Актуальность темы настоящей работы связана с тем, что функционирование любой корпоративной базы данных (далее по тексту – КБД) связано с обеспечением безопасности поступающей и хранящейся информации.
Корпоративная база данных представляет собой самый важный и самый значительный актив любой организации, вне зависимости от формы собственности. Тем более, что в таких базах данных размещена и хранится информация конфиденциального характера. Поэтому, важным вопросом является обеспечение её защиты.
Информация, имеющая категорию ограниченного доступа, должна обрабатываться в единой системе с использованием комплексной оптимизации всего механизма обеспечения безопасности корпоративных баз данных.
Данный процесс представляет собой формирование единой системы предотвращения несанкционированного доступа к хранящейся информации любого вида и категории.
Самое слабое и незащищенное место в корпоративных базах данных в процессе реализации механизма защиты является широкий круг лиц, имеющих доступ к ним на самых разных пользовательских уровнях. В большей степени угрозы несанкционированного доступа к информации, накопленной и хранящейся в КБД, проявляются внутри системы официальных пользователей. Внешние угрозы проявляются при поступлении файловых потоков новой информации в КБД. Именно с ним в систему проникает вредоносные программы, направленные на обеспечение доступа к информации, в том числе и конфиденциального характера.
Важную роль в комплексной оптимизации управления безопасностью корпоративных баз данных играет сервер. В нем должны быть определены роли каждого пользователя информационных потоков и назначены разрешения доступа на каждом уровне.
Корпоративными базами данных широко и активно пользуются высшие учебные заведения.
ВУЗы переходят на обработку и хранение всего потока информации в КБД. При этом, происходит обработка большого потока конфиденциальной информации и информации, носящей ограниченный доступ, которая является критически важной, а именно:
— персональные данные сотрудников;
— персональные данные студентов;
— финансовая информация;
— интеллектуальная собственность;
— научно-исследовательские разработки;
— проектно-конструкторские разработки;
— служебная, коммерческая и иная конфиденциальная информация.
Вся эта важная информация ВУЗа, всегда аккумулируется и хранится в корпоративной базе данных, что, в свою очередь, и приводит к необходимости обеспечения защиты не только элементов инфраструктуры, но и самой базы данных.
Основные вопросы комплексной оптимизации механизма обеспечения безопасности корпоративных баз данных нашли отражение в работах А.Н. Атаманова, Е.В. Дойниковой, И.А. Зикратова, Д.А. Котенко, И.В. Котенко, И.В. Машкиной, А.Г. Остапенко, И.Б. Саенко, Р.М. Юсупова и других авторов.
Предметом исследования являются модели и методы комплексной оптимизации механизма обеспечения безопасности корпоративных баз данных высшего учебного заведения на примере ИТМО.
Объектом исследования является формирование комплексных защитных мер как для корпоративных баз данных, так и для информационных систем, которые хранят и обрабатывают информацию, а также обеспечивающих её поступление в КБД ВУЗа, с позиции конфиденциальности, целостности и обеспечения доступа.
Цель исследования – формирование системы повышения качества и комплексной оптимизации механизма обеспечения безопасности корпоративных баз данных высшего учебного заведения на примере ИТМО.
В связи с поставленной целью, были определены следующие задачи:
— изучить основные направления формирования комплексной оптимизации механизма обеспечения безопасности корпоративных баз данных высшего учебного заведения на примере ИТМО;
— определить основные угрозы и проблемы обеспечения безопасности корпоративных баз данных;
— провести анализ основных угроз информационной безопасности для КБД и информационных систем, произведена оценка рисков;
— изучить технология защиты корпоративных баз данных с использованием криптографической защиты информации, идентификации, аутентификации и управления доступом, исследована система электронного документооборота;
Научная новизна работы заключается в следующем:
— предложена система комплексной защиты корпоративных информационных систем высшего учебного заведения ИТМО;
— разработаны принципы комплексной защиты информации корпоративных баз данных ИТМО;
— определен механизм защиты КДБ ИТМО от вредоносных программ;
— сформированы предложения по обнаружению и предотвращению вторжений в КБД ИТМО.
Методологическую основу работы составляет диалектически подход к рассмотрению объекта и предмета исследования с использованием общих и специальных методов научного познания, в частности, сравнительного, статистического метода построения модели, метода экспертных оценки т.д. Для разработки модели оценки рисков и методики формирования рационального комплекса защитных мер для корпоративной информационной системы используются методы системного и структурного анализа.
