Перечень конфиденциальных данных
Факультет
«Кибернетика и информационная безопасность»
____________________________________________________________________________________
ОТЧЕТ
О выполнении курсового проекта
«Работа сети цветочных магазинов в Салехарде с центральным офисом в Лабытнанги»
Исполнители:
Харченков Артем, Б9-03 Митюшкина Татьяна, Б9-02
Хворов Дмитрий, Б9-04
Мишин Александр, Б9-01
Москва 2012
Оглавление
Введение. 5
1 Региональная специфика. 6
2 Описание бизнес-процесса. 7
3 Топологическая схема сети.. 9
4 Перечень конфиденциальных данных.. 10
5 Описание технологического процесса. 10
5.1 Модули и компоненты, составляющие технологический процесс. 10
5.2 Карта информационных потоков. 10
Термины и определения
POS-терминал программно-аппаратный комплекс, которые позволяет осуществлять торговые операции как это делает обычный кассовый аппарат. Может содержать монитор, системный блок, дисплей покупателя, POS-клавиатуру, считыватель карт, печатающее устройство, фискальную часть, программное обеспечение.
Атака событие (момент), при котором злоумышленник проникает внутрь системы или совершает по отношению к ней какое-либо несанкционированное действие.
Аудит получение информации о системе, касающейся ее внутренней работы и поведения.
Безопасность информации состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внешних или внутренних угроз: от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения доступности информации, а также ее незаконного тиражирования, которые приводят к материальному или моральному ущербу для владельца или пользователя информации.
Виртуальная частная вычислительная сеть выделенная сеть на базе общедоступной сети, которая поддерживает конфиденциальность за счет использования туннелирования и других процедур защиты.
Вредоносные программы специально созданные программы для воздействия на вычислительную систему.
Вторжение процесс попытки несанкционированного проникновения в какую-либо систему.
Вычислительные системы отдельные средства вычислительной техники в составе СОД.
Голосовой шлюз коробка, которая преобразует аналоговый сигнал в цифровые IP-пакеты. Может иметь встроенный маршрутизатор, может подключаться к маршрутизатору.
Интернет-эквайринг прием платежей по пластиковым картам через Интернет.
Информационная (компьютерная) система сложная система, включающая всю совокупность аппаратного, системного и прикладного ПО и методов их организации, которая обеспечивает информационную деятельность предприятия.
Информационное обеспечение деятельности организации создания, организация и обеспечение функционирования такой системы сбора, хранения, обработки и выдачи информации, которая предоставляла бы всем подразделениям и должностным лицам организации всю необходимую им информацию в требуемое время, требуемого качества и при соблюдении всех устанавливаемых правил обращения с информацией.
МЭ локальное (однокомпонентное или функционально распределенное) средство (комплекс), которое реализует контроль информации, поступающей в АС и/или выходящей из нее, и обеспечивает защиту АС посредством фильтрации информации, то есть анализа по совокупности критериев и принятия решения о ее распространении из/в АС.
Обнаружение вторжений процесс обнаружения несоответствующих, неправильных или аномальных действий или событий в сетях.
Риск нарушения ИБ фактор, отражающий возможный ущерб в результате реализации угрозы ИБ.
Система обработки данных (информации) (СОД) сложная система, включающая технические средства преобразования, хранения и передачи информации (аппаратное и системное ПО) и методы их организации, которая обеспечивает поддержку прикладных программ (приложений) пользователя.
Среда конкретное воплощение ИС или ее части со всей совокупностью присущих ей качеств, особенностей, образуемых всеми используемыми методами и средствами обработки данных, и условий, в которых протекает процесс обработки информации.
Угроза потенциально возможное событие, действие или процесс, которые посредством воздействия на компоненты системы могут привести к нанесению ущерба.
Удаленная атака несанкционированное информационное воздействие на распределенную вычислительную сеть, программно осуществляемое по каналам связи.
Уязвимость любая характеристика или свойство системы, использование которой нарушителем может привести к реализации угрозы.
Хост компьютер с уникальным IP.
