Разработка модели информационных потоков информационной системы оператора сотовой связи
Министерство
образования и науки Российской Федерации
Федеральное
государственное бюджетное образовательное учреждение
высшего
профессионального образования
«ПЕНЗЕНСКИЙ
ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра
«Информационная безопасность систем и технологий»
ОТЧЁТ
о выполнении
практической работы
«Разработка
модели информационных потоков информационной системы оператора сотовой связи»
Дисциплина:
теоретические основы компьютерной безопасности
Пенза 2011
Задание
Цель практической работы: разработать модель
информационных потоков информационной системы оператора сотовой связи, выявить
критическую область организации, предложить методы защиты данной системы.
Этапы работы:
·
определение
цели организации и описание ее рабочих процессов;
·
определение
перечня информационных ресурсов и шкалы оценки важности информации;
·
построение
матрицы аппаратных ресурсов;
·
разработка
структурной схемы информационной системы;
·
разработка
модели информационных потоков.
1. Определение цели организации и ее рабочих
процессов
Объектом исследования данной работы является
оператор сотовой связи. Целью предложенной организации является предоставление
потребителям качественных, инновационных и доступных продуктов и услуг связи.
В соответствии с поставленными целями оператора
сотовой связи были выделены следующие рабочие информационные процессы:
·
предоставление
постоянных, периодических и разовых услуг абоненту. Тарификация разговоров.
Прием платежей от абонентов;
·
работа
с клиентами и заключение договоров на предоставление услуг сотовой связи;
·
продвижение
услуг на рынке.
Первый процесс представлен на рисунке 1.
Рисунок 1 - Процесс 1
Вход 1:
·
ID-клиента,
имеющего право на получение предоставляемых услуг;
·
состояние
счета клиента, а так же атрибуты, необходимые для приема платежей.
Выход 1 - предоставление услуг (заключение
договора).
Ресурсы 1:
·
рабочий
персонал, обеспечивающий работу с клиентом и документооборот;
·
аппаратное
обеспечение для ведения документации в электронном виде (компьютеры, хранилища
информации, канал связи, сервер);
·
программное
обеспечение для ведения документации в электронном виде (СУБД, текстовые
редакторы, редакторы БД, программа обмена БД).
Управление 1:
·
ФЗ
РФ от 27 июля 2006г. № 152-ФЗ "О персональных данных";
·
ФЗ
РФ от 27 июля 2006г. № 149-ФЗ "Об информации, информационных технологиях и
о защите информации";
·
постановление
Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об
утверждении Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных";
·
ФЗ
РФ "О связи" от 27 июля 2003г. № 126-ФЗ.
Описание второго процесса - "Работа с
клиентами и заключение договоров на предоставление услуг сотовой связи" -
представлено на рисунке 2.
Вход 2 - персональные данные клиента и сведения
о новых клиентах.
Выход 2 - заключение или отказ в договоре на
предоставление услуг сотовой связи.
Ресурсы 2:
·
рабочий
персонал, обеспечивающий работу с клиентом и документооборот;
·
аппаратное
обеспечение для ведения документации в электронном виде (компьютеры, хранилища
информации, канал связи, сервер);
Рисунок 2 - Процесс 2
·
программное
обеспечение для ведения документации в электронном виде (СУБД, текстовые
редакторы, редакторы БД, программа обмена БД).
Управление 2:
·
ФЗ
РФ от 27 июля 2006г. № 152-ФЗ "О персональных данных";
·
ФЗ
РФ от 27 июля 2006г. № 149-ФЗ "Об информации, информационных технологиях и
о защите информации";
·
постановление
Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об
утверждении Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных";
·
ФЗ
РФ "О связи" от 7 июля 2003г. № 126-ФЗ.
Описание третьего процесса - "Продвижение
услуг на рынке" - представлено на рисунке 3.
Рисунок 3 - Процесс 3
Вход 3 - сведения о предоставленных услугах.
Выход 3 - предложения об изменении и предложении
новых услуг.
Ресурсы 3 - рабочий персонал.
Управление 3 - ФЗ РФ "О связи" от 7
июля 2003г. № 126-ФЗ.
Взаимосвязь основных процессов представлена на
рисунке 4.
Рисунок 4 - Взаимосвязь основных процессов
Далее в рамках данного этапа была произведена
детализация процесса 2. Результат детализации представлен на рисунке 5.
Пояснение к рисунку 5.