Практическая значимость работы заключается в исследовании и проработке рассматриваемой тематики, которые могут быть полезными в практической деятельности ВУЗа.
Структура работы: состоит из введения, трех глав, заключения, списка использованных источников и литературы.
ГЛАВА 1. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ БАЗ ДАННЫХ В ВУЗЕ
1.1 Корпоративные базы данных ВУЗа
Важным инструментом, направленным на повышение эффективности бизнес-процессов для многих организаций, в том числе и ВУЗов, являются корпоративные базы данных (КБД).
Создание и формирование КБД направлено на решение широкого круга задач:
— информационное обеспечение, планирование и управление деятельностью ВУЗа;
— управление ВУЗом, которое включает в себя управление учебным процессом, профессорско-преподавательским составом, студентами, финансовой и хозяйственной деятельностью;
— обеспечение поддержки основной деятельности ВУЗа и обеспечение бизнес-процессов учебного заведения;
— реализация основных функций, их открытость и масштабность.
Корпоративная база данных состоит из нескольких модулей, которые направлены на автоматизацию не только учебного процесса, но и бизнес-процессов и финансово-хозяйственной деятельности. КБД характеризуется многопользовательским распределением системы.
В основу формирования корпоративной базы данных положена программно-аппаратная инфраструктура или как её еще называют единая интеграционная платформа. КБД призвана обеспечить обмен данными между приложениями, информационными системами и аппаратно-программными платформами.
Таким образом, корпоративная база данных представляет собой интегрированную корпоративную информационную систему, сформированную из нескольких взаимосвязанных модулей, которые реализуются различными аппаратно-программные платформами.
Корпоративная база данных включает в себя несколько различных учетных модулей, например:
— модуль управления учебным процессом;
— модуль кадрового обеспечения;
— модуль бухгалтерского учета;
— модуль электронного документооборота и т.п.
Пример модульной структуры корпоративных баз данных ВУЗа представлен на Рисунке 1.
Рисунок 1 – Модульная структура корпоративных баз данных ВУЗа.
Инфраструктура КБД ВУЗа состоит из:
— прикладных систем;
— серверов;
— автоматизированных рабочих мест (АМО);
— активного сетевого оборудования (АСО);
— системного и сетевого программного обеспечения;
— сетей связи.
В качестве важной особенности корпоративных баз данных следует отметить наличие и использование единого корпоративного хранилища данных. Применительно к ВУЗу корпоративное хранилище данных реализуется в системе нескольких взаимосвязанных между собой баз данных.
На Рисунке 2 представлена примерная структурная схема КБД с центром обработки данных.
Рисунок 2 – Примерная структурная схеме КБД ВУЗа
с центром обработки данных
Таким образом, наличие сложной системной структуры КБД предусматривает особые повышенные требования обеспечения информационной безопасности. При этом, учитывается политика конфиденциальности, целостности и доступности информационных активов. Кроме того, в целях реализации механизма обеспечения безопасности корпоративных баз данных учетные модули необходимо размещать на различных серверах с резервированием наиболее важных и значимых учетных модулей.
Корпоративная база данных ВУЗа представляет собой определенный жизненный цикл информационной системы. Петров В.Н. определил, что у любой информационной системы существует жизненный цикл, который представляет собой непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного изъятия её из эксплуатации» [1].
Таким образом, жизненный цикл корпоративных баз данных состоит из определенных последовательных стадий, которые имеют циклический характер.
Последовательность всех стадий жизненного цикла КБД представлены на Рисунке 3.
Рисунок 3 – Стадии жизненного цикла КБД ВУЗа.
На первом этапе разработки КБД происходит сбор и анализ требований заинтересованных сторон.
В качестве заинтересованных сторон выступают как организации, так и физические лица, которые имеют права, требования, долю, или иные интересы в отношении системы или её свойств, удовлетворяющие в свою очередь их потребностям и ожиданиям [2].
В качестве заинтересованных сторон выступают:
— заказчик КБД;
— разработчики КДБ;
— пользователи КБД;
— инвесторы (в некоторых случаях, при реализации инвестиционного проекта разработки и модернизации корпоративных баз данных);
— контролирующие органы и организации.
В процессе разработки или модернизации корпоративных баз данных формируются определенные требования. Они разделяются на два вида:
1) функциональные – в данных требованиях определяется состав и свойства выполняемых действий или функций;
2) нефункциональные – определяют основные критерии работы всей информационной системы в целом. В качестве одного из основных нефункциональных требований выступает реализация механизма безопасности КБД.