Эквайринг — вид деятельности кредитной организации (банка), включающий в себя осуществление расчетов с POS-терминалов по операциям, совершаемым с помощью банковских карт.
Введение
Работа посвящена разработке бизнес-процесса «Работа сети цветочных магазинов в Салехарде с центральным офисом в Лабытнанги».
Цель работы для заданного бизнес-процесса построить параметризованную модель технологического процесса с учетом систем и средств обеспечения сетевой и информационной безопасности.
В работе проводится анализ и систематизация открытой информации о специфике рассматриваемого бизнес-процесса, особенностях регионального характера городов, в которых планируется внедрение разработанного бизнес-процесса.
Внутри бизнес-процесса выделяется наиболее значимая с точки зрения построения системы защиты область технологический процесс. Изучаются и определяются основные аспекты построения технологического процесса, выделяются основные модули и компоненты. Особое внимание уделяется возможным угрозам информационной безопасности, направленным на объект защиты. Для этого составляется разрабатывается модель нарушителя, выделяются угрозы и уязвимости для функционирования технологического процесса, рассматриваются возможные атаки на выбранный объект защиты.
Для построения системы защиты для выбранного объекта защиты производится поиск и анализ существующих на рынке программных и программно-аппаратных средств защиты, выбираются наиболее подходящие продукты.
Для проверки уровня стойкости предлагаемого решения проводится нагрузочное тестирование. Для проверки корректности и достаточности предложенных мер по защите технологического процесса производится тестирование подсистемы обеспечения информационной безопасности.
Для повышения общего уровня защищенности и эффективности бизнес-процесса предлагается комплекс организационно-технических мер.
Региональная специфика
Салехард это город, расположенный на границе субарктического и умеренного климатических поясов. Средняя температура января 25 °C, июля +15 °C. Годовое количество осадков составляет от 450 до 500 мм, причём 44 % годовой нормы выпадает в летние месяцы. Число дней со снеговым покровом и устойчивыми морозами — до 200 в году. Население 42 494 человек (по данным на 2010 год).
В 16 км от Салехарда, на другой стороне Оби, находится город и ближайшая железнодорожная станция Лабытнанги. Население 27 тысяч человек (по данным на 2010 год). Лабытнанги единственный город в мире, находящийся непосредственно на Полярном круге. Он связан с Салехардом паромной переправой через Обь летом и ледовой дорогой зимой.
Среди промышленных предприятий Салехарда можно выделить следующие:
· МП «Салехардский хлебокомбинат»;
· МП «Салехардагро»;
· ООО «Салехардский комбинат» (рыбоконсервный завод);
· ОАО «Ямалзолото»;
· ОАО «Салехардский речной порт»;
· ОАО «Ямалфлот».
Среди предприятий малого, среднего и крупного бизнеса можно выделить:
· ООО «ИТ Консультант»;
· Ямало-Ненецкий филиал ОАО «Ростелеком»;
· Государственное учреждение «Ресурсы Ямала»;
· Региональный удостоверяющий центр ЯНАО;
· ООО «ИНТЕРТРЭЙД»;
· ОАО «Авиационная транспортная компания ЯМАЛ»;
· МП «Салехардэнерго»;
· ОАО «Инвестиционная строительная компания ЯНАО»;
· ООО «Глобальный Ресурс»;
· ОАО «Ямальская железнодорожная компания»;
· Представительство ОАО «Газпром» в ЯНАО;
· Представительство ООО «ЛУКОЙЛ-Западная Сибирь» в ЯНАО;
· ОАО «Ямалтелеком».
Среди Интернет-провайдеров наиболее крупные: Российский провайдер Ростелеком и местный провайдер Ямалтелеком.
Есть данные о том, что в 2009-2010 году ОАО «Ямалтелеком» закончил строительство полномасштабной сети WiMAX в городах Салехард и Лабытнанги. Сеть Ямалтелеком WiMAX основана на оборудовании американской компании. Все базовые станции Ямалтелеком WiMAX подключены к оптико-волоконной сети.
