Изучение информации циркулирующей в корпоративной информационной системе

Лабораторная работа 3.

Опубликовано Denis Zakharov от 27 Сентября 2021

Цель работы: изучить перечень нормативных документов на основе которых осуществляется построение системы защиты информации.

Теоретическая часть

Формирование баз данных архивов территориальных фондов корпоративных информационных систем. В 1997 году Системой управления ресурсами Ханты-Мансийского автономного округа было принято решение о создании в территориальном геологическом фонде цифрового архива первичной геолого-геофизической информации. При создании архива использовались программные продукты фирмы Schlumberger GeoQuest: Finder, SeisDB и AssetDB. Все программное обеспечение функционирует под управлением СУБД ORACLE. На рис.1 представлена схема взаимодействия программного обеспечения, которое было использовано при создании архива.

В настоящее время завершен первый этап реализации проекта — разработана модель данных архива. При составлении модели данных за основу был взят утвержденный «Регламент организации информационных потоков данных сейсморазведки», в котором перечислены все типы информации, предназначенные для хранения в архиве, и описаны форматы этих данных.

На рис. 2 и 3 представлены схемы информационных потоков сейсмической информации и этапы прохождения исходных данных при загрузке их в архив. В течение 1998 года аппаратное и программное обеспечение полностью подготовлено к загрузке данных. Было организовано обучение специалистов ТГФ. Проведен контроль качества и анализ сейсмической информации,поступающей из различных источников. Как показывает опыт, в каждой организации существует своя специфика подготовки выходной информации. Разработан ряд дополнительных программ и процедур подготовки данных для загрузки в архив. В основном эти программы ориентированы на форматы данных, утвержденные в «Регламенте». Сейсмическая информация, удовлетворяющая требованиям «Регламента», загружена в базы данных (Finder и SeisDB). В течение 1998 года в ТГФ был сдан материал на магнитных носителях по 12 сейсмопартиям. Был проведен контроль качества информации и загрузка в базу данных проверенного материала.

Проведен контроль качества и анализ существующих и поступающих данных ГИС. Разработан ряд дополнительных процедур, позволяющих проводить контроль качества, подготовку и загрузку данных ГИС в пакетном режиме. Загружено кривых: 38 тыс. по 950 скважинам. Эта работа продолжается по мере поступления информации. На рисунке 4 представлены этапы подготовки и загрузки в базу данных Finder информации по ГИС.

Моделирование и анализ корпоративных информационных систем Успешное развитие любого современного предприятия (корпорации) во многом зависит от его информационной системы (ИС) - от того, как она создавалась, как развивается и как осуществляется ее поддержка. При этом под ИС понимается совокупность всей информации, используемой в работе предприятия, и комплекса программно-технических, методических и организационных компонентов, обеспечивающих создание, обработку, передачу и прием этой информации.

Задача проводимого обзора существующих стандартов и методик реализации обследования защищенности ОИ состоит в определении оценки объективности и полноценности данных стандартов и методик.

Перечень рассмотренных стандартов и методик, описывающих процессы обследования защищенности ОИ, представлены в стандартах ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 27001:2005 и ISO/IEC 17799:2005 а также руководящих документах ФСТЭК.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

  • Объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
  • Аттестация объектов информатизации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Формирование требований к защите информации, содержащейся информационной системе Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583) и ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и в том числе включает:

  • принятие решения о необходимости защиты информации, содержащейся в информационной системе;
  • классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
  • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе , и разработку на их основе модели угроз безопасности информации;
  • определение требований к системе защиты информации информационной системы.
  • Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы.
  • Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Практическое задание

Построить алгоритм анализа информации, циркулирующей в корпоративной информационной системе.

Контора по ремонту и обслуживанию ПК

  • От кого поступила информация?
  • Что требуется в запрашиваемой информации?
  • Законно ли это?
  • Данные какого уровня CDO требуется? И являются ли лно дусупными к распространени?

Проанализировать информацию, циркулирующей в корпоративной информационной системе предприятия.
  • Заказы клиентов
  • Информация по сотрудникам
  • Внутриорганизационное сообщение
  • Финансовая отчестность
Построить полную диаграмму информационных потоков предприятия.
См. отчёт

Контрольные вопросы

Что представляет диаграмма информационных потоков?

  • Трафик рассматриваемый как количественную характеристику, описывающую информационные потоки между вершинами графа и распределенную во времени в соответствии со статистическими законами

Какие элементы должны быть отображены на диаграмме информационных потоков?

  • Все юниты, организации производящие информационные потоки

Какое программное обеспечение может быть использовано для построения диаграммы информационных потоков?

  • COMNET

Какие принципы используется для построения диаграммы информационных потоков?

  • коммуникационный (сетевые протоколы различных уровней, активное сетевое оборудование);
  • уровень системного ПО (операционные системы);
  • уровень платформного (инструментального) ПО (СУБД, почтовые системы);
  • уровень прикладного ПО (собственно прикладные программные системы).

Что представляет собой полная диаграмма информационных потоков? Data Flow Diagrams — DFD представляют собой иерархию функциональных процессов, связанных потоками данных. Цель такого представления — продемонстрировать, как каждый процесс преобразует свои входные данные в выходные, а также выявить отношения между этими процессами.