На этапе проектирования происходит разработка проектной документации и определяются проектные решения.
Этап разработки связан с получением и установкой технических средств и программного обеспечения. На этом этапе заинтересованными лицами разрабатывается эксплуатационная документация. Одновременно с этим происходит тестирование и отладка.
После этого, корпоративная база данных вводится в эксплуатацию. Происходит обучение персонала, тестирование и опытная эксплуатация КБД. В заключение данного этапа происходит подписание акта приемки и сдачи выполненных работ.
В процессе эксплуатации происходит ежедневное использование корпоративных баз данных и её техническое обслуживание.
Ранее были определены основные функции КБД ВУЗа. Среди них важной является обеспечение учебного процесса, планово-финансовое управление и т.п. Все это связано с частыми изменениями информационной системы.
Таким образом, формирование и обеспечение работоспособности корпоративных баз данных связано с обеспечением реализации механизма обеспечения безопасности и разработкой защитных мероприятий. С этой целью проводится анализ угроз информационной безопасности КБД.
1.2 Анализ угроз информационной безопасности корпоративных баз данных ВУЗа
В конце XX века прошлого столетия стал актуальным вопрос об угрозах информационной безопасности. Это было связано с совершенствованием компьютерных технологий и увеличением общего объема обращения информации. Все поступающие данные накапливаются и хранятся в корпоративных базах данных (КБД). Доступ определен для ограниченного круга лиц, в основном это работники предприятия.
С развитием информационных технологий и совершенствованием средств вычислительной техники увеличился объем информации в корпоративной информационной системе и возросло число выполняемых задач с использованием корпоративных баз данных. Это привело к увеличению круга лиц, которые наделены различными ролями и правом доступа к КБД.
В этой связи возросла необходимость обеспечения информационной безопасности КБД. Для этого постоянно проводится мониторинг и анализ угроз.
Угроза информационной безопасности корпоративных баз данных представляет собой наступление событий с определенными последствиями. Наступившие события могут быть, как возможные, так и вероятные. А наступившие последствия могут иметь как отрицательные, так и положительные последствия. Это все зависит от характера определенных принятых действий или принятых решений.
Возникновение угрозы порой носит случайный характер, поскольку порой отсутствие необходимой информации о них. Это связано с недостаточностью научных знаний и подходов о сущности процессов и явлений, связанных с угрозой информационной безопасности корпоративных баз данных.
Анализ угроз информационной безопасности КБД непосредственно связан с анализом и оценкой рисков безопасности корпоративных информационных систем или, как их еще называют, информационных рисков.
Само понятие риски безопасности корпоративных информационных систем или информационные риски не определены в научно-практической литературе. Встречаются только отдельные попытки оценить это понятие с точки зрения систематизации управления информационными рисками. Данное понятие будет рассмотрено с учетом поставленной цели и решаемых задач в настоящей работе.
По мнению А.М. Астахова, информационные риски представляют собой «возможность наступления в информационной системе такого случайного события, которое приведет к нарушению её функционирования, снижению качества и ценности информационных ресурсов, что нанесет явный ущерб деятельности организации» [3].
В других научных трудах информационный риск определяется как нарушение информационной безопасности в результате применения
1. Уголовный кодекс Российской Федерации. Ст. 273. [Электронный доступ] URL: http://www.pravo.gov.ru/proxy/ips/? docbody=&link_id=1&nd=102041891
2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [электронный ресурс]. Доступ из справ. правовой системы «ГАРАНТ»
3. ISO/IEC/IEEE 29148:2011 URL: https://exebit.files.wordpress.com/2013/11/iso-29148-2011-ru-v1.pdf (Дата обращения 05.05.2019).
4. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Прес. 2010. 312с.
5. Беззатеев С.В., Волошина Н.В., Санкин П.С. Методика расчета надежности сложных систем, учитывающая угрозы информационной безопасности // Информационно-управляющие системы. 2014. № 3 (70). С. 78-83.
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утв. 2008-02-15. М.: ФСТЭК России, 2008. 69 с.
7. Варфоломеев А.А. Основы информационной безопасности: учеб. пособие. М.: РУДН, 2008. 412 с
8. Вихров Н.М., Нырков А.П., Каторин Ю.Ф., Шнуренко А.А., Башмаков А.В., Соколов С.С., Нурдинов Р.А. Анализ информационных рисков // Морской вестник. 2015. № 3 (55). С. 81-85.