Таким образом, можно сделать вывод о том, что в Ямало-Ненецком автономном округе хорошо развит речной транспорт и мало развит сухопутный. Подключение к Интернету в интересующих нас городах имеется.
Описание бизнес-процесса
Розничный цветочный бизнес можно разделить на четыре формата:
· небольшие павильоны, которые, в основном, располагаются в переходах и у метро;
· небольшие цветочные магазинчики, расположенные в людных местах и в торговых центрах;
· специализированные цветочные бутики, расположенные в торговых центрах, на оживленных улицах в центре города;
· Интернет-магазин по продаже цветов (его целесообразнее открывать в дополнение к уже действующему цветочному магазину).
С учетом региональной специфики в городе Салехард целесообразно развернуть сеть розничных магазинов (в количестве N штук) с возможностью заказа цветов через Интернет.
Для того, чтобы наша сеть цветочных магазинов была конкурентоспособна, необходимо предложить хотя бы тот минимум услуг, который предлагают в этой области конкуренты. Проанализировав существующий цветочный рынок, можно сделать вывод о необходимости иметь:
· как минимум 2 торговые точки;
· call-центр;
· возможность курьерской доставки;
· сайт с доступным перечнем услуг и товара;
· возможность заказа цветов и подарков через сайт;
· возможность проверить статус заказа;
· возможность оплаты как наличными в магазинах и курьеру, так и по банковской карте.
На рисунке 1 приведена схема бизнес-процесса, учитывающая все вышеперечисленные особенности.
Рис. 1 Схема бизнес-процесса
Топологическая схема сети
В главном офисе в городе Лабытнанги находится:
· сервер БД, содержащий информацию о клиентах и заказах;
· файловый сервер, используемый для нужд всех сотрудников главного офиса;
· Web-сервер для поддержки сайта сети цветочных магазинов;
· Mail-сервер, используемый для организации почтовой связи между сотрудниками офиса, с контрагентами и сотрудниками Компании, работающими в филиалах сети магазинов;
· несколько объединенных в локальную сеть автоматизированных рабочих мест, среди которых АРМ Главного бухгалтера, защищенное межсетевым экраном, так как на нем обрабатываются ПДн сотрудников Компании, договора с контрагентами, производится формирование бухгалтерской отчетности;
· IP-телефония для осуществления телефонной связи между сотрудниками главного офиса, с сотрудниками в магазинах и контрагентами.
Топологическая схема сети показана на рисунке 2.
Рис. 2 Топологическая схема сети
В данной схеме представлено начальное резервирование аппаратуры, поэтому используется два соединенных параллельно маршрутизатора, которые соединяются с межсетевым экраном двойным проводом.
Каждый магазин, находящийся в Салехарде, оснащен POS-терминалом для предоставления возможности оплачивать покупку по банковской карте, IP-телефоном и межсетевым экраном. Связь между главным офисом и магазинами продажи осуществляется через VPN-туннель.
Перечень конфиденциальных данных
В процессе работы сети цветочных магазинов в центральном офисе хранятся и обрабатываются следующие данные:
· ПДн работников магазина;
· договоры на оказание услуг (с курьерскими фирмами, поставщиками продукции и т.д.), содержащие ПДн;
· бухгалтерская отчетность;
· история заказов;
· текущие заказы;
· логины и пароли для доступа к ИС Компании.
Так как в Компании обрабатываются ПДн, то система обеспечения безопасности информации должна удовлетворять требованиям Федерального закона № 152-ФЗ «О персональных данных». ПДн, обрабатываемые в рамках процессов бухгалтерии и кадрового учета, требуют обеспечения конфиденциальности.
Информация о текущих и исполненных заказах относится к конфиденциальной информации, ценной для ведения бизнеса сети цветочных магазинов, сохранения имиджа Компании и обеспечения ее безопасности. Подобная информация требует обеспечения конфиденциальности, целостности и доступности.
Таким образом, в качестве объекта защиты в данном бизнес-процессе выберем, на наш взгляд, наиболее важный компонент схемы бизнес-процесса базу данных, содержащую информацию о клиентах и заказах.