Вход:
·
У1
- ФЗ РФ от 27 июля 2006г. № 152-ФЗ "О персональных данных";
·
У2
- ФЗ РФ № 149-ФЗ "Об информации, информационных технологиях и о защите
информации";
·
У3
- ФЗ РФ № 126-ФЗ "О связи";
Рисунок 5 - Детализация процесса 2
2. Определение перечня информационных ресурсов и
шкалы оценки важности информации
На основании общей схемы рабочих процессов был
построен перечень информационных ресурсов, в который вошла вся информация,
задействованная в данных процессах, а также все управляющие документы.
Информационные ресурсы:
·
В1
- персональные данные клиентов;
·
В2
- ID-клиентов;
·
В3
- сведения о состоянии счета клиентов;
·
В4
- сведения о предоставленных услугах;
·
В5
- сведения о заключенных договорах;
·
У1
- ФЗ РФ № 152-ФЗ "О персональных данных";
·
У2
- ФЗ РФ № 149-ФЗ "Об информации, информационных технологиях и о защите
информации";
·
У3
- ФЗ РФ № 126-ФЗ "О связи";
·
У4
- постановление Правительства РФ № 781 "Об утверждении положения об
обеспечении безопасности персональных данных при их обработке в информационных
системах персональных данных".
Описание информационных ресурсов приведено в
таблице 1.
Таблица 1 - Описание информационных ресурсов
|
Инф.
ресурс
|
Источник
|
Вид
|
Способ
передачи
|
Доступ
|
Оценка
|
|
В1
|
Клиент
|
Бумажный
|
По
каналам связи
|
Ограниченный
|
В
|
|
В2
|
Процесс
1
|
Электронный
|
По
каналам связи
|
Ограниченный
|
Н
|
|
В3
|
Процесс
1
|
Электронный
|
По
каналам связи
|
Ограниченный
|
С
|
|
В4
|
Процесс
1
|
Бумажный,
электронный
|
По
каналам связи
|
Ограниченный
|
Н
|
|
В5
|
Процесс
2
|
Бумажный,
электронный
|
По
каналам связи
|
Ограниченный
|
В
|
|
У1
|
Законодат.
власть
|
Бумажный,
электронный
|
По
каналам связи
|
Инф.
общего пользования
|
О
|
|
У2
|
Законодат.
власть
|
Бумажный,
электронный
|
По
каналам связи
|
Инф.
общего пользования
|
О
|
|
У3
|
Законодат.
власть
|
Бумажный,
электронный
|
По
каналам связи
|
Инф.
общего пользования
|
О
|
Законодат.
власть
|
Бумажный,
электронный
|
По
каналам связи
|
Инф.
общего пользования
|
О
|
В ходе данного этапа была разработана 4-х
уровневая шкала оценки информационных ресурсов:
·
открытые
данные (О) - все нормативно-правовые документы отнесены к этому уровню, т.к.
никто не имеет права ограничивать доступ к ним;
·
низкий
уровень (Н) - не конфиденциальная информация, нарушение доступности и
целостности которой не приведет к серьёзным последствиям;
·
средний
уровень (С) - информация, доступ к которой ограничен нормативно-правовыми
документами и разглашение которой может привести к незначительным финансовым
потерям; нарушение целостности которой не приведет к значительным сбоям в
работы предприятия; нарушение доступности к которой устраняется в определенное
для этого время;
·
высокий
уровень (В) - информация, разглашение и нарушение целостности которой приведёт
к серьёзным финансовым потерям и утрате репутации; нарушение доступа к которой
невозможно устранить в отведённое для этого время.
Максимальный уровень был назначен для ресурсов
"Персональные данные клиента" и "Сведения о заключенных
договорах", так как при разглашении этих данных будет нанесен непоправимый
урон репутации компании и произойдет остановка работы системы на длительный
срок, что приведет к огромным денежным потерям.
3. Построение матрицы ответственности за
аппаратные ресурсы
На данном этапе была сформирована матрица
аппаратных ресурсов. Права и обязанности пользователей представлены в таблице
2, а администраторов - в таблице 3.
