные недостатки: надежность защиты зависит только от сложности заданного пароля; пароль легко взломать перебором (брутом); необходимость запоминать и записывать пароль, если на нескольких ресурсах используются разные пароли.

Рис. 2. Модель анализа защиты информации в процессе обработки заказов

После входа в операционную систему защита данных осуществляется с использованием бесплатного антивирусного средства «Kaspersky». Недостатки данного антивируса: периодические ложные срабатывания; наличие встроенной рекламы; потребление большого количества ресурсов компьютера; отсутствие сетевого экрана.

Сотрудник выполняет анализ заказа, и заносит данные по заказу в офисное приложение Microsoft Excel. Недостатки хранения конфиденциальных данных в файлах Excel: высокая сложность коллективной работы; слабая защита, ограничивающаяся только паролем; Excel не имеет специальных средств верификации данных; сложно выяснить, когда и кем были внесены изменения.

Чтобы избежать неудобств, нужно, чтобы у организации были не Excel-файлы, а единая база данных по работе с клиентами и заказами.

Если заказ принят в работу, то менеджер отдела по учету клиентов запускает свой компьютер и выполняет аутентификацию в операционной системе, она также является однофакторной парольной. Схема подпроцесса «Выполнить аутентификацию в ОС» представлен на рис. 3.

Рис. 3. Модель однофакторной аутентификации в ОС

Подпроцесс показывает, каким образом пользователь получает доступ к работе с операционной системой: выводится окно логина и пароля, пользователь вводит логин и автоматически запускается процедура идентификации, потом вводится пароль и запускается процедура аутентификации, если она пройдена, то пользователь получает полномочия и право доступа к своему рабочему месту. Недостатки однофакторной парольной аутентификации были перечислены выше.

Менеджер отдела по учету клиентов необходимую информацию, предлагает клиенту автомобили поблизости, предлагает дополнительную страховку и далее оформляет договор об аренде.

Таким образом, в результате проделанной работы были выявлены следующие недостатки: однофакторная парольная аутентификация; использование бесплатного антивирусного средства «Kaspersky»; хранение данных в файлах офисных приложений.

Выводы по работе

Таким образом, в результате проделанной работы был выявлен ряд недостатков в системе защиты информации в процессе обработки заказов. Это создает угрозу утечки конфиденциальных данных клиентов агентства и создает необходимость применения новых подходов к автоматизации работы сотрудников.

Список литературы

Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. IV. – М.: МГПУ, 2022. – 96 с.
Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. V. – М.: МГПУ, 2022. – 136 с.
Шлома А.В., Федин Ф.О., Коданев В.Л. Модель выявления ассоциативных правил в результатах изучения дисциплин учебного плана. «Наука и бизнес: пути развития» №9(135) 2022. С. 16-20.
Коданев В.Л., Федин Ф.О. Карты самоорганизации в обеспечении безопасности информации автоматизированных систем предприятия. Автоматизация в промышленности // Автоматизация в промышленности. 2022, №10. – С. 51-55.
Захаров Я.В., Федин Ф.О., Ромашкова О.Н. Разработка требований к автоматизированной системе оценивания результатов инновационной деятельности образовательной организации. Современная наука: актуальные проблемы теории и практики. Серия: Естественные и технические науки. 2021. № 6. С. 96-101.
Fedin F.O., Trubienko O.V., Chiskidov S.V. Machine learning model of an intelligent decision support system in the information security sphere. В сборнике: Proceedings - 2020 International Russian Automation Conference, RusAutoCon 2020. С. 215-219.
Fedin F.O., Trubienko O.V., Chiskidov S.V. Assessment of intelligent decision support systems effectiveness in technological processes of big data processing. Всборнике: Proceedings - 2019 International Russian Automation Conference, RusAutoCon 2019. 2019. С. 8867640.

Выходные данные
о статье

415

Федин Ф. О., Трофименко Д. И. Модель защиты информации в ходе процесса обработки заказов на оказание каршеринговых услуг // Актуальные исследования. 2023. №23 (153). Ч.I.С. 73-77. URL: https://apni.ru/article/6466-model-zashchiti-informatsii-v-khode-protsessa