Автор работы: Пользователь скрыл имя, 26 Декабря 2011 в 10:16, практическая работа
ЗАДАНИЕ
В данной практической работе, необходимо разработать модель информационных потоков и информационную систему ООО по разработке и продаже программных средств. Это делается, с целью определить уязвимые участки системы, наиболее подверженные различным информационным атакам, с последующим предоставлением рекомендаций по усилению их безопасности.
Министерство образования и науки Российской Федерации
Государственное
образовательное учреждение высшего
профессионального образования
«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра
«Информационная безопасность систем
и технологий»
ОТЧЁТ
О ВЫПОЛНЕНИИ СЕМЕСТРОВОЙ ПРАКТИЧЕСКОЙ РАБОТЫ
ПО ТЕМЕ:
«ООО по разработке
и продажи програмных
средств».
Дисциплина: Теоретические основы компьютерной безопасности
Группа: 08УК1
Выполнил: студент Винокуров А.В.
Принял:
к.т.н., доцент Фатеев А. Г.
Пенза 2010
ЗАДАНИЕ
В данной практической работе, необходимо разработать модель информационных потоков и информационную систему ООО по разработке и продаже программных средств. Это делается, с целью определить уязвимые участки системы, наиболее подверженные различным информационным атакам, с последующим предоставлением рекомендаций по усилению их безопасности.
Практическая работа включает в себя 5 этапов:
1 Описание рабочих процессов
1.1 Определение цели организации и схема описания рабочих процессов
Цель: разработка программного обеспечения соответствующего ГОСТ, выполняющего требования конечных пользователей
Рисунок
1 – Схема описания рабочих процессов
1.2 Детализация одного из рабочих процессов
Детализация
процесса 3 приведена на рисунке 2.
Рисунок 2 – Детализация рабочего процесса №3
Описание рабочих процессов.
Первый процесс – приём заказа. Источник входящей информации – клиент, форма – бумажная. Действие – информация переводится из типового задания в форму стратегии разработки программного продукта, изменений не вносится, доступ для менеджера по приёму заказов. Выходная информация: форма – бумажная, получатель – проектировщики.
Второй процесс – проектирование. Источник входной информации – отдел приёма заказа, форма – бумажная. Действие – информация переводится из формы стратегии разработки в форму проектной документации, изменений не вносится, доступ для проектировщиков. Выходная информация: форма бумажная, получатель – разработчики.
Третий процесс – реализация проэкта. Источник входной информации – проектировщики, форма – бумажная. Действие – информация переводится из проектной документации в форму документации на продукт, изменения не вносятся, доступ для разработчиков. Выходная информация: форма – бумажная, электронная, получатель – тестировщики.
Четвёртый этап – тестирование. Источник входной информации – проектировщики, форма – бумажная. Действие – информация переводится из документации на продукт в форму документации для конечных пользователей, с изменениями – обобщениями. Выходная информация: форма – бумажная, электронная, получатель – конечные пользователи.
Результатом данного этапа является формирование цели, схемы и описания рабочих процессов ООО по разработке и продажи программных средств, а также подробная детализация одного из рабочих процессов системы.
2 Определение перечня информационных ресурсов
На основе схем предыдущего этапа построен перечень информационных и аппаратных ресурсов, создана оценочная шкала информации, соответствующая степени важности того или иного ресурса. Перечень информационных ресурсов представлен на таблице 1.
Информационные и материальные ресурсы:
Оценочная шкала для информации.
Критический уровень – информация, не терпящая изменений, закрытая информация.
Допустимый уровень – информация допускающие незначительные изменения, информация ограниченного доступа.
Низкий
уровень – информация, изменение
которой существенно не отразится на функционировании
системы, информация открытого доступа.
Таблица 1 – Оценки критичности информации
| Информация | Уровень |
| Техническое задание [1] | Критический |
| Выработка стратегии разработки продукта [2] | Допустимый |
| Проектная документация [3] | Критический |
| Документация на продукт [4] | Критический |
| Документация для конечного пользователя [5] | Допустимый |
| Должностные инструкции [6] | Допустимый |
| ГОСТ 19 [6] | Низкий |
| ГОСТ Р ИСО / МЭК 12207 [6] | Низкий |
| ГОСТ Р ИСО / МЭК 15288 [6] | Низкий |
3 Построение матрицы ответственности за аппаратный ресурс
Для выполнения данного этапа берутся только аппаратные ресурсы, определяются ответственные и пользователи, а также определяются их права. Матрица ответственности за аппаратные ресурсы приведена в таблице 2.
Таблица 2 – Матрица ответственности за аппаратные ресурсы
| Аппаратные ресурсы | Кто отвечает | Что делает |
| Телефоны / факсы | Техник | Поддерживает работоспособность, осуществляет ремонт и замену |
| Сотрудники | Целесообразное использование согласно должностным инструкциям | |
| Сервер хранения баз данных | Администратор информационной безопасности | Поддерживает защиту от копирования, замены и уничтожения информации |
| Системный администратор | Поддерживает работоспособность, осуществляет настройку, использование для работы | |
| Проектировщики, тестеры, разработчики | Использование для работы | |
| Рабочие места пользователей | Системный администратор | Поддерживает работоспособность, осуществляет настройку |
| Периферия и орг. техника | Техник | Поддерживает работоспособность, осуществляет ремонт и замену |
| Сотрудники | Целесообразное использование оборудования |
Продолжение таблицы 2
| Аппаратные ресурсы | Кто отвечает | Что делает |
| Сервер резервного копирования | Администратор информационной безопасности | Отвечает за обеспечение информационной безопасности |
| Системный администратор | Отвечает за стабильную работу, своевременное восстановление утерянной информации с основного сервера | |
| Средства доступа в Интернет | Администратор информационной безопасности | Отвечает за обеспечение информационной безопасности, защиту от НСД |
| Системный администратор | Поддерживает работоспособность | |
| Сотрудники | Использование согласно должностным полномочиям |
Результатом выполнения данного этапа является матрица ответственности за аппаратные ресурсы, определение пользователей и ответственных за определённый ресурс, разграничение прав и обязанностей сотрудников.
4 Разработка структурной схемы информационной системы
На данном этапе, разработана схема взаимодействия аппаратных компонентов системы, определены связи между ресурсами.
Структурная схема взаимодействия аппаратных средств информационной системы показана на рисунке 3.
Рисунок 3 – Структурная схема взаимодействия аппаратных средств
5 Разработка модели информационных потоков
5.1 Схема модели информационных потоков
На данном этапе работы разработана схема модели информационных потоков ООО по разработке и продажи программных средств. Для построения данной модели использованы результаты всех предыдущих этапов. Данная модель отображает циркуляцию всех видов информации данной системы. Также была выделена критическая область наиболее подверженная различным информационным атакам. Модель информационных потоков приведена на рисунке 4.
Рисунок
4 – Схема модели информационных потоков
Сокращения и обозначения, используемые на рисунке 4:
5.2 Выделение критической области в модели информационных потоков и предложение по усилению безопасности критической системы
Критическая область в данной модели была выделена между сервером хранения баз данных и рабочими местами пользователей, т.е. может быть нанесён существенный ущерб работе всей системы вследствие появления на сервере информации не соответствующей действительности, которая в последствии используется пользователями системы.
Информация о работе ООО по разработке и продажи програмных средств