Таблица 2 - Права и обязанности пользователей
|
Аппаратные
средства
|
Пользователи
|
Права
|
Обязанности
|
|
Desktop-компьютеры
|
Персонал
(менеджеры, бухгалтера и т.д.)
|
Право
использования
|
Поддерживать
компьютер в рабочем состоянии, не наносить компьютеру повреждений.
|
|
Периферийные
устройства
|
Персонал
(менеджеры, бухгалтера и т.д.)
|
Право
использования
|
Поддерживать
аппаратуру в надлежащем состоянии
|
|
Каналообразующая
аппаратура
|
Персонал
(менеджеры, бухгалтера и т.д.), абоненты
|
Право
использования
|
Поддерживать
в надлежащем состоянии
|
|
АТС
оборудование
|
-
|
-
|
-
|
|
Электронные
носители инф.
|
Персонал
(менеджеры, бухгалтера и т.д.)
|
Право
использования, внесения изменений
|
Поддерживать
носитель в надлежащем состоянии.
|
Таблица 3 - Права и обязанности администраторов
|
Аппаратные
средства
|
Администраторы
|
Права
|
Обязанности
|
|
Desktop-компьютеры
|
Администратор
И.Б.
|
Право
использовать, изменять конфигурацию, настройки
|
Обеспечивать
безопасность хранящейся на компьютере информации
|
|
Системный
администратор
|
Право
изменять конфигурацию, настройки
|
Обеспечивать
надежное функционирование компьютеров
|
|
Периферийные
устройства
|
Системный
администратор
|
Право
использовать, изменять конфигурацию, настройки
|
Обеспечивать
надежное функционирование
|
|
Каналообразующая
аппаратура
|
Системный
администратор
|
Право
использовать, изменять конфигурацию, настройки
|
Обязан
обеспечивать надежность канала передачи информации, а также контроль за
передаваемой в сети информацией.
|
|
АТС
оборудование
|
Системный
администратор
|
Право
использовать, изменять конфигурацию, настройки
|
Обеспечивать
надежное функционирование оборудования
|
|
Электронные
носители инф.
|
Администратор
И.Б.
|
Право
использовать, изменять конфигурацию, настройки
|
Обеспечивает
безопасность информации хранящейся на носителях. Организовывает и
разграничивает доступ к носителям.
|
|
Системный
администратор
|
|
Обеспечивает
надежность функционирования носителей
|
4. Разработка структурной схемы информационной
системы
Для того, чтобы показать взаимосвязь аппаратных
ресурсов между собой была разработана структурная схема, в которой указаны все
аппаратные ресурсы, выделенные в предыдущем разделе и учтены связи между
основными рабочими процессами, идентифицированными в разделе 1. Данная схема
приведена на рисунке 6.
Рисунок 6 - Структурная схема
5. Разработка модели информационных потоков
Целью данного этапа является отражение с помощью
схемы перемещение информационных ресурсов, и указание на каких аппаратных
средствах информация обрабатывается и хранится.
Для правильного отражения направления
информационных потоков, необходимо воспользоваться описанием основных
процессов, а за основу взять взаимосвязи между аппаратными средствами,
представленными в структурной схеме. Также необходимо в получившейся модели
выделить критическую область. На модели она выделена пунктирной линией.
Критерием выделения области является важность данных, проходящих через
аппаратные средства информации. При нарушении целостности или разглашении этих
данных будет скомпрометирована вся система, что приведёт к «краху» и остановке
деятельности на неопределенный срок, именно поэтому данная область выделена как
критическая.
В результате выполнения этапа была получена
модель информационных потоков, изображенная на рисунке 7.
Рисунок 7 - Модель информационных потоков
Обозначения, приведённые на рисунке 7:
·
В1
- персональные данные клиентов;
·
В2
- ID-клиентов;
·
В3
- сведения о состоянии счета клиентов;
·
В4
- сведения о предоставлении услуг;
·
В5
- сведения о заключенных договорах.
сотовый связь аппаратный информация
Заключение
В ходе выполнения практической работы были
выполнены все этапы. Были идентифицированы информационные процессы для
оператора сотовой связи, показана взаимосвязь этих процессов, один из процессов
был детализирован. Выделены все информационные ресурсы, дано их подробное
описание. Также сформирована матрица ответственностей за аппаратные ресурсы,
разработана структурная схема взаимодействия аппаратных ресурсов, на основании
которой разработана модель информационных потоков.
На основании проделанной работы была выделена
критичная область, которая нуждается в усиленной защите, из-за того, что в этой
области хранятся и обрабатываются большие объемы информации высокой важности,
нарушение конфиденциальности, целостности или доступности которой может
принести огромные финансовые потери, приостановку в работе на неопределенный
срок, а также к потере репутации.