Усовершенствование модели защиты информации для построения автоматизированной системы в защищенном исполнении

Вводная часть

Применение автоматизированной системы в защищенном исполнении позволит существенно улучшить информационное обеспечение сотрудников каршеринговой компании с обеспечением конфиденциальности, целостности и доступности хранимых и обрабатываемых ими данных.

Большое количество пользователей уже пользуются услугами каршеринга и их количество постоянно растет, соответственно и растут объемы конфиденциальной информации, которую необходимо хранить и обрабатывать. В современных реалиях увеличивается количество нарушителей и существенно возрастают их возможности (для осуществления атак используются усовершенствованные средства и методы). Исходя из этого необходимо построить и проанализировать модель обработки информации, выявить недостатки и на основании этого построить усовершенствованную модель, с использованием необходимых средств защиты.

Основная часть

Для выявления недостатков в ходе защиты информации была построена модель анализа защиты информации в процессе обработки заказов. (рис. 1). Для ее построения использовалось инструментальное средство Bizagi Modeler, в котором реализован язык индустриального программирования BPMN 2.0.

Рис. 1. Модель анализа защиты информации в процессе обработки заказов

На этой модели мы можем увидеть, что в работе используются персональные данные, данные, которые включает в себя коммерческая тайна, то есть конфиденциальная информация, которая подлежит защите. Так же наглядно показаны недостатки в ходе процесса обработки заказов. Использование бесплатного антивирусного средства, хранение данных происходит в Microsoft Excel, работа с однофакторной аутентификацией. Данные средства имеют большое количество недостатков. Всё это не дает надлежащей защиты конфиденциальной информации.

На основании анализа недостатков, была построена усовершенствованная модель защиты информации в процессе обработки заказов, в инструментальном средстве Bizagi Modeler, с применением стандарта BPMN (рис. 2).

Рис. 2. Усовершенствованная модель защиты информации в процессе обработки заказов

Процесс начинается с поступления заказа от клиента. При получении заказа защита осуществляется посредством межсетевого экранирования, а после программно-аппаратным средством ViPNet. Далее, дежурный специалист должен выполнить двухфакторную аутентификацию в ОС, что обеспечивает более эффективную защиту аккаунта от несанкционированного проникновения. Затем он также выполняет двухфакторную аутентификацию в системе управления базами данных.

Если данные не верны, то после определенного количества попыток выполнить аутентификацию, учётная запись пользователя блокируется. Аутентификация считается не пройденной. Если данные верны, аутентификация считается пройденной и сотрудник получает доступ в ОС и, затем, в СУБД.

После успешного прохождения аутентификации и перед проверкой данных клиента, автоматически запускается антивирус Dr. Web, который эффективнее, чем бесплатный антивирус Kaspersky:

1. Имеется 4 экрана защиты (файловый антивирус, IM-антивирус, почтовый антивирус, веб-антивирус);
2. Имеется облачная защита;
3. Имеется сканер уязвимостей для обнаружения утечек и исправлений в системе безопасности;
4. Расширенная многоуровневая защита от программ-вымогателей для защиты от цифровых угроз и т. д.

Далее проверяются предоставленные данные клиента. Если клиент ввёл данные корректно, специалист заносит их в единую, для компании, Базу Данных (БД), которая размещается на сервере, расположенном в специально выделенной серверной комнате.

У всех работников компании двухфакторная аутентификация в каждое рабочее пространство (ОС и СУБД), имеется защищенная База Данных единая для всех и доступ к ней есть у всех сотрудников (для осуществления своих полномочий), программно-аппаратное средство защиты информации ViPNet, которое представлено на рисунке 3.

Рис. 3. Защищенная схема сети с применением программно-аппаратного средства ViPNet

Выводы по работе

Таким образом, в результате проделанной работы на основании построенной модели анализа были выявлены недостатки, в системе защиты информации, которые создают угрозу утечки конфиденциальной информации. Построена усовершенствованная модель защиты информации с применением современных средств, обеспечивающих конфиденциальность, целостность и доступность хранимых и обрабатываемых ими данных.