9. ГОСТ Р 50922–2006. URL: http://www.glossary.ibbank.ru/solution/605
10. Герасименко В.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997. 537 с.
11. Гилльмулин Т.М. Модели и комплекс программ процесса управления рисками информационной безопасности: дис. ... канд. техн. наук: 05.13.18. Казань, 2010. 225 с.
12. Городецкий B.И., Котенко И.В., Юсупов Р.М. Защита компьютерных сетей // Вестник Российской академии наук. 2006. Т. 76. № 7. С. 668-670.
13. Дулатов И.Н., Нырков А.П. Современные подходы к оценке рисков информационной безопасности // Материалы III Международной научно-практической конференции «Информационные управляющие системы и технологии». 2014. С. 155-157
14. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО «ТИД ДС», 2002. 688 с.
15. Зикратов И.А., Одегов С.В., Смирных А.В. Оценка рисков информационной безопасности в облачных сервисах на основе линейного программирования // Научно-технический вестник информационных технологий, механики и оптики. 2013. № 1 (83). С. 141-144.
16. Каторин Ю.Ф., Нурдинов Р.А., Зайцева Н.М. Модель количественной оценки рисков безопасности информационной системы // Новый университет. Серия: технические науки. 2016. № 3 (49). С. 42-47.
17. Когаловский М.Р. Перспективные технологии информационных систем. М.: ДМК Пресс; Компания АйТи, 2003. 288 с.
18. Котенко И.В., Саенко И.Б., Дойникова Е.В. Оценка рисков в компьютерных сетях критических инфраструктур // «Инновации в науке»: материалы XVI международной заочной научно-практической конференции. Новосибирск: Изд. «СибАК», 2013. С.84-88.
19. Ларина И.Е. Экономика защиты информации: учеб. пособие. М.: МГИУ, 2007. 92 с.
20. Лукацкий А.В. Эффективное распределение информации об угрозах // Информационная безопасность банков. 2015. № 4 (19). С. 28-33.
21. Машкина И.В. Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий: автореф. дис. ... д-ра техн. наук: 05.13.19. Уфа, 2009. 32 с.
22. Меры защиты информации в государственных информационных системах. Утв. 2014-02-11. М.: ФСТЭК России, 2014. 176 с.
23. Нурдинов Р.А. Оценка рисков безопасности информационной системы на основе модели деструктивных состояний и переходов // Материалы конференции ИБРР-2015. СПОИСУ. СПб, 2015. С. 372-373.
24. Нурдинов Р.А., Батова Т.Н. Подходы и методы обоснования целесообразности выбора средств защиты информации [Электронный ресурс] // Современные проблемы науки и образования. 2013. № 2. URL: http://www.scienceeducation.ru/ru/article/view?id=9131
25. Нурдинов Р.А., Батова Т.Н. Подходы и методы обоснования целесообразности выбора средств защиты информации [Электронный ресурс] // Современные проблемы науки и образования. 2013. № 2. URL: http://www.scienceeducation.ru/ru/article/view?id=9131 Нурдинов
26. Олифер В. Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. 4-е изд. СПб.: Питер, 2010. 944 с.
27. Прокофьева М.А. Корпоративные информационные системы. Пятигорск: КМВИС ФГБОУ ВПО «ЮРГУЭС», 2013. 70 с.
28. Постановление Правительства РФ от 10.09.2007 №575. URL: http://base.garant.ru/12155536
29. Методический документ ФСТЭК. Меры защиты информации в государственных информационных системах. URL: http://fstec.ru/tekhnicheskaya-zashchitainformatsii/dokumenty/114-spetsialnye-normativnyedokumenty/805-metodicheskij-dokument
30. Мур М. Управление информационными рисками // Финансовый директор. 2003, № 9. С. 64-68
31. Петров В.Н. Информационные системы. СПб.: Питер. 2003. 688с.
32. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи, ДМК-Пресс, 2004. 384 с.
33. Письмо Банка России от 24.03.2014 №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». URL: http://www.garant.ru/products/ipo/prime/doc/70526030
34. NIST SP 800–83. URL: http://csrc.nist.gov/publications/drafts/800–83-rev1/draft_sp800-83-rev1.pdf NIST SP 800–83. URL: http://csrc.nist.gov/publications/drafts/800–83-rev1/draft_sp800-83-rev1.pdf
35. Ярочкин В.И. Информационная безопасность: учебник. М.: Фонд «Мир», 2003. 639 с.
